티스토리

🕰️ 공부하자 공부 🕰️

검색하기

[Reverse Engineering] CodeEngn Basic RCE L19 WriteUp

✒️ Reverse Engineering/CodeEngn

[Reverse Engineering] CodeEngn Basic RCE L19 WriteUp

A Lim Han 2023. 11. 17. 15:07

💒 CodeEngn Basic RCE L19 WriteUp

1. 문제 확인 후 파일 다운로드

2. 7-Zip File Manager 을 통해 파일 압축 해제 --> 19 파일 속 응용 프로그램 발견

3. 관련 정보 수집을 위해 Detect It Easy 를 통해 파일 오픈 --> 파일이 UPX 형식으로 패킹되어있음을 확인

++ 아직 Detect It Easy 를 설치하지 않았다면?

--> https://www.majorgeeks.com/

MajorGeeks.Com - MajorGeeks

www.majorgeeks.com

4. 패킹된 상태인 19 파일에 대하여 언패킹 진행

++ UPX 패킹된 파일 언패킹하기

--> https://alim11.tistory.com/456

[UPX Un/Packer] UPX 패킹된 파일 언패킹하기

🧮 UPX 패킹된 상태의 파일을 언패킹하는 방법 1. 하단의 링크로 접속하여 UPX Packer 다운로드 --> https://github.com/upx/upx/releases Releases · upx/upx UPX - the Ultimate Packer for eXecutables. Contribute to upx/upx developme

alim11.tistory.com

5. Immunity Debugger 을 통해 19_unpacked.exe 파일 오픈

6. Debugging 을 실시하니, 아래와 같은 에러창을 확인할 수 있었음

7. 디버깅 탐지 역할을 하는 IsDebuggerPresent 함수 발견

8. 함수 우회를 위해 0040E969 의 JNZ 를 JZ 로 변경

9. 다시 19_unpacked.exe 실행 --> 디버깅 탐지 우회 성공

좌측이 수정 전, 우측이 수정 후

10. 시간과 관련있어보이는 WINMM.timeGetTime 함수 발견 --> 해당 위치에 BreakPoint 설정

11. JNB 표시가 되어있는 00444D38 로 이동하니, 밀리세컨드가 저장되었을 것으로 추정되는 주소 발견 --> 해당 위치에도 BreakPoint 설정

12. F8 을 눌러가며 프로그램 실행 --> [EBX + 4] 주소로 이동

13. 008AF87C 의 Hex dump 에서 "70 2B" 발견 --> Little 엔디안 방식 저장이니 반전하여 "2B 70"

14. "2B 70" 을 10진수로 변환 --> 해당 프로그램은 11120ms 후에 종료됨

저작자표시 비영리 변경금지