乌云白帽大会“送票题”（一）

今年的第二届乌云白帽子大会的官网上放了四道“送票题”，不造小伙伴们有没有关注呢？小编觉得这四道题出的还真是让人看完想直呼“学习了”的感觉。贴心的91Ri小编帮大家从大会官网把题目和write up整理了下，发出来以供大家学（mo）习（bai）。

送票题之一——Android方向

题目：这个 Android 应用程序中隐藏了怎样的信息？（提示：不要放过任何一点蛛丝马迹）

Tip：flag为32位字符串

附件下载：http://pan.baidu.com/s/1hq7x5vm（解压密码：2qsb）

Write Up：

首先give me five，然后发现apk解包之后那个牛逼的音乐名字叫five five five。

然后看了一下音乐里面有啥东西，发现有6条音轨，其中2条为正常音频的音轨，其余四条如下：

其中后三条音轨明显跟第一条音轨是降噪关系。所以音乐中并没听出来。

然后上位换为1，下位换为0，输出为文本：

01110011111110111111101001010000111010101110010111111011000111001000110111111111111110011010100111101011011110001100000110011110

查看一共有128位，可转换为16进制，得到32位字符串：

所以结果就是：

73 FB FA 50 EA E5 FB 1C 8D FF F9 A9 EB 78 C1 9E

writeup by darksn0w

91Ri小编语：说实话，小编也有尝试解这题，因为我自己也有接触过一些初级的Android开发，平时又喜欢自己做些小音频，所以当看到这份write up时内心还是比较鄙视自己的。如果有下载官网上给出的附件zip的小伙伴会发现，在压缩文件中有一个MAC编辑过后留下的标（xuan）志（fu）文件夹_MACOSX，在这个文件夹有一个._givemefive.apk的文件，当你用记事本打开时，里面刚好有一个32位字符串，于是小编就这么傻傻地相信了TAT只能说我还是太天真啊[/此处满满全是泪]

送票题之二——逆向方向

题目：请对该程序通过逆向工程，计算出一组可用的 key 和授权文件 wooyun.lic。最后请提交 flag 与 wooyun.lic。

(1) 程序只能运行在 Windows 7 / 8 / 8.1 x64 系统上。

(2) 程序由两部分组成。需要先逆向分析第一部分，才能得到第二个程序。

更新说明：之前使用的大数库有一个整数溢出的 bug，新版本中已经修复了。该 bug 不影响解题，也不影响之前计算出的 key 的有效性。感谢 Riatre 同学指出该问题！仅更新了 enc.bin

2015-06-16 19:00

附件下载：http://pan.baidu.com/s/1hqerqwG（解压密码：mm32）

Write Up：

CrptoMat

Description

程序只能运行在 Windows 7 / 8 / 8.1 x64 系统上。

程序由两部分组成。需要先逆向分析第一部分，才能得到第二个程序。

CrptoMat: Initial Observation

这是描述中提到的需要逆向分析以得到第二部分的“第一部分”。首先观察下载得到的压缩包CrptoMat-1.7z，里面包含两个文件，CrptoMat.exe及enc.bin。 其中CrptoMat.exe是一个32位Windows Console应用程序，而enc.bin根据文件名猜测，应为加密后的“第二个程序”。

这样，描述中的“程序只能运行在 Windows 7 / 8 / 8.1 x64 系统上。”成为了一个疑点：为什么要求x64呢？

程序在我这里运行时会直接Crash，故决定先在IDA中载入CrptoMat.exe观察一下。 IDA识别出了main函数，其中最后一个printf的参数不是有意义的字符串，且前后有以’/x10’为单字节key对其xor解密。 针对这种类型的操作，我们可以写一段简单的 IDAPython 脚本，在idb中将其解密，以方便分析。

def xor(addr, len, skip, key):
    for i in range(addr, addr+len, skip):
        PatchByte(i, Byte(i) ^ key)

接下来执行 xor(0x423480, 32, 1, 0x10) 即可解密该字符串。不幸的是，进行完这一步后，该字符串仍然不是有意义的字符串。

检查该字符串的xref，可以发现还有另一处地方对其进行了xor解密，追踪调用来源可以发现，这个exe注册了三个TLS Callback，会在程序加载时被执行。三个TLS回调函数中分布着两种混淆。

CrptoMat: Obfuscation

这些函数中使用了大量形如 74 01 0F 的花指令。对应方式为将0F的部分直接nop掉即可。（在IDA中，可以使用Edit -> Patch program -> Change byte在idb中进行简单的patch。

除此之外，这些函数开始的位置还有大量的在64位及32位代码段间切换的指令。参考roy g biv的Heaven’s Gate: 64-bit code in 32-bit file。形如

push 33h
call $+5
add dword ptr [esp], 5
retf
call $+5
mov dword ptr [esp+4], 23h
add     dword ptr [esp], 0Dh
retf

可以注意到，切换后立刻切了回来，并且中间没有夹杂任何x64代码，因此这一段也只是作为简单的反调试 & 花指令，不对实际分析以及Hex-Rays Decompiler的工作产生任何影响。 简单的将其整段替换为nop即可。

去除所有上文描述的干扰，并用Alt+K手动调整一些IDA分析错的call带来的栈影响后，Hex-Rays Decompiler（所谓的F5）已经可以正常工作了。 虽然这三个TLS Callback逻辑比较简单，没有Hex-Rays插件也可以很容易理解。

CrptoMat: Constants

第一个TLS Callback主要是利用IsDebuggerPresent进行了简单的反调试。

第二及第三个TLS Callback中使用简单的xor解密了一些常量，填充了另一个常量。将其都按上文的方式还原后，这个程序的逻辑变得清晰了起来。

CrptoMat: Decryption

程序在main中，利用TEB进行了简单的反调试（如果检测到有DebugFlag则会修改之前填充的一个常量）。 然后首先在0x403620处获取了一些系统API的地址。 接下来位于0x403280处的函数打开并读入enc.bin，调用位于0x402B70处的函数解密，并写入输出文件checkkey.exe。

下面重点关注解密函数，其首先调用位于0x4012B0的函数进行了初始化，这个函数开头动态填充了一些常量表，将之前在TLS Callback中填充的一个32字节的常量再次逐字节xor了0x73，然后存入栈中。不妨认为这是Key。 后半段则有一些类似于某些对称加密算法中的Key Schedule的过程，但其中使用的所有常量表都是动态填充的，不方便识别具体算法。

先不管他，回到解密函数中，可以发现逻辑非常复杂的循环的次数为 19329 , 注意到 $ 19329 /times 16 $ 恰好等于enc.bin文件的大小。我们不妨猜测这是一个块大小为16字节的块加密算法。

那么，块大小为16字节，密钥长度为32字节的对称加密算法，首先想到的大概就是 AES-256 了吧。不妨试一试，万一是真的呢 XD

没有IV，先假装它是ECB模式，试试吧。

key = [0x32,62,43,56,24,55,6,18,0x2A,65,43,21,66,21,75,5,21,49,0x32,0x20,0x21,0x1A,59,0x10,0x38,16,0x44,0x18,49,0x31,0x16,36,]
key = ''.join(map(lambda x: chr(x ^ 0x73),key))
from Crypto.Cipher import AES
with open('enc.bin', 'rb') as fp:
    enc = fp.read()
aes = AES.new(key=key, mode=AES.MODE_ECB)
with open('dec.bin', 'wb') as fp:
    fp.write(aes.decrypt(enc))

看上去解密成功了，然而很快发现，输出的文件看上去并不是原始的checkkey.exe。看上去有一些“多余”的部分。

在懒得分析CrptoMat.exe中具体的逻辑的情况下，对着该文件脑补，并且观察CrptoMat.exe中的解密代码，每解密一块16字节，仅输出8字节。 不妨认为只要取每16字节的前8字节即可。

然后发现这样是对的 🙂

checkkey: Initial Observation

我们得到了一个checkkey.exe，简单观察后可以发现，它是一个x64 Windows Console应用程序。 拉进IDA分析，程序明显的分为了两个部分，第一部分验证命令行参数传入的key，第二部分验证wooyun.lic，并和key似乎有某种关联。

这个程序代码上没有任何故意设置的干扰，Hex-Rays Decompiler可以工作，虽然由于编译优化的原因，得到的部分结果不太容易理解。

checkkey: check_key

检查key的函数对输入的key进行了各种检查，要求满足一些条件（具体条件直接见以下代码），我们使用Z3来求解符合条件的串。

from z3 import *
ZeroExtDword = lambda x: ZeroExt(32, x)
def summie(arr, wordsize):
    expr = 0
    for i in xrange(wordsize):
        expr += sum(map(ZeroExtDword, arr[i::wordsize])) << (i * 8)
    return expr
def hashy(x):
    ans = 0
    for c in map(ZeroExtDword, x):
        ans = ((((ans << 3) & 0xFFFFFFFF) | (ans >> 29)) + c) & 0xFFFFFFFF
    return ans
def extractDword(key, offset):
    return sum([ZeroExtDword(key[offset+i]) << (i * 8) for i in xrange(4)])
_key = [BitVec('k%d' % i, 8) for i in xrange(32)]
recover = lambda m: ''.join(map(chr,[m[c].as_long() for c in _key]))
s = Solver()
for c in _key:
    s.add(Or(And(ord('a') <= c, c <= ord('z')),And(ord('0') <= c, c <= ord('9')),And(ord('A') <= c, c <= ord('Z'))))
s.add(summie(_key, 1) == 0xA88)
s.add(summie(_key, 2) == 0x57E0F)
s.add((summie(_key, 4) & 0xFFFFFFFF) == 0x857AF897)
s.add(hashy(_key[::2]) == 0x56BCF7C6)
s.add(sum(map(ZeroExtDword, _key[1::2])) - 16 == 1385)
outer = [0x546658EC, 0x2A4F76A2, 0x281446A3]
for i in xrange(3):
    s.add((outer[i] ^ 0x1C270E94) == extractDword(_key, i * 4))
inner = [0xE73153C4, 0x993308F4, 0x8A5779DD]
for i in xrange(3):
    s.add((inner[i] ^ 0xCC203528 ^ 0x1C270E94) == extractDword(_key, (i + 1) * 4 + 1))
print s.check()
key = recover(s.model())
print key.encode('hex')
print key

运行即可在0.3s左右的时间内得到一组解，xVAH6xh67H34IaBPZpKqtIdO9vrqbP9P。

checkkey: check_license

经分析可知，check_license首先计算了文件前4字节以外的部分的”CRC32″校验和，并与前4字节表示的DWORD进行比较。 注意这里的”CRC32″与规范的CRC32不同，有一处移位时故意用算术右移代替了逻辑右移。

接下来，程序计算了除前20字节以外的部分的MD5哈希，并与文件+0x4处开始的16字节进行比较，期望其相等。 然后，程序期望接下来的8字节为00 07 11 F9 F6 AB 13 AE。

满足以上所有条件后，程序用类似于外层CrptoMat中的方式在内存中xor解密了两个字符串，分别为：

353435899753154886567901508644280318001624308174099373826296801585161412894475724220420610666130867676791214922584602747

及

65537

相信比较敏感同学看到65537之后会立刻将第一个字符串作为一个十进制整数丢进 yafu 或 msieve & ggnfs 中分解。一边让机器跑着一边进行接下来的逆向 #_#

随后，程序对文件+0x28处开始直到文件结尾的内容进行了“某种计算”，期望得到的结果长度大于等于30，并将得到的结果与命令行输入的key比较，期望相符。 此外，还计算了得到的结果的MD5哈希，并与文件+0x18处开始的16个字节比较，期望相符。

我们有充足的理由相信这里的“某种计算”就是RSA。稍作逆向后可以发现没有Padding，直接将字节作为256进制的Big Endian整数解释。 到了这里，把它分解出来，然后根据私钥计算出一个合法的license即可。

checkkey: factorization

该模数N有120位十进制数位，如果没有特意包含比较弱的因子的话，应当是使用 msieve + GGNFS 分解比较迅速，约需要5~6小时。 然而，由于不能排除其故意带有比较弱的因子的可能性，先交给 yafu 去pretest一下吧 🙂

结果 yafu 在10秒后给出了分解结果。

detected L1 = 32768 bytes, L2 = 10485760 bytes, CL = 64 bytes
measured cpu frequency ~= 1799.966760
using 20 random witnesses for Rabin-Miller PRP checks
===============================================================
======= Welcome to YAFU (Yet Another Factoring Utility) =======
=======             bbuhrow@gmail.com                   =======
=======     Type help at any time, or quit to quit      =======
===============================================================
cached 78498 primes. pmax = 999983
>> factor(353435899753154886567901508644280318001624308174099373826296801585161412894475724220420610666130867676791214922584602747)
fac: factoring 353435899753154886567901508644280318001624308174099373826296801585161412894475724220420610666130867676791214922584602747
fac: using pretesting plan: normal
fac: no tune info: using qs/gnfs crossover of 95 digits
div: primes less than 10000
rho: x^2 + 3, starting 1000 iterations on C120
rho: x^2 + 2, starting 1000 iterations on C120
rho: x^2 + 1, starting 1000 iterations on C120
pm1: starting B1 = 150K, B2 = gmp-ecm default on C120
ecm: 30/30 curves on C120, B1=2K, B2=gmp-ecm default
ecm: 10/74 curves on C120, B1=11K, B2=gmp-ecm default
ecm: 63/63 curves on C96, B1=11K, B2=gmp-ecm default
ecm: 7/214 curves on C96, B1=50K, B2=gmp-ecm default, ETA: 46 sec
ecm: 14/82 curves on C72, B1=50K, B2=gmp-ecm default, ETA: 12 sec
starting SIQS on c48: 647644121107739553628643132820296925098092891441
==== sieving in progress ( 8 threads):    1232 relations needed ====
====            Press ctrl-c to abort and save state            ====
1536 rels found: 765 full + 771 from 5704 partial, (63176.30 rels/sec)
SIQS elapsed time = 0.1472 seconds.
Total factoring time = 9.9477 seconds
***factors found***
P24 = 661333217825639141012939
P25 = 1174612726422110624673683
P24 = 702520810094682184952891
P24 = 714443298299371048348643
P24 = 906501779286561612666587
ans = 1

有趣的是，它一共有5个素因子，所谓的RSA-MP，不过这并没有影响。

checkkey: Tiro Finale

最后，写个简单的脚本生成wooyun.lic。

import ctypes, hashlib, struct
def fake_crc(data):
    tab = [0x00000000, 0x77073096, 0xee0e612c, 0x990951ba, 0x076dc419, 0x706af48f,
    0xe963a535, 0x9e6495a3,    0x0edb8832, 0x79dcb8a4, 0xe0d5e91e, 0x97d2d988,
    0x09b64c2b, 0x7eb17cbd, 0xe7b82d07, 0x90bf1d91, 0x1db71064, 0x6ab020f2,
    0xf3b97148, 0x84be41de,    0x1adad47d, 0x6ddde4eb, 0xf4d4b551, 0x83d385c7,
    0x136c9856, 0x646ba8c0, 0xfd62f97a, 0x8a65c9ec,    0x14015c4f, 0x63066cd9,
    0xfa0f3d63, 0x8d080df5,    0x3b6e20c8, 0x4c69105e, 0xd56041e4, 0xa2677172,
    0x3c03e4d1, 0x4b04d447, 0xd20d85fd, 0xa50ab56b,    0x35b5a8fa, 0x42b2986c,
    0xdbbbc9d6, 0xacbcf940,    0x32d86ce3, 0x45df5c75, 0xdcd60dcf, 0xabd13d59,
    0x26d930ac, 0x51de003a, 0xc8d75180, 0xbfd06116, 0x21b4f4b5, 0x56b3c423,
    0xcfba9599, 0xb8bda50f, 0x2802b89e, 0x5f058808, 0xc60cd9b2, 0xb10be924,
    0x2f6f7c87, 0x58684c11, 0xc1611dab, 0xb6662d3d,    0x76dc4190, 0x01db7106,
    0x98d220bc, 0xefd5102a, 0x71b18589, 0x06b6b51f, 0x9fbfe4a5, 0xe8b8d433,
    0x7807c9a2, 0x0f00f934, 0x9609a88e, 0xe10e9818, 0x7f6a0dbb, 0x086d3d2d,
    0x91646c97, 0xe6635c01, 0x6b6b51f4, 0x1c6c6162, 0x856530d8, 0xf262004e,
    0x6c0695ed, 0x1b01a57b, 0x8208f4c1, 0xf50fc457, 0x65b0d9c6, 0x12b7e950,
    0x8bbeb8ea, 0xfcb9887c, 0x62dd1ddf, 0x15da2d49, 0x8cd37cf3, 0xfbd44c65,
    0x4db26158, 0x3ab551ce, 0xa3bc0074, 0xd4bb30e2, 0x4adfa541, 0x3dd895d7,
    0xa4d1c46d, 0xd3d6f4fb, 0x4369e96a, 0x346ed9fc, 0xad678846, 0xda60b8d0,
    0x44042d73, 0x33031de5, 0xaa0a4c5f, 0xdd0d7cc9, 0x5005713c, 0x270241aa,
    0xbe0b1010, 0xc90c2086, 0x5768b525, 0x206f85b3, 0xb966d409, 0xce61e49f,
    0x5edef90e, 0x29d9c998, 0xb0d09822, 0xc7d7a8b4, 0x59b33d17, 0x2eb40d81,
    0xb7bd5c3b, 0xc0ba6cad, 0xedb88320, 0x9abfb3b6, 0x03b6e20c, 0x74b1d29a,
    0xead54739, 0x9dd277af, 0x04db2615, 0x73dc1683, 0xe3630b12, 0x94643b84,
    0x0d6d6a3e, 0x7a6a5aa8, 0xe40ecf0b, 0x9309ff9d, 0x0a00ae27, 0x7d079eb1,
    0xf00f9344, 0x8708a3d2, 0x1e01f268, 0x6906c2fe, 0xf762575d, 0x806567cb,
    0x196c3671, 0x6e6b06e7, 0xfed41b76, 0x89d32be0, 0x10da7a5a, 0x67dd4acc,
    0xf9b9df6f, 0x8ebeeff9, 0x17b7be43, 0x60b08ed5, 0xd6d6a3e8, 0xa1d1937e,
    0x38d8c2c4, 0x4fdff252, 0xd1bb67f1, 0xa6bc5767, 0x3fb506dd, 0x48b2364b,
    0xd80d2bda, 0xaf0a1b4c, 0x36034af6, 0x41047a60, 0xdf60efc3, 0xa867df55,
    0x316e8eef, 0x4669be79, 0xcb61b38c, 0xbc66831a, 0x256fd2a0, 0x5268e236,
    0xcc0c7795, 0xbb0b4703, 0x220216b9, 0x5505262f, 0xc5ba3bbe, 0xb2bd0b28,
    0x2bb45a92, 0x5cb36a04, 0xc2d7ffa7, 0xb5d0cf31, 0x2cd99e8b, 0x5bdeae1d,
    0x9b64c2b0, 0xec63f226, 0x756aa39c, 0x026d930a, 0x9c0906a9, 0xeb0e363f,
    0x72076785, 0x05005713, 0x95bf4a82, 0xe2b87a14, 0x7bb12bae, 0x0cb61b38,
    0x92d28e9b, 0xe5d5be0d, 0x7cdcefb7, 0x0bdbdf21, 0x86d3d2d4, 0xf1d4e242,
    0x68ddb3f8, 0x1fda836e, 0x81be16cd, 0xf6b9265b, 0x6fb077e1, 0x18b74777,
    0x88085ae6, 0xff0f6a70, 0x66063bca, 0x11010b5c, 0x8f659eff, 0xf862ae69,
    0x616bffd3, 0x166ccf45, 0xa00ae278, 0xd70dd2ee, 0x4e048354, 0x3903b3c2,
    0xa7672661, 0xd06016f7, 0x4969474d, 0x3e6e77db, 0xaed16a4a, 0xd9d65adc,
    0x40df0b66, 0x37d83bf0, 0xa9bcae53, 0xdebb9ec5, 0x47b2cf7f, 0x30b5ffe9,
    0xbdbdf21c, 0xcabac28a, 0x53b39330, 0x24b4a3a6, 0xbad03605, 0xcdd70693,
    0x54de5729, 0x23d967bf, 0xb3667a2e, 0xc4614ab8, 0x5d681b02, 0x2a6f2b94,
    0xb40bbe37, 0xc30c8ea1, 0x5a05df1b, 0x2d02ef8d]
    crc = -1
    for d in data:
        crc = ctypes.c_int(tab[(crc ^ ord(d)) & 0xFF] ^ (crc >> 8)).value
    return ~crc
def egcd(a, b):
   if a == 0:
       return (b, 0, 1)
   else:
       g, y, x = egcd(b % a, a)
       return (g, x - (b // a) * y, y)
def modinv(a, m):
   g, x, y = egcd(a, m)
   if g != 1:
       raise Exception('modular inverse does not exist')
   else:
       return x % m
primes = [661333217825639141012939,1174612726422110624673683,702520810094682184952891,714443298299371048348643,906501779286561612666587]
e = 0x10001
def rsamp_fucrypt(data):
    N = reduce(lambda x,y:x*y, primes)
    phi = reduce(lambda x,y:x*(y-1), primes, 1)
    d = modinv(e, phi)
    ans = pow(int(data.encode('hex'), 16), d, N)
    ans = hex(ans)[2:].rstrip('L')
    if len(ans) % 2: ans = '0' + ans
    return ans.decode('hex')
def encode_license(key):
    data = struct.pack('<II', 0xF9110700, 0xAE13ABF6) + hashlib.md5(key).digest() + rsamp_fucrypt(key)
    encoded = hashlib.md5(data).digest() + data
    return struct.pack('<i',fake_crc(encoded)) + encoded
with open('wooyun.lic','wb') as fp:
    fp.write(encode_license('xVAH6xh67H34IaBPZpKqtIdO9vrqbP9P'))

Trivia

checkkey.exe中实现的高精度减法处理借位的时候有一个小bug，导致取模在一些边界情况下也是错的。比如$2^{65537} /mod N$就算不对。 不过实际解题时需要的计算并不会遇上这样的边界问题 🙂

91Ri小编语：由于没有接触过逆向，所以小编对这道题还是没什么说话权的，不过当初这倒题目刚出来的时候，我很积极地把链接发给了会逆向的小伙伴，当时exe只要点开就会崩，小伙伴发现了出问题的地方，但很遗憾当时并不能完全解决，本来以为是脑洞题。后来write up出来之后，小伙伴说不是脑洞题，只是解题中用到的一个相关知识他没有接触过，所以不会，总的来说还是很遗憾的，小伙伴表示这道题32位与64位代码段间切换的技巧好棒
（反正没接触过逆向的我是听不懂TAT）。大家有没有和我一样觉得write up写的好详细好有条理呢？~

另外，据小道消息，这道题是蓝莲花的同学解出来的，不愧是冠军团队，赞赞赞！~

一共四道题，我们先整理两道出来供大家学习吧~至小编写完这篇稿子为止，还木有人解出最后一到题目喔，各位同学可以到乌云白帽子大会的官网去试试看喔，说不定最后一张门票就是你的啦~

链接在这里：http://summit.wooyun.org/puzzle/detail#!