核の亀裂をハッキング

こんにちは、Habralyudi！



ハッキングパズルを解くプロセスは特に快適で、解決策がある場合は二重に快適です。 本日、11月に開催されたZeroNightsカンファレンスで発見した亀裂を見つけることにしました。サイバーベースとITスクールであるHackerUのチームがハードウェアチャレンジで1位になりました。 crackme SHADOWソリューションは、リバースエンジニアリングに熱心なユーザーに役立ちます。



このレベルのクラックについては、アセンブラーを知っていて、Windows用のデバイスドライバーの基本的な理解があれば十分です。

迅速な分析

ファイルCrackmeZN17.exeがあります。 まず、HIEWで表面検査を実施します。 これにより、サンプルに関する一般的な情報が得られます。 ファイルをhiewで開くと、文字「MZ」で始まるWindows実行可能ファイルの標準ヘッダーが表示されます。 また、ファイルはパックされておらず（多数の空のスペースが存在するため）、C ++で記述されていることがわかります。 また、ファイルがパックされている場合、パッカーはすべての重複バイトを最小化しようとします。 したがって、パッケージ化されたファイルのエントロピーが増加しています。



ALT + F6を押して、行モードに入ります。 したがって、印刷された文字に関連するバイトのみが表示されます。 ただし、すべての行を検討するのではなく、それらを調べて手がかりを見つけることがタスクです。 これは明らかかもしれませんが、プログラムの作成者から始まり、正確な判定（torjan-psw、trojan-ransomなど）でファイルを悪意のあるものとして認識する行で見るだけで、多くの有用な情報を得ることができます！ すぐ下のHIEWでファイルをスクロールし、すぐに興味深いものを確認します-行

«error: Can not extract driver files!», «error: Can not extract driver files! Password: Serial is Valid!»  «error: Can not extract driver files! Password: Serial is Valid! Serial is not Valid»:
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

さらに-その他：オフセット0x5B8Dおよび0x63E4には、さらに2つの実行可能ファイルのヘッダーがあります。











これは、同じ文字「MZ」で見ることができます。



最後までスクロールすると、プログラムにはマニフェストが含まれているため、起動時に管理者権限が必要であることがわかります。







これにより、視覚分析を完了できます。 すでに次のことを理解できました。



・CrackmeZN17.exe実行可能ファイルはパッケージ化されていません。

・C ++で記述されています。

・起動時には、ファイルには管理者権限が必要です。

・さらに2つの実行可能ファイルが含まれています。

複雑でない分析

さて、このcrackmeを実行して、試してみてください：







crackmeが起動すると、そのディレクトリにさらに2つのファイルが表示されます：CrackmeZN17.sysとCrackmeZN17_.sys。 ここで、管理者権限が必要な理由が明らかになります。ドライバーを読み込むために必要であり、それ以外の場合は単に読み込まれません。HIEWでは、「MZ」バイトで始まる2つの実行可能ファイルのヘッダーを見ました。 これらは、crackmeの起動時に抽出されたものと同じドライバーです。



わかりました、それはすべて明らかです。 さらに、シリアルチェックが行われる場所を見つけましょう。 IDAでCrackmeZN17.exeを開きます。 Shift + F12を押して、行ビューに移動します。 はい、HIEWでも同様のことが既に行われていますが、ここでは簡単な分析を行いました。IDAをより深くするには、より適切です。 そして、ここで私たちはすでに馴染みのある行を見ます：







ここで、どの関数で文字列が使用されているかを判断するとよいでしょう。 これにより、入力検証が実装される関数が提供されます。 これを行うには、「シリアルは有効」という行のクロスリンクをたどり（「Ctrl + X」を押します）、CrackmeZN17.exeファイルでシリアルをチェックするロジックがないことを理解してください。 なぜそう







それは、WinApi関数がTrueを返した場合にのみ、カップルが有効であると見なされるためです。 今何 さらに掘ります。 ICTL要求がIOCTLコード22200Chで送信されていることがわかります。



DeviceIoControl関数を使用すると、I / OマネージャーがIRPパケットを生成し、必要なデータで満たしてデバイスに送信することを確認できます。 通常、デバイスは、DriverEntry関数で読み込まれるときにドライバー自体によって作成されます。 そして、通常のファイルのように扱うことができるように（たとえば、読み取りと書き込み）、このデバイスへのシンボリックリンクが作成されます。 通常、シンボリックリンクは、同じDriverEntry関数でドライバーを読み込むときにも作成されます。 実際、ここにはかなりの理論があり、このタスクを解決するには、カーネルモードドライバーがどのように機能するかについての基本的な理解が必要です。 この分析では、より詳細には解決されません。別のディスカッションのトピックとして残します。



その結果、ロジックは次のようになります。crackmeは2つのドライバーをディスクにドロップし、それらをロードします。 ドライバの1つが特定のデバイスを作成し、入力されたログインパスワードのペアを受け入れます。 最後のデバイスは、DeviceIoControl関数の要求時にI / Oマネージャーによって形成されるIRPパケットから受信されます。 さらに、IRP要求は、DeviceIoControlに設定されているスケジューリング機能によって処理されますこの機能は、デバイスに送信されたIRPパケットをキャッチし、目的のIOCTLコードを持つパケットのみを処理します。 いくつかの点で、ウィンドウメッセージを処理する手順に似ています。



この場合、興味深いIOCTLコードは-0x22200Cです。 I / O要求が正常に完了すると、DeviceIoControlはTrueを返します。 したがって、crackmeを解決するには、ディスパッチ関数を見つける必要があります。



入力したペアがどのデバイスに送信されるかを理解する必要があります。 0x402591のCreateFileA関数の呼び出しにブレークポイントを設定して、IRPパケットの送信先のデバイスを確認しましょう。 停止後、esi-registerに次の行へのポインタが表示されます： "\\。\ CrackmeZN17"。 この行は、2つのドライバーのいずれかを提供するデバイスへの単なるシンボリックリンクです。 CrackmeZN17.sysとCrackmeZN17_.sysのどちらがHIEWでこれらのファイルをすばやく見ることで理解できます。 まず、CrackmeZN17.sysを開きます。 行表示モード-ALT + F6に移動して、これを確認します。







したがって、CrackmeZN17.sysドライバーはCrackmeZN17デバイスのサービスを担当します。 IRPパケットが彼に送信されます。 したがって、次のステップはこの特定のドライバーの逆です。

Reverse CrackmeZN17.sys

IDAでファイルを開きます。 その中にディスパッチ機能があります。 このsub_104F8があります。 この関数は非常に簡単です。







sub_10F60が0を返す場合に実行される関数を見てみましょう。







それでは、そうでない場合に呼び出される関数を見てみましょう。







これですべてが多かれ少なかれ明確になりました。関数sub_10F60の名前を変更して確認できます。 正しく入力すると、1が返されます。次に、この関数に渡されるパラメーターを特定する必要があります。 これを行うには、IRPパッケージの構造の詳細な説明が必要です。 しかし、最初に、入力/出力メソッドのタイプを決定する必要があります-構造内で必要なオフセットはこれに依存します。 IOCTLコードによってI / Oメソッドを決定できます（ユーザーモードアプリケーションによってI / Oのタイプを決定することが可能であると既に推測していますか？）。 ここではデコーダプラグインを使用しました 。 起こったことは次のとおりです。







IRP構造内の変位を比較するためだけに残ります。 構造の詳細な説明は、WinDbgカーネルデバッガーを使用して取得できます。 この関数では、IRPパケットから最初に抽出されるのは、_IO_STACK_LOCATION構造体へのポインターです。 IOCTLコードを読み取るために必要です。 22200Chに等しい場合、パッケージとそれを処理できます。 パッケージの場合は、そこからデータを取得する必要があります。データはユーザーモードから送信されます。 送信方法がMETHOD_BUFFEREDの場合、データは入力バッファーと出力バッファーの両方で転送できます。 記録するとき、I / Oマネージャーは非ページシステムプールにメモリを割り当て、ユーザーデータをそこにコピーします。 割り当てられたメモリのアドレスは、SystemBufferフィールドに格納されます。 したがって、CrackmeZN17.exeのDeviceIoControl関数でログインとパスワードが転送された順序を考慮すると、次のようになります。







残っているのは、チェック機能（sub_10F60）を展開することだけです。 興味深いのはsub_10EE2関数で、そのサブ関数は次のようになります。







すぐに関数sub_10EE2がMD5ハッシュを計算する可能性が最も高いと仮定できます。 これは定数によって表示されます。 今後は、そうなると思います。 「GetMd5」という名前に変更しましょう。 ハッシュを計算した後、結果の値はsub_10EA2に渡されます。 関数は次のようになります。







一見、何が起こっているのかは明確ではありませんが、実際にはすべてが単純です。 「 '。」、「@」を除くすべての文字0x20から論理ORを適用します。 これは、小文字のラテン文字の迅速な翻訳を実装します。 このように：







したがって、反対の操作は0x5Fの論理ANDです。







つまり、sub_10EA2関数はラテン文字の大文字小文字を減らすため、名前をtoLowに変更します。 ただし、この方法はキリル文字では機能しません。 入力言語をチェックしない理由は、さらに明らかになります。 その結果、チェック機能は次のようになります。







toLow関数の実行後、ハッシュの最初の文字が文字の場合、大文字に変換されます。 得られた結果から、MD5ハッシュが再び考慮され、結果へのポインターが配列Pに配置されます。配列Pの要素の数は32です（これはループ終了条件-31行で確認できます）。 その後、最後の反復のMD5が入力されたデータと比較されます。 彼らが一致した場合、その後-出来上がり！ -ユーザー名とパスワードのペアが有効です！



それでは、シリアル生成アルゴリズムを要約しましょう。



1）ログインからのMD5ハッシュを考慮し、それを記号形式に変換します。

2）ハッシュ内のすべての大文字が小さくなります。

3）ハッシュが文字で始まる場合、それは大きくなります。

4）受信した文字列からのMD5ハッシュは32回と見なされます。 前回、彼は正しいパスワードを教えてくれます。

ドライバー逆CrackmeZN17_.sys

しかし、喜んで急いではいけません！ このアルゴリズムを実装し、ユーザー名とパスワードで有効なペアを送信すると、シリアルが間違っているという回答を受け取ります。 なぜそう 問題は、2つのドライバーがあることを完全に忘れたことです。 なぜ2番目を使用するのですか？ IDAでそれを開いて、それが何をするのか見てみましょう。







重要：ここでは、ドライバーはデバイスへのシンボリックリンクを作成しません。 そして、IoAttachDeviceToDeviceStack関数の呼び出しから判断すると、ドライバーはフィルタードライバーであると安全に言えます！







このドライバーは、CrackmeZN17デバイスに送信されたすべてのIRPパケットを最初に受信します。 したがって、途中で変更する可能性があります。 リクエストをディスパッチする機能-sub_10462に興味があります。 開いて面白い画像を観察します。







誰かがIOCTLコード22200ChでIRPパケットのCrackmeZN17デバイスへの転送を開始した場合、ここでそれをキャッチします。 送信されたデータはパケットから取得され、sub_105B2関数の入力に送られます。 そして、この関数は有効な入力をチェックするだけです。 このサブ関数を見て、すぐにこれを見てみましょう。







ユーザー名またはパスワードを含む行に他の文字が含まれている場合、sub_10438が呼び出されます。これにより、IRPパケットの処理がエラー-STATUS_INVALID_PARAMETERで完了します。







したがって、ドライバーフィルターは、正しいデータを含むIRPパケットのみを渡します。 これが、以前のドライバーでは、たとえばアルファベットの言語のチェックがなかった理由です。 すべての条件が満たされている場合、キー関数sub_105F8がログイン用に呼び出され、sub_10640がパスワード用に呼び出されます。 前のドライバーで関数sub_10640を既に見ました。 「toLow」とも呼びます。



今のところsub_105F8を検討してください。







よく見ると、この関数は、行の文字番号が奇数の場合は大文字で、文字番号が偶数の場合は小文字で文字を配置することが明らかになります。







その後のみ、変更されたIRPパケットは、IoCallDriverを呼び出して、次のデバイスにさらにサービスを提供するために転送されます。 これを前提として、keyGenを記述し、クラックでこれを完全に解決できます。 この場合、 keygenは次のようになります。

 import sys import hashlib def is_hex_number(str): try:   arr1 = int("".join(str), 16)   return True except ValueError:   return False def getLogin(login): result = "" j = 0 for i in login:   if j & 1 == 0:       result = result + i.lower()   else:       result = result + i.upper()   j = j+1 return result  def getPass(login): m = hashlib.md5() m.update(login) tmp = m.hexdigest() login = tmp result = "" i = 0 while i < 32: login = login.lower()  if ord(login[i]) <= ord('z') and ord(login[i]) >= ord('a'):             login = login[:i] + chr(ord(login[i]) & 0xDF) + login[i+1:]   m = hashlib.md5()   m.update(login)  tmp = m.hexdigest()   #print tmp   result = result + tmp[i]   i = i+1 return result def keyGen(argv): email = argv[1] #filter changed login = getLogin(email) flag = getPass(login) return flag def main(argv): try: print keyGen(argv) except:  print('Usage: keygen <login>') if __name__ == "__main__": main(sys.argv)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ミッションの伴奏！ この問題を解決するのに3時間かかりましたが、これは正確ではありません。



自分の強さのテストに加えて、逆に他の多くの興味深い課題があります。 たとえば、Webアプリケーションの脆弱性の検索と悪用。 crackmeソリューションを使用すると、ウイルスアナリストやセキュリティレシーバーなしではできないリバーススキルを活用できます。 また、クラッキングは、最下位レベルでプログラムまたは調査対象のオペレーティングシステムのデバイスについての理解を与えます。これは、システムプログラミングでしばしば必要です。

---

まあ、私たちはすぐにこの亀裂に非常に迅速に対処しましたが、率直に言って、その前に、私たちは多くの訓練をしました。 Kryakmiは、5学期の優れたトレーナーです。したがって、将来のUyathetesは、専門知識を得るために、多くの問題を解決する必要があります。 私たちはモスクワの学校HackerU Professional Pentesterの 9か月間のフルタイムコースに登録しています。 入門コースの最高の学生は、勉強を続け、五年生の職業を受け、ファンのためだけでなく、お金を稼ぐためにもクラックを行うことができます。