[Dreamhack] CTF Season5 Round #2 - addition-quiz

🛎️ Access

랜덤한 2개의 숫자를 더한 결과가 입력 값과 일치하는지 확인하는 과정을 50번 반복하는 프로그램입니다. 모두 일치하면 flag 파일에 있는 플래그를 출력합니다. 알맞은 값을 입력하여 플래그를 획득하세요.
플래그 형식은 DH{…} 입니다.
Hint) pwntools

 

 

👾 Exploit Algorithm & Payload

> chall.c

// Name: chall.c
// Compile Option: gcc chall.c -o chall -fno-stack-protector

#include <stdio.h>
#include <signal.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <time.h>

#define FLAG_SIZE 0x45

void alarm_handler() {
    puts("TIME OUT");
    exit(1);
}

void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);

    signal(SIGALRM, alarm_handler);
}

int main(void) {
    int fd;
    char *flag;

    initialize();
    srand(time(NULL)); 

    flag = (char *)malloc(FLAG_SIZE);
    fd = open("./flag", O_RDONLY);
    read(fd, flag, FLAG_SIZE);
    close(fd);

    int num1 = 0;
    int num2 = 0;
    int inpt = 0; 

    for (int i = 0; i < 50; i++){
        alarm(1);
        num1 = rand() % 10000;
        num2 = rand() % 10000;
        printf("%d+%d=?\n", num1, num2);
        scanf("%d", &inpt);

        if(inpt != num1 + num2){
            printf("Wrong...\n");
            return 0;
        }
    } 
    
    puts("Nice!");
    puts(flag);

    return 0;
}

> chall

> flag

 

 

#1

---

 

: 문제를 다운받아서 확이냈더니 이미 컴파일 파일이 있었기 때문에 바로 코드 어셈 분석이 가능했다.
(만약 없었다면 gcc chall.c -o chall -fno-stack-protector)

: 이를 활용하여 명령어의 실행마다 레지스터, 스택, 실행 중인 코드의 정보...를 다양하게 확인했다.

 

readelf -h chall

: 진입점 값을 확인하고 분석을 시작했다.

 

 

#2

---

: 코드를 분석했을 때, alarm_handler()이 사용자의 제한 시간을 부여하고, 무작위 생성된 두 숫자를 더한 값을 사용자에게 입력받는 프로그램이다.

: 처음에는 반복문을 거치지 않고 jump한다면 바로 flag를 얻을 수 있지 않을까 싶었지만 얻지 못했다.

: 그런데 사용자가 50번의 덧셈 문제를 모두 올바르게 풀면 플래그를 출력하나 그렇지 않으면 출력하지 않음을 알 수 있다.

 

* issue) 처음 반복문 거치지 않고 flag를 확인하기 위해 반복문 시작점과 끝나는 지점을 중단점으로 잡은 후, exploit code를 작성했으나 옳지 않음을 깨달았음.

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

from pwn import *

# 원격 서버에 연결
conn = remote(['address'], [port number])

for _ in range(50):
    question = conn.revline().decode().strip()
    num_str, _ = quetion.split("=")
    num1, num2 = map(int, num_str.split('+'))
    conn.sendline(str(num1 + num2))

print(conn.revall().decode())

1) from pwn import *: pwn 라이브러리를 임포트. 바이너리 익스플로이테이션과 리버스 엔지니어링을 위한 도구 제공.

2) conn = remote(['address'], [port number]): 원격 서버에 연결. 'address'와 'port number'는 실제 서버의 주소와 포트 번호.

3) question = conn.revline().decode().strip(): 서버로부터 한 줄 수신하고, 이를 디코드하여 문자열로 변환, 양 끝의 공백을 제거.

4) num_str, _ = question.split("="): 수신한 문자열을 '=' 기호를 기준으로 분리, 분리한 첫 번째 부분을 num_str에 저장.

5) num1, num2 = map(int, num_str.split('+')): num_str을 '+' 기호를 기준으로 분리, 분리한 각 부분을 정수로 변환, 이를 num1과 num2에 저장.

6) conn.sendline(str(num1 + num2)): num1과 num2를 더한 결과를 문자열로 변환, 이를 서버에 전송.

7) print(conn.revall().decode()): 서버로부터 수신한 모든 데이터를 디코드하여 출력.