r3ctf2024-nSMC

R3CTF 2024 nSMC 单题 Writeup

这次被大佬带飞了，感谢各位大佬带我玩，此次逆向LilRan ✌

和我各1解
此题最终9解

正片开始

第一步

题目描述看不懂一点

反正就是个容器题，打开网页看一下。

直接下载没什么好说的

ida反编译分析

快速找到这个有用的函数看一下，好家伙原来nSMC的意思是有N个SMC啊！

那么很明显我们要动调一下才能搞（当然我是懒得分析解密）

动调给我的信息

随着调试的深入，我发现他是有4层这个nSMC，每层有6个SMC。
这里随便找一支走下去就是能到一个输出Wrong!的地方

简单思考

基于上述内容，我们可以发现应该一共是种可能性，且肯定有一个分支输出的不是Wrong!
那么这个工作量是很大的，手动我肯定不干（我是懒狗）

脚本编写

SMC嘛，所以我想到的是动态运行，然后去看每个分支是否会输出Wrong!
动态执行，我想到了qiling框架 ，那么确定好了之后就开始编写吧！

第一个坑

我这里使用 Ubuntu22.04 系统来运行qiling框架，会发生 CPU ISA level is lower than required 这个报错，经查询发现是ld-linux-x86-64.so.2在捣鬼。
解决办法如下（代码来自GitHub哈）：

def try_patch_isa(ql: Qiling):
        pre = bytes.fromhex("8b8a2803000089cf4421c739f9")
        ins = bytes.fromhex("0f85000b0000")
        skip = bytes.fromhex("488d50f84839f075c3")

        def bypass_isa_check(ql: Qiling) -> None:
            print("Bypassing ISA Check...")
            ql.arch.regs.rip += len(ins) + len(skip)

        for start, end, perm, label, img in ql.mem.get_mapinfo():
            if label != "ld-linux-x86-64.so.2":
                continue
            if "x" not in perm:
                continue

            adrs = ql.mem.search(pre + ins + skip, begin=start, end=end)
            for adr in adrs:
                ql.hook_address(bypass_isa_check, adr + len(pre))
# 用法就是在Qiling之后调用就行
ql = Qiling([proc_name], "/", verbose=QL_VERBOSE.DISABLED)
try_patch_isa(ql)

第二个坑

跑一下就会报这个错误'NoneType' object has no attribute 'cur_thread' error
翻阅文档 发现需要加一句话。

ql._multithread = True 

脚本思路

因为我不太会用，所以只能搞蠢思路，分析代码发现，strncmp的结果决定了程序的分支流程

所以通过改变strncmp的返回值即可控制程序流。然后一直让他走，直到遇到puts，此时读出puts的值就可以判断是否正确
简单hook就行了，此处给出部分伪代码：

def hook_strncmp(self, ql: Qiling):
    print("Hook strncmp")
    ql.arch.regs.rax = get_Strncmp_rax()

def hook_puts(self, ql: Qiling):
    text = ql.mem.string(ql.arch.regs.rdi)
    print(text)

ql.os.set_api('strncmp',hook_strncmp)
ql.os.set_api('puts', hook_puts)

那么现在问题就变成了，如何通过控制strncmp的返回值来遍历每一个分支
便于理解我先举个例子：
首先我们考虑4组全是第一个的情况，那么返回值则为 0 0 0 0

那么第二个就是返回 0 0 0 1 0

我们继续考虑一下，那么这个问题也就可以用一个矩阵描述

当枚举每一层时用这个矩阵即可描述，于是编写出一共矩阵生成算法，用来给每个结果生成一个4维数组，每1维表示一层的strncmp状态

def generate_matrix():
        matrix = [
            0, 1, 1, 1, 1, 1,
            1, 0, 1, 1, 1, 1,
            1, 1, 0, 1, 1, 1,
            1, 1, 1, 0, 1, 1,
            1, 1, 1, 1, 0, 1,
            1, 1, 1, 1, 1, 0,
        ]

        def generate_sequence(i):
            base = 6
            digits = []
            for _ in range(4):
                digits.append(i % base)
                i //= base
            digits.reverse()
            sequence = []
            for d in digits:
                start = d * base
                sequence.append(matrix[start:start + base])
            return sequence

        mat = []
        for i in range(1, 6**4):
            a = generate_sequence(i)
            mat.append(a)
        return mat
        #当然我这个算法很狗屎，我生成了个巨麻烦的矩阵
        #我按6^4中的每一次遍历来生成的，也就是一次遍历需要4个矩阵比如第一次的就是
        # [[0,1,1,1,1,1],[0,1,1,1,1,1],[0,1,1,1,1,1],[0,1,1,1,1,1]]
        #第二次是
        #[[0,1,1,1,1,1],[0,1,1,1,1,1],[0,1,1,1,1,1],[1,0,1,1,1,1]]
        #...
        #最后一次是
        #[[1,1,1,1,1,0],[1,1,1,1,1,0],[1,1,1,1,1,0],[1,1,1,1,1,0]]
                

此时我们完成了此脚本最难想的部分，剩下的按逻辑写出来就行了。
这里我发现当程序结束时，会发生一个异常，不过我也不知道怎么处理，我索性就try掉了反正不影响运行当然要是知道怎么修的师傅请教教我plz！
脚本如下（我随便写了个并行，不过感觉效果还是不好，爆破的速度很慢）

from typing import Optional

from qiling import *
from qiling.const import QL_VERBOSE, QL_INTERCEPT
from qiling.extensions import pipe
from qiling import *
from qiling.os.mapper import *

import threading

class QilingEmulator:
    def __init__(self, start, end):
        self.idx = start
        self.end = end
        self.idx_oneLoop = 0
        self.idx_1 = 0
        self.mat = self.generate_matrix()
        self.proc_name = './challenge'

    def generate_matrix(self):
        matrix = [
            0, 1, 1, 1, 1, 1,
            1, 0, 1, 1, 1, 1,
            1, 1, 0, 1, 1, 1,
            1, 1, 1, 0, 1, 1,
            1, 1, 1, 1, 0, 1,
            1, 1, 1, 1, 1, 0,
        ]

        def generate_sequence(i):
            base = 6
            digits = []
            for _ in range(4):
                digits.append(i % base)
                i //= base
            digits.reverse()
            sequence = []
            for d in digits:
                start = d * base
                sequence.append(matrix[start:start + base])
            return sequence

        mat = []
        for i in range(1, 6**4):
            a = generate_sequence(i)
            mat.append(a)
        return mat

    def get_Strncmp_rax(self):
        matx = self.mat[self.idx]
        ret_v = matx[self.idx_1][self.idx_oneLoop]
        if ret_v == 0:
            self.idx_1 += 1
            self.idx_oneLoop = -1
        return ret_v

    def hook_isoc99_scanf(self, ql: Qiling):
        print("Hit ___isoc99_scanf")
        ql.os.stdin = pipe.SimpleInStream(0)
        ql.os.stdin.write(b"1")

    def hook_strncmp(self, ql: Qiling, *args):
        print("Hook strncmp")
        ql.arch.regs.rax = self.get_Strncmp_rax()
        self.idx_oneLoop += 1

    def try_patch_isa(self, ql: Qiling):
        pre = bytes.fromhex("8b8a2803000089cf4421c739f9")
        ins = bytes.fromhex("0f85000b0000")
        skip = bytes.fromhex("488d50f84839f075c3")

        def bypass_isa_check(ql: Qiling) -> None:
            print("Bypassing ISA Check...")
            ql.arch.regs.rip += len(ins) + len(skip)

        for start, end, perm, label, img in ql.mem.get_mapinfo():
            if label != "ld-linux-x86-64.so.2":
                continue
            if "x" not in perm:
                continue

            adrs = ql.mem.search(pre + ins + skip, begin=start, end=end)
            for adr in adrs:
                ql.hook_address(bypass_isa_check, adr + len(pre))

    def hook_puts(self, ql: Qiling):
        text = ql.mem.string(ql.arch.regs.rdi)
        print(text)
        if text == 'Wrong!':
            self.idx += 1
            self.idx_1 = 0
        else:
            raise Exception('Correct found!')

    def run_emulator(self):
        while self.idx < self.end:
            self.idx_oneLoop = 0
            ql = Qiling([self.proc_name], "/", verbose=QL_VERBOSE.DISABLED)
            base = ql.loader.images[0].base
            ql._multithread = True 
            self.try_patch_isa(ql)
            ql.os.set_api('strncmp', self.hook_strncmp)
            ql.os.set_api('puts', self.hook_puts)
            ql.hook_address(self.hook_isoc99_scanf, base + 0x10C0)
            try:
                ql.run()
            except Exception as e:
                print(e)
                pass

def find(start, end):
    emulator = QilingEmulator(start, end)
    emulator.run_emulator()

if __name__ == "__main__":
    threading.Thread(target=find, args=(0, 100)).start()
    threading.Thread(target=find, args=(100, 200)).start()
    threading.Thread(target=find, args=(200, 300)).start()
    threading.Thread(target=find, args=(300, 500)).start()
    threading.Thread(target=find, args=(500, 600)).start()
    threading.Thread(target=find, args=(600, 700)).start()
    threading.Thread(target=find, args=(700, 800)).start()
    threading.Thread(target=find, args=(800, 900)).start()
    threading.Thread(target=find, args=(900, 1000)).start()
    threading.Thread(target=find, args=(1000, 1100)).start()
    threading.Thread(target=find, args=(1100, 1200)).start()
    threading.Thread(target=find, args=(1200, 1296)).start()

最后解题

我努力半天也进不了2分，我对着网页瞎看了看，发现刷新竟然是用网页，那么我下个断点手动提交就好啦