RedScreen

안녕하세요. Message입니다.

Webhacking.kr 문제풀이를 시작합니다.

회원가입부터 문제라더군요 ㅎㅎ

------------------------------------------------------------------------------------------------------------------------------------------

1. 문제파악

------------------------------------------------------------------------------------------------------------------------------------------

아래의 URL로 접속합니다.

URL : http://webhacking.kr/

아래와 같은 창이 나타납니다. 로그인 버튼 외에는 어떤것도 존재하지 않습니다.

회원가입부터 문제의 시작이군요!

------------------------------------------------------------------------------------------------------------------------------------------

2. 문제풀이

------------------------------------------------------------------------------------------------------------------------------------------

로그인을 시도할 때 공백일 경우 리턴되는것 외에는 별다른 점을 찾지 못했습니다.

하지만 아랫부분으로 더 내려가면 아래와 같이 주석처리된 부분을 발견할 수 있습니다.

버튼인데, 누르게 되면 특정 URL로 가는것 같습니다.

해당 URL을 현재 주소와 합칩니다.

URL : http://webhacking.kr/join/includ2_join__frm__0001.php?mode=b4c23ed5d4dd8888c6f6b57158305276

저는 이미 회원가입을 했기 때문에 다시 해보면 경고창이 뜨네요.

아래와 같은 회원가입 페이지가 나타났습니다.

"decode me" 라고 적힌 부분이 있는데, 살펴보니 끝이 "==" 문자열로 끝나는걸로 보아선

base64로 디코딩 된것 같네요.

온라인으로 URL을 디코딩할 수 있는 사이트들이 있으니 찾아서 디코딩 해줍니다.

한번 디코딩을 해주니 또다른 디코딩 문자가 나옵니다.

디코딩이 완전 해제될때까지 3번 디코딩을 해주면, 본인 PC의 IP가 나옵니다.

모두 적어주소, 회원가입을 마칩니다.

회원가입이 끝났습니다. 본격적으로 홈페이지로 접속해봅니다.

아래와 같은 메인페이지에 접속합니다.

본격적인 문제풀이를 시작해볼까요?

안녕하세요. Message입니다.

<실전 악성코드와 멀웨어 분석> 책의 실습 문제 6-1을 분석합니다.

분석환경은 Windows 7 Ultimate 64x / Vmwre 12.1.0 build 입니다.

------------------------------------------------------------------------------------------------------------------------------------------

0. 기초 동적 분석

------------------------------------------------------------------------------------------------------------------------------------------

문제풀이에 앞서 간단한 동적 분석을 진행합니다.

먼저 Imprt 함수 목록을 살펴보면 아래와 같이 Kernel32와 WININET 2개가 존재합니다.

WININET은 HTTP 프로토콜과 상호작용할 수 있도록 해주며

임포트 하고 있는 InternetGetConnectedState는 로컬 시스템의 인터넷 연결 상태를 확인하는 API입니다.

StringWindow(Shitft+F12)에서도 해당 API가 사용하는 "Success : Internet Connection" 문자열을 발견할 수 있습니다.

이제 해당 악성코드(?)를 실행시켜보면 위에서 파악한 문구가 출력됨을 확인할 수 있습니다.

Tip. PE 파일 영역

-------------------------------------------------------------------------------------

위 String Window를 살펴보면 WININET.dll 에서 사용하는 String의 .data 섹션이고

나머지는 .rdata 섹션에 있는것을 발견할 수 있습니다.

궁금증에 생겨 각 섹션에 내용을 정리합니다.

.text : CPU가 실행하는 명령어를 담고 있다. 일반적으로 실행 가능한 코드를 포함하는 유일한 섹션.

.data : 프로그램의 초기화된 전역 데이터를 저장하는데, 프로그램의 어디에서든지 접근 가능함. 읽기/쓰기 가능

.rdata : 프로그램 내의 전역에서 접근 가능한 읽기 전용 데이터를 담고 있음.

.bss : 프로그램의 초기화 되지 않은 전역 변수들을 위한 섹션. 가상주소공간에 매핑될 경우 보통 .data 섹션에 병합됨.

.idata : 존재 시 임포트 함수 정보를 저장하고 있으며, 존재하지 않는다면 .rdata 섹션 내의 임포트 함수 정보에 저장

.edata : 존재 시 익스포트 함수 정보를 저장하고 있으며, 존재하지 않는다면 .rdata 섹션 내의 익스포트 함수 정보에 저장

.pdata : 64비트 실행 파일에만 존재하며, 예외 처리 정보를 저장

.rsrc : 실행 파일에 필요한 리소스를 저장

.reloc : 라이브러리 파일 재배치 정보

-------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------

1. Main이 호출하는 서브루틴만으로 발견한 주요 코드 구조는 무엇인가?

------------------------------------------------------------------------------------------------------------------------------------------

Main의 코드는 아래와 같습니다.

가장 눈에 띄는 것은 [ call sub_401000 ] 명령어입니다.

아마 Sub 함수이니 eax에 리턴값이 저장되어 있을겁니다.

전 문제에서 Tip으로 기재한 부분이었는데, 이번 문제에서 또 보니 복습이 되네요.

따라서 eax값을 mov문으로 변수 var_4에 담은 이후에 cmp문을 이용하여

loc_401056 또는 loc_40105B 루틴으로 분기를 하는 내용입니다.

사실 코드로 보니 한눈에 안들어오는 경향이 있습니다.

아래와 같이 Graph 모드로 보면 좀더 이해하기 쉽습니다.

근데 이번 챕터가 아니었으면, 이러한 Graph 구조가 if문 구조라는 사실을 잘 몰랐을 것 같네요.

이를 Hex-ray 기능을 이용하여 보면 아래와 같이 간단한 구조임을 알 수 있습니다.

약간 의아했던 점은, sub_401000()의 결과 값을 담았던 var_4 변수가 없다는 점입니다.

궁금해서 상세 보기를 했더니, 스택상에서는 [ebp-4] 주소에 할당되어 있었습니다. (이미 변수 이름이 var_4 지만요)

아마 명시적인 선언은 하지 않았지만, if문 안에 sub루틴이 있다보니

true false를 판단하기 위해 스택에 공간이 할당된것 같습니다.

안녕하세요 Message입니다.

오늘은 OLE 자동화 배열 취약점 분석을 주제로 포스팅하려 합니다.

초보자의 시각으로 OLE 취약점이 존재하는 웹페이지를 분석하는 글이므로,

삽질 또는 잘못된 내용이 있더라도 너그럽게 봐주시기 바랍니다.

실습환경은 Windows7 / IE / VMware 환경 입니다.

---------------------------------------------------------

1. OLE 자동화 배열 취약점이란?

---------------------------------------------------------

해당 취약점(CVE-2014-6332)은  IE 환경에서 발생하는 취약점 으로서,

갓모드에 진입하여 악성코드를 유포할 수 있는 취약점입니다.

Tip. 갓모드(GodMode)

OLE 취약점에서 갓모드는 무엇이든 할 수 있는 상태를 말합니다.

예를 들면, SafeMode에 의해 차단되는 아래와 같은 Shell Code가 동작할 수 있게됩니다.

  ex) set sh=createobject("Shell.Application")

SafeMode 뿐만 아니라 ASLR, DEP, EMET, DFI 등의 보호기술들이 다 소용없게 됩니다.

우리가 보편적으로 알고 있는 갓모드는 윈도우 OS(7, 8.1, 10)에서

아래 그림처럼 제어판의 확장인데, 혼동하면 안되겠습니다.

---------------------------------------------------------

2. 취약점 발생 원인

---------------------------------------------------------

취약점의 발생 원인은 IE에서 OLE 객체를 처리하는 과정에서 발생합니다.

OLEAUT32.dll 내부의 SafeArrayRedim() API에서 VBScript 배열의 크기를 변경하는 과정에서

충분한 에러처리를 수행하지 않아 버퍼오버플로우가 발생하게 됩니다.

OLE 취약점 발생 원인이나 동작 원리는 보안업체 블로그 등에서 상세히 확인할 수 있으며,

여기서는 실제 OLE 취약점이 존재하는 웹페이지를 살펴봅니다.

취약점에 대한 개념을 먼저 익히시고 보시면 이해하시는데 편하실겁니다.

---------------------------------------------------------

4. VBScript 스크립트 분석

---------------------------------------------------------

id값으로 스크립트의 문자열을 검색하면 StrReverse() 함수를 이용하여 텍스트를 역순으로 되돌리고

document.write() 함수를 이용하여 스크립트를 실행시키는 부분을 찾을 수 있습니다.

본래 화면에 문자열을 보이게 만드는 함수지만 스크립트 실행 용도로 사용 가능합니다.

정상으로 돌리는 부분을 찾아냈으니 역순으로 배열된 코드를 볼 방법은 여러가지가 생겼습니다.

단순히 document 함수를 alert()로 띄어보는 방법이 있고,

파이썬의 reversed() 함수 또는 for문을 이용해도 간단히 정상 코드를 볼 수 있습니다.

정상코드로 복원하여 alert() 함수로 띄운 내용은 아래와 같습니다.

2) SafeMode 해제, 갓모드로 진입

팝업창의 내용을 살펴보면 Begin() 이라는 함수의 내용입니다.

아래 그림처럼, VBScript가 있었던 후반부에서 Begin() 함수를 실행시킵니다.

사실, 후반부는 함수의 선언이 대부분이고, 한줄 적혀있는 Begin() 실행이 다입니다.

우리가 팝업으로 띄운 스크립트가 사실상 메인의 역할을 하고 있다고 보면 됩니다.

Create() 함수 내부에는 Over() 함수가 존재합니다.

해당 함수의 내용은 아래와 같습니다.

취약점이 발생하려면 aa와 ab가  8바이트를 두고 동적 할당이 되어야 합니다. 

그런데 조건 상태가 복잡하여 표로 나타내 보았습니다.

위 조건대로 진행될 경우 아래와 같이 type1=h2f66이 성립되어 Over=True가 됩니다.

4) Begin 파헤치기(2)

Over() 함수를 통하여 취약점이 발생되는 조건을 달성한 뒤에는

VBScript에서 파일생성과 cmd 명령어 실행 등을 자유롭게 수행할 수 있도록

IE의 보호모드(SafeMode)를 해제하는 setnotsafemode() 함수를 실행시킵니다.

해당 함수를 실행시키기 이전에 정상적인 값에 덮어 씌울 myarray 값을 초기화 합니다.

myarray값은 SAFEARRAY구조체의 값에 SafeMode 플래그인 0x1E를 0으로 바꾸어 놓는 값입니다.

-----------------------------------------------------------------

-> 01 00 80 08 01 00 00 00 00 00 00 00 00 00 00 00

-> 00 00 FF 7F 00 00 00

-----------------------------------------------------------------

setnotsafemode() 함수의 처음에 mydata() 함수를 실행시키게 되는데

아래와 같이 배열을 할당하고, 아무 기능을 수행하지 않는

더미 함수(=testaa)의 주소값을 리턴합니다.

여기서 i=teataa를 할당하고 바로 아래에서 null을 할당한 것을 보고 멘붕이 왔습니다.

검색해보니 VBScript에서 Function Object의 주소를 얻는게 불가능하다고 하더군요.

그래서 나온 꼼수가 바로 이것입니다.

i=testaa 구문을 만나면 testaa 값이 스택에 쌓입니다.

이후에 i에 할당하려 하지만 오류가 발생합니다.

그리고 "On Error Resume Next" 구문에 의하여 다음라인의 i=null을 만나게 됩니다.

하지만 i의 값이 null로 대체 되는것이 아니라 스택에 쌓인 인자값,

즉 testaa의 주소값에 vt 플래그만 0x01(null)로 대체 된다고 합니다.

결국은 i에 Function Object Address가 할당됩니다 :)

아래는 해외 사이트에서 이것을 테스트한 것을 일부 가져왔습니다.

null을 할당하자 vt 플래그만 대체되어 04350001이 되고, 결국 testaa의 주소값을 나타내게 됩니다.

URL : http://www.secniu.com/how-to-use-vbscript-to-turn-on-the-god-mode/

mydata()에서 설정하는 값의 배치가 어려워서 표로 나타내면 아래와 같습니다.

aa(a1), aa(a1+2)의 값과 타입에 값을 입력한 것을 알 수 있습니다.

해당 설정들은 이후에 실행할 readmemo()와 setnotsafemode()의 나머지 부분에서 사용됩니다.

4) Begin 파헤치기(3)

이제 safemode를 해제할 일만 남았습니다. 하지만 여기서 분석이 안되는 부분이 있었습니다.

- 첫번째 의문점입니다.

안랩 보안이슈에서 공개된 내용을 보게 되면

--------------------------------------------------------------------------------------------------------

"기본적으로 IE는 특정한 조건 하에서만 VBScript가 실행되도록 제한하며,

VBScript를 실행하기 전에 OleScript 객체 안에 있는 세이프모드를 확인"

--------------------------------------------------------------------------------------------------------

그렇다면 세이프모드를 해제하기 전까지 실행되고 있는 VBScript는 왜 실행되고 있는것인가?

이 부분에대해서 위의 URL의 초반부에 이러한 내용과 함께 예제가 있더군요.

한마디로 Shell.Application과 같은 Create Object 함수의 경우 SafeMode에 의해서 차단된다는...

그래서 아래와 같이 간단히 테스트해본 결과 MsgBoX는 띄워진 반면,

계산기 프로그램은 실행되지 않았습니다.

즉, SafeMode를 해제하는 평범한(?) 스크립트는 Script Engine이 SafeMode를 체크하지 않는다는 결론입니다.

- 두번째 의문점

CScriptEntryPoint 주소가 왜 더미 Sub에서 8바이트 떨어진 곳에 위치하냐는 점입니다.

아직 왜 그러한지 알아내지 못했습니다. 조금 더 연구가 필요할 것 같습니다.

원래 그런것이니 그렇다고 하면 초보 분석가인 저는 그저 상처받을뿐

이부분에 아시는분은 댓글을 남겨주시면 감사하겠습니다.

5) 갓모드 진입 후 어떤 행위가..?

갓모드로 진입한 이후에는 runmumaa() 함수를 통하여 원하는 소스코드를 실행시킵니다.

실행흐름을 따라가 보면 아래 그림처럼

runmumaa()는 runurl()을 호출하고

runurl()에서 흐름이 끊기는것처럼 보입니다.

하지만 alert() 함수로 for문이 끝난 후에 runurl을 출력해보면

아래와 같이 rechange(t) 함수를 document.write()함수를 통해 실행시키는 것을 볼 수 있습니다. 

rechange() 함수에 넘어가는 인자값 t와 난독화가 해제된 문자열을 출력해보면

중반부에 나오는 난독화된 문자열이 드디어 모습을 드러냅니다.

위의 스크립트의 내용을 정리하면 아래와 같습니다.

---------------------------------------------------------------------------------------------------------------------

1. TEMP 경로에 uninst.gif.vbs 파일 생성 및 echo 기능으로 내용 작성

2. cmd 콘솔에서 vbs 파일을 실행시킬 수 있는 cscript.exe 기능을 이용하여 작성한 vbs 실행

3. 파일명과 인자값 2개(URL, 파일경로) 넘김

4. Get명령어를 이용하여 URL에 접근 후 악성코드 다운로드

5. 악성코드 실행

---------------------------------------------------------------------------------------------------------------------

일단 OLE취약점이 발생하게 되어 SafeMode가 해제되게 되면

이후의 행동은 위에서 분석한 shell 실행 말고도 다양한 행동이 가능할 겁니다.

하지만 이러한 케이스를 많이 접할수록 악성행위들의 패턴에 대해 인지하는데 도움이 많이 될 것 같습니다.

---------------------------------------------------------

5. 마치며

---------------------------------------------------------

생각보다 포스팅이 길어졌습니다.

분석이라는 것이 개발분야를 알아야 좀더 수월하다는걸 다시 알게됩니다.

중간중간 제가 봐도 이해안되는 문맥의 단절과 설명되지 않는 부분이 많은 것 같습니다...

그럼에도 긴글 읽어주셔서 감사합니다.

틀린점이나 부족한 점은 언제든지 댓글 달아주세요. 감사합니다.

posted By Message.

Commit your way to the LORD, trust in him and he will do this. [PSALms 37:5]

 ||| Chapter 03 :: system() 함수의 위험성 |||

안녕하세요. Message입니다. Lv3 달립니다!

안녕하세요. Message입니다.

Lv1 끝내고 또 손을 놔버렸네요...달려야겠습니다.

이번 챕터는 제목이 인상적이네요..ㅎㅎ

실습환경 : FTZ 로컬 서버(RedHat Linux) + Vmwre 12.1.0 build

참고서적 : 문제풀이로 배우는 시스템 해킹 테크닉 / 여동기님 / 위키북스

------------------------------------------------------------------------------------------------------------------------------------------

VI 편집기에서 명령어 실행이 가능한 부분을 이용한 문제였습니다.

하나씩 알아가는 재미가 있네요 ㅎㅎ

감사합니다.

안녕하세요. Message입니다.

시스템해킹에 대해서 배우고자 해커스쿨의 FTZ를 이용한 문제풀이를 포스팅하려 합니다.

Unix 계열 운영체제는 잠시 손을 놓으면 어색해지지만... 이번 기회를 통해 다시 친숙해지려 합니다.

실습환경 : FTZ 로컬 서버(RedHat Linux) + Vmwre 12.1.0 build

참고서적 : 문제풀이로 배우는 시스템 해킹 테크닉 / 여동기님 / 위키북스

------------------------------------------------------------------------------------------------------------------------------------------

00. 준비

------------------------------------------------------------------------------------------------------------------------------------------

무언가 하려고 하면 항상 환경 세팅에서 진이 빠지는 경우가 많은듯 합니다.

저같은 경우 한글깨짐 현상과 telnet 접속 시 자꾸 오류가 발생하더군요.

1) 한글깨짐

만약 한글이 깨진다면 아래와 같이 putty의 translation 속성을 Use font encoding을 바꿔줍니다.

2) Telnet 접속 안될 때

FTZ서버에 ping은 가지만 Telnet 접속이 안되더군요

방화벽과 백신도 꺼보고, 기능추가에서 telnet 활성화도 해보고.. 로컬 환경도 구축해봤지만 안됐습니다.

그래서 Telnet 접속을 포기하고 22번 포트로 SSH 접속했습니다. 실습하는데 지장은 없으니

안되시는 분들은 이렇게라도...

------------------------------------------------------------------------------------------------------------------------------------------

01. 문제파악

------------------------------------------------------------------------------------------------------------------------------------------

Level1에 접속하여 주어진 문제환경을 파악합니다.

1개의 파일과 2개의 폴더가 존재합니다.

레벨마다 주어지는 hint 파일의 내용을 확인합니다.

hint 파일의 내용은 아래와 같고, Level2 권한에 setuid가 걸린 파일을 찾는 내용입니다.

Tip. SETUID

setuid가 설정되면 소유자가 아니더라도 실행 시 일시적으로 소유자의 권한으로 실행됩니다.

파일을 실행할 때 사용자의 UID를 사용하는 것이 아니라 파일의 inode 정보로부터 파일 소유자의 UID를 받아서 실행합니다. 

------------------------------------------------------------------------------------------------------------------------------------------

02. 문제분석

------------------------------------------------------------------------------------------------------------------------------------------

무언가를 찾는 명령어는 find 입니다.

하지만 우리가 찾는 파일은 setuid가 걸린 파일이므로 -perm 옵션과 -user 옵션을 사용합니다.

옵션1  :  -perm +6000  -->  setuid or setgid가 걸린 파일 찾기

옵션2  :  -user level2    -->  level2 or level1의 권한

해당 옵션을 이용하여 검색한 결과는 아래와 같습니다.

하지만 오류가 많이 떠서 한번에 식별하기가 어렵습니다.

검색 결과 중에서 에러가 발생한 결과를 제외하는 옵션 2> /dev/null을 사용해줍니다.

여기서 숫자 2는 표준에러(STDERR)를 뜻하고, /dev/null은 휴지통을 뜻합니다. (에러를 휴지통에 슝~)

해당 옵션을 사용한 결과는 아래와 같습니다.

파일의 허가권(Permission)과 소유권(Ownership)을 살펴보면 주목해야할 점이 있습니다.

1) 허가권 : SUID가 설정되어 있으므로 해당 파일을 실행하면 파일의 소유자 권한으로 실행됩니다 --> -rwsr-x---

2) 소유권 : 그룹 Level1이 해당 파일을 소유하므로 Level1인 우리도 저 파일을 실행시킬 수 있습니다. -rwsr-x--- 1 level2 level1

정리하면, 우리는 저파일을 실행시킬 수 있으며 실행시킬경우 Level2의 권한으로 실행할 수 있다는 점입니다.

찾아낸 파일을 실행해보면 아래와 같은 메세지를 볼 수 있습니다.

my-pass와 chmod는 제외하라고 되어 있으므로, bash 명령어로 Level2의 권한을 획득합니다.

그럼 1회성 권한이 아닌, 지속적인 Level2 권한으로 원하는 행위를 할 수 있습니다.

FTZ에서 제공하는 my-pass명령어를 이용하여 Level2의 암호를 알아냅니다.

답 : hacker or cracker

Tip. PERM의 플러스(+), 마이너스(-) 차이

find 명령어의 perm 옵션에 달린 플러스(+)와 마이너스(-)의 차이는

입력하는 숫자에 해당하는 퍼미션을 완벽하게 만족하느냐? 아니면 일부만 만족해도 되느냐? 입니다.

이해하기 어려우니 해커스쿨에 있는 글에 따라 저도 테스트해보았습니다.

먼저 아래와 같이 touch 명령어를 이용하여 7개의 파일을 만듭니다.

그리고 ls -al 명령어로 퍼미션을 확인합니다.

이후 마이너스(-) 옵션으로 find 명령어를 수행하면

아래와 같이 300옵션에 해당하는 wx(쓰기, 실행) 권한이 모두 설정되어 있는 파일만 검색이 되었습니다.

한마디로 깐깐한 검색이 되겠죠.

이후 플러스(+) 옵션으로 find 명령어를 수행하면

아래와 같이 300옵션에 걸려있는 w(쓰기), x(실행) 권한중 한개라도 설정되어 있으면 검색이 됩니다.

한마디로 너그러운(?) 검색이 되겠네요.

------------------------------------------------------------------------------------------------------------------------------------------

03. GDB 이용한 상세분석

------------------------------------------------------------------------------------------------------------------------------------------

원래 bash쉘을 획득하여 my-pass를 알아내면 다음 단계로 넘어가지만,

GDB를 이용하여 ExcuteMe 파일의 상세 동작원리를 분석합니다.

2) 흐름파악

disas main의 출력결과를 통해 프로그램의 실행 흐름을 파악할 수 있습니다.

① system 함수로 명령어를 실행

② chdir 함수로 디렉터리를 이동

③ printf 함수로 문자열을 출력

④ fgets 함수를 이용한 사용자 입력

⑤ strstr 함수를 이용하여 금지문자열과 입력 받은 사용자 문자열 비교 : my-pass, chmod

⑥ 금지명령어가 아닌경우 실행 루틴으로 이동

⑦ setreuid(3002, 3002) 함수를 이용해 실행되는 파일의 User ID 권한을 Level2 계정으로 설정

⑧ system 함수를 이용해서 입력받은 문자열을 리눅스의 명령어로 실행

3) 주요 함수 분석

① printf

disas main 명령어를 이용하여 아래로 내려가다 보면 printf 함수가 많이 나옵니다.

내용은 아까 우리가 보았던 "레벨 2의권한으로 당신이 원하는...." 을 화면에 찍는 용도입니다.

마지막 printf 함수에 push 되는 인자값들을 x/s 명령어를 이용하여 살펴보면,

아래와 같이 level2의 쉘처럼 "[level2@ftz level2]$" 를 프린트 하는것을 볼 수 있습니다.

한마디로 실제 쉘이 아니라, 프로그램이 의도적으로 printf 한 내용이라는 것을 알 수 있습니다.

② setreuid + system

프로그램의 마지막 부분을 보면 setreuid와 system 함수를 볼 수 있습니다.

setreuid 함수에 들어가는 인자값은 UID와 GID값이고, 둘다 0xbba(3002) 입니다.

3002는 Level2의 UID값입니다. 참고로 Level1은 3001입니다.

해당사항은 id명령어나 /etc/password 를 확인하면 알 수 있습니다.

Tip. UID란?

시스템 내에서 사용자를 식별할 수 있는 유일한 값입니다. GID는 UID들이 소속되어 있는 그룹ID 입니다.

4) 결과정리

정리하면, setreuid 함수를 이용하여 Level2의 권한을 획득한 뒤, 

뒤에 따라나오는 system 함수를 실행하는 것이 프로그램의 주요 기능입니다.

------------------------------------------------------------------------------------------------------------------------------------------

1. FCKeditor란?

------------------------------------------------------------------------------------------------------------------------------------------

FCKeditor는 게시판 에디터입니다.

거의 모든 브라우저에서 사용 가능한 에디터로서, 글작성 / html편집 /표삽입 등이 가능합니다.

현재 FCKeditor는 3.x 대로 업그레이드 되면서 CKeditor로 변경되었으나,

아직 많은 곳에서 FCKeditor를 사용하고 있습니다.

공식사이트 : http://ckeditor.com

FCkeditor 2.6.11 Ver : http://sourceforge.net/projects/fckeditor/files/

------------------------------------------------------------------------------------------------------------------------------------------

10. 0x1000FF58에서 서브루틴으로 수백 라인은 문자열을 비교하기 위한 일련의 memcmp 비교다.

      robotwork와 문자열 비교가 성공적으로 이뤄지면 무슨 일이 일어나는가? (memcmp가 0을 반환)

------------------------------------------------------------------------------------------------------------------------------------------

일단 문제에서 주어진 문자열 "robotwork"를 찾습니다.

Strings window에서 검색기능을 이용하여 robotwork를 찾습니다.

해당 문자열은 xdoor_s 섹션에 있고,

상호참조 리스트를 이용하여 어디서 사용되고 있는지 확인합니다. (정말 좋은 기능이네요..)

다른 memcmp 함수와 동일하게 사이즈, 사용자입력값, 비교문자열 3가지 인자를

push하고 memcmp를 호출합니다.

memcmp는 두 비교문자열이 같으면 0을 결과값으로 반환합니다.

test eax eax 명령어를 수행해여 

1) 결과값 0 반환 -->  (문자열이 같음)  -->  ZF=1 세팅  -->  loc_10010468 Jump

2) 결과값 0 아님 -->  (문자열이 다름)  -->  ZF=0 세팅  -->  loc_100052A2 Jump  (다음 문자열 비교)

문자열이 "robotwork"와 동일하면 loc_10010468으로 점프하게 되므로 

계속 트레이싱 하며 따라가면 아래와 같은 어셈블리 코드가 나옵니다.

코드가 갑자기 길어져서 한번에 파악하기는 힘들지만,

아래부분에 분홍색 RegOpenKeyExA API와 push되는 레지스트리 관련 문자열이 가장 눈에 확 들어옵니다.

RegOpenKeyExA API는 성공하면 ERROR_SUCCESS(0) 을 반환하고, 핸들키값을 넘겨줍니다.

1) API 호출에 성공  -->  test eax eax 명령어를 통해 0이 반환되며, loc_10005309로 Jump (오른쪽)

2) API 호출에 실패  -->  RegCloseKey API와 함께 종료 (왼쪽)

2번 케이스의 경우, Graph overview에서 독보적인 빨간색 화살표와 함께 서브루틴이 끝나는 것을 볼 수 있습니다.

1번 케이스의 경우, 아래와 같은 loc_10005309 서브루틴을 실행합니다.

역시 루키라 한번에 파악은 절대 안됩니다 OTZ...

분홍색의 RegQueryValueExA, sprintf, atoi 등의 API들이 가장 잘 보이고,

파란색의 API 인자값들이 눈에 띕니다. 

가장먼저 실행되는 RegQueryValueExA는 먼저 나온 RegOpenKeyExA, RegCloseKey와 세트로 등장하는 API입니다.

Syntax는 아래와 같으며, 해당 함수를 실행하기 위해 lpValueName "WorkTime"을 포함한 6개의 인자를 push하고

ebx에 저장해두었던 RegQueryValuesExA 함수를 call 하는 부분을 위의 어셈블리 코드에서 볼 수 있습니다. 

만약 여기서 함수 호출에 실패하면 loc_10005379로 Jump하게 되는데,

lpValueName값을 "WorkTimes" 로 변경해서 호출합니다.

어쨋든, WorkTime 또는 WorkTimes의 값을 얻게 되면

atoi값을 이용하여 int형태로 변경한 뒤 sprintf 함수를 이용하여 지정된 형식대로 문자열을 만듭니다  --> [Robot_WorkTime : %d]

이후 sub_100038EE로 분기하여 sned 함수로 값을 전송합니다.

답 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion에 있는 WorkTime or WorkTimes 레지스트리 값을 전송

Tip. 인자(argument) vs 매개변수(parameter)