[2016 POX CTF final] watch out (150) write-up

 

카테고리

analysis

 

문제

압축 파일이 주어진다.

압축을 두 번 해제하면 malscript 라는 폴더에 다섯개의 vbscript 파일이 있는 것을 볼 수 있다.

이 파일들을 모두 분석하여 key url을 찾아야 한다.

 

파일은 위와 같은 형태로 난독화 되어 있다.

 

주석을 제거하고, 각각의 변수들을 문자로 치환하는 과정을 거쳐 난독화를 어느정도 해제했다.

이때 제일 처음 등장하는 function(위 파일에서는 AXSZWYG)이 첫 번째 인자의 문자열에 대한 decode를 수행하고 있다.

 

해당 함수가 호출되는 부분을 찾아 첫 번째 인자와 두번째 인자를 구해 난독화를 한 번 더 해제하면 사이트의 url들이 나타난다.

다섯개의 파일들을 분석한 결과, 다섯번 째 파일에서 key url을 찾을 수 있었다.

 

 

Code

import re import sys def finda2(data, line, a2): num = 0 math = 0 for i in range(line-1, 0, -1): if a2 in data[i] and "+" in data[i]: num = data[i].split('+')[1].split(';')[0] num = int(num) break for i in range(line-1, 0, -1): if "charCodeAt" in data[i]: at = data[i].split('(')[1].split(')')[0] for i in range(line-1, 0, -1): if at in data[i] and '-' in data[i]: math = data[i].split('=')[1].split(';')[0] math = eval(math) if math == 1: math = ord(':') elif math == 2: math = ord('\\') break return num + math def decodeFunc(a1, a2): d = '' for i in range(0,len(a1),3): d += chr(int(a1[i:i+2],16) ^ a2) return d fd = open(sys.argv[1], "r") data = fd.read().split("\n") dic = {} # remove comments for i in range(len(data)-1, -1, -1): if "//" in data[i]: del data[i] p = re.compile('[\w]+[\s]*[=][\s]*["][\w%.]+["]') for i in range(len(data)): m = p.findall(data[i]) for j in range(len(m)): var = m[j].split("=")[0] char = m[j].split("=")[1] dic[var] = char key = dic.keys() data = "\n".join(data) for k in key: data = data.replace(k, dic[k]) data = data.replace("\"+\"", "") dic.clear() p = re.compile('[\w]+[\s]*[=][\s]*["][\w%.]+["][\s]*[;]') data = data.split("\n") for i in range(len(data)): m = p.findall(data[i]) for j in range(len(m)): var = m[j].split("=")[0] char = m[j].split("=")[1][:-1] dic[var] = char key = dic.keys() data = "\n".join(data) for k in key: data = data.replace(k, dic[k]) data = data.replace("\"+\"", "") p = re.compile('["][\w%.]+["]+[\s]*[=][\s]*["][\w%.]+["][\s]*[;]') data = data.split("\n") for i in range(len(data)): m = p.findall(data[i]) for j in range(len(m)): var = m[j].split("=")[0] char = m[j].split("=")[1][:-1] if var == char: data[i] = data[i].replace(m[j], "") decodeF = data[0].split('(')[0].split('function ')[1] for i in range(1,len(data)): if decodeF in data[i]: tmp = data[i].split(decodeF) re = '' for j in range(len(tmp)-1, 0, -1): front = tmp[j].split('(')[0] back = tmp[j].split(')') del back[0] back = ")".join(back) a1 = tmp[j].split('(')[1].split(',')[0] a1 = a1.replace('\"','') a2 = tmp[j].split(',')[1].split(')')[0] a2 = finda2(data, i, a2) solve = decodeFunc(a1, a2) tmp[j] = front + '\"'+solve+'\"'+back tmp = "".join(tmp) data[i] = tmp data = "\n".join(data) fd = open("decode_"+sys.argv[1],'w') fd.write(data) fd.close()