wargame.kr의 17번째 문제인 pyc decompile이다.
pyc decompile이라는 문제 이름답게 pyc 파일을 디컴파일하는 문제인 것 같은데 Start 버튼을 눌러 접속해보자.
파이썬이라는 문구와 함께 서버 시각, 그리고 bughela.pyc 파일 다운로드 링크가 주어져 있다. 서버 시각과 pyc 파일과는 무슨 상관이 있을까? 아마 예전에 webhacking.kr에서 풀었던 어떤 문제처럼 매 초마다 다른 어떤 값을 미리 시간을 예측해서 계산해서 플래그로 제출해야 하는 게 아닌가 싶다. 일단 다운로드한 파일을 이 사이트에서 디컴파일해보자.
# uncompyle6 version 3.5.0
# Python bytecode 2.7 (62211)
# Decompiled from: Python 2.7.5 (default, Aug 7 2019, 00:51:29)
# [GCC 4.8.5 20150623 (Red Hat 4.8.5-39)]
# Embedded file name: bughela.py
# Compiled at: 2015-02-09 15:13:20
import time
from sys import exit
from hashlib import sha512
def main():
print 'import me :D'
def GIVE_ME_FLAG(flag):
if flag[:43] != 'http://wargame.kr:8080/pyc_decompile/?flag=':
die()
flag = flag[43:]
now = time.localtime(time.time())
seed = time.strftime('%m/%d/HJEJSH', time.localtime())
hs = sha512(seed).hexdigest()
start = now.tm_hour % 3 + 1
end = start * (now.tm_min % 30 + 10)
ok = hs[start:end]
if ok != flag:
die()
print 'GOOD!!!'
def die():
print 'NOPE...'
exit()
if __name__ == '__main__':
main()디컴파일 결과 위와 같은 코드를 얻을 수 있었다. __name__ 변수를 비교하여 이 파일이 직접 실행되었을 경우 main() 함수를 호출하는 것으로 보아 이 파일을 다른 파일에서 임포트 하여 사용하라는 것 같은데 별다른 제한이나 의존성이 없기 때문에 로컬 환경에서 그냥 GIVE_ME_FLAG() 함수를 호출하여 사용할 수 있다. 그렇다면 이 함수는 무슨 역할을 하는 것일까?
추측으로는 아마 이 파이썬 코드가 서버측의 flask나 django 같은 파이썬 웹 프레임워크에서 임포트 되어 사용되는 모듈일 것이다. 그래서 현재 함수 내에 보이는 "http://wargame.kr:8080/pyc_decompile/?flag=" 문자열이 우리가 실제로 플래그를 입력하게 될 곳이며 flag[:43], flag[43:] 처럼 슬라이싱 하고 있는 만큼 우리가 입력한 url 전체가 이 함수의 flag 매개변수로 전달되는 듯하다. 만약 우리가 문제 사이트에서 flag 파라미터로 12345를 넘겼다면 서버 측에서 GIVE_ME_FLAG() 함수에 "http://wargame.kr:8080/pyc_decompile/?flag=12345"를 전달하여 플래그 앞 43자리(flag[:43])를 확인하고 현재 서버 시간에 따라 생성된 플래그가 파라미터로 전달된 플래그(flag[43:])와 일치하는지 확인하는 것이다.
파이썬 2 소스코드기 때문에 Repl.it - Python 2.7 Online Compiler & Interpreter 같은 곳에서 실행할 수 있다.
Python 2.7 Online Compiler & Interpreter
Write and run Python 2.7 code using our Python 2.7 online compiler & interpreter. You can build, share, and host applications right from your browser!
repl.it
GIVE_ME_FLAG() 함수를 사용하기 위해 아래처럼 약간 수정하였다.
import time
from sys import exit
from hashlib import sha512
flag = 'USER_INPUT_HERE'
now = time.localtime(time.time())
seed = time.strftime('%m/%d/HJEJSH', time.localtime())
hs = sha512(seed).hexdigest()
start = now.tm_hour % 3 + 1
end = start * (now.tm_min % 30 + 10)
ok = hs[start:end]
if ok != flag:
print 'BAD'
else:
print 'GOOD!!!'이제 flag 변수에 올바른 값만 넣으면 "GOOD!!!" 문자열이 출력될 것이다. 이제 코드를 분석해보자.
먼저 time.localtime(time.time())은 현재 시간을 time.struct_time 클래스로 반환한다. 서버측에서 실행되는 코드기 때문에 time.time()은 서버 측 현재 시각을 유닉스 시간으로 변환하여 반환하며 time.localtime() 메서드가 이를 현재 시각을 나타내는 struct_time 클래스로 변환하여 now 변수에 저장하는 것이다.
매개변수가 없는 time.localtime() 메소드는 time.localtime(time.time())과 동일하게 현재 시각을 가지는 객체를 생성한다. 이는 time 모듈의 strftime() 메서드에 의해 "월/일/HJEJSH" 같은 문자열로 변환되어 seed 변수에 저장되는데 이후 sha512 함수를 통해 해시되어 hexdigest() 메서드를 통해 16진수 값 문자열로 hs에 저장된다.
이후 start, end 변수에서 각각 now 변수의 tm_hour 속성, 즉 현재 시각의 시와 now 변수의 tm_min 속성, 즉 현재 시각의 분을 참조하여 연산을 통해 hs 변수의 슬라이싱 범위를 계산하는 데 사용된다.
이렇게 슬라이싱된 해시 문자열은 플래그와 비교하여 동일한지 검사하기 때문에 결국 이 슬라이싱 된 해시 문자열이 무엇인지 알아내면 플래그가 무엇인지 알 수 있다. 그러기 위해서는 문제 페이지에서 알려주는 서버 시각을 기준으로 위의 코드를 실행한 결과를 계산해서 1분이 지나기 전까지 flag 파라미터로 넘겨주어야 한다.
다행히 서버 시각이 매초 변할 때마다 플래그가 바뀌는 문제가 아니기 때문에 문제 페이지에서 제공되는 서버 시각을 보고 1분 내로 위의 코드를 계산하여 플래그로 넘길 수 있다. 또는 스크립트를 이용해 현재 서버 시각을 파싱 해서 자동으로 계산시킬 수도 있을 것이다. 어쨌든 위의 코드는 다시 다음과 같이 짧아지게 된다.
from hashlib import sha512
month=1
day=6
seed = "01/06/HJEJSH"
hs = sha512(seed).hexdigest()
start = 0 % 3 + 1
end = start * (41 % 30 + 10)
ok = hs[start:end]
print ok지금 이 플래그를 얻은 시각은 2021년 1월 6일 오전 12시(00시) 41분이다. 그렇기 때문에 현재 시각을 구하는 메서드 호출을 다 지우고 직접 month(1), day(6), seed("01/06/HJEJSH" 문자열) 변숫값을 초기화해줄 수 있었으며 start, end 변수에는 현재 시각의 시(00), 분(41) 값을 하드 코딩하여 계산하여 슬라이싱 된 해시값을 얻을 수 있었다. 언급했듯이 이 값이 문제에서 원하는 플래그 값이므로 이를 출력시켜서 플래그가 무엇인지 계산할 수 있었다.
실행 결과로 얻은 37d8fdca63561736e055를 flag 파라미터로 전달한 결과 아래처럼 플래그를 얻을 수 있었다.
그렇다면 자동으로 이 플래그 값을 구해주는 스크립트를 작성해보면 어떨까? 정규표현식을 이용하여 서버 시각을 파싱 하면 금방 해결할 수 있는 문제였다.
import re
import requests
from hashlib import sha512
URL = 'http://wargame.kr:8080/pyc_decompile/'
cookies = {'ci_session': 'INSERT_YOUR_COOKIE_HERE'}
filter_regex = '[0-9]+\/[0-9]+\/[0-9]+ [0-9]+:[0-9]+:[0-9]+'
challenge_html = requests.get(URL, cookies=cookies).text
regex = re.compile(filter_regex)
server_time = regex.search(challenge_html)
if server_time is not None:
time_text = server_time.group()
yyyymmdd, hhmmss = time_text.split(' ')
year, month, day = yyyymmdd.split('/')
hour, minute, second = hhmmss.split(':')
seed = "{}/{}/HJEJSH".format(month, day)
# TypeError: Unicode-objects must be encoded before hashing... if not encode() it.
hs = sha512(seed.encode('utf-8')).hexdigest()
start = int(hour) % 3 + 1
end = start * (int(minute) % 30 + 10)
ok = hs[start:end]
params = {'flag':ok}
res = requests.get(URL, cookies=cookies, params=params)
print(res.text)
처음에는 커스텀 시간 객체를 생성해줘야 하는 건가.. 하고 time이나 datetime 모듈같은걸 계속 살펴보다가 정신 차리고 다시 생각해보니 어차피 그 클래스의 객체가 필요한 게 아니라 현재 시간을 구하려고 사용하는 게 아닌가?라고 생각해서 현재 시간을 하드 코딩해서 계산하는 방법으로 풀 수 있었다. 그리고 이 블로그 포스트를 작성하면서 정규표현식을 활용한 파이썬 스크립트로 풀이도 자동화할 수 있었기 때문에 재밌는 문제였다.
'챌린지 > Wargame.kr' 카테고리의 다른 글
| bughela - SimpleBoard (0) | 2021.01.09 |
|---|---|
| bughela - web chatting (0) | 2021.01.04 |
| bughela - EASY_CrackMe (0) | 2020.12.31 |
| bughela - php? c? (0) | 2020.12.29 |
| bughela - img recovery (0) | 2020.12.28 |
