Introduction#

今年想打打看 Flare-on 來加強自己的逆向能力，所以這篇是紀錄 2024 考古題的 writeup。

Challenge 1 - frog#

打開檔案會看到 frog.exe、frog.py，這題有附使用說明，使用 python frog.py 來啟動遊戲，記得要裝 pygame。接著會看到視窗如下：

可以使用 W, A, S, D 移動青蛙，但由於沒有能到達終點的路，顯然需要做一些調整才能到達終點。

查看 frog.py 可以看到方塊是寫死的，可以註解程式碼來把方塊移除，然後就能走到終點。

Challenge 2 - Checksum#

可以直接執行 checksum.exe，會要你回答幾題數學題目，最後輸入 Checksum。

經過 IDA decompile 之後可以發現是用 Golang 寫的，算是勉強可讀。那來看看 main() 在做甚麼，可以搜尋 Checksum 字串來找到之後是怎麼做檢查的：

在 main.a() 是接受 ChaCha20 解密資料產生的 SHA256 hash，接著和 xor_key_FlareOn2024( FlareOn2024），然後進行 base64 編碼之後比對是否吻合。

1
v20 = checksum_xored_array;
2
checksum_xored_base64 = encoding_base64__ptr_Encoding_EncodeToString(
3
                        runtime_bss,
4
                        checksum_xored_array,
5
                        a2,
6
                        a2,
7
                        a5,
8
                        (_DWORD)v10,
9
                        v11,
10
                        v12,
11
                        v13,
12
                        v23,
13
                        v24,
14
                        v25);
15
if ( v20 == 88 )
16
    return runtime_memequal(
17
            checksum_xored_base64,
18
            "cQoFRQErX1YAVw1zVQdFUSxfAQNRBXUNAxBSe15QCVRVJ1pQEwd/WFBUAlElCFBFUnlaB1ULByRdBEFdfVtWVA==",
19
            88LL);
20
else
21
    return 0LL;

可以寫個腳本來推算出原本的 checksum 為 7fd7dd1d0e959f74c133c13abb740b9faa61ab06bd0ecd177645e93b1e3825dd

最後可以去看 C:\Users\[CURRENT_USER]\AppData\Local\REAL_FLAREON_FLAG.JPG，flag 印在上面了。

Challenge 3 - aray#

題目是一個 aray.yara 的檔案，我完全沒看過 yara rule 真實的樣貌，只知道裡面可以寫一些規則來判別惡意程式。這邊可以看到在 chndition: 下面有一堆擠在一起的判斷式，我們可以把它攤開來看總共有 500 多個 condition，以下只節錄一部分（猜測只會用到一部分）。

首先是檔案大小要是 85 bytes，並且 MD5 hash 要是 b7dc94ca98aa58dabb5404541c812db2，此外可以過濾掉大於小於這種判斷，只留下有精確判斷式的部分，這樣只要專心處理剩下的 38 個判斷式就好。

1
filesize == 85
2
hash.md5(0, filesize) == "b7dc94ca98aa58dabb5404541c812db2"
3
uint8(58) + 25 == 122
4
uint32(52) ^ 425706662 == 1495724241
5
uint32(17) - 323157430 == 1412131772
6
hash.crc32(8, 2) == 0x61089c5c
7
hash.crc32(34, 2) == 0x5888fc1b
8
uint8(36) + 4 == 72
9
uint8(27) ^ 21 == 40
10
uint32(59) ^ 512952669 == 1908304943
11
uint8(65) - 29 == 70
12
uint8(45) ^ 9 == 104
13
uint32(28) - 419186860 == 959764852
14
uint8(74) + 11 == 116
15
hash.crc32(63, 2) == 0x66715919
16
hash.sha256(14, 2) == "403d5f23d149670348b147a15eeb7010914701a7e99aad2e43f90cfa0325c76f"
17
hash.sha256(56, 2) == "593f2d04aab251f60c9e4b8bbc1e05a34e920980ec08351a18459b2bc7dbf2f6"
18
uint8(75) - 30 == 86
19
uint32(66) ^ 310886682 == 849718389
20
uint32(10) + 383041523 == 2448764514
21
uint32(37) + 367943707 == 1228527996
22
uint8(2) + 11 == 119
23
hash.md5(0, 2) == "89484b14b36a8d5329426a3d944d2983"
24
uint32(46) - 412326611 == 1503714457
25
hash.crc32(78, 2) == 0x7cab8d64
26
uint8(7) - 15 == 82
27
uint32(70) + 349203301 == 2034162376
28
hash.md5(76, 2) == "f98ed07a4d5f50f7de1410d905f1477f"
29
uint32(80) - 473886976 == 69677856
30
uint32(3) ^ 298697263 == 2108416586
31
uint8(21) - 21 == 94
32
uint8(16) ^ 7 == 115
33
uint32(41) + 404880684 == 1699114335
34
hash.md5(50, 2) == "657dae0913ee12be6fb2a6f687aae1c7"
35
uint8(26) - 7 == 25
36
hash.md5(32, 2) == "738a656e8e8ec272ca17cd51e12f558b"
37
uint8(84) + 3 == 128
38
uint8(23) & 128 == 0

Challenge 4 - Meme Maker 3000#

可以看到是一個經過混淆的 js 檔案，可以直接丟解混淆的工具，結果如下：

1
const a0c = [
2
    'When you find a buffer overflow in legacy code',
3
    'Reverse Engineer',
4
    'When you decompile the obfuscated code and it makes perfect sense',
5
    'Me after a week of reverse engineering',
6
    'When your decompiler crashes',
7
    "It's not a bug, it'a a feature",
8
    "Security 'Expert'",
9
    'AI',
10
    "That's great, but can you hack it?",
11
    'When your code compiles for the first time',
12
    "If it ain't broke, break it",
13
    "Reading someone else's code",
14
    'EDR',
15
    'This is fine',
16
    'FLARE On',
17
    "It's always DNS",
18
    'strings.exe',
19
    "Don't click on that.",
20
    'When you find the perfect 0-day exploit',
21
    'Security through obscurity',
22
    'Instant Coffee',
23
    'H@x0r',
24
    'Malware',
25
    '$1,000,000',
26
    'IDA Pro',
27
    'Security Expert',
28
  ],
29
  a0d = {
30
    doge1: [
31
      ['75%', '25%'],
32
      ['75%', '82%'],
33
    ],
34
    boy_friend0: [
35
      ['75%', '25%'],
36
      ['40%', '60%'],
37
      ['70%', '70%'],
38
    ],
39
    draw: [['30%', '30%']],
40
    drake: [
41
      ['10%', '75%'],
42
      ['55%', '75%'],
43
    ],
44
    two_buttons: [
45
      ['10%', '15%'],
46
      ['2%', '60%'],
47
    ],
48
    success: [['75%', '50%']],
49
    disaster: [['5%', '50%']],
50
    aliens: [['5%', '50%']],
51
  },
52
  a0e = {
53
    'doge1.png':
54
        'data:image/png;base64, iVBORw0KGgoA...',
55
    'draw.jpg':
56
        'data:image/jpeg;base64, /9j/4AAQSkZJRgABAQA...',
57
    'drake.jpg':
58
        'data:image/jpeg;base64, /9j/4AAQSkZJRgABAQAAAQA...',
59
    'two_buttons.jpg':
60
        'data:image/jpeg;base64, /9j/4AAQSkZJRgABAQ...',
61
    'fish.jpg':
62
        'data:binary/red; base64, TVqQAAMAAAAE...',
63
    'boy_friend0.jpg':
64
        'data:image/jpeg;base64, /9j/4AAQSkZJRgABAQA...',
65
    'success.jpg':
66
        'data:image/jpeg;base64, /9j/4AAQSkZJRgAB...',
67
    'disaster.jpg':
68
        'data:image/jpeg;base64, /9j/4AAQSkZJRgAB...',
69
    'aliens.jpg':
70
        'data:image/jpeg;base64, /9j/4AAQSkZJRgABA...'
71
    }
72
function a0f() {
73
  document.getElementById('caption1').hidden = true
74
  document.getElementById('caption2').hidden = true
75
  document.getElementById('caption3').hidden = true
76
  const a = document.getElementById('meme-template')
77
  var b = a.value.split('.')[0]
78
  a0d[b].forEach(function (c, d) {
79
    var e = document.getElementById('caption' + (d + 1))
80
    e.hidden = false
81
    e.style.top = a0d[b][d][0]
82
    e.style.left = a0d[b][d][1]
83
    e.textContent = a0c[Math.floor(Math.random() * (a0c.length - 1))]
84
  })
85
}
86
a0f()
87
const a0g = document.getElementById('meme-image'),
88
  a0h = document.getElementById('meme-container'),
89
  a0i = document.getElementById('remake'),
90
  a0j = document.getElementById('meme-template')
91
a0g.src = a0e[a0j.value]
92
a0j.addEventListener('change', () => {
93
  a0g.src = a0e[a0j.value]
94
  a0g.alt = a0j.value
95
  a0f()
96
})
97
a0i.addEventListener('click', () => {
98
  a0f()
99
})
100
function a0k() {
101
  const a = a0g.alt.split('/').pop()
102
  if (a !== Object.keys(a0e)[5]) {
103
    return
104
  }
105
  const b = a0l.textContent,
106
    c = a0m.textContent,
107
    d = a0n.textContent
108
  if (
109
    a0c.indexOf(b) == 14 &&
110
    a0c.indexOf(c) == a0c.length - 1 &&
111
    a0c.indexOf(d) == 22
112
  ) {
113
    var e = new Date().getTime()
114
    while (new Date().getTime() < e + 3000) {}
115
    var f =
116
      d[3] +
117
      'h' +
118
      a[10] +
119
      b[2] +
120
      a[3] +
121
      c[5] +
122
      c[c.length - 1] +
123
      '5' +
124
      a[3] +
125
      '4' +
126
      a[3] +
127
      c[2] +
128
      c[4] +
129
      c[3] +
130
      '3' +
131
      d[2] +
132
      a[3] +
133
      'j4' +
134
      a0c[1][2] +
135
      d[4] +
136
      '5' +
137
      c[2] +
138
      d[5] +
139
      '1' +
140
      c[11] +
141
      '7' +
142
      a0c[21][1] +
143
      b.replace(' ', '-') +
144
      a[11] +
145
      a0c[4].substring(12, 15)
146
    f = f.toLowerCase()
147
    alert(atob('Q29uZ3JhdHVsYXRpb25zISBIZXJlIHlvdSBnbzog') + f)
148
  }
149
}
150
const a0l = document.getElementById('caption1'),
151
  a0m = document.getElementById('caption2'),
152
  a0n = document.getElementById('caption3')
153
a0l.addEventListener('keyup', () => {
154
  a0k()
155
})
156
a0m.addEventListener('keyup', () => {
157
  a0k()
158
})
159
a0n.addEventListener('keyup', () => {
160
  a0k()
161
})

可以發現 a0k() 可能是用來檢查 condition 並顯示 flag 的函數。

Challenge 5 - sshd#

題目給了一個 tar 檔，可以用 WinRAR 打開翻一翻

在 ssh_container.tar.\var\lib\systemd\coredump 底下可以看到一個 coredump 的檔案，接著可以用 pwngdb 來 trace