碎碎念
刚进黑灯模式就出了flag,看到还是 0 解题以为可以拿全场唯一解光荣退役了,结果平台的flag配置是烂的,以为 0 解的原因是平台烂直接找运维对线,拉扯了一个小时左右赛后说 pwsh 需要人工验证flag以为其实大家都会做只是没交上,第二天起床一看还真是一血全场只有 2 解。也算光荣退役了?
但是比赛结果一般,打ctf不如闲鱼买flag,整场比赛充斥着国粹这种脑瘫题,不过打不过闲鱼哥还是我太菜了。
Writeups
初步分析
题目备份:https://small.fileditch.ch/s3/ssQpUZIxaIRvkfVeChBp.ps1
一个powershell脚本,先base64后解密再执行,先上手解密base64串
1
2
with open ( "p4.ps1" , "w" ) as f :
f . write ( base64 . b64decode ( code ) . decode ())
1
2
3
4
$M = @ { 129693309641433576095262078804193086780 = '(New-ObJecT sysTEm.Io.COMpResSIoN.DEflATesTReAm( [SyStEM.iO.meMORYsTreaM] [sYSTEm.CoNVErT]::FRoMbASe64StrIng( "1VhNaxxHED3Xv+iDYXZBWuwEArHJwQYTy8gS2CKHiCUHIX/koDiKyMXWf89G8s7Ux6ue7hpN7zqBZKa7qvrVq1fVs+rSt3/o7j/0/wNtH+5eaLt7/ySWktmmbThuTP06bfe1pY0grNUi9fY6tPHOBLYnkec17FuLnpHEY2RyVgsqS5T0kLM+yiyA4CTXSa3yOoO4EoWLS+U6mjtxF2K75DKYVx5LkgBWtpCjUBYE+GdMvFpoCXFswiShhd3ABXQR9mqKxxdje1RGgPmqqWXTICCR7fTEbe1HV7FJv+2yAUYpYq2Pjj....'
$t = Read-Host -Prompt "Enter your flag" ;
[ System.Collections.Queue ] $tt =([ byte[]][char[] ] $t |%{ $_ -shr 4 ; $_ % 16 });
iex ( $M [ 129693309641433576095262078804193086780 ])
M太长了这里就不放了,可以看到M是一个字典,对应的是混淆过的powershell脚本,每个key(一串数字)分别对应了一段混淆过的powershell的脚本,尝试解混淆。
混淆分析
混淆方式类似如下,这里给出几个样本:
1
2
3
4
5
6
7
( New-ObJecT sysTEm . Io . COMpResSIoN . DEflATesTReAm ( [ SyStEM.iO.meMORYsTreaM] [sYSTEm.CoNVErT ]:: FRoMbASe64StrIng ( "....." ) ,[ SYSTeM.io.COMpRESSIoN.COmPressiOnmODe ]:: dECoMprEss ) | FoREaCH-objEct { New-ObJecT sySTem . Io . StReamreAder ( $_ , [ TexT.enCOdING ]:: ascII ) }| FOrEacH-obJECt { $_ . REAdtoend ( )} )|. ( $sHElLId [ 1 ]+ $Shellid [ 13 ]+ "X" );
&( $SHEllID [ 1 ]+ $SHEllid [ 13 ]+ "X" ) ( nEw-obJEcT System . io . STREAMrEADeR (( nEw-obJEcT IO . cOMPreSsiOn . deFLaTeSTreAm ([ system.io.MeMoRYStReam][sYsTem.COnVERt ]:: fROMBAsE64sTRiNG ( " ..." ) ,
[ sYsTEm.io.COmPREsSIoN.coMpRessionmoDE ]:: deComPResS )|% { nEw-objEcT iO . StREamREAdEr ( $_ ,[ TExt.EncOdING ]:: asCii )}|%{ $_ . ReadtoeND ( ) })|& ( $EnV:cOMspEc [ 4 , 15 , 25 ] -joiN "" );
( New-OBjecT system . iO . STreAmReAdeR (( New-OBjecT SYstEM . IO . cOMprESsion . DeFlATeStrEAm ( [ io.meMOrySTReAm][cONVert ]:: FrOmBASE64sTrInG ( "..." ),[ SysTEm.IO.coMPreSsIon.coMpreSsIonMODE ]:: decOmPress )),[ sYsTeM.TEXT.ENcOdiNg ]:: aSciI ) ). REAdtoeND ()| .( $pShOmE [ 21 ]+ $pShoME [ 34 ]+ "x" );
可以归纳为以下的模式:
iex的变种 (混淆过的字符串和对应的解密代码)混淆过的字符串和对应的解密代码 | iex的变种
其中 iex 是 powershell 的一个 cmdlet 指令,全名 Invoke-Expression ,作用是执行表达式(类似eval())。
在上面的例子中,混淆过的字符串和对应的解密代码都是base64和压缩,但在嵌套的更深层次的混淆中,存在很多种加密或编码方式。
而iex的变种是如下几种:
1
2
3
( $SHEllID[1]+$SHEllid[13]+"X")
( $EnV:cOMspEc[4,15,25]-joiN"")
.( $pShOmE[21]+$pShoME[34]+"x")
在嵌套的更深层次的混淆中同样存在非常多种iex的变种,这里只是其中几种。
(除此之外还有随机大小写混淆但是不关注)
静态解混淆尝试
一个直观的思路是去掉代码中的iex变种变成字符串解密操作,直接运行得到解密后的代码。但是混淆后的代码多达1000+个,每个都有5~6层混淆嵌套,手动非常的不现实。
本来想当正则大师解决,但是iex变种有20+种难以收集,且存在混淆,执行方式也不一样。
另外这里有个对本题没有帮助的仓库。https://github.com/pan-unit42/public_tools/tree/master/powershellprofiler
动态解混淆
很明显我们的目的是找到一种自动化解混淆的方式。如果我们不考虑静态分析,而是考虑 Hook Powershell里的iex函数,让它每次被调用的时候都改为输出参数的值然后直接运行脚本呢?
查一查可以找到在Powershell中命令默认的调用顺序:
Alias
Function
Cmdlet
本机 Windows 命令
Powershell 会按照上面的顺序寻找,并且调用第一个被寻找到的方法
可以发现,对 Function 的调用优先于 Cmdlet。也就是说如果我们定义一个名为Invoke-Expression的函数,在iex被调用时将会调用我们的自定义函数而不是iex。
编写如下函数重载iex.
1
function Invoke-Expression{$input|%{$_;};$args|%{$_ ;}};
作用是将input(用于管道执行方法)或args(用于调用执行方法)直接输出。
现在我们可以自动化解混淆,请一个 python 大师来完成。
注意到代码中包含一些干扰直接执行的代码比如while($true){echo Warning!};和(sleep 10000);会导致程序卡死,但是情况不多(就这两种)特判一下即可。
Script by Timlzh
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
import subprocess
from threading import Thread
from json import loads , dumps
with open ( 'hash.json' , 'r' ) as f :
hash_dict = eval ( f . read ())
redir = "function Invoke-Expression{$input|%{$_;};$args|%{$_;}};"
cmd = 'powershell.exe'
result = {}
cnt = 0
def exp ( line ):
try :
script = redir + line . strip ( ' \n ' ) + ' \n '
p = subprocess . Popen ( cmd , shell = True , stdin = subprocess . PIPE , stdout = subprocess . PIPE )
out , err = p . communicate ( script . encode ( 'utf-8' ))
res = out . split ( b ' \n ' )[ 6 ] . strip () . decode ( 'gbk' )
if ( 'while' in res or 'sleep' in res ):
return res
if ( res == '' or 'F: \\ CNSS>' in res or '无法将' in res or '无效的' in res or '然后' in res or '不能' in res ):
raise Exception ( 'error' )
return exp ( res )
except Exception as e :
return line
def run ( key , cnt ):
result [ key ] = []
for x , line in enumerate ( hash_dict [ key ] . split ( ';' )):
print ( cnt , x )
result [ key ] . append ( exp ( line ))
t = []
for key in hash_dict . keys ():
t . append ( Thread ( target = run , args = ( key , cnt ,)))
t [ - 1 ] . start ()
cnt += 1
if cnt % 10 == 0 :
for x in t :
x . join ()
t = []
print ( cnt )
with open ( 'result.json' , 'w' ) as f :
f . write ( dumps ( result ))
好羡慕你们坚实的代码基础啊
逻辑分析
在反混淆后的对应代码中,大部分都是恶意代码,但是可以发现如下形式的代码:
1
iex ( $M [ @ ( 103029045898495106128140488393279490731 , 283962955136589324103060025895380071615 , 100347917729209686340069745617547349730 , 238405316955808243927606563710399446649 , 218698919069890324731296928086576483285 , 13940646367990748425698245588557690704 , 233558059221060425999304675733838234320 , 129692624346663502335241542240082220070 , 35082001525670982399453018046361223701 , 328520292299326032765832843219896353365 , 22937617477989053507015679147587112829 , 83375175731001160297499272972594268643 , 181113447597478873176042023659491087625 , 133078815375884196401153883379379993112 , 222768486184364264889018742183865405471 , 180102119900859063039430119683397492538 )[ $tt . Dequeue ()]]);
结合之前对输入的处理:
1
2
[ System.Collections.Queue ] $tt =([ byte[]][char[] ] $t |%{ $_ -shr 4 ; $_ % 16 });
iex ( $M [ 129693309641433576095262078804193086780 ])
不难发现就是把flag每一位按照高四位和低四位拆开作为每次跳转的索引,恢复出每个key对应的跳转目标找到跳转路径即可。
可以发现93920216895015486878992607137045760151对应的代码是输出Congratulations! you get the correct flag字符串,程序的入口是129693309641433576095262078804193086780,反向寻找路径并组合。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
import json
with open ( "result.json" , "r" ) as f :
dic = json . load ( f )
now = dict ()
for key in dic :
for x in dic [ key ]:
if "$tt.Dequeue()" in x :
now [ key ] = x [ 9 : - 19 ] . split ( "," )
start = '93920216895015486878992607137045760151'
fin = '129693309641433576095262078804193086780'
flag = []
while start != fin :
for key in now . keys ():
if start in now [ key ]:
for i in range ( len ( now [ key ])):
if now [ key ][ i ] == start :
flag . append ( i )
break
start = key
break
print ( flag )
i = len ( flag ) - 1
while i >= 0 :
c = ( flag [ i ] << 4 ) + flag [ i - 1 ]
print ( chr ( c ), end = "" )
i -= 2
总结
虽然看起来是狗屎但是其实做起来还好(如果有思路的话),但是这平台是烂的我不好说。
Shino