on
NCG Writeup ~ MalwareNinja CTF
Selamlar, bu yazımda MalwareNinja CTF’inde “cringe” kategorisinde yayınlanan NCG adlı sorunun çözümünü yazacağım. Önceki yazı ile birleşik olmamasının sebebi soruların ben önceki writeup’ı yazdıktan sonra açılmış olması ::( (Soru yarışma sırasında patchlendi bir sebep yüzünden. Patchlenmiş soruya yazılmış bir writeup’tır.)
Göz Gezdirelim
Soruyu indirdiğimiz zaman gelen tek şey bir .exe dosyası hemen DIE atarak analiz edelim.
(Sorunun patchlenmemiş halinde normalde direkt pyInstaller ile packlenmiş şekilde geliyordu.)
Yupiii .NET geldi hemen dnSpy…
Dosyanın entry point noktasına gittikten sonra programda gömülü olan resources’lar içerisinde bazı xor decrypt işlemleri yapıldığını görüyoruz. Bu işlemden sonra bir byte array’e atılıp Assembly.Load kullanılarak bir assembly’e dönüştürülüyor ve export edilmiş type‘lar alınıyor. Tam olarak burası, çıkan resources’ın .dll dosyası olduğunu belirtir.
Yapmamız gereken şey belli. İçerden çıkan .dll dosyasını analiz edebilmek için çalıştırma aşamasına bp atıp gelen array’i bellekten dump alacağız. Satıra bp atıp debug işlemini başlatıyorum.
Breakpoint kilitlendiği zaman Locals sekmesinden array değişkenini dump alıyoruz.
Kaydettiğimiz DLL Dosyası…
Şimdi dosyayı DIE atalım.
Bu da .NET :::):)):):):):):)
yapacağımız şey belli direkt dnSpy… Bu arada bir açıklama geçeyim her yazımda özellikle dnSpy kullanmamın sebebi aslında belli ama ben yine de söyleyeceğim dnSpy’ın harika bir araç olduğunun tekrardan altını çizmek istiyorum GitHub projesi arşivlendi ancak forkladığım projeden zaman buldukça geliştirmeye devam edeceğim…
Çalıştırdığı kısım burası. Yukarıda EXE’ye baktığımız kısma tekrar dönerseniz “GetExportedTypes()[0]” kullanılmıştı. Burdaki [0] indisi constructor’ı belirtiyor ve argüman olarak verilen “typeof(Program)” kısmı da programın entry point type’ını belirtiyor.
ilk başta “Asm” adlı değişkende argüman olarak gönderilen Type’ın assembly’sinin atandığını görüyoruz. Geçelim direkt sonraki satırlarda ne yaptığını görmek için kullandığı fonksiyonlarla birlikte kopyalayarak visual studio üzerinde oluşturduğum projede çalıştırıp debuglayacağım.
Herhangi bir decrypt işlemi yapmadığını da gördük. Yaptığı tek decrypt işlemi en baştaki xor işlemiydi o da geçtiğine göre artık resource dökümü alabiliriz.
İşimize yarayacak olan resource “hingepearl.dat” adlı olan. Save edelim dnSpy üzerinden ve DIE atalım.
Burayı kısa keseceğim. Gelen .dat dosyası direkt pyInstaller ile packlenmiş bir dosya bunun için pyinstxtractor kullanalım pyc dosyalarını alalım sonra da uncompyle6 kullanarak decompile edeceğiz.
decompiled.py olarak kaydettim. Gidip bakalım main noktasında ne oluyormuş?
Telegram kullanarak @kill_covid_r4t_bot botuna mesaj atalım ve flagi alalımm