R0-Crew Crackme Contest-2016.1

[ximera]

Всем привет. Наш форум решил провести небольшой конкурс формата Crackme, это
будет неплохая разминка для профессионалов, и возможность получить новые
навыки для новичков. К тому же победитель получит приятный приз.

Условия конкурса:

• конкурс продлится до 10 апреля 2016 года(победитель будет объявлен 10 апреля).
• первый кто справится с заданием получает денежный приз(300$)
• в теме запрещается обсуждать алгоритмы решения и любые вопросы которые могут помочь в решении задания(до конца конкурса)
• за подсказки и выдачу готового решения участник дискфалифицируется
• свое решение нужно отправить на support@reverse4you.org
• в случае если в указаный срок никто не решит задание, оргкоммитет оставляет за собой право продлить конкурс
• при участии в конкурсе, участник дает право на обработку своих данных(ник, e-mail)

В теме также будет происходить трансляция хода конкурса.

Дано:

1. Есть crackme.exe и папка key (смотри аттач).
2. В папке key лежат ключи.
3. Для работы с ключами генерируется таблица OffsetsTable.dat. По ней вычисляются преобразования значений из файла ключей в выводимые значения.
4. crackme.exe берет ключ из папки key и выводит серийный код.

Пример:

> crackme.exe 1.key
> 0xACEF409D 0x20C982CB 0x06431BA0 0x1A23D15E

> crackme.exe 2.key
> 0x276D6FF0 0xD81DD630 0x930F8029 0xA547795B

> crackme.exe 3.key
> 0xD896451D 0xAA74CAEF 0xE336D60E 0x6949FAF4

Требования:

1. Описать алгоритм генерации OffsetsTable.dat.

2. Cоставить несколько key-файлов, которые совпадали бы с со следующими серийными ключами:

> crackme.exe you_gen_1.key
> 0xC0F1FFB5 0x4B88A70F 0x4EE43501 0x293FC391

> crackme.exe you_gen_2.key
> 0x0B9C7FA0 0x26A5320D 0x3324DD06 0xAF86D32D

> crackme.exe you_gen_3.key
> 0x0B954292 0xDBFAD424 0x48BE6F55 0xAC6FB8C2

Формат key файла: |Version|Random|Secret|

• Version - DWORD
• Random - DWORD
• Secret - 4 DWORDs

3. Написать keygen и предоставить его исходники

К концу назначенной даты высылайте то, с чем смогли разобраться. Тот кто выполнит больше всего требований станет победителем.

crackme.7z
MD5: f4f0c08598b263bc72673f79d3cbf41f
pass: crackme

[insolor]

Может и ничего страшного, но MD5 не совпадает. Total Commander и fciv от microsoft показывают 54c72345f0db042c97d044e17814e114.

[Darwin]

Это MD5 на EXE-файл внутри архива.

[gavz]

Чет я не тукнул причем тут .key файл , если OffsetsTable.dat от него не зависит?
-- Программа - создает файл формата .key -> Запускал на win 8.1_x64 and win 7_x86 ключи не создались , менял один байт в файле 1.key и все равно OffsetsTable.dat создается такой же и еще OffsetsTable.dat файл создается на обеих машинах одинаковый т.е. можно сразу по адресу в памяти сдампить 0x01000004 байт и все.

[insolor]

Это MD5 на EXE-файл внутри архива.

Тогда ок. Просто, когда выкладывают архив, обычно пишут контрольную сумму архива, поэтому я и не понял, что от exe нужно сумму считать)

[Darwin]

Чет я не тукнул причем тут .key файл , если OffsetsTable.dat от него не зависит?
-- Программа - создает файл формата .key -> Запускал на win 8.1_x64 and win 7_x86 ключи не создались , менял один байт в файле 1.key и все равно OffsetsTable.dat создается такой же и еще OffsetsTable.dat файл создается на обеих машинах одинаковый т.е. можно сразу по адресу в памяти сдампить 0x01000004 байт и все.

Я поправил задание. Перечитай, так должно быть яснее.

[xman]

А третья задача, это по серийному номеру сгенерить key-файл?

[Darwin]

По любым серийным номерам, генерировать правильные key-файлы.

[Rain]

Правильные решения уже есть?

[ximera]

Доброго времени суток. Конкурс окончен, но результаты будут оглашены немного позже, поскольку определить победителя не столь просто, и нам на это нужно немного времени.

Приносим свои извинения за задержку с оглашением результатов.

[OKOB]

раз так, то можно постить свои решения не принявшие участие в конкурсе??

[ximera]

раз так, то можно постить свои решения не принявшие участие в конкурсе??

Да, без проблем можеште постить.

[OKOB]

Архив: r0_kg.zip
Пароль на архив: 1qazxsw2
Содержимое архива:
key/
keygen.cpp 8020428efd21abf6b08346cc7d30ced4
keygen.exe c75fee5210f5e39690603a91872ab779
TABLE.BIN 96aeb3481ced3c90e21b31f08c438543

в каталоге key сгенерированные ключи согласно условий контеста (101, 102, 103)

C:\r0>crackme.exe 101
0xC0F1FFB5 0x4B88A70F 0x4EE43501 0x293FC391

C:\r0>crackme.exe 102
0x0B9C7FA0 0x26A5320D 0x3324DD06 0xAF86D32D

C:\r0>crackme.exe 103
0x0B954292 0xDBFAD424 0x48BE6F55 0xAC6FB8C2

Сорь, были траблы с паролем, перезалил. Сенк sysenter.

[ximera]

Доброго времени суток, это свершилось... оргкомитет определился с победителями конкурса.

Первое место и главные денежный приз получает товарищ FeS.
Второй денежный приз за самый быстрое решение получает товарищ REU.

Поздравляем победителей конкурса, и желаем успехов в дальнейших соревнованиях.

[REU]

Наконец-то...

[OKOB]

Насяльника, не полусяеся:

Code:

IF ((Условия конкурса: первый кто справится с заданием получает денежный приз(300$)) &&
    (самый быстрое решение ... товарищ REU (стилистика автора))) THEN
     Первое место и главные денежный приз получает товарищ FeS;
ELSE
     Второй денежный приз получает товарищ REU;

[REU]

Мое решение.

Кейген:

HIDE

---

Code: Python

#!/usr/bin/env python2

from struct import pack





class Keygen:

    def __init__(self):

        self.version = 1

        self.random = 0x60

        self.v0 = 0

        self.v1 = 0

        self.v2 = 0

        self.v3 = 0



        self.t0 = []

        self.t1 = []

        self.d0 = 0



    def set_random(self, rnd):

        self.random = rnd



    def set_vectors(self, v0, v1, v2, v3):

        self.v0 = v0

        self.v1 = v1

        self.v2 = v2

        self.v3 = v3



    def generate_tables(self):

        ptr0 = []

        ptr1 = []

        n = 0x00010DCD

        m = 1

        for i in xrange(16):

            ptr0.append(n)

            ptr1.append(m)

            m = (m * (n + 1)) & 0xFFFFFFFF

            n = (n * n) & 0xFFFFFFFF



        d1 = n >> 16

        self.d0 = m >> 16



        n = 1

        m = 0

        for i in xrange(16):

            n = (ptr0[i] * n) & 0xFFFFFFFF

            m = (ptr0[i] * m + ptr1[i]) & 0xFFFFFFFF



        d11 = (-d1 << 16) & 0xFFFFFFFF

        d11 = (d11 * n + n) & 0xFFFFFFFF

        d00 = (m * d1 + self.d0) & 0xFFFFFFFF

        d00 = (-d00 << 16) & 0xFFFFFFFF

        d00 = (d00 + m) & 0xFFFFFFFF



        for i in xrange(0xFFFF):

            n = 1

            m = 0

            for j in xrange(16):

                if (i >> j) & 1:

                    n = (ptr0[j] * n) & 0xFFFFFFFF

                    m = (ptr0[j] * m + ptr1[j]) & 0xFFFFFFFF

            self.t0.append(m)

            self.t1.append(n)



    def encrypt_vector(self, value, low_start=0):

        for i in xrange(low_start, 0xFFFF):

            if self.t0[i] & 0xFFFF == value & 0xFFFF:

                n = (value - self.t0[i]) & 0xFFFFFFFF

                l = i

                break

        else:

            raise Exception('Can\'t find correct value [low] (%x)' % value)



        n >>= 16

        for i in xrange(0xFFFF):

            if (self.d0 * self.t1[l] * i) & 0xFFFF == n:

                h = i

                break

        else:

            raise Exception('Can\'t find correct value [high] (%x)' % value)



        return (h << 16) | l



    def encrypt_vectors(self):

        self.v0 = self.encrypt_vector(self.v0)

        self.v1 = self.encrypt_vector(self.v1)

        self.v2 = self.encrypt_vector(self.v2)

        self.v3 = self.encrypt_vector(self.v3)



    def create_key_file(self, fname):

        with open(fname, 'wb') as f:

            f.write(pack('<I', self.version))

            f.write(pack('<I', self.random))

            f.write(pack('<I', self.v0))

            f.write(pack('<I', self.v1))

            f.write(pack('<I', self.v2))

            f.write(pack('<I', self.v3))





def main(key_fname, v0, v1, v2, v3):

    try:

        v0 = int(v0, 16)

        v1 = int(v1, 16)

        v2 = int(v2, 16)

        v3 = int(v3, 16)

    except Exception, e:

        raise e



    k = Keygen()

    k.set_vectors(v0, v1, v2, v3)

    k.generate_tables()

    k.encrypt_vectors()

    k.create_key_file(key_fname)



if __name__ == '__main__':

    import sys

    import os



    args = sys.argv



    if len(args) != 6:

        print 'Usage: %s <key file> <value 1> <value 1> <value 1> <value 1>\n' \

            'Example: %s my.key 0x11111111 0x22222222 0x33333333 0x44444444' % (args[0], args[0])

    else:

        key_fname = os.path.abspath(args[1])

        main(key_fname, args[2], args[3], args[4], args[5])

Генерация таблицы офсетов:

HIDE

---

Code: Python

#!/usr/bin/env python2

from struct import pack





class OffsetsTable:

    def __init__(self, fname):

        self.seed = 0

        self.fname = fname



    def rand(self, n):

        self.seed = (self.seed * 0x10DCD + 1) & 0xFFFFFFFF

        return ((n * self.seed) >> 32) & 0xFFFFFFFF



    def generate_offsets_table(self):

        rand_table_counts = [0, 0, 0]



        with open(self.fname, 'wb') as f:

            f.write('\0' * 4)

            for i in xrange(1, 0x400001):

                if i & 0x3fff == 0:

                    print i >> 0xe

                for j in xrange(0x400):

                    rand_table_counts[self.rand(3)] += 1



                n = i * 0x400 / 3

                x = (rand_table_counts[0] - n) & 0xFFFF

                f.write(pack('<H', x))

                y = (rand_table_counts[1] - n) & 0xFFFF

                f.write(pack('<H', y))





def main(fname):

    o = OffsetsTable(fname)

    print 'Please wait, it will take a few minutes ...'

    o.generate_offsets_table()

    print 'Generated'



if __name__ == '__main__':

    import sys

    import os



    args = sys.argv



    if len(args) != 2:

        print 'Usage: %s <offsets table file>' % args[0]

    else:

        key_fname = os.path.abspath(args[1])

        main(key_fname)

[FeS]

Мое решение.

HIDE

---

Code: Python

# Solution for  R0-Crew Crackme Contest-2016.1

# by FeS

import sys, struct

from random import randint



def print_list(l, cnt=0):

    res = ""

    n = cnt

    if len(l) > cnt:

        n = len(l)

    for i in range(n):

        res += "    %08X " % l[i]

    print(res)



# Functions mul32 = A * B

def mul32(a, b):

    return (a * b) & 0xFFFFFFFF



# Extended Euclidean algorithm

def xgcd(x,y):

    a0=1; b0=0

    a1=0; b1=1

    if x<0:

    	x *= -1

    	a0 = -1

    if y<0:

    	y *= -1

    	b1 = -1

    if x<y:

    	x,y,a0,b0,a1,b1 = y,x,a1,b1,a0,b0

    while 1:

    	times = x/y

    	x -= times*y

    	a0 -= times*a1

    	b0 -= times*b1

    	if x==0:

    		break

    	x,y,a0,b0,a1,b1 = y,x,a1,b1,a0,b0

    return [y,a1,b1]



# Find multiplicative inverse

def invmod(x,p):

	[gcd,a,b] = xgcd(x,p)

	if gcd != 1:

		raise ValueError

	if a<0:

		a += p;

	return a



# found the key

K = [0] * 4



# hex values from command line

res = [0] * 4



# MAIN

USAGE = "Usage: crackme_solution.py X1 X2 X3 X4 filename_key\n" +\

"\tX1..4 - hex values in the format 0x1234ABCD\n" +\

"\tfilename_key - write key file"



# read input arguments

argsCount = len(sys.argv)

if argsCount < 6:

	print USAGE

	sys.exit(1)



for i in range(1, 5):

    numsz = sys.argv[i]

    if numsz[:2] != "0x":

        print("[-] ERR. Invalid format in hex value")

        sys.exit(2)

    res[i-1] = int(numsz[2:], 16)



filename = sys.argv[5]



print("[+] Starting. Values for the key")

print_list(res)

# prepare for const (00407568)

# assignment:

# CODE:00404C06   shr     esi, 10h

# CODE:00404C09   mov     ds:end_esi, esi

ebx = 0x10DCD

esi = 1

for i in range(16):

    esi = (esi * (ebx + 1)) & 0xFFFFFFFF

    ebx = (ebx * ebx) & 0xFFFFFFFF

end_esi = esi >> 16



# module N

p = (1<<32)

# calculate multiplicative inverse

end_esi_inv = invmod(end_esi, p)



#vector_MT (The Mersenne Twister init array)

state = [0]*65536

for i in range(1,65536):

    state[i] = ((0x10DCD * state[i-1]) + 1) & 0xFFFFFFFF



# Generate hex value

# A = Ki & FFFF0000

# A' = A * end_esi

# B = Ki & 0000FFFF

# Value = A' * state_not_1[B] + state[B]



# Solution

# B (low_index) = Value & 0000FFFF

# delta = (state[B+1] - state[B])

# Search in i=0..FFFF -> hi_index = delta * (i << 16) + state[B]

# A = A' * end_esi_inv = (hi_index << 16) * end_esi_inv

# Key = A | low_index



for val in range(len(res)):

    search = res[val]

    low_index = 0

    hi_index = 0

    delta = 0

    for i in range(65536):

        if (state[i] & 0xFFFF) == (search & 0xFFFF):

            low_index = i



    if low_index > 0:

        delta = (state[(low_index + 1) & 0xFFFF] - state[low_index]) & 0xFFFFFFFF



    for i in range(65536):

        k = (mul32(i << 16, delta) + state[low_index]) & 0xFFFFFFFF

        if k == search:

            hi_index = i

            break



    A = mul32(hi_index << 16, end_esi_inv)

    K[val] = A | low_index



print("[+] Found keys")

print_list(K)



# Write the solution in key file

txt = struct.pack("<L", 1)

txt += struct.pack("<L", randint(0,1000000))

for i in range(len(K)):

    txt += struct.pack("<L", K[i])



open(filename, "wb").write(txt)

И writeup
writeup.zip