CTF--2016XDCTF全国网络安全大赛之reverse5

最新推荐文章于 2024-02-02 16:13:37 发布
置顶 最新推荐文章于 2024-02-02 16:13:37 发布
阅读量6k 收藏 3
点赞数
分类专栏: 反汇编 二进制 逆向工程 技术文章 文章标签: 网络安全 逆向 二进制 base64 XDCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/microzone/article/details/61199358
版权

0x01 题目介绍


题目名称
    
reverse5

题目描述

File: reverse5.exe
Size: 121344 bytes
File Version: 1.0.0.1
Modified: Friday, September 30, 2016, 01:24:54
MD5: 01C16460135B1BA4BCA48E3AB0173A17
SHA1: 06ACD42197A5F52A9CCFEC0B12EE52F647B1E71D
CRC32: 1D3A0115





0x02 解题要点


运行程序显示,随便输入数字字符串点击按钮,没有任何提示。




IDA载入看看,等待分析完成,选中代码部分,键盘F5实现伪代码转化。


然后找到入口函数_WinMain@16



进入之后到了主函数入口,红色标记位置是内部系统main函数的真正入口。



下面的才是真正的函数入口,也就是我们用户经常开发编写的代码入口函数winmain函数。



下图是进入主函数之后的主要代码部分



进入之后发现有线程函数创建,注意此处标记。跟踪进去,看线程函数实体。


也就是线程函数部分,是主要的执行体。



跟踪进去,看线程函数实体。发现主要是反调试和一些干扰花指令

IsDebuggerPresent函数 https://msdn.microsoft.com/en-us/library/ms680345.aspx


花指令函数和无用的代码分支



然后继续往下分析代码,左侧为命令参数,右侧为对话框入口。

说明程序接收了外部的命令行参数,实现了数据的输入。




底部有对应的窗口函数创建,就是一开始我们双击之后的用户输入编辑框和确认检查按钮。


注意DialogFunc函数,是一个窗口回调函数,实现的是消息的实体循环处理部分。不太懂的


可以看windows的消息机制。



进入窗体处理,ID为1001的情况下进入这个分支。发现有关键函数。

获取文本内容函数GetWindowTextA,

https://msdn.microsoft.com/en-us/library/windows/desktop/ms633520(v=vs.85).aspx

和计算文本长度函数GetWindowTextLengthA。

https://msdn.microsoft.com/en-us/library/windows/desktop/ms633521(v=vs.85).aspx

同样的,也发现使用了数据设置和退出函数。

SetWindowText函数 https://msdn.microsoft.com/en-us/library/windows/desktop/ms633546(v=vs.85).aspx



进入窗体处理,ID为2的情况下进入这个处理。发现有用户自定义的内部函数




进入窗体处理查看初始化,发现1001和1002为句柄赋值关键函数。

那么这之间到底有什么关联吗?多个ID可能触发多个事件。




文中没有解释的相关函数读者可以自己查阅微软官方文档。

https://msdn.microsoft.com/en-us/library/windows/desktop/ff468925(v=vs.85).aspx

然后联系前面的代码中出现的ID事件,那么分析发现1001的ID事件是个花指令干扰,

因为无论你怎么填写数据到输入框,都不能计算正确。因为没有获取此事件进行处理,

也就是根本没有读取你的输入窗口数据。因为1001标记是程序的按钮。

而1002才是输入框标记。




那么根据前面的分析,那么我们抛弃1001的思路,进入1002,发现并没有处理1002的事件代码。

于是陷入了死循环。此时,我们注意我们的程序前面分析的执行流程,发现有个窗口之前,

命令行指令数据操作,于是跳转到此处。byte_41B3B0可疑之处。



跟踪到此处变量引用的地方,发现在事件处理结束后,有代码操作。事件ID为无符号整数2。





进入此处,发现有对用户命令输入参数的代码处理过程,于是推断此处才是真正的逆向分析的考点。


经过程分析,跟踪调试。



过程和算法为des,base64算法和xor异或算法.执行顺序

sub_401020((int)&byte_41B3B0, v5, (int)&v7)//base64运算

sub_402DB0(&v7, (int)&v18)

//xor异或运算

sub_4024F0((int)&v7, v26, &v9, (int)v16)//des算法运算sub_402E20(&unk_41B370, v16)

//结果判断比较






密文数据比较追踪,&unk_41B370为静态存储的密文, v16则为用户输入之后进行运算后的密文。


相等即可。整理后为





对密文进行逆向解码,因为是对称加密算法可以还原。代码自行编写:

1 sub_4024F0((int)&v7, v26, &v9, (int)v16)    //des算法运算

2 sub_402DB0(&v7, (int)&v18)        //xor异或运算

3 sub_401020((int)&byte_41B3B0, v5, (int)&v7)    //base64运算


结果输出为:


XDFLAG{this_1s_a_small_di8h_for_y0u_today!}


0x03 学习总结


此题目挖坑不少,选手必须清楚识别出干扰的花指令和冗余代码。

中间出现比较多的错误算法分支和事件消息处理。还有必须去除

反调试代码,方可减小阻力,实现快速解题。




5t4rk
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BMZCTF Reverse5
qq_26243045的博客
11-26 250
我们首先用winrar打开压缩包,发现了如下提示,估计是要自己创建一个破解压缩包的字典,通过对字母或数字进行base64加密,base85加密,base91加密,然后连接三种加密后的字符串,写在字典里,然后利用ARCHPR选择字典模式破解。 我们写了如下脚本: import base64 import base91 a='' b='' c='' d='' with open('zidian.txt', 'w') as f: for i in range(0,9999):
CTF-密码学-2017世安杯ReverseMe
mkb____的博客
04-19 292
CTF-密码学-2017世安杯ReverseMe 题目:无无无 题目大意:ReverseMe 解题思路:ReverseMe 题目附件: 通过代码得到文件: 用画图打开得到 flag{4f7548f93c7bef1dc6a0542cf04e796e} 这就好了呀… 具体算法(Python): import os with open('reverseMe','rb') as fp: data = fp.read() reverse = data[::-1] with open('f
BUUCTF-RE-reverse1
最新发布
qq_43235703的博客
02-02 3591
记录BUUCTF-RE-reverse1 下载文件到手,放进IDA直接查看字符串 看到this is the flag!关键字眼,双击跟进,调用查看伪代码 str2有点可疑 再看会伪代码有一处地方给出了一个if语句,意思是把o换成0,结合str2的内容可以得出flag 所以flag就是…flag{hell0_w0rld} ...
XDSEC 西电CTF练习题WriteUp
Banyan的博客
09-04 6949
XDSEC 西电CTF练习题WriteUp西电ctf练习题地址(http://moectf.xdsec.club)PPC1丶算术天才琪露洛(200)这题原意是要我们编程实现,但经过分析发现,每次输入9都会是正确的。。 ①题目说有99道题,那么输入99次就可以得到flag了。。 ②当然上面是笨方法,我们也可以写个脚本爆破。。#coding=utf-8 import socketdef cl
Reverse(五):攻防世界WP--2
weixin_44122225的博客
06-06 261
1.re1: 获得re1的可执行文件,为windows下的32wei可执行程序,在cmd控制台下到达该文件所在目录,使用strings命令查看字符串信息 观察所有输出的字符串,可以轻松找到flag 2.
ctf文件上传基本思路+例题
limenzzz的博客
04-12 3569
目录 简介 一句话木马 蚁剑 例题 总结思路 附言 简介 文件上传本质上就是将文件传输到服务器时没有做好检测和过滤,导致可上传恶意程序到服务器,从而获得后台权限来干点坏事。一般这个恶意脚本文件称为webshell,通过webshell我们可以查看服务器的目录结构或文件,以及来执行一些系统指令。小马和大马,简单来说,大马是多功能,危害大,体积大的木马,小马是隐蔽性强,体量小,更方便的小木马。一句话木马就属于小马,所以较易突破防护,而大马极易被过滤。 一句话木马 首先通过看一些题解和博.
CTF-REVERSE练习之逆向初探
bdfcfff77fa的博客
07-26 2286
逆向是指通过反汇编和调试等一些手段及工具,分析计算机程序的二进制可执行代码,从而获得程序的算法细节和实现原理的技术。不仅如此,逆向技能在信息安全面向的具体工作,如恶意代码分析、软件漏洞挖掘、移动安全以及对软件的破解方面发挥着巨大的作用。前面介绍过CTF的web真题,那今天我们从CTF中选择一个REVERSE题型来讲解。
CTF特训营》——Reverse逆向分析
PICACHU+++的博客
07-15 2109
一、常规逆向分析流程 1.API断点 API的定义:是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。 在获取文本输入时。对于窗口类程序获取文本方式主要通过GetWindowText和 ........................
CTF逆向Reverse入门推荐学习知识点总结面向新手小白
Sciurdae的博客
10-12 2183
ollydbg,简称OD已经蛮久没有更新了,而且OD主要支持32位的PE文件调试和分析;所以这里我比较推荐使用Xdbg,Xdbg经常更新,还有自动中文汉化。x64dbg顺便讲下简单使用:随便拖入一个可执行文件,这可以看到四个窗口;左上角的反汇编窗口,这里显示是我们要分析的程序的反汇编代码:截取一行讲解00007FFA5A3C076A | 55 | push rbp | 看这里!!!
CTF特训营》学习总结——Reverse:逆向分析概述
PICACHU+++的博客
05-29 6446
一、逆向分析的主要方法 逆向分析主要是将二进制机器码进行反汇编得到汇编代码,在汇编代码的基础上,进行功能分析。经过反编译生成的汇编代码中缺失了源代码中的符号、数据结构等信息 ............
CTF特训营】 Reverse篇 2.Reverse分析
ll14856lk的博客
12-28 1963
关键代码定位 1)API断点法 2)字符串检索法 快捷键 说明 Ctrl+F IDA中查找字符串 Alt+E 在Olldbg中查找主模块 3)辅助工具定位 常见加密算法识别 对数据进行变换的时候经常会使用一些加密算法,CTF逆向中常出现的加密算法包括base64,TEA,AES,RC4,MD5等 1)base64 2)TEA 3)AES(最常见,多次出现在CTF中) AES加密过程设计4种操作:字节替代(通过S盒完一个映射),行位移,列混淆,和密钥轮加。 ...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-web网络安全课程视频.zip
10-19
1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
Seccon-CTF-2016-cheer_msg
02-24
样本来自2016年的Seccon ctf的一道pwn题,该题目使用了alloca内存分配函数,该函数不同于一般堆上的内存分配,而是在栈上进行。题解:https://blog.csdn.net/A951860555/article/details/114011564
CTF - 第二届“陇剑杯”网络安全大赛线上赛部分write up
08-26
CTF - 第二届“陇剑杯”网络安全大赛线上赛部分write up
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
2023江苏省赛任务三CTF-Reverse
12-10
1.对RE1进行逆向分析,找出文件中的FLAG并提交;(8分) 2.对RE2进行逆向分析,找出文件中的FLAG并提交;(12分) 3.对RE3进行逆向分析,找出文件中的FLAG...5.对RE5进行逆向分析,找出文件中的FLAG并提交。(25分)
Google-CTF-2016-Stego.pcap数据包
10-08
Google-CTF-2016-Stego.pcap数据包
CTF网络安全大赛工具包集合
12-21
针对网络安全大赛的部分方向所需要的工具的集合
ctf网络安全大赛题库
09-04
CTF(Capture The Flag)网络安全大赛题库是一个用于培训和测试网络安全技能的平台,它包含了各种类型的题目,如逆向工程(Reverse)、Web安全、密码学(Crypto)、杂项(Misc)等。在这个题库中,你可以找到多种类型的题目,比如:【RE】:Reverse_Checkin、SimplePE、EzGame;【Web】:f12、ezrunner;【Crypto】:MD5、password、看我回旋踢、摩丝;【Misc】:爆爆爆爆、凯撒大帝的三个秘密、你才是职业选手等。其中,每个题目都有不同的难度和挑战,可以帮助参赛者提升网络安全技能和解决问题的能力。如果你想进一步了解这些题目,可以访问网络信息安全攻防学习平台hackinglab.cn,其中包含了更多的题目和学习资源。 <span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [长春理工大学第六届CTF网络攻防大赛题解(文末有题目下载链接)](https://blog.csdn.net/m0_64659074/article/details/123853255)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [网络信息安全攻防学习平台CTF练习-基础篇](https://blog.csdn.net/weixin_49349476/article/details/130601581)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值