2017看雪秋季赛 第二题

最新推荐文章于 2019-02-14 16:57:55 发布
最新推荐文章于 2019-02-14 16:57:55 发布
阅读量345 收藏
点赞数
分类专栏: CTF之旅 reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevin66654/article/details/78387101
版权

先贴一发官方题解


这个题很有意思:以漏洞利用的方式来做reverse。

整体思路是这样的:查找字符串,看到了“有用”的,单步跟踪。main中有三个函数分别是:50,90和E0。50是处理输入的,90是check1,E0是check2。check函数是4个方程,得出的是无解,所以必须找其他地方。在IDA查找,发现了413131的一堆乱码,50里面有缓冲区溢出的漏洞,可以控制EIP跳转到413131。里面是一堆看不懂的花指令,去花的思想很简单:只要找到对我们有用的就好,无用的跳转直接F8下一句就好了。


下面来解释细节。

看到main的几个call,401050是输入,401090和4010E0是check。单步调试发现算法如下:

def get(s):
    s = (s + 0x100000000) % 0x100000000
    return s

#if get(EAX * 5 + ECX) == 0x8F503A42
#if get(EAX * 0xD + EDX) == 0xEF503A42
#if get(EAX * 0x11 + ECX) == 0xF3A94883
#if get(EAX * 0x7 + EDX) == 0x33A94883

想当然的,觉得解方程组完毕就出结果。以为是个大暴力水题,但是用数学方法算算:第三个式子 - 第一个式子:左边是EAX * 12 + 0x100000000 * k == 一个奇数。这个方程组是无解的。自己做的时候,做到了这里,就开始乱试了。

因为做题的时候,默认了是8位。

只有7位时,前面是00

只有6位时,前面是7F00

只有5位时,前面是7FFD00

只有4位时,前面是7FFDE000

8-12位的时候,后面是忽略的。12位之后会报错,显然是有缓冲区溢出。


之后的,就是学到的东西。查看IDA,拖一拖汇编代码,会看到这一堆东西。

看401050的栈!


00413131,都是可以输入的字符啊。11A的三个字符。那么我们可以控制EIP到这儿来。前面12个任意字符,11A为13-15个字符,单步调试到这儿。一脸懵逼。为什么会有这种东西。

想到在IDA的那一堆乱码,估计是花指令。忽略它,直接单步,可以在EAX,EBX,ECX,EDX里面看到我们的输入。这里有个小技巧:输入的时候有点规律,比如abcdefghijkl11A。好处是,每个字符不一样,而且是有顺序的,在寄存器里很明显可以看得出来。

把这些有用的记下来,跟着运算。在判断的时候,在右侧的EAX,EBX的寄存器把值改成需要的值,继续单步(不然就跳转到错误了)

得到了三个等式,三元一次方程组。

'''
(A - B) * 4 + A + C = EAF917E2
(A - B) * 3 + A + C = E8F508C8
(A - B) * 3 + A - C = 0C0A3C68
'''
def hextonumber(x):
	#1234567890abcdef
	#1234567890ABCDEF
	if x>='0' and x<='9':
		return int(x)
	elif x>='A' and x<='F':
		return ord(x)-55
	else:
		return ord(x)-87

def hextoflag(s):
	#word='666c61677b7769656e65725f61747461636b5f61747461636b5f796f757d'
	#flag{wiener_attack_attack_you}
	flag = ''
	i = 0
	while (i<len(s)):
		flag += chr(hextonumber(s[i])*16+hextonumber(s[i+1]))
		i += 2
	return flag
	#return s[2:].decode('hex')

C = (0xE8F508C8 - 0x0C0A3C68) / 2
A = -3 * (0xEAF917E2 - C) + 2 * (0xE8F508C8 + 0x0C0A3C68)
B = A - (0x0C0A3C68 + C - A) / 3
print hex(A),hex(B),hex(C)
s1 = str(hex(A))[2:-1]
s2 = str(hex(B))[2:-1]
s3 = str(hex(C))[2:-1]
print s1,s2,s3
s = hextoflag(s1)[::-1] + hextoflag(s2)[::-1] + hextoflag(s3)[::-1]
print s
'''
A = 64636261
B = 68676665

FBFBFBFC = 64636261 - 68676665
EFEFEFF0 = FBFBFBFC * 4
54535251 = EFEFEFF0 + 64636261
C0BEBCBA = 54535251 + 6C6B6A69

004133E9 sub eax, 0xEAF917E2

(A - B) * 4 + A + C = EAF917E2
(A - B) * 3 + A + C = E8F508C8
(A - B) * 3 + A - C = 0C0A3C68

EAX D5C5A4D8
3A290739 = EAX + 64636261
D1C1A0D4 = EAX - 68676665
A38341A8 = D1C1A0D4 * 2
7544E27C = D1C1A0D4 + A38341A8
D9A844DD = 7544E27C + 64636261
4613AF46 = D9A844DD + 6C6B6A69

sub eax, 0xE8F508C8
'''

于是,得到了flag。


从题解里学习到了一个没见过的高级姿势。

sympy

一个数学工具,方便解方程组。其他的分析文章也有很多值得学习的地方。

贴个样例代码

from sympy import *
x = Symbol('x')
y = Symbol('y')
z = Symbol('z')
print (solve([x+y+z-3,x+y-z-1,x-y-z+1],[x,y,z]))

解多元方程组的tools

Flying_Fatty
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
看雪2017安全开发者峰会全部ppt
08-30
看雪2017安全开发者峰会ppt 1.Flash 之殇-漏洞之王 Flash Player的末路.pdf 2.浅析WEB安全编程11.15.pdf 3.业务安全的发展趋势及对抗思路.pdf 4.Windows 10新子系统新挑战.pdf 5.智能化的安全 设备&应用&ICS;.pdf 6....
看雪2017CTF第二解法
weixin_30947043的博客
06-30 200
1.前言 去年看了一下,两个Check函数验证RegCode,但是这两个校验是矛盾的。算了一下发现算不出,就放到一边没动过了。今天听朋友讲到溢出攻击,顿时想起了这个CrackMe,拿来练练手想来也是极好的。 2.试探 这里标注了一个全局验证变量,初始值为2,后面跟着两个Check函数,每通过一次校验,则把验证变量递减1,最后判断验证变量值是否为0,为0则通过两层验证,不为0则失败。但是...
看雪.Wifi万能钥匙 CTF 2017 第4分析linux double free及unlinking漏洞
小强的博客
09-01 1795
相关程序可以在这里下载:http://ctf.pediy.com/game-fight-34.htm 我是在ubuntu16 64位调试的 先说下知识点吧,简单的请参考我的上一篇文章:http://blog.csdn.net/qq_35519254/article/details/77532248 现在unlink函数加了个判断需要绕过: 即必须保证FD->bk = P
2017看雪秋季 第三
ACdream
10-31 572
看雪第三学习
看雪CTF2017秋季第五分析
inquisiter
01-20 1283
void __stdcall keygen(SomeArr *computed, const char *input) { signed int v2; // ebx int v3; // edi char v4; // al char *base18ed; // [esp+0h] [ebp-4h] signed int base18_len; // [esp+10h] [ebp
部编版湖心亭看雪复习及答案.doc
09-27
部编版湖心亭看雪复习及答案.doc
阿里移动安全和看雪主办的移动安全的第2AliCrackme-2.apk
10-12
阿里移动安全和看雪主办的移动安全的第2
12《湖心亭看雪》第2课时【课件】
11-19
12《湖心亭看雪》第2课时【课件】
湖心亭看雪中考试汇编.pdf
10-14
湖心亭看雪中考试汇编.pdf
gdb工具pwndbg与peda与gef
热门推荐
ACdream
02-07 1万+
在调试时有时候需要不同功能,在gdb下需要安装两个工具pwndbg和peda,可惜这两个不兼容 pwndbg在调试堆的数据结构时候很方便 peda在查找字符串等功能时方便 安装pwndbg: git clone https://github.com/pwndbg/pwndbg cd pwndbg ./setup.sh 安装peda: git clone https://git...
rot13加密解密
ACdream
02-15 7595
rot13加密解密小工具,python代码 def Upper(ch): if ch>='A' and ch<='Z': return True def Lower(ch): if ch>='a' and ch<='z': return True def rot13(s): flag = '' for i in s: if Upper(i) == True:
缓冲区溢出漏洞
ACdream
04-27 5463
这个也是很常见的一个漏洞,原理是在没有栈保护的时候(或者有Canary的值然后被我们泄露出来之后),我们可以覆盖掉栈帧的返回地址,然后控制函数流程,从而达到提权的目的。 以2017陕西省的比pwn_box为例进行调试 缓冲区溢出一般发生在字符串的读取,因为没有做边界上的检查,会导致读取的字符数量可能大于程序中申请的数量,导致栈溢出 截图中可以看到,Password的地方有个
LibcSearcher
ACdream
02-14 4275
来自github的CTF工具 https://github.com/lieanu/LibcSearcher https://github.com/niklasb/libc-database 做pwn时经常需要泄露libc中某些函数地址(如puts、write、gets等)来确定libc版本,然后根据版本和相对偏移计算system等函数地址,从而进行下一步 例:基本ROP - ret2l...
2017广东红帽杯pwn1_writeup:简单ROP
ACdream
05-09 4110
先来正能量一波:作为一个一直没入门pwn的小菜鸟,这一段时间一直被学弟按在地上摩擦很不爽很不爽~~~~~~~~ ------------------------------------------------------------------------------------ 先给出几个学习链接: 一步一步ROP:x86 一步一步ROP:x64 论文: Return-O
格式化字符串漏洞泄露StackCanary
ACdream
04-26 3015
2017陕西省的pwn_box这个作为调试的程序,gdb作为工具 先来熟悉原理,推荐几个pdf学习懂原理吧: Format String Exploitation-Tutorial By Saif El-Sherei Exploiting Format String Vulnerabilities  scut/team teso 看完这几个会对原理有深刻认识,然后如何操作呢? 戳我
2017WHCTF REVERSE babyRE
ACdream
10-07 2892
这个其实比较简单,考察点是GDB调试与逆向分析 拖入OD分析,main无法F5,于是查看汇编代码以及汇编流程图 查看逻辑,很明显字符串的长度为0x0E(14个字符),然后调用了judge函数,判断字符串合法性 然后发现,IDA解析不了judge函数,肯定是有某些绕过静态反汇编的手段,于是开始GDB 直接在scanf的地方下断,开始进入judge的判断单步 注意这里0x4
I春秋360_Reverse_登山_Writeup
ACdream
04-23 2761
这个的Hint:求二维矩阵左上往下走,可以向下,也可以向右下的最大值 (打过ACM的话,就知道是dp的数字三角形模型) IDA里静态分析,发现程序逻辑比较简单,先有一个init的初始化函数,然后就是对我们的输入进行check 分析init: 两个for循环得到了一个1014*1014的矩阵,根据我们的hint,这就是我们需要运算的矩阵,所以我们需要构造出矩阵 这儿有个my
CTFer弄好LINUX的pwn环境
ACdream
01-14 2753
前一阵时间把自己的LINUX虚拟机玩崩溃了,导致啥也干不了,镜像也没有留好,需要全部重新弄一遍。留下个记录来比较好。。。 A:下载个64位的ISO镜像 B:到根目录安装好git   cd ~ sudo apt-get install git C:配置vim成8.0(为了方便安装vim的各种IDE插件)   sudo add-apt-repository ppa:jonath...
攻防世界看雪看雪看雪
最新发布
09-13
攻防世界是一个面向网络安全爱好者的在线学习平台。它提供了各种关于网络攻防和安全技术的学习资源,例如CTF比、实验...可能你提到的攻防世界看雪看雪看雪与NTFS流隐写有关,但具体的相关内容需要进一步了解和研究。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值