NKCTF复现----REEZ

于 2024-04-14 12:44:44 发布
阅读量502 收藏 9
点赞数 15
分类专栏: 逆向刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2203_75549399/article/details/137740874
版权

1、首先查壳,64位ELF无壳程序:

2、拖入IDA分析一下

2、D810去混淆

发现有一些无用的for循环,应该是使用了ollvm,所以使用D-810处理一下,D810下载地址:

eshard / D810 · GitLab

所以咱们使用处理一下:Ctrl + Shift + T引用

首先从上面loaded一下ollvm.json,然后点击一下start会发现右边会变成绿色的loaded

然后咱们再看一下main函数,可以发现非常整洁,very nice好吧

前几个函数是使用RC4解密了一个ELF文件,所以我们在fclose之前给他动调截下来

我们发现在虚拟机里面,已经有了这个文件拿出来ida反编译一下

3、dump加密文件

可以看出来他是一个加密,翻到最后一个cmp对比,所以前面肯定是加密,所以咱们使用z3解一下,但是有些大佬是使用angr梭哈的,但是angr我还不会使用(太菜了),后面学习到了再来重温一下,目前就使用z3解一下

在这个文件中,有几个地方不好看,所以我重新给他处理了一下:

太乱了感觉,找不到循环条件(呜呜呜,我的代码功底太弱了)

v15=0

do{
	v16=v15=0
	v17=0

	do{
		v10=v17=0
		v11,v12,v13=0
		
		do{
			v3=dword_2010[5*v15+v12] * v45[5*v12+1+v17]
			v9=-105 * (39 * (2 * (v13 & v3) + (v13 ^ v3)) + 23) + 111
			v4=v12++ ==4
			v13=v9
			}
		while(!v4)

		*v11=v9
		v17++
		}

	while(v10!=4)
	v15++
	v14=0
}

while(v16!=4)

可以看到关键的加密就俩句

v3=dword_2010[5*v15+v12] * v45[5*v12+1+v17]
v9=-105 * (39 * (2 * (v13 & v3) + (v13 ^ v3)) + 23) + 111

所以就对这俩句放重点

这样可以使用python进行解了,下面还有一个异或得到值,所以异或一下就是密文

data1=[0x32, 0x44, 0xAA, 0x56, 0x63, 0x3D, 0x2B, 0x09, 0xCD, 0x34,
  0x99, 0x3C, 0x56, 0xB8, 0x99, 0xDE, 0x26, 0x1F, 0x7E, 0x0B,
  0x42, 0xC2, 0x1B, 0xEB, 0xF5]
data2=[0x44, 0x30, 0x5F, 0x79, 0x30, 0x75, 0x5F, 0x4C, 0x69, 0x6B,
  0x65, 0x5F, 0x57, 0x68, 0x61, 0x74, 0x5F, 0x59, 0x6F, 0x75,
  0x5F, 0x53, 0x65, 0x65, 0x3F]
enc=[0]*25
for i in range(len(data1)):
    enc[i]=data1[i]^data2[i]
print(enc)

4、z3求解

下面就是进行z3求解,求出代码:

data1=[0x32, 0x44, 0xAA, 0x56, 0x63, 0x3D, 0x2B, 0x09, 0xCD, 0x34,
  0x99, 0x3C, 0x56, 0xB8, 0x99, 0xDE, 0x26, 0x1F, 0x7E, 0x0B,
  0x42, 0xC2, 0x1B, 0xEB, 0xF5]
data2=[0x44, 0x30, 0x5F, 0x79, 0x30, 0x75, 0x5F, 0x4C, 0x69, 0x6B,
  0x65, 0x5F, 0x57, 0x68, 0x61, 0x74, 0x5F, 0x59, 0x6F, 0x75,
  0x5F, 0x53, 0x65, 0x65, 0x3F]
enc=[0]*25
for i in range(len(data1)):
    enc[i]=data1[i]^data2[i]
print(enc)

from z3 import *
x = Solver()
num=25
ans=[]
v20 = [BitVec(('%d' % i),8) for i in range(25)]
v45=v20[0]
v44=v20[1]
v43=v20[2]
v42=v20[3]
v41=v20[4]
v40=v20[5]
v39=v20[6]
v38=v20[7]
v37=v20[8]
v36=v20[9]
v35=v20[10]
v34=v20[11]
v33=v20[12]
v32=v20[13]
v31=v20[14]
v30=v20[15]
v29=v20[16]
v28=v20[17]
v27=v20[18]
v26=v20[19]
v25=v20[20]
v24=v20[21]
v23=v20[22]
v22=v20[23]
v21=v20[24]
v45 = -105* (39* (2* (v45 & (-105* (39* (2 * (v34 & (-105 * (39 * (2 * (v35 & 3) + (v35 ^ 3)) + 23) + 111))+ (v34 ^ (-105 * (39 * (2 * (v35 & 3) + (v35 ^ 3)) + 23) + 111)))+ 23)+ 111))+ (v45 ^ (-105* (39* (2 * (v34 & (-105 * (39 * (2 * (v35 & 3) + (v35 ^ 3)) + 23) + 111))
                        + (v34 ^ (-105 * (39 * (2 * (v35 & 3) + (v35 ^ 3)) + 23) + 111)))
                       + 23)
                      + 111)))
          + 23)+ 111
v44 = -105 * (39 * (2 * ((v32 ^ v31) & v44) + (v32 ^ v31 ^ v44)) + 23) + 111
v43 = -105* (39
       * (2 * (v43 & (-105 * (39 * (2 * (v31 & v30) + (v31 ^ v30)) + 23) + 111))
        + (v43 ^ (-105 * (39 * (2 * (v31 & v30) + (v31 ^ v30)) + 23) + 111)))
       + 23)+ 111
v42 = -105 * (39 * (2 * ((v28 ^ 0x17) & v42) + (v28 ^ 0x17 ^ v42)) + 23) + 111
v41 = -105* (39
       * (2
        * (v41 & (-105
                * (39
                 * (2 * (v25 & (-105 * (39 * (2 * (v36 & 0xFB) + (v36 ^ 0xFB)) + 23) + 111))
                  + (v25 ^ (-105 * (39 * (2 * (v36 & 0xFB) + (v36 ^ 0xFB)) + 23) + 111)))
                 + 23)
                + 111))
        + (v41 ^ (-105
                * (39
                 * (2 * (v25 & (-105 * (39 * (2 * (v36 & 0xFB) + (v36 ^ 0xFB)) + 23) + 111))
                  + (v25 ^ (-105 * (39 * (2 * (v36 & 0xFB) + (v36 ^ 0xFB)) + 23) + 111)))
                 + 23)
                + 111)))
       + 23)+ 111
v40 = -105 * (39 * (2 * (v40 & (~v22 + v24 + 1)) + (v40 ^ (~v22 + v24 + 1))) + 23) + 111
v39 = -105* (39
       * (2 * (v39 & (-105 * (39 * (2 * (v37 & v38) + (v37 ^ v38)) + 23) + 111))
        + (v39 ^ (-105 * (39 * (2 * (v37 & v38) + (v37 ^ v38)) + 23) + 111)))
       + 23)+ 111
v38 = -105* (39
       * (2 * (v38 & (-105 * (39 * (2 * ((~v25 + v22 + 1) & 0x11) + ((~v25 + v22 + 1) ^ 0x11)) + 23) + 111))
        + (v38 ^ (-105 * (39 * (2 * ((~v25 + v22 + 1) & 0x11) + ((~v25 + v22 + 1) ^ 0x11)) + 23) + 111)))
       + 23)+ 111
v37 = -105* (39
       * (2 * (v37 & (v26 ^ (-105 * (39 * (2 * (v27 & 1) + (v27 ^ 1)) + 23) + 111)))
        + (v37 ^ v26 ^ (-105 * (39 * (2 * (v27 & 1) + (v27 ^ 1)) + 23) + 111)))
       + 23)+ 111
v36 = ~v29 + -105 * (39 * (2 * (v28 & v36) + (v28 ^ v36)) + 23) + 111 + 1
v35 = -105* (39
       * (2 * (v35 & (-105 * (39 * (2 * (v31 & v30) + (v31 ^ v30)) + 23) + 111))
        + (v35 ^ (-105 * (39 * (2 * (v31 & v30) + (v31 ^ v30)) + 23) + 111)))
       + 23)+ 111
v34 = -105* (39
       * (2
        * (v33 & (-105
                * (39
                 * (2 * (v32 & (-105 * (39 * (2 * (v34 & 0xF9) + (v34 ^ 0xF9)) + 23) + 111))
                  + (v32 ^ (-105 * (39 * (2 * (v34 & 0xF9) + (v34 ^ 0xF9)) + 23) + 111)))
                 + 23)
                + 111))
        + (v33 ^ (-105
                * (39
                 * (2 * (v32 & (-105 * (39 * (2 * (v34 & 0xF9) + (v34 ^ 0xF9)) + 23) + 111))
                  + (v32 ^ (-105 * (39 * (2 * (v34 & 0xF9) + (v34 ^ 0xF9)) + 23) + 111)))
                 + 23)
                + 111)))
       + 23)+ 111
v33 = -105 * (39 * (2 * (v33 & v34) + (v33 ^ v34)) + 23) + 111
v32 = -105 * (39 * (2 * (v32 & (v38 ^ v37)) + (v32 ^ v38 ^ v37)) + 23) + 111
v31 = -105* (39
       * (2
        * (v40 & (-105
                * (39
                 * (2 * (v41 & (-105 * (39 * (2 * (v31 & 0xC) + (v31 ^ 0xC)) + 23) + 111))
                  + (v41 ^ (-105 * (39 * (2 * (v31 & 0xC) + (v31 ^ 0xC)) + 23) + 111)))
                 + 23)
                + 111))
        + (v40 ^ (-105
                * (39
                 * (2 * (v41 & (-105 * (39 * (2 * (v31 & 0xC) + (v31 ^ 0xC)) + 23) + 111))
                  + (v41 ^ (-105 * (39 * (2 * (v31 & 0xC) + (v31 ^ 0xC)) + 23) + 111)))
                 + 23)
                + 111)))
       + 23)+ 111
v30 = -105* (39
       * (2 * (v42 & (-105 * (39 * (2 * (v30 & 8) + (v30 ^ 8)) + 23) + 111))
        + (v42 ^ (-105 * (39 * (2 * (v30 & 8) + (v30 ^ 8)) + 23) + 111)))
       + 23)+ 111
v29 = -105 * (39 * (2 * ((v43 ^ 0x4D) & v29) + (v43 ^ 0x4D ^ v29)) + 23) + 111
v28 = -105* (39
       * (2 * (v28 & (-105 * (39 * (2 * ((v44 ^ 0x17) & 0xF9) + (v44 ^ 0xEE)) + 23) + 111))
        + (v28 ^ (-105 * (39 * (2 * ((v44 ^ 0x17) & 0xF9) + (v44 ^ 0xEE)) + 23) + 111)))
       + 23)+ 111
v27 = -105 * (39 * (2 * ((v28 ^ v30) & v27) + (v28 ^ v30 ^ v27)) + 23) + 111
v26 = -105* (39
       * (2 * (v33 & (-105 * (39 * (2 * (v31 & v26) + (v31 ^ v26)) + 23) + 111))
        + (v33 ^ (-105 * (39 * (2 * (v31 & v26) + (v31 ^ v26)) + 23) + 111)))
       + 23)+ 111
v25 = -105 * (39 * (2 * (v25 & v34) + (v25 ^ v34)) + 23) + 111
v24 = -105* (39
       * (2 * (v37 & (-105 * (39 * (2 * (v24 & v39) + (v24 ^ v39)) + 23) + 111))
        + (v37 ^ (-105 * (39 * (2 * (v24 & v39) + (v24 ^ v39)) + 23) + 111)))
       + 23)+ 111
v23 = -105 * (39 * (2 * (v40 & v23) + (v40 ^ v23)) + 23) + 111
v22 = -105 * (39 * (2 * ((v45 ^ v43) & v22) + (v45 ^ v43 ^ v22)) + 23) + 111
v21 = -105* (39
       * (2 * (v21 & (-105 * (39 * (2 * (v44 & 0x18) + (v44 ^ 0x18)) + 23) + 111))
        + (v21 ^ (-105 * (39 * (2 * (v44 & 0x18) + (v44 ^ 0x18)) + 23) + 111)))
       + 23)+ 111
v20[0]=v45
v20[1]=v44
v20[2]=v43
v20[3]=v42
v20[4]=v41
v20[5]=v40
v20[6]=v39
v20[7]=v38
v20[8]=v37
v20[9]=v36
v20[10]=v35
v20[11]=v34
v20[12]=v33
v20[13]=v32
v20[14]=v31
v20[15]=v30
v20[16]=v29
v20[17]=v28
v20[18]=v27
v20[19]=v26
v20[20]=v25
v20[21]=v24
v20[22]=v23
v20[23]=v22
v20[24]=v21
for i in range(25):
    v20[i]&=0xff

data3=[0]*25#此处就是得到的密文
dword=[0x00000000, 0xFFFFFFFE, 0xFFFFFFFF, 0x00000004, 0x00000001, 0xFFFFFFFF, 0x00000001, 0x00000000, 0x00000000, 0xFFFFFFFF, 0xFFFFFFFD, 0xFFFFFFFE, 0x00000000, 0xFFFFFFF6, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFE, 0x00000001, 0xFFFFFFF3, 0xFFFFFFFF, 0xFFFFFFFA, 0xFFFFFFFF, 0xFFFFFFFE, 0x00000001, 0xFFFFFFFE, 0x00000000, 0x00000000, 0x00000000]
for i in range(5):
    for j in range(5):
        v13 = 0
        for k in range(5):
            v3=((dword[5*i+k])*v20[5*k+j])&0xff
            v9 = (-105 * (39 * (2 * (v13 & v3) + (v13 ^ v3)) + 23) + 111)&0xff
            v13 = v9
        data3[5*i+j]=v13

for i in range(25):
    x.add(data3[i]==enc[i])
x.check()
flag=''
result = x.model()
print(result)

NKCTF 2024 Writeup - 星盟安全团队 (xmcve.com)

参考一下上面的代码,然后得到的result的前面的数字大小排序得到flag

根据上面的result输出flag:

data = {
    20: 115,
    18: 101,
    24: 125,
    2: 67,
    12: 83,
    17: 95,
    10: 95,
    3: 84,
    21: 121,
    15: 115,
    23: 104,
    13: 115,
    7: 72,
    16: 64,
    5: 123,
    14: 95,
    22: 104,
    9: 116,
    6: 84,
    11: 49,
    1: 75,
    19: 65,
    8: 117,
    0: 78,
    4: 70
}

# 按照键排序
sorted_keys = sorted(data.keys())

# 输出排序后的字符
for key in sorted_keys:
    flag+=chr(data[key])
print(flag)

得到flag是:NKCTF{THut_1Ss_s@_eAsyhh}

此题收获到了ollvm的简单去混淆,还有z3的简单使用,向大佬学习

xiaowa35
关注
  • 15
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
混淆技术研究-OLLVM混淆-指令替换(SUB)
Tasfa的博客
09-28 1172
指令替换(Instruction Substitution)是一种代码混淆技术,用于将程序中的原始指令替换为等效但更难理解和还原的指令序列。通过指令替换,可以增加程序的杂性和抵抗逆向工程的能力。指令替换可以采用不同的方式进行,下面是一些常见的替换方式:常量展开(Constant Unfold):将原始指令中的常量操作替换为等效的指令序列,增加了代码的杂性和可读性。原始指令:a = b * 5替换指令:a = (b
NKCTF_WP
m0_73954357的博客
03-27 642
aa
ctf 逆向 回顾与总结
weixin_42100211的博客
09-19 5712
记录了我的逆向入门过程。
ArcGIS 10 Desktop 最简安装及完全破解-- 终结者版本
weixin_34066347的博客
06-23 3068
最近一段时间在网上找ArcGIS Desktop的破解安装,什么licence Manager 版本的,安装版本的。。。乱七八糟的什么都有。让人云里雾里的不知道到底哪个是真哪个可使用。 所以,把我目前所知道的最简单最有效的方法总结一下,贴出来,供大家参考。本文内容参考了网上的各种方法。仅供学习。 1.  首先下载 ArcGIS Desktop 10,下载地址有很多。直接搜索。这里就不提供了。 ...
NKCTF2024 | 部分WP
ULGANOY的博客
03-25 1946
NKCTF2024 部分 WP
IDA F5 增强插件,还我源代码(一)
qq_44005305的博客
01-10 1202
李老板: 奋飞呀,你就这么结束也太水了吧。这种文章我都不好意思转发,严重影响我大佬的人设。奋飞:老板说的有道理,使用开源工具,不读他的源码是对作者的不尊重。我们先来聊聊 IDA Microcode, 他是一种中间语言,从反汇编出来的汇编代码到F5生成漂亮的C代码,中间要经过多次的Microcode转换。举个例子,生米煮成熟饭(说你呢,别想歪了),在萌新看来,就是大米 biu~~ 一下就成米饭了。
IDA F5 增强插件: I Have a Dream (二)
fenfei331的博客
07-25 1208
一、目标 Rolf Rolles大佬曾经说过,一图胜千言 一堆丑陋的 While 是没有加立白的效果,干净漂亮的 if 是加了立白的效果。 二、步骤 控制流平坦化示意图 上图是个漂亮的if else 结构。 先给每个块分配一个label标签 然后增加一个块变量,来指示应该执行哪个块。 每个块跑完之后不直接到自己的后继块,而是到主分发器块,这样漂亮的if else结构就由丑陋的switch语句代替了。 反控制流平坦化 先找到主分发器 再找到 块变量 后继块只有一个块的,把块变量删除,然后直接got
第四届“长城杯”信息安全铁人三项赛决赛RE-obfuscating
Todog的博客
05-01 1679
一道混淆题
如何保护你的代码 - Ollvm(一)
fenfei331的博客
11-04 763
一、目标 李老板:奋飞呀,最近的so都混淆的很厉害呀,也没有啥通用的反混淆方法。一点都不好玩,之前你说的 D810 也不是很好使。 奋飞:我传你六字真言,打不过就加入。 搞不定反混淆,我们搞搞代码混淆,好处多多。 可以很好的保护自己的代码 搞明白混淆的原理,可以增强反混淆的思路 二、步骤 下载代码先 OLLVM(Obfuscator-LLVM的老家在这里 https://github.com/obfuscator-llvm/obfuscator ,只不过官方仅更新到llvm的4.0。 我们使用大神修改的
NKCTF2024-Eznative
qq_24481913的博客
03-25 539
看到上层函数,其实这个sub_27F2d4是有符号的,我这里写wp的时候没有导入全部,名字叫做dialog,那么写过安卓开发的就知道这玩意就是弹窗了。然后在之前给出的GitHub项目中,发其实他的enc出来的结果就是base64的,所以我们直接使用库就可以解密了。在old中也是有符号的,很明显的base。这里有个巨jb坑的地方,我点了n次一直不触发,后面来脾气了,长按一下,结果。短按是用来触发aaa的,当时hook过aaa,发短按确实能触发。触发了,tnnd,后面发应该是这个aaa与bbb的问题。
Anroid 逆向工具
RFZ_322的博客
06-15 4761
JEB - The Interactive Android Decompiler.GDA - GGJoy Dex Analysizer(GDA),国内第一款也是唯一一款全交互式反编译器,同时也是世界上最早实的dalvik字节码反编译器。IDA - The IDA Disassembler and Debugger is an interactive, programmable, extensible, multi-processor disassembler hosted on Windows, Lin
NKCTF2024 RE 前三道
Pisces50002的博客
03-31 1058
工具:IDA pro 7.5参考博文及APK来源:https://blog.csdn.net/hbhgyu/article/details/81321923https://blog.csdn.net/tabactivity/article/details/78492377一、启动android server_ida 动态调试so。应该是用来显示错误信息。我这里两边都用的7.7的android_x64_server就可以,8.3的不知道为什么不行。ARM的动调比较麻烦,这里用x64的libapp.so调。
ollvm的使用
骑着蜗牛找马儿
04-18 6510
https://github.com/obfuscator-llvm/obfuscator.githttps://github.com/obfuscator-llvm/obfuscator/tree/llvm-4.0一、下载源码:"-b llvm-4.0",下载llvm-4.0 branch,目前是最新的二、Build(1)mkdir build(2)cd build/(3)cmake -DCMA...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8285
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
insightface模型onnx转ncnn模型
06-12
1k3d68 sim:3d识别68个关键点 2d106det:2d识别106关键点 det 10g_sim:人脸框和kps关键点5点识别 10g参数 det 500m sim:人脸框和kps关键点5点识别 500m参数 genderage:识别年龄和性别 inswapper 128_sim:人脸替换模型,可以替换照片人脸 SwapperWeightDef.dat : 初始化权重数据 w600k mbf:人脸特征识别,轻量级库 w600k_r50:人脸特征识别,重量级 相应的onnx模型见:https://download.csdn.net/download/p731heminyang/89425467
基于VisualBasic的高性能计算工具包设计与实
06-12
矩阵和向量操作 支持基本的矩阵和向量运算,如加法、减法、乘法、除法等。 提供常见的线性代数操作,如矩阵乘法、求逆、求特征值等。 支持稀疏矩阵和压缩存储格式,提高大规模矩阵计算的效率。 数值计算算法 提供常见数值计算算法的实,如插值、数值积分、微分方程求解等。 支持多种数值优化算法,如最优化、非线性方程求解等。 提供统计分析和数据拟合的工具,如回归分析、假设检验等。 并行计算支持 利用多线程或并行处理技术,提高计算任务的并发执行效率。 支持任务分发和结果合并,简化并行计算的编程模型。 提供可调节的线程池和任务调度机制,适应不同规模的计算需求。 高性能数学函数 实高性能的数学函数库,如三角函数、指数函数、对数函数等。 通过优化算法和近似计算,提高杂数学函数的计算速度。 支持数运算和数函数,满足科学计算的需求。 数据可视化支持 提供绘图和数据可视化的功能,包括二维和三维绘图。 支持绘制常见的图表类型,如折线图、散点图、柱状图等。 提供自定义绘图样式和图表布局的选项,满足个性化需求。
php goto解密脚本源码
最新发布
06-12
php goto解密脚本源码
2024-2030年时尚背包行业市场调研及前景趋势预测报告.pdf
06-12
2024-2030年时尚背包行业市场调研及前景趋势预测报告.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值