【攻防世界】Reverse——BABYRE writeup

于 2024-01-07 12:25:08 发布
阅读量412 收藏 9
点赞数 8
分类专栏: 逆向工程 CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77295404/article/details/135437801
版权

下面的代码可知:flag的长度是14,通过judge来判断是否成功。但jugde函数是加密过,也就是代码是被混淆过的。所以不可以直接查看。

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[24]; // [rsp+0h] [rbp-20h] BYREF
  int v5; // [rsp+18h] [rbp-8h]
  int i; // [rsp+1Ch] [rbp-4h]

  for ( i = 0; i <= 181; ++i )
    *((_BYTE *)judge + i) ^= 0xCu;
  printf("Please input flag:");
  __isoc99_scanf("%20s", s);
  v5 = strlen(s);
  if ( v5 == 14 && (unsigned int)judge((__int64)s) )
    puts("Right!");
  else
    puts("Wrong!");
  return 0;
}

main函数中有下面这段代码,它是用来还原或解密代码的。

  for ( i = 0; i <= 181; ++i )
    *((_BYTE *)judge + i) ^= 0xCu;

解决方法有两个:

1. 静态方法

使用脚本还原代码。在File-》script command中输入脚本:

在“run”后,可看到judge的数值已经发生改变。

选择judge,按“c” 然后“p”,得到下面的代码:

.data:0000000000600B00                 public judge
.data:0000000000600B00 judge           proc near               ; CODE XREF: main+80↑p
.data:0000000000600B00                                         ; DATA XREF: main+16↑r ...
.data:0000000000600B00
.data:0000000000600B00 var_28          = qword ptr -28h
.data:0000000000600B00 var_20          = byte ptr -20h
.data:0000000000600B00 var_1F          = byte ptr -1Fh
.data:0000000000600B00 var_1E          = byte ptr -1Eh
.data:0000000000600B00 var_1D          = byte ptr -1Dh
.data:0000000000600B00 var_1C          = byte ptr -1Ch
.data:0000000000600B00 var_1B          = byte ptr -1Bh
.data:0000000000600B00 var_1A          = byte ptr -1Ah
.data:0000000000600B00 var_19          = byte ptr -19h
.data:0000000000600B00 var_18          = byte ptr -18h
.data:0000000000600B00 var_17          = byte ptr -17h
.data:0000000000600B00 var_16          = byte ptr -16h
.data:0000000000600B00 var_15          = byte ptr -15h
.data:0000000000600B00 var_14          = byte ptr -14h
.data:0000000000600B00 var_13          = byte ptr -13h
.data:0000000000600B00 var_4           = dword ptr -4
.data:0000000000600B00
.data:0000000000600B00                 push    rbp
.data:0000000000600B01                 mov     rbp, rsp
.data:0000000000600B04                 mov     [rbp+var_28], rdi
.data:0000000000600B08                 mov     [rbp+var_20], 66h ; 'f'
.data:0000000000600B0C                 mov     [rbp+var_1F], 6Dh ; 'm'
.data:0000000000600B10                 mov     [rbp+var_1E], 63h ; 'c'
.data:0000000000600B14                 mov     [rbp+var_1D], 64h ; 'd'
.data:0000000000600B18                 mov     [rbp+var_1C], 7Fh
.data:0000000000600B1C                 mov     [rbp+var_1B], 6Bh ; 'k'
.data:0000000000600B20                 mov     [rbp+var_1A], 37h ; '7'
.data:0000000000600B24                 mov     [rbp+var_19], 64h ; 'd'
.data:0000000000600B28                 mov     [rbp+var_18], 3Bh ; ';'
.data:0000000000600B2C                 mov     [rbp+var_17], 56h ; 'V'
.data:0000000000600B30                 mov     [rbp+var_16], 60h ; '`'
.data:0000000000600B34                 mov     [rbp+var_15], 3Bh ; ';'
.data:0000000000600B38                 mov     [rbp+var_14], 6Eh ; 'n'
.data:0000000000600B3C                 mov     [rbp+var_13], 70h ; 'p'
.data:0000000000600B40                 mov     [rbp+var_4], 0
.data:0000000000600B47                 jmp     short loc_600B71
.data:0000000000600B49 ; ---------------------------------------------------------------------------
.data:0000000000600B49
.data:0000000000600B49 loc_600B49:                             ; CODE XREF: judge+75↓j
.data:0000000000600B49                 mov     eax, [rbp+var_4]
.data:0000000000600B4C                 movsxd  rdx, eax
.data:0000000000600B4F                 mov     rax, [rbp+var_28]
.data:0000000000600B53                 add     rax, rdx
.data:0000000000600B56                 mov     edx, [rbp+var_4]
.data:0000000000600B59                 movsxd  rcx, edx
.data:0000000000600B5C                 mov     rdx, [rbp+var_28]
.data:0000000000600B60                 add     rdx, rcx
.data:0000000000600B63                 movzx   edx, byte ptr [rdx]
.data:0000000000600B66                 mov     ecx, [rbp+var_4]
.data:0000000000600B69                 xor     edx, ecx
.data:0000000000600B6B                 mov     [rax], dl
.data:0000000000600B6D                 add     [rbp+var_4], 1
.data:0000000000600B71
.data:0000000000600B71 loc_600B71:                             ; CODE XREF: judge+47↑j
.data:0000000000600B71                 cmp     [rbp+var_4], 0Dh
.data:0000000000600B75                 jle     short loc_600B49
.data:0000000000600B77                 mov     [rbp+var_4], 0
.data:0000000000600B7E                 jmp     short loc_600BA9
.data:0000000000600B80 ; ---------------------------------------------------------------------------
.data:0000000000600B80
.data:0000000000600B80 loc_600B80:                             ; CODE XREF: judge+AD↓j
.data:0000000000600B80                 mov     eax, [rbp+var_4]
.data:0000000000600B83                 movsxd  rdx, eax
.data:0000000000600B86                 mov     rax, [rbp+var_28]
.data:0000000000600B8A                 add     rax, rdx
.data:0000000000600B8D                 movzx   edx, byte ptr [rax]
.data:0000000000600B90                 mov     eax, [rbp+var_4]
.data:0000000000600B93                 cdqe
.data:0000000000600B95                 movzx   eax, [rbp+rax+var_20]
.data:0000000000600B9A                 cmp     dl, al
.data:0000000000600B9C                 jz      short loc_600BA5
.data:0000000000600B9E                 mov     eax, 0
.data:0000000000600BA3                 jmp     short loc_600BB4
.data:0000000000600BA5 ; ---------------------------------------------------------------------------
.data:0000000000600BA5
.data:0000000000600BA5 loc_600BA5:                             ; CODE XREF: judge+9C↑j
.data:0000000000600BA5                 add     [rbp+var_4], 1
.data:0000000000600BA9
.data:0000000000600BA9 loc_600BA9:                             ; CODE XREF: judge+7E↑j
.data:0000000000600BA9                 cmp     [rbp+var_4], 0Dh
.data:0000000000600BAD                 jle     short loc_600B80
.data:0000000000600BAF                 mov     eax, 1
.data:0000000000600BB4
.data:0000000000600BB4 loc_600BB4:                             ; CODE XREF: judge+A3↑j
.data:0000000000600BB4                 pop     rbp
.data:0000000000600BB5                 retn
.data:0000000000600BB5 judge           endp

反编译后可得:

__int64 __fastcall judge(__int64 a1)
{
  char v2[5]; // [rsp+8h] [rbp-20h] BYREF
  char v3[9]; // [rsp+Dh] [rbp-1Bh] BYREF
  int i; // [rsp+24h] [rbp-4h]

  qmemcpy(v2, "fmcd", 4);
  v2[4] = 127;
  qmemcpy(v3, "k7d;V`;np", sizeof(v3));
  for ( i = 0; i <= 13; ++i )
    *(_BYTE *)(i + a1) ^= i;
  for ( i = 0; i <= 13; ++i )
  {
    if ( *(_BYTE *)(i + a1) != v2[i] )
      return 0LL;
  }
  return 1LL;
}

输出flag:

v2='fmcd'+chr(127)+'k7d;V`;np'

flag = ''
for i in range(14):
   flag+= chr(ord(v2[i])^i)
   
print(flag)

方法2:动态方法

在 if ( v5 == 14 && (unsigned int)judge((__int64)s) ) 这行下断点,这时解密方法已经执行,也就是可以跳转到judge函数查看解密后的代码。

Melody0x0
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界REVERSE—高手进阶区—BABYRE
Nu1bzzi的博客
03-27 630
攻防世界REVERSE—高手进阶区—BABYRE 这道题真的是对新手的一个考验了,做了挺久的,脑瓜疼>m< 拿到文件先放进PEiD里查壳(养成好习惯) 应该是linux下的程序 放进IDA64里进行分析 找到main函数F5查看伪代码 if ( v5 == 14 && (*(unsigned int (__fastcall **)(char *)) judge)(s) ) 字符长度为14并且满足后面judge()函数条件即为正确,但是在点击judge函数时跳到了如下界面 判
BABYRE 攻防世界
re1wn
04-29 1400
BABYRE 攻防世界
攻防世界——BABYRE
Nike_name的博客
12-15 279
代码内部加密
[攻防世界]BABYRE
逆向萌新的博客
06-24 620
[攻防世界]BABYRE
攻防世界 BABYRE wp
__ys的博客
01-21 360
BABYRE 丢进IDA,进入main函数 很明显judge函数是关键,但显然judge函数被加密了 而加密关键在main函数中有所体现 很明显这是在调用judge函数之前改变了他的字节码,因此出现调用失败的情况,此时我们只需要用IDA Python进行解密即可 代码如下: 之后先undefine(快捷键U)一下,再重新创建函数(快捷键P),就可以F5了 (此处代码可能与网上其他wp中代码不同,可能是IDA7.5的原因,但经过分析其实是一样的) 分析过后发现就是简单的异或,写脚本得到flag即可
【广东大学生网络攻防大赛】Reverse | pyre 题目附件
05-24
【广东大学生网络攻防大赛】Reverse | pyre 题目附件
ISCC2015 Writeup REVERSE - Q7.docx
09-30
逆向工程挑战 ISCC2015 Writeup REVERSE - Q7.docx 本文档总结了 ISCC2015 Writeup REVERSE - Q7.docx 中的逆向工程挑战题目,涉及到多种逆向工程技术和算法,包括 DLL 文件分析、APK 文件修复、DES 解密、AES 解密...
2023 强网杯 Writeup
最新发布
01-29
2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析和知识点总结...
攻防世界逆向高手题的BABYRE
沐一 · 林 的博客
08-21 2608
攻防世界逆向高手题之BABYRE 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的BABYRE
网鼎杯-第三场-逆向-babyre
08-27
2018年8月27日网鼎杯第三场逆向题-babyre
 攻防世界-BABYRE
m0_51713041的博客
12-27 623
攻防世界-BABYRE 分析代码,很明显得出这个judge是关键,点过去发现反编译失败,很奇怪的一段代码 后来尝试,使用idapython可以对这一串连续地址的数据,先进行代码所示的处理 a是那一串数...
攻防世界-re-babyre
底层社会中的弱智
03-22 379
第一次手撕汇编
攻防世界RE——BABYRE
m0_53482319的博客
10-26 264
这段代码将judge函数的代码段进行了重构,我们需要嵌入脚本回复真正Judge函数代码段。回到之前的伪代码,然后双击judge即可看到恢复后的judge的伪代码。含义:unsigned int 是函数返回类型(无符号整型)无壳,64位elf,直接放到idapro(64位)里面。(char *)提取judge数组头字符串做函数名。这条代码的judge并非是数组而是一个函数。切记,要实现c p鼠标必须选中judge。完成上面的操作即可复现judge函数。得出flag{n1c3_j0b}
re学习(26)攻防世界-re-BABYRE(IDA无法分析出函数-代码混淆)
m0_66039322的博客
08-02 349
栈帧是函数在执行时在栈上所创建的一块内存区域,用于存储局部变量,函数参数,返回地址等信息。在函数调用过程中,‘rbp‘用于维护栈帧的指针,以便在函数执行结束后能够恢复调用者的上下文。在函数调用过程中,通常会先将返回地址和其他寄存器的值(如’rbx‘,'rdi','rsi','rdx'等)压入栈中,然后将’rbp‘的值压入栈中。一般应对策略:使用按键U,告诉IDA,这是一个数据(通常是一个字节就够了),然后在下一个位置,点击C告诉IDA又可以开始按照代码来解释。
攻防世界 Reverse进阶区 BABYRE WP
qq_55785697的博客
03-24 274
IDA下得到反汇编代码 显然,对于judge这个常量先与或处理,而后读取字符串s,判断s长度是否为14; 接下来这个judge(s)让我看不懂了,judge不是个数组吗,怎么可以这么使用? <关键点>看了其他大佬的WP才知道,原来还有将data转为code执行的骚操作,所以这里其实是将judge数组的内容当成一个函数来执行,可以使用热键C将data转化为code,也可以用U恢复。 调试程序,先让其运行完字符串的初始处理,在if处下断点,观察judge函数的汇编代码 1. push
攻防世界-XCTF 4th-WHCTF-2017 BABYRE
qq_45771413的博客
04-22 333
查壳 ELF文件,无壳 IDA 逻辑很简单,判断输入的字符串长度是否为14,然后是judge(s)的函数判断,都正确则输出right 那么重点就是judge函数。双击进入,发现是长度为181的字符串,将其ASCⅡ提取出来后转字符串,发现毫无意义。 然后……只能看看别人的wp看看咋回事(#_<-)>) 这题是SMC,judge函数在运行时会进行自解密操作,否则静态分析时无法窥探其真正内容。 SMC虽然还没整太明白,但是可以动调试试。既然静态分析他不肯露面,那么动态分析它说不定会自己一层一层剥
攻防世界-Reverse-BABYRE
P_Bloomberg的博客
08-08 461
附件是.exe文件,放入ExeInfoPE中,发现是linux可执行文件 放入IDA64中,F5查看伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { char s[24]; // [rsp+0h] [rbp-20h] BYREF int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i <= 181;
攻防世界 Reverse高手进阶区 2分题 BABYRE
闵行小鱼塘
12-26 544
继续ctf的旅程,攻防世界Reverse高手进阶区的2分题,本篇是BABYRE的writeup
攻防世界reverse
07-27
攻防世界(reverse)是一个CTF(Capture The Flag)比赛平台,旨在提供一个实践和学习网络安全攻防技术的环境。参赛者需要通过解决一系列的安全难题来获取Flag(标志),Flag是一个特定字符串,代表着成功攻击或者防御...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值