[re]符号执行一把梭:2020网鼎杯青龙组re_signal_wp

最新推荐文章于 2024-06-06 21:13:01 发布
最新推荐文章于 2024-06-06 21:13:01 发布
阅读量1w 收藏 8
点赞数 1
分类专栏: ctf # ctf-re # 逆向 文章标签: 逆向工程 ctf 安全 符号执行 二进制安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Breeze_CAT/article/details/106139253
版权
ctf 同时被 3 个专栏收录
30 篇文章 3 订阅
订阅专栏
逆向
18 篇文章 4 订阅
订阅专栏
ctf-re
7 篇文章 0 订阅
订阅专栏

[re]符号执行一把梭:2020网鼎杯青龙组re_signal_wp

这道题是2020网鼎杯青龙组的一道逆向提signal,一道虚拟机逆向题目,题目本身不难,可以直接分析也可以符号执行秒掉。

题目分析

正常windows逆向,开局直接输flag,也不多bibi:
在这里插入图片描述
逆向分析程序:
在这里插入图片描述
程序开始将全局变量区的opcode作为参数给vm_operad函数,看名字也能看出是一个虚拟机分析的题目,先把opcode提取出来:

\x0A \x04 \x10 \x08 \x03 \x05 \x01 \x04 \x20 \x08 \x05 \x03 \x01 \x03 \x02 \x08 
\x0B \x01 \x0C \x08 \x04 \x04 \x01 \x05 \x03 \x08 \x03 \x21 \x01 \x0B \x08 \x0B 
\x01 \x04 \x09 \x08 \x03 \x20 \x01 \x02 \x51 \x08 \x04 \x24 \x01 \x0C \x08 \x0B 
\x01 \x05 \x02 \x08 \x02 \x25 \x01 \x02 \x36 \x08 \x04 \x41 \x01 \x02 \x20 \x08 
\x05 \x01 \x01 \x05 \x03 \x08 \x02 \x25 \x01 \x04 \x09 \x08 \x03 \x20 \x01 \x02 
\x41 \x08 \x0C \x01 \x07 \x22 \x07 \x3F \x07 \x34 \x07 \x32 \x07 \x72 \x07 \x33 
\x07 \x18 \x07 \xA7 \x07 \x31 \x07 \xF1 \x07 \x28 \x07 \x84 \x07 \xC1 \x07 \x1E 
\x07 \x7A

然后查看行为,顺便给变量改个名:
在这里插入图片描述
一般vm的题目就是一个大的switch,根据分析把操作整理出来,有的操作,如加法,需要一个立即数参与,然后数组下标有好几个变量,我这里通用i表示了(实际做题不用这么细致。。):

01    :result[i]=temp
02 imm:temp=input[i]+imm
03 imm:temp=input[i]-imm
04 imm:temp=input[i]^imm
05 imm:temp=input[i]*imm
06    :i++
07 imm:result[i]==imm
08    :imput[i]=temp
0A    :input 输入字符串
0B    :temp=input[i]--
0C    :temp=input[i]++

可以看到opcode最后也是一堆0x7,说明是最后校验flag.

手动解题

flag不长可以直接手动恢复:

input[0]^0x10-0x05=0x22    input[0]='7'
input[1]^0x20*0x03=0x3f    input[1]='5'
input[2]-0x02-0x01=0x34    input[2]='7'
input[3]+1^0x04=0x32       input[3]='5'
input[4]*3-0x21=0x72       input[4]='1'
input[5]-2=0x33            input[5]='5'
input[6]^0x09-0x20=0x18    input[6]='1'
input[7]+0x51^0x24=0xA7    input[7]='2'
input[8]=0x31              input[8]='1'
input[9]*2+0x25=0xf1       input[9]='f'
input[10]+0x36^0x41=0x28   input[10]='3'
input[11]+0x20=0x84        input[11]='d'
input[12]*3+0x25=0xC1      input[12]='4'
input[13]^0x09-0x20=0x1E   input[13]='7'
input[14]+0x42=0x7A        input[14]='8'

所以最后flag是:flag{757515121f3d478}
在这里插入图片描述

符号执行自动秒题

队里师傅是用angr直接跑的,这种题目确实可以用符号执行约束求解来解答。这里使用angr来进行符号执行。

我比较懒,需要用到啥新环境第一个想到的肯定是docker(自己配环境是万万不可能的),于是找了一下,有angr的docker:

附上dockerhub链接:https://hub.docker.com/r/angr/angr

docker pull angr/angr
docker run -it -v /mnt/hgfs/share:/mnt/ angr/angr
#/mnt/hgfs/share 目录是我题目所在的目录,直接挂载在docker里的/tmp目录

然后进入docker 后,在/mnt/目录下就是你的代码和程序。

这道题根本不用什么angr的高端操作,直接一把梭即可:

import angr

p = angr.Project('./signal.exe')   #指定angr跑的程序
state = p.factory.entry_state()    #新建一个SimState的对象,得到一个初始化到二进制入口函数的SimState对象。
simgr = p.factory.simgr(state)   #创建simulation manager,angr的主要入口

simgr.explore(find=0x004017A5 ,avoid=0x004016E6)  #争取跑到输出成功的地址,避免跑到输出wrong的地址
flag = simgr.found[0].posix.dumps(0)[:15]     #得到flag
print(flag)

一把梭跑出flag:
在这里插入图片描述
这道题比较简单甚至不用约束直接求解即可,更多关于angr的进阶知识可以看先知社区的“深入浅出angr”系列

https://xz.aliyun.com/t/3990

breezeO_o
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
复盘网鼎杯Re-Signal Writeup
Tigger.run 独立开发者 热爱逆向工程
05-17 530
0x0 引言 比赛时没能做出来这道题,当时我使用OD进行动态调试,分析出启动程序时初始化了数,并且含有一个12分支的switch被嵌套在循环中,最终没能搞定,今天就复盘这道题。 0x1 查壳 无壳,并且编译时未启用ASLR技术,挺友好哈。 0x2 分析 main 这次学聪明了,先打开反汇编辅助插件查看伪代码(这对理解汇编逻辑有极大的帮助)。 可以看到在 main 函数中先调用了 __main() 随后复制内存到变量v4,随后v4被传入vm_operad() 容易想到,&unk_403040 是
2020第二届网鼎杯青龙Reverse signal
YuSec
05-10 1288
signal Start 无壳,直接拖进IDA,F5 qmemcpy()内存复制,将unk_403040的内容复制到v4的地址下 跟进unk_403040看到一堆数据,整理后得到 [0Ah, 4,10h, 8, 3, 5, 1, 4,20h, 8, 5, 3, 1, 3, 2, 8,0Bh, 1,0Ch, 8, 4, 4, 1, 5, 3, 8, 3,21h , 1,0Bh, 8,0Bh, 1, 4, 9, 8, 3,20h, 1, 2,5
[网鼎杯 2020 青龙]singal
最新发布
Nike_name的博客
06-06 374
angr符号执行
BUUCTF-[网鼎杯 2020 青龙]singal 1(angr用法)
weixin_61154173的博客
02-10 438
angr用法这道题之前看了看,主要是个switch语句,但是没有看太懂,然后我发现有用angr解这道题的,那时候还没接触,也没安装angr库,基本操作也不会,浅学了一下,还是不太精通,但是这道题是最基本的angr解法,所以用angr做一做。发现vm_operad是主要函数,而puts("good,The answer format is:flag {}");是你想要得到的,看它的反汇编记住地址,写脚本要用到。即初始参数用变量代替,模拟程序执行过程,维护执行到各个位置时的状态(用各个变量之间的代数关系表示)。
网鼎杯writeup-护网先锋1
08-04
3、得到 flag,截图如下图所示: 1、查看源代码可以发现存在代码泄露,代码如下: 2、在 get 中使用.可以绕过第一个判断 3、使用.@c7f.zhuqu
2022第三届“网鼎杯”网络安全大赛-青龙 部分WriteUp
渗透测试研究中心
08-29 6690
MISC 签到题 八道网络安全选择题,百度都能搜索到答案,这里如果只知道部分题目答案,可以通过枚举测试fuzz答案,获得flag flag: flag{a236b34b-8040-4ea5-9e1c-97169aa3f43a} RE re693 直接下载附件用golang打开 看main函数可以发现会打印两句话,要求输入有六个参数并且第三个为gLIhR的函数、被调用三次并且会调用到cHZv5......
re -16 buuctf [网鼎杯 2020 青龙]singal(angr使用)
weixin_45847059的博客
11-23 517
[网鼎杯 2020 青龙]singal 前话:先记录下angr的使用。参考了大佬的文章:https://blog.csdn.net/Breeze_CAT/article/details/106139253 在cmd中使用,不能在pycharm中使用。 >>> import angr >>> p = angr.Project(r'C:\Users\ASUS\Desktop\signal.exe') #地址前必须加r >>> state = p.facto
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络...
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎。
网鼎杯青龙18道.rar
06-11
【标题】"网鼎杯青龙18道.rar"是一个关于网络安全竞赛的资源压缩包,其中包含了2020网鼎杯青龙的比赛题目。网鼎杯是一项知名的网络安全技术竞赛,旨在提升参赛者的网络安全技能和实战能力,尤其针对青龙,...
20200510.网鼎杯青龙.zip
06-10
2020 5 10 网鼎杯 青龙 比赛题目 web没有附件 其他基本都有 , 感谢各位师傅的整理
2020网鼎杯白虎赛题.zip
05-15
比赛试题附件,其中包括misc,re,crypto,pwn,web只有题目,没有环境,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
BUUCTF_[网鼎杯 2020 青龙]singal
qq_45149832的博客
09-22 1183
BUUCTF_[网鼎杯 2020 青龙]singal
网鼎杯第一场 部分re crypto pwn 题解
qq_41071646的博客
05-11 1224
这次没想到还拿了一道re的一血、 题目名称 re bang 一看题目就知道需要dump dex 正好手边手机开启了frida 直接dump dex 脚本一把,然后直接反编译 发现flag 拿到了一血,, 题目名称 re signal 这个题目 自己实现了vm 自己写了一个脚本(不要吐槽我的拼音,当时有点着急 就没有想那么多) 自己写了一个python代码模拟了一下 lists=[10,4,16,8,3,5,1,4,32,8,5,3,1,3,2,8,11,1,12,8,4..
[NPUCTF2020]共 模 攻 击(sage解方程)
weixin_44110537的博客
08-06 2212
encrypt hint: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPrime(32), getPrime(32) c1, c2 = po
Angr学习(一)
WateranFire的博客
08-07 2659
以前只是简单套用angr模板来解一些简单的题目,现在希望能深入了解一下angr, 所以做个记录。 注意,本文不是直接翻译,而会根据个人感觉进行删减! 本文主要参考自https://docs.angr.io/ =========================================================== 下面是一些小tips,可以跳过。 angr的调试信息记录 i...
ANGR简介
kelxLZ的博客
01-01 6851
转载自CTF ALL IN ONE 简介 angr 是一个多架构的二进制分析平台,具备对二进制文件的动态符号执行能力和多种静态分析能力。在近几年的 CTF 中也大有用途。 安装 在 Ubuntu 上,首先我们应该安装所有的编译所需要的依赖环境: $ sudo apt install python-dev libffi-dev build-essential virtualenvwrapper 强烈建议在虚拟环境中安装 angr,因为有几个 angr 的依赖(比如z3)是从他们的原始库中 fork 而来,如
更新/ql/data/repo/leafTheFish_DeathNote失败,请检查网络...
05-28
出现更新/ql/data/repo/leafTheFish_DeathNote失败,请检查网络的情况,可能是因为以下原因之一: 1. 网络连接问题:请检查您的网络连接是否正常,确保您的设备已连接到互联网。 2. 防火墙或代理问题:请检查您的防火墙和代理设置,确保它们不会阻止青龙面板连接到互联网。 3. 仓库源问题:请确保您的青龙面板已经正确配置了仓库源,您可以尝试使用其他仓库源进行更新操作。 4. 仓库权限问题:请检查您的仓库目录是否有足够的权限进行更新操作。 如果您已经检查了以上问题但仍然无法进行更新操作,请联系青龙面板的开发者或相关技术支持人员获取帮助。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值