【CTF大赛】第五届XMan选拔赛 ezCM Writeup

最新推荐文章于 2021-11-26 22:45:00 发布
最新推荐文章于 2021-11-26 22:45:00 发布
阅读量946 收藏 2
点赞数 2
分类专栏: 安全 网络 CTF 文章标签: 网络安全 信息安全 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/119645953
版权
本文介绍了第五届XMan选拔赛中的ezCM题目,该题目涉及Golang程序分析,重点是椭圆曲线算法(ECC)。作者详细讲述了如何通过分析程序验证方式来构造KeyFile,包括程序的前置知识、关键函数定位、KeyFile格式解析、验证逻辑等步骤,最终成功注册并获取flag。文章还分享了在Golang逆向和ECC算法学习过程中的心得。
摘要由CSDN通过智能技术生成

ezCM

直至比赛结束,这道题目都是 0 解题,一方面是因为比赛时间较短,另一方面还是因为这道题目较难,考察了不常见的椭圆曲线算法(ECC),大大增加了对做题者的要求。

题目信息

在这里插入图片描述
题目是使用 Golang 来编写的一个 CrackMe 程序,程序内符号没有被去除,所以这篇文章就不会讲解如何恢复 Golang 程序符号,另外 IDA Pro 7.6 已经支持 Golang 程序分析,打开就可以直接恢复被去除的符号信息。

题目要求打开一个 KeyFile ,并且通过读取其文件的内容来注册程序,我们要做的就是通过分析程序验证方式来编写一个 KeyFile,使其可以通过程序注册验证,最终拿到 flag 数据。

前置知识

由于是 Golang 的题目,在一些数据结构和调用约定上和大多数语言都不一样,所以一定不能过于的依赖伪代码,在调试过程中最好能够多关注汇编代码,这样在逆向过程中会快速掌握到核心。这部分内容参考学习了 panda0s – Golang underlying data representaion ,本来是不想把这部分内容放在这篇文章中的,但是由于关联性过大,所以不得不拿来饱满文章内容。
函数调用

在函数调用的过程中,无论是调用参数还是返回值都是通过栈来传递。
在这里插入图片描述
其传参的特征是

  1. 参数传递顺序是从右往左传递,而且不使用像是 push pop 这样的操作栈的指令,而是直接对栈上的内容进行修改。
  2. 参数传递一般都是借助一个寄存器中转,例如
    rax、rcx,先把数据原来的储存位置的数据赋值到这个寄存器上,然后再把这个寄存器的内容赋值给栈上数据,并且如果数据是 0x10
    size 的结构体,就会借助 xmm 寄存器中转来加速。

其返回值的特征是

  1. 返回值的位置紧贴着在最后一个参数的地址之后。以上图为例,最后一个参数的地址是 rsp + 0x250 – 0x248 + 0x8 =
    rsp + 0x10,所以这里的返回值的地址就是在 rsp + 0x250 – 0x238 = rsp +
    0x18,有多个返回值的情况也是类似。

方法调用

在上图中,严格意义上并不是一次函数调用,而是一次方法调用。他是对 MyMainWindow 这个对象下的 Academy 方法进行了调用,这个传入的参数就是这个对象的指针,像是 this 一样。这个对象的指针就相对于函数调用的第一个参数。

String 字符串
在这里插入图片描述
String 结构

struct String{
   
    char * strPtr;
    int64 size;
}

所以 Golang 程序在传递字符串的时候,同时也会在后续跟一个参数,这个参数指的就是字符串的长度。同时由于这样的机制,使得字符串的内容在内存中分布不需要截止符’\x00’
在这里插入图片描述
Slice 切片

在其他语言中(例如 python),Slice 是一种切片的操作,切片之后可以返回一个新的数据对象,但是 Golang 中的 Slice 不仅仅是一种切片的操作,更像是一种灵活的数据结构。

了解 Slice 结构后,在 IDA 中修改对应的变量类型,可以大大加快分析速度。

Slice 结构

struct slice {
   
    dq    Pointer;
    dq    Length;
    dq    Capacity;
}

Pointer:指向 Slice 底层数组的元素开始位置的指针

Length:Slice 的当前长度

Capacity:Slice 底层数组的最大长度,超过此长度会自动扩展
初始化 Slice

my_slice := make([]int, 35)

这表示先声明一个长度为 5、数据类型为 int 的底层数组,然后从这个底层数组中从前向后取 3 个元素作为 slice 的结构(length = 3,cap = 5)

make 最底层调用 runtime_makeslice 分配空间,这个函数返回的是指向内部数组的指针
访问 Slice

org_len := slice1[name_size + 1]

在这里插入图片描述
在访问 Slice 中元素时,会检测是否越界如果越界则调用 runtime_panicIndex

append / copy

当 Length 已经等于 Capacity 的时候,再使用 append 给 slice 追加元素,会调用 runtime_growslice 进行扩容。

在代码中的表现是在 append / copy 的时候会检测,slice.len + 1 与 slice1.cap 的大小关系
在这里插入图片描述
如图在把 slice 转换为字符串的过程前,由于将要 copy slice,所以会对传参 len 进行检测。

切片截取

myvar
最低0.47元/天 解锁文章
IT老涵
关注
专栏目录
2024第八届全国职工职业技能大赛“网络与信息安全管理员”河北省预选拔赛解析
Aluxian_的博客
08-03 1060
2024第八届全国职工职业技能大赛“网络与信息安全管理员”某省选拔赛解析
QCTF 2018xman夏令营选拔赛
Xi4or0uji
07-15 2211
小肉鸡太菜了,就只做了三题orz....... x-man-a-face 这题挺简单的,拿到一个图片,看见有个二维码 发现少了两个定位点,用photoshop补全 扫一下就出来一串KFBVIRT3KBZGK5DUPFPVG2LTORSXEX2XNBXV6QTVPFZV6TLFL5GG6YTTORSXE7I= 然后base32解码就行了 Lottery 这题是弱类型匹配,进...
Xman 选拔赛 NoLeak writeup
charlie_heng的专栏
08-09 806
很久没发博客了,就随便写一下吧 想出一道House of Roman的题,然后去找了下类似的题目,记起来选拔赛的时候好像有一道NoLeak,那时候队里面的师傅做了,我就懒得做了,现在回顾了下,发现根本不用house of Roman就能get shell,直接partial write就可以写malloc hook,然后将shell code 写到bss段,跳到bss段get shell 下面...
[BUUCTF-pwn] xman冬令营选拔赛_2018_pwn_store
weixin_52640415的博客
11-26 243
no坑no题。这题的坑太害人 看上去是个简单的堆里,edit name时用strcpy有off_by_null漏洞,只需要作ABC t先释放A通过B修改c的pre_inuse=0,再释放C得到合并。再申请到B,释放B,再写入free_hook就行了 漏洞点: strcpy复制时会在尾部带\0 unsigned __int64 m2edit() { int v0; // eax unsigned int v2; // [rsp+Ch] [rbp-44h] BYREF ch...
XMAN
csu_vc的博客
07-17 1432
先从web开始说起吧,因为错过了时间所以在平台关闭之前抓紧时间练了一练,中间请教了几个大佬web第一题——variacover拿到题目,是个源代码 发现这里存在变量覆盖,还有看到两个MD5==,往弱口令方向想,然后 一开始我还不知道为什么,然后搜了一下才懂得 0e后面会被识别成0的10的多少次方,再加上php是弱语言,会自动判断数据类型,所以零=零WEB第二题——urldecode
CTF PWN [XMAN]level2(x64)
qq_41743240的博客
04-08 435
CTF PWN [XMAN]level2(x64) 题目地址 首先进行checksec保护机制的查询 发现只开了NX,所以不能利用shellcode方式获取shell,这里采用ROP方式获取shell IDA反编译查看伪源码 程序非常简单,两个函数 main: vulnerable_function: 在vulnerable_function有个问题,buf申请空间为0x80字节,然而可以读...
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
在2018年的第二届强网杯线上赛中,存在一系列难度较大的Web题目,这些题目主要测试参赛者的Web安全技能,包括但不限于密码学、SQL注入、XSS攻击、CSRF漏洞等。 首先,第一层绕过机制涉及到字符串比较和MD5哈希。...
2020年第六届“湖湘杯”网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛.zip
11-01
【标题】: 2020年第六届“湖湘杯”网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛 【描述】: 这个压缩包文件包含了2020年第六届“湖湘杯”网络安全技能大赛洞庭决赛中,互联网选拔赛第二场的线上CTF...
CTF 2021 中国工业互联网安全大赛 河南 选拔赛 zip
12-07
CTF 2021 中国工业互联网安全大赛 河南 选拔赛 zip
CTF - 第二届“陇剑杯”网络安全大赛线上赛部分write up
08-26
CTF-第二届“陇剑杯”网络安全大赛线上赛部分write up 本篇文章将围绕第二届“陇剑杯”网络安全大赛线上赛的 Write-up 进行详细的讲解,从中可以学到许多实用的网络安全知识。 首先,我们来看一下第一个题目,黑客...
xmanctf_2019_crypto_cycle_write_up
WaterDemo22的专栏
12-31 612
一道xmanctf逆向题目的解答 周末试了试xmanctf的题目,试了一下crypto的cycle那一题,逻辑逆向难度不是很大。主要是对于逆向出来对逻辑,整理成解题思路的过程有点繁琐,需要对程序的精细化处理。分为三个步骤:编码、跳表处理和约束求解,具体分析如下。 编码 对输入字符进行编码,编码算法是: 关键逻辑是有两个: v2 = byte_202020[i] + v4 –s s[i]...
XCTF攻防世界(2019Xman第一阶段练习赛) Pwn 4-ReeHY-main 两种解法
Kaller的博客
08-05 674
一、栈溢出Getshell 分析 审计IDA代码,发现在create中存在栈溢出、类型转换漏洞。如下: ///栈空间布局 int result; // eax char buf; // [rsp+0h] [rbp-90h] void *dest; // [rsp+80h] [rbp-10h] int index; // [rsp+88h] [rbp-8h] s...
CTF-web Xman-2018 第四天 WEB 初讲
iamsongyu的博客
12-11 881
web作为CTF中的一类大题目,涉及的面非常广,前面具体也说过一些类别的题目。 https://blog.csdn.net/iamsongyu/article/details/82968532 l给定一个web网站 l根据题目所给提示信息,找到网站上的flag字符串 l做题方式类似于真实渗透,可能涉及信息收集、各类漏洞发现与利用、权限提升等等 l为了获取flag,可能需要拿到管理员权限,...
180107 逆向-Xman移动安全冬令营选拔赛
whklhhhh的博客
01-07 953
1625-5 王子昂 总结《2018年1月7日》 【连续第464天总结】 A. Xman移动安全冬令营选拔赛 B. 搞完领航杯马不停蹄回来搞移动逆向,感谢主办方延长了时间~ 逆向类的题目很有意思(°∀°)ノ 脑洞/杂项类的就……(跪 返老还童 反编译查看java代码,发现调用了一个WebView,加载了包内的check_flag.html 解包拿出来,查看发现存在混淆的js代码
CTF-web Xman-2018 第一天 入营msic
iamsongyu的博客
12-01 2602
广度大,深度不怎么深,涉及的方面有各种加密,流量分析,隐写,文件恢复等 这种类型的题目主要是在于手中的工具要全,很多时候都是依靠工具来完成的,一部分是自己如何找到题目的要点,使用对的工具 考的东西:         细心50         套路40         发散10 Recent Misc Challenge         主流方向,考察点一张大图,网上应该有。     ...
第四届Xman个人排位赛流量分析之strange_ssid复现
12-29
第四届Xman个人排位赛流量分析之strange_ssid复现 查找SSID找到一个md5,爆破之,得flag{n3k0}
2024年中国工业互联网安全大赛河南选拔赛题目附件
最新发布
09-14
本次竞赛内容由初赛和复赛两部分组成:第一部分为初赛(理论知识选拔赛),包含工业信息安全领域理论知识竞赛、CTF竞赛;主要考核参赛选手对网络安全及工业互联网安全相关政策法规、基础知识的掌握情况以及技术应用...
BugkuCTF-Reverse题First_Mobile(xman)
am_03的博客
08-26 484
知识点 1.getByte() 功能:返回字符的ascii码值 2.equals() 功能:用于将字符串与指定的对象比较。 结果:相等时返回true,反之返回false 下载apk文件 使用jeb3打开反编译代码 分析,程序将editText里的内容进行一次encode.check检查,通过就显示correct 那核心代码应该在encode函数里 这个函数逻辑很简单,就是对输入的长度为16的字符串的每个字符进行运算,若运算结果字符没有变,就通过。 解方程太复杂了,编写一个简单的python脚本进行爆破
XCTF:练习CTF解题XMAN比赛 8-8 login
Gunther的博客
09-05 1974
login 首先查看源码(看关键点): 因为是post方式那么我们就利用bp. 在登陆页面输入username=admin,,password=admin得到下面信息: 下面分析: if ($result!=null&&$result->rowCount()==1) { echo $flag; }搜了一下P
修改ezxml支持在windows下解析xml文件
无奋斗、无青春!
01-20 994
目录 ezxml.c ezxml.h make test 源码下载:http://ezxml.sourceforge.net/ ezxml.c /* ezxml.c * * Copyright 2004-2006 Aaron Voisine <aaron@voisine.org> * * Permission is hereby granted, free of charge, to any person obtaining * a copy of this softw.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值