Tworld bugku writeup

最新推荐文章于 2023-10-10 01:22:11 发布
最新推荐文章于 2023-10-10 01:22:11 发布
阅读量489 收藏 2
点赞数 1
文章标签: 其他 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HLi1219/article/details/122157694
版权

ExeinfoP查壳,发现有upx壳,利用upx脱壳机脱壳

 

打开不能正常运行,查看了大佬的writeup Tworld-Bugku-Reverse - Moominn - 博客园 (cnblogs.com) 

使用 StudyPE+ 固定 PE 基址,后可以正常运行

根据语句找到相应的函数

void __noreturn sub_4012A0()
{
  signed int v0; // eax
  HRSRC v1; // eax
  HRSRC v2; // esi
  DWORD v3; // ebx
  HGLOBAL v4; // eax
  const void *v5; // edi
  HANDLE v6; // esi
  signed int v7; // ecx
  DWORD NumberOfBytesWritten; // [esp+Ch] [ebp-70h]
  int v9; // [esp+10h] [ebp-6Ch]
  char v10[100]; // [esp+14h] [ebp-68h]

  sub_401020((int)"Welcome to the word management system :\\\n");
  sub_401020((int)"Please enter your administrator password\n>");
  sub_401050("%s", v10);
  v0 = 0;
  do
  {
    if ( (dword_4032E8[v0] ^ v10[v0]) != dword_4032D0[v0] )
    {
      sub_401020((int)"You're not an administrator :(\n");
      exit(0);
    }
    ++v0;
  }
  while ( v0 < 6 );
  sub_401020((int)"Hello administrator :)\n");
  while ( 1 )
  {
    sub_401020((int)"====================\n");
    sub_401020((int)"1.flag.doc\n");
    sub_401020((int)"2.Walk the maze\n");
    sub_401020((int)"3.exit\n");
    sub_401020((int)"====================\n");
    sub_401050("%d", &v9);
    if ( v9 != 1 )
    {
      if ( v9 != 2 )
        exit(0);
      sub_401120();
    }
    v1 = FindResourceA(0, (LPCSTR)0x67, "doc");
    v2 = v1;
    if ( !v1 )
    {
      v7 = -1;
      goto LABEL_17;
    }
    v3 = SizeofResource(0, v1);
    v4 = LoadResource(0, v2);
    if ( !v4 )
    {
      v7 = -2;
      goto LABEL_17;
    }
    v5 = LockResource(v4);
    DeleteFileA("flag.doc");
    if ( PathFileExistsA("flag.doc") )
    {
      v7 = -3;
      goto LABEL_17;
    }
    v6 = CreateFileA("flag.doc", 0x10000000u, 0, 0, 1u, 0, 0);
    if ( v6 == (HANDLE)-1 )
      break;
    if ( !WriteFile(v6, v5, v3, &NumberOfBytesWritten, 0) )
    {
      v7 = -5;
LABEL_17:
      sub_401080(v7);
      exit(0);
    }
    CloseHandle(v6);
  }
  v7 = -4;
  goto LABEL_17;
}

 找到admin的加密,进行破解

#include<stdio.h>
int main() {
	
  int a[] = {0xD0,0xCF,0x11,0xE0,0xA1,0xB1};
  int b[] = {0xA3,0xA1,0x70,0xA6,0xF3,0xD7}; 
  for (int i = 0; i < 6; i++)
      printf("%c",a[i]^b[i]);
}

得到snaFRf

 得的flag,但是发现flag文件是加密的

来到了第二项Walk the maze 走迷宫,输入得到关键字

 找到函数

void __noreturn sub_401120()
{
  char v0; // cl
  signed int v1; // ebx
  signed int v2; // edx
  char *v3; // edi
  signed int v4; // esi
  int v5; // eax
  char v6; // al
  unsigned int v7; // eax
  int v8; // ecx
  __int128 v9; // [esp+Ch] [ebp-10Ch]
  __int128 v10; // [esp+1Ch] [ebp-FCh]
  __int128 v11; // [esp+2Ch] [ebp-ECh]
  __int128 v12; // [esp+3Ch] [ebp-DCh]
  char v13; // [esp+4Ch] [ebp-CCh]
  char v14; // [esp+4Dh] [ebp-CBh]
  char v15; // [esp+4Eh] [ebp-CAh]
  char v16[97]; // [esp+4Fh] [ebp-C9h]
  char v17; // [esp+B0h] [ebp-68h]
  char v18; // [esp+B1h] [ebp-67h]
  char v19; // [esp+B2h] [ebp-66h]
  char v20[97]; // [esp+B3h] [ebp-65h]

  sub_401020((int)"Where am I?\n");
  sub_401050("%s", &v17);
  v0 = v17;
  v1 = 0;
  v2 = 1;
  if ( v17 )
  {
    v3 = &v17;
    v4 = 12;
    do
    {
      switch ( v0 )
      {
        case 'w':
          v4 -= 12;
          break;
        case 'a':
          --v2;
          break;
        case 's':
          v4 += 12;
          break;
        case 'd':
          ++v2;
          break;
        default:
          goto LABEL_15;
      }
      v5 = dword_403300[v4 + v2];
      if ( v5 != '.' )
      {
        if ( v5 != 'd' )
          break;
        v1 = 1;
      }
      v6 = (v3++)[1];
      v0 = v6;
    }
    while ( v6 );
LABEL_15:
    if ( v1 )
    {
      v7 = 0;
      v9 = xmmword_403480;
      v10 = xmmword_403470;
      v11 = xmmword_403450;
      v12 = xmmword_403460;
      do
      {
        *(&v13 + v7) = *(&v17 + v7) ^ *((_BYTE *)&v9 + 4 * v7);
        *(&v14 + v7) = *(&v18 + v7) ^ *((_BYTE *)&v9 + 4 * v7 + 4);
        *(&v15 + v7) = *(&v19 + v7) ^ *((_BYTE *)&v9 + 4 * v7 + 8);
        v8 = *((unsigned __int8 *)&v9 + 4 * v7 + 12);
        LOBYTE(v8) = v20[v7] ^ v8;
        v16[v7] = v8;
        v7 += 4;
      }
      while ( v7 < 0x10 );
      if ( v7 < 0x64 )
      {
        *(&v13 + v7) = 0;
        sub_401020((int)&unk_4031C0, &v13);
        exit(0);
      }
      sub_401587(v8, v2);
    }
  }
  sub_401020((int)"I'm lost.");
  exit(0);
}

找到迷宫图:

经过整理得到(把.换成了0)

 走法为wsda,必须走.,到d结束,根据v4和v2的值可以知道我们是从s开始的

在原程序中输入闪退,可以在OD上输入,得到密码

Flag{Oh_my_God_this_one_is_so_trong} 

唯一的不知道的是固定 PE 基址这个操作,看了挺多文章的,在这篇文章找到了我想要的答案

(38条消息) PE文件结构(五)基址重定位_billvsme的专栏-CSDN博客

按我的理解就是程序装载的地址与其他程序装载的地址相同或者起冲突。理论知识不够

然后我问了师兄,师兄说可能是upx脱壳过程中,代码从压缩到展开导致展开后的代码与原来的源码没有对齐,所以PE头没有回到原来的地方,我觉得这个比较有信服力。

禾兮兮
关注
Go必知必会系列:Go语言基础语法与特性
AI天才研究院
09-25 1818
作者:禅与计算机程序设计艺术 1.简介 Go(Golang)是由Google开发并开源的一门编程语言,由, 及一起创造,于2009年发布,其开发者为了实现更高的并行处理能力、更易于编写安全、快速且可维护的代码而设计出来。Go语言具有相对传统编程语言简单清晰的特点,同时
12从零开始学Java之详解必须掌握的数据类型
一一哥
03-24 491
在计算机程序中,其实会有非常多需要我们处理的数据,那么计算机底层是如何对这些数据进行处理的呢?举个栗子,假如现在有个大型的仓库用来堆放双十一期间的各种快递。我们不可能把所有的快递一股脑的都堆放在一起,肯定需要分类存放,蔬菜放一块,服装放一块,玩具放一块......这样才能最大程度地利用空间,而且也更容易查找货物。
BUGkuCTF
bigbigworld666的博客
06-26 1415
BUGkuCTF (一)WEB (1)web2 进入环境,首先看源码,在里面直接找到flag [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-97sg5F09-1593143273882)(file:///C:/Users/HP/AppData/Local/Temp/msohtmlclip1/01/clip_image002.gif)] (2)计算器 首先输入数字发现只能输入1个,所以F12去修改源码,将maxlength修改,然后填入正确数字即可出现flag [外链图片转存失
尝试用studyPE和x32dbg修改.exe文件
qq_40793198的博客
07-14 1500
标题尝试用studyPE和x32dbg修改.exe文件 首先,准备一个exe文件,这里我使用自己用c++编写的exe文件,在程序中调用了LoadLibraryA函数动态加载dll文件,并使用GetProcAddress函数查询dll文件中的函数。采用这样的动态加载是为了简化试验过程,通常情况下,由于程序启动时会有地址重定位,因此,修改非动态加载的地址会比较繁琐。下面是源程序,编译后生成的程序就是我们的试验目标exe程序: 下面,启动x32dbg.exe,并点文件->打开,打开上面生成的exe文件;如
DLL注入与DLL劫持注入
qq_43082315的博客
10-08 3260
DLL注入和DLL劫持注入都可以让游戏运行我们编写的DLL
PE实战教程之扩大节
weixin_43742894的博客
04-01 749
本篇文章复习扩大节,顾名思义就是将节表的大小扩大,那就要搞清楚俩个问题: 1.为什么扩大节? 2.如何扩大节? PE实战教程之扩大节为什么扩大节如何扩大节?扩大哪一个节?扩大节的步骤实战环节: 为什么扩大节 上篇文章进行了空白区添加我们的代码,但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大节。 如何扩大节? 我们先看节表的结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //8个
StudyPE+ x64 64bit
05-01
StudyPE+ x64 64bit,最新版ko
Tworld IRC Services-开源
05-01
【标题】:“Tworld IRC Services-开源” 【描述】:“IRC服务我的第一个项目”表明这是一个与Internet Relay Chat(IRC)相关的开源项目,可能是用于构建和管理IRC网络的服务端软件。作为作者的第一个项目,它可能...
可是我这样写无法检测到真正的\t,比如我输入Hello\tWorld!实际接收到的是Hello\\tWorld!。所以我在输入Hello\tWorld!时,输出结果仍不是0
最新发布
10-26
您的情况涉及到字符串处理中的转义字符问题。当你在Python中写入`\t`时,它表示一个制表符的字面值,而不是实际的制表符。...` 时,将会正确识别并返回结果0,因为会将其视为 `"Hello\tWorld"` 来检查。
常用LINUX配置及SHELL命令集锦-SHELL命令
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
09-13 984
常用的LINUX操作命令使用用法,包括文件目录操作类、时间日期类、进程线程等
StudyPE x86
11-30
学习PE格式的方法是自己先准备一个十六进制工具, 用这个工具打开一个EXE文件对照着学。强烈推荐你用Stud_PE 这款工具辅助学习PE格式。PE格式学习的重点是在输入表(Import Table)这块。Stud_PE工具界面:
修改游戏,内存基址固定不变啦,好吧
12-16
你试没试过用金山游侠修改红警二的金钱?如果有的话你应该知道每玩一次就要改一次,因为这个游戏是动态分配内存的,每次重新开始都会改变。所以你会选择到网上去下载一个专用的修改器,那么你有没有想过自己做一上呢?想过?那你为什么不做?什么不会?那就好办了,看了这篇教程你就会了
StudyPE+ x64.exe
07-14
StudyPE+ x64.exe
BUUCTF 新年快乐 1
qq_56313338的博客
10-10 119
加壳是通过在原始可执行文件周围包装一层额外的代码(壳)来实现的,这个壳在运行时负责解密、加载和执行原始程序。程序刚开始加载的时候,最先开始就是执行壳程序,壳程序将所有的寄存器进行压栈,保存壳执行前所有寄存器的状态。像这个UPX的壳就是压缩壳,可以有效的压缩程序的体积,在分析该程序之前我们就需要先去壳才行。然后再同目录下会出现SCY结尾的一个程序,这个就是脱壳之后的程序,使用IDA32打开。可以看到一个pushd的断点,删除其他的断点,留下pushad这个断点。下面的文件类型显示有一个UPX的壳。
Exeinfo PE查壳工具
热门推荐
qq_45970858的博客
04-20 3万+
Exeinfo PE查壳工具 这个工具可以查看区段和EP设相当于一个查壳子的工具 简介 一种类PEiD查壳程序.它至今依然被更新.使它拥有鉴定相当多文件类别的能力.其整合丰富了PEiD的签名库. 官网下载 https://exeinfo-pe32.en.softonic.com/ 使用方法 将需要获取信息的文件拖到exeinfo pe上去 或者点击“文件”图标,进行浏览,找到那个文件. 下面以buuctf-Reverse-esayre为例子,进行举例: 将下载的easyre.exe直接拖入其中 点击扳手
190514-读取基址与偏移的几种方式
05-14 5082
基址分为固定基址,与随机基址 一般的EXE里 数据段和代码段 相关的地址是固定的 通常DLL里找到的基址都是动态的 常见的基址 形式 一、固定基址 标题先说固定的基址 举个例子 某个游戏的角色相关的几个地址: 0x400056 //int 血量 0x40006c //float x坐标 0x400070 //float y坐标 或者 [0x458800AC]+0x180 ...
[XCTF-Reverse] 51 2019_UNCTF_BabyXor
weixin_52640415的博客
03-23 251
一打开看程序有壳,通过exeinfo查不到,用通用脱壳机脱成功。 主程序分3段加密 int main_0() { int v0; // ST5C_4 char *v1; // ST6C_4 const char *v2; // ST68_4 void *v3; // ST64_4 size_t v4; // eax char *v5; // ST60_4 sub_4010B4((int)dword_4395F0, dword_432020); sub_40107D((
尝试用studyPE和x32dbg修改.exe文件01
qq_40793198的博客
07-15 1131
标题尝试用studyPE和x32dbg修改.exe文件01 首先,准备一个exe文件,这里我使用自己用c++编写的exe文件,在程序中调用了LoadLibraryA函数动态加载dll文件,并使用GetProcAddress函数查询dll文件中的函数。采用这样的动态加载是为了简化试验过程,通常情况下,由于程序启动时会有地址重定位,因此,修改非动态加载的地址会比较繁琐。下面是源程序,编译后生成的程序就是我们的试验目标exe程序: 下面,启动x32dbg.exe,并点文件->打开,打开上面生成的exe文件
pe结构之初体验(一)
菜瓜的博客
02-10 1241
本人只是近期在学习pe结构,顺便写了一下,如果有错的地方请大神多多指教。一、环境    IDE:010 Editor或ultraedite     pe工具:StudyPE+    反汇编:W32DasmV10.0等,有些工具以后用的了我再说,我刚开通CSDN,也不知道怎么上传,大家可以在网上下载,如果需要可以留言我发给你,或者那天我会上传了我会把这些工具上传,大家可以下载。二、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值