[WUSTCTF2020]funnyre writeup

最新推荐文章于 2024-03-20 09:29:54 发布
最新推荐文章于 2024-03-20 09:29:54 发布
阅读量624 收藏 1
点赞数 1
文章标签: 经验分享 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HLi1219/article/details/122202998
版权

常规第一步用exeinfope查壳

在虚拟机尝试运行

 不能正常运行,利用ida打开,在函数列表中没有找到主函数,在IDA View中找到了主函数main,没有被定义

往下找发现花指令,这也是我第一次接触到花指令

 这里的jz      short near ptr loc_40061A+1和jnz     short near ptr loc_40061A+1肯定是有问题的,还有call    near ptr 0FFFFFFFF810037AFh的地址很奇怪,需要修改,根据之后的函数

要修改成这个样子,网上师傅的nop哪,没有说,只是说了需要nop掉花指令,按照自己的理解我nop掉了 jz      short near ptr loc_40061A+1、jnz     short near ptr loc_40061A+1、call    near ptr 0FFFFFFFF810037AFh和jz      short near ptr loc_400621+2不可行,会出现下面的情况

我也是第一次接触花指令,不知道为什么,翻了网上师傅的writeup,慢慢尝试发现原来需要nop成这样:

 后面的三次,就不一一展示

然后就是定义函数,定义的方法就是选中范围然后按热键P

需要P两处 

得到main函数为:

 多次异或,大概350次,没办法,找到了师傅的脚本:

import angr
import claripy

p=angr.Project('D:\桌面\缓存\[WUSTCTF2020]funnyre/attachment',load_options={"auto_load_libs": False})
f=p.factory
state = f.entry_state(addr=0x400605)#设置state开始运行时的地址
flag = claripy.BVS('flag',8*32)#要求的内容有32个,用BVS转成二进制给flag变量
state.memory.store(0x603055+0x300+5,flag)#因为程序没有输入,所以直接把字符串设置到内存
state.regs.rdx=0x603055+0x300
state.regs.rdi=0x603055+0x300+5#然后设置两个寄存器

sm = p.factory.simulation_manager(state)#准备从state开始遍历路径


print("ready")

sm.explore(find=0x401DAE)#遍历到成功的地址

if sm.found:
    print("sucess")
    x=sm.found[0].solver.eval(flag,cast_to=bytes)
    print(x)
else:
    print('error')

 得到:

 最后flag{1dc20f6e3d497d15cef47d9a66d6f1af}

 

禾兮兮
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[WUSTCTF2020] funnyre wp
liuxiaohuai_的博客
04-03 572
下载附件。无壳,直接ida64打开。发现没有main()函数。感觉应该是用了混淆。 从上往下查看汇编代码发现了main()函数的位置。 继续向下看。 上图红圈里的jz和jnz一看就有毛病!红框中没有标红的地方也是一样。 这里的代码应该都是像这样的格式。先声明地址,然后一个xor语句,一个add语句,一个cmp语句,一个jnz语句,最后再来一个xor语句。 把上面红框中的语句改成这种格式,直接nop掉这些多余的语句。下面大概还有4,5处这样的地方。 弄完这么的清爽! 到最后这里有个判断语句。对比v7和unk_
2020YCBCTF羊城杯官方Writeup.pdf
10-28
2020YCBCTF羊城杯官方Writeup.pdf
[WUSTCTF2020]funnyre
最新发布
2301_77301535的博客
03-20 394
发现此处存在爆红再往下看看还有什么线索,将整个函数翻完发现存在四个这种爆红call全部进行nop到了函数尾部结束的时候对其进行P然后点击跳转即可返回函数头。这题的考点是花指令,进入了ida发现无法进行F5反汇编,左边的函数名中也没有找到main函数,这里可以通过图形视图进入。这里发现条件跳转并且没有进行比较且跳转地方相同,可以断定为花指令一直到填充到此处异或运算不是垃圾指令。因为一直按F5无法进行反汇编才是是进行了混淆或者存在花指令影响汇编,往下查看汇编代码寻找线索。点击这个然后滑倒指令窗口双击main。
buuctf刷题记录25 [WUSTCTF2020]funnyre
ytj00的博客
08-08 1529
太巧了,昨天刚看了有关angr的视频今天就碰到有关的题目了 这道题考察两点吧:1.简单的花指令去除 2.在有限域上简化 无壳,ida64打开,发现不能f5,而且也没有main函数,判断应该是用了混淆 从上往下看汇编代码,找到第一处问题 这里jz和jnz一看就有问题,下面的数据也是胡扯,然后下面的这些没标红的地方都是一个样 应该吧上面错误的地方改成下面的样子,大概有四五处吧,nop掉,p声明函数,得声明两处 然后f5得到反编译 定义了300多个变量,进行了好多好多运算,直接算肯定是算不出来的, 然后就
[buuctf.reverse] 069_[WUSTCTF2020]funnyre
weixin_52640415的博客
05-11 346
去花指令 重写
[WUSTCTF 2020]funnyre-复现
liaochonxiang的博客
07-28 218
先来到startmain存在花指令,那就去除找到一处jz与jnz跳转一样,下面call和jnz也存在花指令一起nop掉这样的花指令存在4个,全部nop掉后f5得到伪代码但是里面存在这样的错误同样存在4处找到原先nop与其他地方对比发现,需要nop到xor前在main头处按p键生成函数进入main,分析,可用angr符号执行秒了flag长度为32位,加密后的flag在unk_4025C0。
WUSTCTF2020 funnyre
YenKoc的博客
01-26 68
运行起来,发现啥都没反应也没输出,ida直接打开,反编译 .init函数动调了下,发现没啥用,主要核心在于main函数,直接跟进去 发现了核心逻辑,有花指令,直接去掉,发现还挺多,然后似乎不影响观看,直接跳到后面,发现有个比较 ,直接angr一把梭就完事了,想太多没啥意思 import angr import claripy p=angr.Project('/root/Desktop/at...
[BUUCTF]Reverse——[WUSTCTF2020]funnyre
mcmuyanga的博客
07-13 1318
[WUSTCTF2020]funnyre ELF文件,无壳,用ida64打开,程序没法f5,从程序入口点找到main函数的汇编部分 因为这边没有创建函数,所以无法f5 在选取汇编部分打算创建函数的过程中发现了不对劲的地方 jz和jnz跳转到同一地址,花指令,nop掉,然后那个call看着也不太对的样子,先也nop掉,call下面的那条jz也nop掉。经过多次测试,要从第一条jz指令nop到xor eax,eax之前 一共有4处需要修改nop掉,修改完后,发现一共有两端函数没有创建,拿一处说一
你知道junk code吗[花指令][WUSTCTF 2020]funnyre
yjh_fnu_ltn的博客
03-06 515
回头再分析花指令:发现垃圾数据 jz(74) 和 call(E8)插入的位置在,0000000000400616和 000000000040061A,其与后面的数据一起被分析成了错误的指令。发现花指令仍然存在,原因是call后面的地址错误,推测这条语句原本就不是call,而硬件编码E3就是花指令,导致跳转的地址出错。1)、查壳发现没壳,用ida64打开,首先直接进入main函数。F5无法反编译,发现花指令。2)、去除花指令, 首先patch去掉jz的硬件编码74(修改位90“nop”)
WMCTF_2020官方WriteUp 高清PDF版
10-15
WMCTF_2020官方WriteUp.pdf WMCTF_2020官方WriteUp 高清PDF版
re学习笔记(56)WUSTCTF – Re方向WP
12-21
新手一枚,如有错误(不足)请指正,谢谢!! WUSTCTF-re-Cr0ssFun IDA64载入,进入main函数 查看check函数 都提取出来就是flag了。。。 得到flag为wctf2020{cpp_@nd_r3verse_@re_fun} WUSTCTF-re-level1 下载下来压缩包有两个文件,一个是ELF64位,一个是output.txt是程序的输出 IDA64位载入查看main函数 对19位的flag变换后输出,, 写脚本 #include int main(void) { unsigned int i,flag[] = { 198,232,81
linux操作系统入门实验报告
03-09
一个关于操作系统的入门实验的报告。包括截图的结果,基本指令使用等。
Flash8help_cn.part4
01-13
Flash8help_cn.part4.共有6卷,须全部下载才能解压缩。flash 教程 帮助文档 动漫 计算机
2023 强网杯 Writeup
01-29
CTF Writeup 2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析...
GKCTF2020.zip
07-20
GKCTF2020 逆向 pwn等赛题,除web题外均有
De1ctf 2020 -‘check in’ writeup
01-09
在CTF(Capture The Flag)竞赛中,"De1ctf 2020 - ‘check in’" 是一道挑战性的安全题目,主要涉及到多个网络安全技术的综合运用,特别是与Web应用程序安全相关的方面。该题目的核心是通过理解并利用服务器配置中...
BUUCTF逆向题练习记录(wp) --(3)WUSTCTF2020&&level1-4已完成
Air_cat的博客
08-28 458
注:funnyre待我搞懂angr后来解 WUSTCTF2020-level1 解密嗷 hexData = [0, 198 , 232 , 816 , 200 , 1536 , 300 , 6144 , 984 , 51200 , 570 , 92160 , 1200
花指令相关-[GFCTF2021]-wordy,[NSSRound#3 Team]jump_by_jump题解
m0_73393932的博客
03-18 1484
逆向
汇编中的jmp转移指令:jmp short、jmp near ptr、jmp far ptr
热门推荐
yeanhoo的博客
08-14 2万+
汇编中的jmp转移指令:jmp short、jmp near prt、jmp far ptr 从8086CPU的定义上来讲,只要是可以修改IP(指令指针寄存器),或同时修改CS(代码段寄存器)和IPIP(指令指针寄存器)的指令统称为转移指令。也就是说,转移指令是用来控制CPU指令内存中某处代码的指令。 那么通过转移区间的不同进行分类则有以下情况: 段内转移:只修改IP的值。也就是说,CS的值不变化...
2020 YCBCTF羊城杯官方Writeup:PHP与Web安全解题技巧实录
2020YCBCTF羊城杯官方Writeup是一份详细的竞赛报告,涵盖了该年度网络安全 Capture The Flag (CTF) 比赛中的一系列挑战,主要集中在Web、PHP、漏洞利用、密码学、以及逆向工程等不同领域。以下是各个部分的主要知识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值