vctfezvm复现

最新推荐文章于 2024-05-31 14:42:05 发布
最新推荐文章于 2024-05-31 14:42:05 发布
阅读量164 收藏
点赞数 4
文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LAOdark/article/details/136911243
版权
考点:魔改upx壳,vm,魔改rc4

用脱壳机脱壳失败,报错IOexceptationbadseek2.那么大概就是修改了某个地方的特征码。但是很可惜当时不知道这个知识点。后来知道是改了最后的四个字节,只需要把最后四个字节改成0xf4,00,00,00就能用脱壳机脱壳。

for ( i = 0; i <= 3; ++i )
    *(&a1->_eax + i) = 0;
a1->_eip = &unk_4020;
LODWORD(a1->eflag) = 0;
for ( j = 0; j <= 7; ++j )
{
    LOBYTE(a1->functable[j].opcode) = j - 16;
    a1->functable[j].funcs = *(&off_41A0 + j);  //绑定函数
}
s = malloc(0x300uLL);
memset(s, 0, 8uLL);
v1 = s + 544;
result = qword_4140;
v3 = qword_4148;
*(s + 68) = qword_4140;
*(v1 + 1) = v3;
return result;
}

这个函数为vm虚拟机的初始化代码,包含了一些寄存器,指向操作码opcode的eip,标志位,以及调度器所调用的一些handle函数等。将a1的类型更改为自定义的结构体类型可以好看一点。

#include<stdio.h>
unsigned char opcode[] =
{
  0xF0, 0xE0, 0x02, 0x00, 0xF0, 0xE0, 0x00, 0xE0, 0x02, 0xF0,
  0xE1, 0xE0, 0x02, 0xE0, 0x02, 0xF0, 0xE0, 0x01, 0x10, 0xF2,
  0xE0, 0x00, 0xE0, 0x01, 0xF1, 0xE0, 0x00, 0x20, 0x02, 0xF0,
  0xE0, 0x00, 0xE1, 0xE0, 0x00, 0xF0, 0xE0, 0x01, 0xE0, 0x02,
  0xF1, 0xE0, 0x01, 0x00, 0x01, 0xF0, 0xE1, 0xE0, 0x01, 0xE0,
  0x00, 0xF3, 0xE0, 0x02, 0xF6, 0xE0, 0x02, 0x00, 0x01, 0xF7,
  0x04, 0xF0, 0xE0, 0x02, 0x00, 0xF0, 0xE0, 0x03, 0x00, 0xF0,
  0xE0, 0x00, 0xE1, 0xE0, 0x02, 0xF1, 0xE0, 0x03, 0xE0, 0x00,
  0xF0, 0xE0, 0x00, 0xE1, 0x02, 0xF1, 0xE0, 0x00, 0x00, 0x01,
  0xF0, 0xE0, 0x00, 0xE1, 0xE0, 0x00, 0xF1, 0xE0, 0x03, 0xE0,
  0x00, 0xF2, 0xE0, 0x03, 0x00, 0x01, 0xF0, 0xE0, 0x00, 0xE1,
  0xE0, 0x02, 0xF0, 0xE0, 0x01, 0xE1, 0xE0, 0x03, 0xF0, 0xE1,
  0xE0, 0x03, 0xE0, 0x00, 0xF0, 0xE1, 0xE0, 0x02, 0xE0, 0x01,
  0xF3, 0xE0, 0x02, 0xF6, 0xE0, 0x02, 0x00, 0x01, 0xF7, 0x45,
  0xF0, 0xE0, 0x02, 0x00, 0xF0, 0xE0, 0x03, 0x00, 0xF3, 0xE0,
  0x02, 0xF2, 0xE0, 0x02, 0x00, 0x01, 0xF0, 0xE0, 0x00, 0xE1,
  0xE0, 0x02, 0xF1, 0xE0, 0x03, 0xE0, 0x00, 0xF2, 0xE0, 0x03,
  0x00, 0x01, 0xF0, 0xE0, 0x00, 0xE1, 0xE0, 0x02, 0xF0, 0xE0,
  0x01, 0xE1, 0xE0, 0x03, 0xF0, 0xE1, 0xE0, 0x03, 0xE0, 0x00,
  0xF0, 0xE1, 0xE0, 0x02, 0xE0, 0x01, 0xF1, 0xE0, 0x00, 0xE0,
  0x01, 0xF2, 0xE0, 0x00, 0x00, 0x01, 0xF0, 0xE0, 0x00, 0xE1,
  0xE0, 0x00, 0xF0, 0xE0, 0x01, 0xE0, 0x02, 0xF4, 0xE0, 0x01,
  0xF1, 0xE0, 0x01, 0x00, 0x02, 0xF0, 0xE0, 0x01, 0xE1, 0xE0,
  0x01, 0xF5, 0xE0, 0x00, 0xE0, 0x01, 0xF1, 0xE0, 0x00, 0xE0,
  0x02, 0xF0, 0xE0, 0x01, 0xE0, 0x02, 0xF4, 0xE0, 0x01, 0xF1,
  0xE0, 0x01, 0x00, 0x02, 0xF0, 0xE1, 0xE0, 0x01, 0xE0, 0x00,
  0xF0, 0xE0, 0x01, 0xE0, 0x02, 0xF4, 0xE0, 0x01, 0xF6, 0xE0,
  0x01, 0x20, 0x00, 0xF7, 0x94, 0xF8
};
int eflag = 0;
unsigned char string[] = "abcd";
unsigned int  n[4] = { 0 };        //寄存器
int mov(int x) {
	int i = 0;
	for (i = 1;; i++) {
		if (opcode[x + i] > 0xEF) {
			break;
		}
	}
		if (i == 6) {
			if (opcode[x + 1] == 0xE0) {
				if (opcode[x + 4] == 0xE0) {
					printf("e%cx = s[e%cx]\n", string[opcode[x + 2]], string[opcode[x + 5]]);
				}
				else {
					
					printf("e%cx = s[%d]\n", string[opcode[x + 2]], (opcode[x + 5] << 8) + opcode[x + 4]);
				}
			}
			else if (opcode[x + 1] == 0xE1) {
				
				printf("s[e%cx] = e%cx\n", string[opcode[x + 3]], string[opcode[x + 5]]);
			}
			return 6;
		}
		else if(i<=6){
			if (i == 4) {
				
				printf("e%cx =  %d\n", string[opcode[x + 2]], opcode[x + 3]);
				return 4;
			}
			else if (i == 5) {
				
				printf("e%cx  =  e%cx\n",string[opcode[x + 2]],string[opcode[x + 4]]);
				return 5;
			}
		}
	}
int add(int i) {
	if (opcode[i + 3] == 0xE0) {
	
		printf("add e%cx  e%cx\n", string[opcode[i + 2]], string[opcode[i + 4]]);
	}
	else {
		printf("add e%cx  %d\n", string[opcode[i + 2]], ((opcode[i + 4] << 8) + opcode[i + 3]));  //注意运算符优先级
	}
	return 5;
}
int mod(int i) {
	if (opcode[i + 3] == 0xE0) {

		printf("e%cx mod e%cx\n", string[opcode[i + 2]],string[opcode[i + 4]]);
	}
	else {

		printf("e%cx mod %d\n", string[opcode[i + 2]], ((opcode[i + 4] << 8) + opcode[i + 3]));
	}
	return 5;
}
int inc(int i) {
	printf("e%cx ++\n", string[opcode[i + 2]]);

	return 3;
}
int dec (int i) {
	printf("e%cx --\n",string[opcode[i + 2]]);

	return 3;
}
int x0r(int i) {
	printf(" xor  e%cx  e%cx\n",string[opcode[i + 2]],string[opcode[i + 4]]);

	return 5;
}
int cmp(int i) {

	printf("cmp  e%cx  0x%x\n", string[opcode[i + 2]], ((opcode[i + 4] << 8) + opcode[i + 3]));
	return 5;
}
int jmp(int i) {
	printf("jmp  %d\n=========\n",opcode[i + 1]);
	return 2;
}
int main()
{
	
	int i = 0;
	while (1) {
		if (opcode[i] == 0xF8) {
			break;
		}
		switch (opcode[i])
		{
		case 0xf0:
		
			i += mov(i);
			break;
		case 0xf1:
			
			i += add(i);
			break;
		case 0xf2:
			
			i += mod(i);
			break;
		case 0xf3:
			
			i += inc(i);
			break;
		case 0xf4:
			
			i += dec(i);
			break;
		case 0xf5:
			i += x0r(i);
			break;
		case 0xf6:
			i += cmp(i);
			break;
		case 0xf7:
			i += jmp(i);
			break;
		default:
			break;
		}
	}
	printf("retn");
	return 0;
}

打印出来的伪汇编代码大致是这样的。

ecx =  0                             初始化s和key
eax  =  ecx
s[ecx] = ecx
ebx =  16
eax mod ebx
add eax  544
eax = s[eax]
ebx  =  ecx
add ebx  256
s[ebx] = eax
ecx ++
cmp  ecx  0x100
jmp  4
=========                             生成密钥流
ecx =  0
edx =  0
eax = s[ecx]
add edx  eax
eax  =  ecx
add eax  256
eax = s[eax]
add edx  eax
edx mod 256
eax = s[ecx]
ebx = s[edx]
s[edx] = eax
s[ecx] = ebx
ecx ++
cmp  ecx  0x100
jmp  69
=========
ecx =  0                            加密部分
edx =  0
ecx ++                              
ecx mod 256                           ecx++
eax = s[ecx]
add edx  eax
edx mod 256
eax = s[ecx]
ebx = s[edx]
s[edx] = eax
s[ecx] = ebx
add eax  ebx
eax mod 256
eax = s[eax]
ebx  =  ecx
ebx --
add ebx  512
ebx = s[ebx]
 xor  eax  ebx                       data[i] ^= s[t]
add eax  ecx                         data[i] += ecx
ebx  =  ecx
ebx --
add ebx  512
s[ebx] = eax
ebx  =  ecx
ebx --
cmp  ebx  0x20
jmp  148
=========
retn

不难发现这是rc4加密,但是这里有魔改。在进行异或之后还加上了 i.


#include<stdio.h>

void rc4_init(unsigned char* s, unsigned char* key, unsigned long Len_k)
{
	int i = 0, j = 0;
	char k[256] = { 0 };
	unsigned char tmp = 0;
	for (i = 0; i < 256; i++) {
		s[i] = i;
		k[i] = key[i % Len_k];
	}
	for (i = 0; i < 256; i++) {
		j = (j + s[i] + k[i]) % 256;
		tmp = s[i];
		s[i] = s[j];
		s[j] = tmp;
	}
}

/*
RC4加解密函数
unsigned char* Data     加解密的数据
unsigned long Len_D     加解密数据的长度
unsigned char* key      密钥
unsigned long Len_k     密钥长度
*/
void rc4_crypt(unsigned char* Data, unsigned long Len_D, unsigned char* key, unsigned long Len_k) //加解密
{
	unsigned char s[256];
	rc4_init(s, key, Len_k);
	int i = 0, j = 0, t = 0;
	unsigned long k = 0;
	unsigned char tmp;
	int result = 0;
	for (k = 0; k < Len_D; k++) {
		i = (i + 1) % 256;
		result = i;
		j = (j + s[i]) % 256;
		tmp = s[i];
		s[i] = s[j];
		s[j] = tmp;
		t = (s[i] + s[j]) % 256;
		Data[k] = (Data[k]-i) ^ s[t];
	}
}
void main()
{
	//字符串密钥
	unsigned char key[] = "This_1s_f1lLllag";
	unsigned long key_len = sizeof(key) - 1;
	//数组密钥
	//unsigned char key[] = {};
	//unsigned long key_len = sizeof(key);

	//加解密数据
	unsigned char data[] = { 0x56, 0x54, 0xD9, 0xB5, 0xF3, 0xB1, 0xFD, 0x67, 0x15, 0xEE,
  0xB0, 0x68, 0xB7, 0x2B, 0x4A, 0x64, 0x10, 0x27, 0x52, 0xDE,
  0x43, 0x26, 0x0F, 0x2A, 0x41, 0x30, 0x75, 0x30, 0x98, 0x9E,
  0x79, 0x5E };
	//加解密
	rc4_crypt(data, sizeof(data), key, key_len);

	for (int i = 0; i < 32; i++)
	{
		printf("%c", data[i]);
	}
	printf("\n");
	return;
}//711df52879efbcb8964b6056d926ea35

la0da
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
锐捷rce漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-16 987
​锐捷 rce,请求路径/guest_auth/guestIsUp.php //锐捷rce漏洞 锐捷rce漏洞文件
OPINIONDIGEST
07-27
OPINIONDIGEST
bug
yanhaijunyan的博客
09-19 1468
(1)仔细回忆bug出时细节(2)bug出之前有没有什么前提之类(3)比较难重可能是偶然性的缺陷,可以列为风险
VCTF 2024 ezvm (虚拟机逆向初探)
xianyu_yuan的博客
03-21 622
进入第二个函数之后,先给result(下面简称res)赋值a1偶数位的值,进行判断,第一次是4,对应-16也就是0xF0,此时a1[3]也就是box[0]的位置就是0xF0,条件成立,返回了第a1[5]也就是函数_1,参数是a1这个指针。上者在v3的地址4,6,8········18这八个位置存储了 -16,-15············,-9这几个值(对应的16进制考虑正负的转换,就是0xF0,0xF1········)下面的在v3地址5,7,9········19这八个位置存储了上面的八个函数。
phpcms的漏洞
https://www.cnblogs.com/zpchcbd/
09-26 3548
xxxxxxxxxxx
TransUNet模型
未来AI的博客
07-27 4582
这里先说一些题外话,在感情路上,大家都或多或少经历过一些挫折,因此我帮我朋友问大家一个经典的感情问题:当你喜欢上一个对自己没有感觉的女生的时候应该怎么办!哈哈,欢迎家人们在评论区留言~咳咳,言归正传了啊~因为我用的是老师的电脑(相当于本地跑代码),然而有很多友友们是通过连接远程Linux服务器运行代码,所以本篇博客的教程还是会有一点不一样。
redis漏洞
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
03-24 1818
目录 redis准备 启动redis服务器 redis漏洞利用 写入webshell 计划任务反弹shell 写入公钥远程连接 主从制RCE(Linux) 主从同步RCE漏洞 Windows自启动 redis密码暴力破解 由于最近github的问题,已备好 资源包 提取码:ks18 redis准备 Linux 安装: https://redis.io/download tar xzf redis-6.0.1.tar.gz cd redis-6.0.1...
weblogic 漏洞
03-11 7175
cd vulhub/weblogic/CVE-2018-2894/ //进入对应得目录 sudo service docker start //启动docker服务 docker-compose up -d //启动 docker-compose stop //测试完毕后停止服务 docker-compose down //移除容器 Weblogic 任意文件上传漏洞(CVE-2018-2894) 漏洞成因:WebLogic 管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限
Transunet
jiayou114的博客
01-19 2422
1.下载 Google 预训练的 ViT 模型(其实 就用的这一个)
CLIP项目
Lemonade126的博客
08-09 1151
clip图像描述手把手教学。
WebSphere漏洞总结
1ance's blog
11-14 8905
写在前面:本文为漏洞系列WebSphere篇,的漏洞已vulhub中存在的环境为主。 欢迎大家点赞收藏,点点关注更好了hhhhhh 文章目录简介WebSphere反序列化(CVE-2015-7450)漏洞原理影响范围漏洞建议弱口令 && 后台Getshell漏洞原理影响范围漏洞建议CVE-2020-4450总结 简介 WebSphere® Application Server 加速交付新应用程序和服务,它可以通过快速交付创新的应用程序来帮助企业提供丰富的用户体验从基
CVE-2020-24616
mukami0621的博客
09-07 2724
CVE-2020-24616 预警参考链接:https://s.tencent.com/research/bsafe/1102.html 8月底爆出的新漏洞,分析可参考:https://mp.weixin.qq.com/s/IICSnsSgwsjnbImgVP-y5g 参考CVE-2020-8840的流程,编写Poc,实此漏洞 1、搭建一个Java项目,新建一个Poc类,下载并导入存在漏洞的包 2、可以直接本地充当服务端,也可使用另一台在同一局域网下的电脑充当服务端,两种方式经实验皆可成功
论文-深度补全算法
03-10
1、传统深度不全算法 2、详细内容可见:https://blog.csdn.net/qq_43627520/article/details/123344654?spm=1001.2014.3001.5502 3、代码可直接运行、包含有测试用例、以及验证代码
numpyxgboost算法内含数据集
10-16
numpyxgboost算法内含数据集
numpy实adaboost算法
10-16
Adaboost是一种迭代算法,其核心思想是针对同一个训练集训练不同的分类器(弱分类器),然后把这些弱分类器集合起来,构成一个更强的最终分类器(强分类器)。
C++中的智能指针类别
最新发布
GOLOJO的博客
05-31 916
C++中的智能指针是用来管理动态内存的对象,避免我们手动管理内存时可能会带来的杂性和错误。C++标准库提供了几种不同类型的智能指针,包括``、``和`- 优先使用``和``来创建智能指针,避免手动使用`new`,可以提高代码的安全性和性能。- 在使用``时要特别小心循环引用的问题。可以使用``来打破循环引用。- 确保智能指针的生命周期管理正确,避免悬空指针和内存泄漏。- 虽然智能指针极大地简化了内存管理,但也带来了额外的开销,如引用计数的维护。因此,在性能敏感的代码中,应慎重使用`
C语言 指针——指针变量的定义、初始化及解引用
hangweijie的博客
05-29 1253
目录指针内存如何编址?如何对变量进行寻址?用什么类型的变量来存放变量的地址?如何显示变量的地址?​编辑使用未初始化的指针会怎样?NULL是什么?如何访问指针变量指向的存储单元中的数据?指针变量的定义和初始化
关于C++的特殊类定制
m0_62126248的博客
05-28 382
C++的一些特殊性质的类如何进行设计
RXDNFuse
05-01
RXDNFuse技术需要具备一定的技术知识和实践经验。简单来说,RXDNFuse的过程包括以下几个步骤: 1. 寻找可注入的Windows系统进程; 2. 制作恶意DLL文件; 3. 利用工具或手动将恶意DLL注入到系统进程中; 4. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值