XCTF-攻防世界CTF平台-Reverse逆向类——54、echo-server(Linux32位ELF文件、花指令混淆反汇编)

最新推荐文章于 2023-04-01 12:08:58 发布
最新推荐文章于 2023-04-01 12:08:58 发布
阅读量879 收藏 4
点赞数 4
分类专栏: XCTF-攻防世界-Reverse逆向类题目 # linux逆向 文章标签: elf文件 花指令 md5 代码混淆 IDA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Onlyone_1314/article/details/121058174
版权

目录标题

  下载附件,查看信息:
在这里插入图片描述

  是Linux下的32位ELF文件,运行程序:
在这里插入图片描述

  发现是一个输入字符串,将字符串中的每个字符转换成对应的ASCII码输出的程序
  用IDA打开,先查看字符串窗口:
在这里插入图片描述

  有一些用到的字符串:
在这里插入图片描述

  “Echo Server 0.3 ALPHA”这个在我们上面运行程序的时候见过了:
在这里插入图片描述

  就是在main函数中,提示我们输入字符串之前
  但是“F1@g_”和“You are very close! Now patch me~”却提示在程序中没有使用到:
在这里插入图片描述

  "%02X"和"NULL"字符串就是在我们点击上面的&loc_80487C1+ 3函数跳转到的sub_804875D函数中,但是感觉这里的跳转是有点奇怪的:
在这里插入图片描述

  sub_804875D函数的作用跟我们前面运行程序看到一样,就是将字符串中的每个字符转换成对应的ASCII码输出

第一个花指令混淆080487C1:

  但是这样我们并不能直到如何获得flag,所以这个跳转肯定不会这么简单,查看&loc_80487C1+ 3函数的汇编代码:
在这里插入图片描述

  显示的是一堆的乱码,报“endp ; sp-analysis failed”的错:SP是堆栈指针,IDA是通过retn指令来识别函数的结束的,一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误,结果它分析后发现调用栈不平衡,因此就提示sp analysis failed;也可能是因为编译器优化,结果IDA无法正确识别一个函数体的结尾部分。
  将&loc_80487C1+ 3函数的汇编代码都右键转换成未定义的数据:
在这里插入图片描述

  我们可以看到main函数中直接调用的是&loc_80487C1+ 3函数,所以loc_80487C1-loc_80487C3的汇编代码是不会影响到实际程序运行的时候的跳转,但是它是被识别成数据还是代码却可以影响到IDA之类的反汇编工具的识别。
  右键.text:080487C4转换成代码,将.text:080487C4后未定义的数据重新识别成代码:
在这里插入图片描述

  我们可以看到现在的才是真正的汇编代码loc_80487C4,
这时候,main函数中的汇编代码已经重新识别为直接跳转到loc_80487C4了:
在这里插入图片描述

  刚开始反汇编窗口中的main函数还是&loc_80487C1+ 3:
在这里插入图片描述

  后来我关了IDA重新打开,它就已经变成了loc_80487C4了:
在这里插入图片描述

  至于上面loc_80487C1-loc_80487C3的汇编代码,因为IDA把它识别为sub_804875D函数的结尾处,它其实是涉及到sub_804875D函数的sp堆栈平衡:
在这里插入图片描述
在这里插入图片描述

  其实这里的.text:080487C1 E8就是插入的花指令,用来混淆IDA反编译识别代码,在.text:080487C2右键转换为代码:
在这里插入图片描述

  .text:080487C2的C9被识别成了代码leave;.text:080487C3的C3被识别成了代码retn;
  我们再把E8改为90(会被识别为nop,不执行任何操作继续执行下一行代码),选中.text:080487C1 E8,选中IDA左上角的编辑->修补程序§,选中单字节修改方式或者双字节修改方式或者修改汇编都行:
在这里插入图片描述
在这里插入图片描述

修改之后:
在这里插入图片描述

  再把修补程序应用到输入文件,才能够把修改保存到原文件:
在这里插入图片描述

第二个花指令混淆080487F3:

  接着我们继续分析loc_80487C4下面的代码:
在这里插入图片描述

  我们开始只是将.text:080487C4下面的部分未定义的数据成功转换成了汇编代码,但是下面的loc_80487F3后的未定义数据依旧无法自动识别为汇编代码。
  我们可以看到代码运行到了.text:080487F3 EB FF的时候,它会跳转到loc_80487F3+1,也就是.text:080487F3 EB是没有意义的,所以这里的EB和上面的一样:都是用来干扰IDA反汇编的花指令,实际上0xEB常常被用来当作花指令。
  右键.text:080487F3 EB FF,将他们转换成未定义的数据从而将他们分开:
在这里插入图片描述

之后我们照样把0xEB改成0x90:
在这里插入图片描述

右键.text:080487F4这行,从这开始转化为代码:
在这里插入图片描述

  下面的数据也被识别成了正确的汇编代码,且出现了开始我们看到的字符串“You are very close! Now patch me~”,
在这里插入图片描述

但是字符串’F1@g_'依旧没有出现:
在这里插入图片描述

第三个花指令混淆08048816:

出现标红的汇编代码:

.text:08048816 E9 46 31 40 67   jmp     near ptr 6F44B961h;
.text:08048859 E8 C7 04 24 01   call    near ptr 9288D25h;

其实是IDA自动识别异常的代码,将它转换成未定义的数据:
在这里插入图片描述

  发现.text:08048816处的数据刚好就是字符串’F1@gA’,原来它之前被IDA识别为了代码:
在这里插入图片描述

这里还要注意一个问题,上面的跳转:

.text:08048812 33 C0     xor     eax, eax; Logical Exclusive OR
.text:08048814 74 07     jz      short loc_804881C+1; Jump if Zero (ZF=1)

  xor eax, eax将ZF置1之后jz跳转必然成立,程序每次都会跳转到loc_804881C+1,但是下面的代码IDA自动识别为从loc_804881C开始的,这里也是有问题的:

.text:0804881C 00

  其实是表示字符串’F1@gA’的结尾‘\0’,这里IDA把它识别成了从loc_804881C开始的代码,我们点击.text:0804881C转换成未定义,然后把花指令0xE9改成0x90、字符串’F1@gA’和结尾‘\0’合成一个字符串:
在这里插入图片描述

然后点击.text:0804881D转换为代码:
在这里插入图片描述

  这样IDA就会从.text:0804881D开始识别代码,下面的代码都变成了正确的可读性更好的汇编代码,下面的_strncmp函数比较[esp+4]上的"F1@gA"和[esp]上的我们输入的字符串(上面read函数读取存放在栈中),相等的话就会输出"You are very close! Now patch me~"。
  运行程序,输入"F1@gA":
在这里插入图片描述

  的确输出了"You are very close! Now patch me~",但是程序还在运行,而且这句话提示我们离flag很近了,现在还需要修补程序。也就是程序运行后面还有代码会输出flag。

第四个花指令混淆08048859:

那我们接着看输出"You are very close! Now patch me~"之后的程序:
在这里插入图片描述

接着就由一个判断跳转:

.text:08048848 A1 88 A0 04 08   mov     eax, ds:dword_804A088
.text:0804884D 85 C0   test eax, eax; Logical Compare
.text:0804884F 74 15   jz  short loc_8048866; Jump if Zero (ZF=1)

  根据数据段的全局常量dword_804A088的值,当它为1时test eax, eax将ZF置0,jz short loc_8048866不成立;当它为0时test eax, eax将ZF置1,jz short loc_8048866成立。
  而我们查看dword_804A088交叉引用,发现它除了这里只被使用了一次:
在这里插入图片描述

就是在main函数中将它的值设为1:
在这里插入图片描述

  所以此时test eax, eax将ZF置0,jz short loc_8048866跳转永远都不会不成立,我们开始运行程序的时候看到这个时候程序就跳转到一直运行的位置。
  我们接着看loc_8048851后面的代码:
在这里插入图片描述

.text:08048851     loc_8048851:
.text:08048851 ; CODE XREF: .text:08048857↓j
.text:08048851 66 B8 EB 05    mov     ax, 5EBh
.text:08048855 31 C0          xor     eax, eax; Logical Exclusive OR
.text:08048857 74 F9          jz      short near ptr loc_8048851+1;

这三行代码构成了一个死循环:
  mov ax, 5EBh后ax=5EBh,之后xor eax, eax结果eax=0置ZF=1,最后jz short near ptr loc_8048851+1跳转到loc_8048852,一直重复这个过程。
就是开始我们在运行程序输入正确的字符串后"F1@gA"看到的程序一直在运行。
这里也有一句标红IDA识别异常的代码:

.text:08048859 E8 C7 04 24 01   call    near ptr 9288D25h;

我们觉得:

.text:08048859 E8

  可能也是插入的花指令,影响了IDA的识别,把0xE8改为0x90:
在这里插入图片描述

可以看到这部分的代码也恢复了正常

修改程序跳转逻辑

接下来我们需要修改程序跳转逻辑:

.text:08048848 A1 88 A0 04 08   mov     eax, ds:dword_804A088
.text:0804884D 85 C0   test eax, eax; Logical Compare
.text:0804884F 74 15   jz  short loc_8048866; Jump if Zero (ZF=1)

有两种方法:
(1)把dword_804A088的值修改成0;
(2)把JZ条件跳转改为JMP直接跳转。

方法1:

我们先尝试方法1:
在这里插入图片描述
在这里插入图片描述

之后运行程序,输入‘F1@gA’:
在这里插入图片描述
得到flag:F8C60EB40BF66919A77C4BD88D45DEF4

方法2:

  接着试一下方法2,直接修改汇编把jz修改为jmp或者把75改为EB:
在这里插入图片描述

之后运行程序,输入‘F1@gA’:
在这里插入图片描述

得到flag:F8C60EB40BF66919A77C4BD88D45DEF4

题外话:

  其实我们直接修改了花指令080487C1、080487F3、08048816、08048859之后,汇编代码就可以被IDA识别成伪函数sub_80487C4:
在这里插入图片描述

  这时候我们就能比较清晰的看到程序的逻辑:比较输入的字符串s的5个字节和常量‘F1@gA’,相等就输出"You are very close! Now patch me~",然后计算一个md5值调用sub_804875D输出;否则调用sub_804875D把输入的字符串s按ASCII码值输出。

大灬白
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oplzkwp:ELF混淆
05-16
描述 oplzkwp是用于ELF模糊处理的库。 它使用PRESENT和blake244即时加密您的有效负载。 内存中仅解密当前执行的功能。 支持Linux(x86)和Android(ARM)。 如何 修改payload.c以适合您的需求。 限制条件: 以_e_开头的每个函数_e_将在运行时进行加密和解密。 使用decrypt_and_call(next)调用另一个_e_函数。 如果当前调用了该函数(例如,可重入),则必须执行常规调用。 每个功能都需要页面对齐。 (请参见payload.c和__attribute__((aligned(PAGE_SIZE)) )。 最终的可执行文件必须使用-fpie编译(如果使用提供的Makefile,这是默认设置)。 建造 Linux,使用make 。 Android,请使用make android (您必须具有ndk-build设置)。 可执行
XCTF-RE】新手练习区-Hello, CTF.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/gisa2b
XCTF-Mobile】新手练习区-02-easy-dex.apk
08-16
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5089&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easydex
攻防世界-Noleak-Writeup
aptx4869_li的博客
01-19 319
解题思路 参考一位大佬的解题思路: https://www.freesion.com/article/3386496214/ ,结合自己的理解与分析完成此题的漏洞利用 基本信息查询 healer@healer:~/Documents/CTF/PWN/Noleak$ readelf -h timu ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class:
攻防世界_echo-server
呱呱呱
12-01 211
攻防世界_echo-server,通过去除指令,找到密钥,得到flag
ctf 命令执行
weixin_74427106的博客
04-01 250
什么是命令执行漏洞:命令执行漏洞就是服务器端没有对客户的一些命令进行过滤,导致客户任意拼接命令使网站进行执行;过滤了flag所以我们只要命令里不出现flag即可所以构造。这里我不知道为啥不能用一句话木马,后续知道了在补充;运行后打开源码后即可得到flag。运行之后查看源码即可得到flag。ctfshow web入门29。先分析代码发现过滤了.和空格。这里我会个一句话木马。
CTF-ECHO-200格式化字符串漏洞+shellcode
BadRer的博客
06-01 2255
很开心有成功做了一道格式化字符串,这题我也不清楚是哪次比赛上的,漏洞还是十分的明显,格式化加个shellcode直接搞定。就是这算的比较麻烦一点。 那么直接进入正题咯! 开干!! 首先拿checksec检查一遍(个人习惯哈) 可以看到,开了栈保护,但是NX disabled,说明堆栈可执行,直接上shellcode,也没有PIE。 先试试水。 应该有格式化漏洞。 IDA反汇
ctf命令执行小结
舞动的獾
10-04 4452
1.相关函数 eval函数eval函数能够将字符串当作命令去执行 需要被执行的字符串 代码不能包含打开/关闭 PHP tags。比如, ‘echo “Hi!”;’ 不能这样传入: ‘<?php echo "Hi!"; ?>’。但仍然可以用合适的 PHP tag 来离开、重新进入 PHP 模式。比如 ‘echo “In PHP mode!”; ?>In HTML mode!<...
XCTF echo-server
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-05 1195
此题是XCTF 3rd-NJCTF-2017的题目 今天做攻防世界逆向题目的时候遇到了,就在此写下解题过程 在此附上题目下载地址 echo-serverr 1.查壳 使用ExeinfoPe工具查壳,可以发现是32位程序,没有壳 2.使用IDA进行反编译 使用32位IDA打开程序 3.分析程序 题目提示"输入密钥,得到flag." 定位到main函数,并使用F5大法查看伪代码 这个程序的ma...
攻防世界逆向高手题之echo-server
沐一 · 林 的博客
10-25 642
攻防世界逆向高手题之echo-server 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的handcrafted-pyc . . 下载附件,照例扔入exeinfope中查看信息: . . 32位ELF文件无壳,照例运行下一程序,查看主要回显信息。但是如上图一样,我的是Kali,所以有报错libcrypto.so.1.0.0缺失,但是我没有ubuntu,所以我只能结合别人的资料静态直接分析了: . . 照例扔入32位IDA中分析伪代码,有main函数看main函数: 因为前面修改后调
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-Mobile】新手练习区-05-easyjni.apk
08-05
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyjni
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
计算机专业Java专业课程实验+CRM客户关系管理系统设计学生课程实验.zip
05-01
学生课程实验:大二计算机专业JAVA专业课的课程实验,设计一个CRM的客户关系管理系统,含项目源码、数据库、以及汇报PPT。 内容目录: ├── readme.txt ├── 基于Java的CRM客户关系管理系统的设计和实现数据库 │ └── crm.sql ├── 基于Java的CRM客户关系管理系统的设计和实现项目源代码 │ └── MyCrm.zip ├── 基于Java的CRM客户关系管理系统的设计和实现项目运行截图 │ ├── 主界面.PNG │ ├── 产品信息管理.PNG │ ├── 客户信息添加.PNG │ ├── 登录.PNG │ └── 角色管理.PNG ├── 视频 │ ├── 1CRM客户关系管理系统_项目的配置以及启动.url │ ├── 2CRM客户关系管理系统_工作桌面_信息中心_邮箱功能_客户管理_订单管理.url │ └── 3CRM客户关系管理系统_财务管理_产品管理_部门管理_岗位管理_数据回收站_权限管.url └── 论文 ├── 基于Java的现代数字化CRM客户关系管理系统答辩ppt.pptx
node-v12.17.0-linux-arm64.tar.xz
最新发布
05-01
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
常见移动变现术语(mobile monetization).docx
05-01
常见移动变现术语(mobile monetization).docx
废物转运站:决策指南 垃圾转运站:决策指南
05-01
废物转运站:决策指南
冰蓄冷的一些资料.zip
05-01
冰蓄冷的一些资料:包括系统的原理图,设计计算等
8. Django 表单与模型
05-01
配套资源
ctf 逆向 xxtea
10-17
好的,你想了解关于 CTF 逆向 xxtea 的问题是吗?那我来简单介绍一下。 首先,xxtea 是一种加密算法,它是一种对称加密算法,也就是说加密和解密使用的是同一个密钥。在 CTF 中,逆向 xxtea 通常是指通过分析加密程序的代码,找到加密算法的实现方式,然后编写解密程序,以获取加密数据的明文。 具体来说,逆向 xxtea 的过程通常包括以下几个步骤: 1. 分析加密程序的代码,找到 xxtea 加密算法的实现方式; 2. 根据算法实现方式编写解密程序; 3. 使用解密程序对加密数据进行解密,得到明文。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值