攻防世界 Windows_Reverse1

最新推荐文章于 2023-04-11 20:55:21 发布
最新推荐文章于 2023-04-11 20:55:21 发布
阅读量440 收藏 3
点赞数 3
分类专栏: CTF 文章标签: python 安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/P_Bloomberg/article/details/119542938
版权
本文详细介绍了如何通过逆向工程分析.exe文件,从使用ExeinfoPE查看文件信息,到利用upx脱壳,再到IDA静态分析,发现关键函数sub_401000的解密逻辑。通过对汇编代码的解析,作者构造了解密脚本,最终得到解密后的flag。过程中涉及ASLR、010Editor、x32dbg等工具的使用,展示了逆向工程在软件分析中的应用。
摘要由CSDN通过智能技术生成

准备

环境:Windows10

工具:ExeinfoPE、upx、IDA、x32dbg、010Editor

开始

附件是.exe文件,使用ExeinfoPE查看文件信息

在这里插入图片描述

能看出来此文件被upx加了壳。

使用upx脱壳

在这里插入图片描述

将脱壳后的文件放入IDA静态分析

main函数:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4; // [esp+4h] [ebp-804h] BYREF
  char v5[1023]; // [esp+5h] [ebp-803h] BYREF
  char v6; // [esp+404h] [ebp-404h] BYREF
  char v7[1023]; // [esp+405h] [ebp-403h] BYREF

  v6 = 0;
  memset(v7, 0, sizeof(v7));
  v4 = 0;
  memset(v5, 0, sizeof(v5));
  printf("please input code:");
  scanf("%s", &v6);
  sub_401000(&v6);
  if ( !strcmp(&v4, "DDCTF{reverseME}") )
    printf("You've got it!!%s\n", &v4);
  else
    printf("Try again later.\n");
  return 0;
}

逻辑分析,我们输入flag到v6中,然后v6经过sub_401000()函数操作后,比较v4和DDCTF{reverseME}是否相同,是则输入正确。

问题1:flag输入到了v6中,后来却用v4去比较。

sub_401000()函数:

unsigned int __cdecl sub_401000(const char *a1)
{
  _BYTE *v1; // ecx
  unsigned int v2; // edi
  unsigned int result; // eax
  const char *v4; // ebx

  v2 = 0;
  result = strlen(a1);
  if ( result )
  {
    v4 = (const char *)(a1 - v1);
    do
    {
      *v1 = byte_402FF8[(char)v1[(_DWORD)v4]];
      ++v2;
      ++v1;
      result = strlen(a1);
    }
    while ( v2 < result );
  }
  return result;
}

关键就在sub_401000()函数,第一句

_BYTE *v1; // ecx

查看汇编代码

在这里插入图片描述

将ecx中的数据压入了堆栈,再往前看,查看调用sub_401000()函数函数之前的最后一次对ecx的操作语句
在这里插入图片描述

结合v4、v5、v6、v7的地址

在这里插入图片描述

可以看出在sub_401000()函数中,v1就是main函数中的v4

下面这一句就将main函数里的v6和v4联系起来了,v6中的内容作变换之后的结果放入了v4中

*v1 = byte_402FF8[(char)v1[(_DWORD)v4]]; 
// v1[v4]=*(v1+v4)=*(v1+a1-v1)=*(a1)=a1[0]

查看数据byte_402FF8的内容

在这里插入图片描述

发现是不确定的,可能是要在程序运行过程中生成的。

之前用upx把文件脱壳过后,现在的文件是无法运行的(win7也一样),而在xp系统上可以,因为win10系统采用了地址随机化(aslr),需要手动修改。

使用010Editor打开

使用EXE.bt模板,找到

struct IMAGE_NT_HEADERS NTHeader->struct IMAGE_OPTIONAL_HEADER OptionalHeader

->struct DLL CHARACTERISTICS DllCharacteristics

修改WORD IMAGE DLLCHARACTERISTICS DYNAMIC BASE为0即可。

在这里插入图片描述

将文件放入x32dbg中调试,断点打到sub_401000()函数执行结束

在这里插入图片描述

运行,scanf时随便输入,遇到sub_401000()函数直接F8步过,运行到断点处

现在查看数据byte_402FF8的内容

在这里插入图片描述

复制下来

00 00 00 00 00 00 00 00 87 F6 DE 58 78 09 21 A7 FF FF FF FF FF FF FF FF FE FF FF FF 
01 00 00 00 7E 7D 7C 7B 7A 79 78 77 76 75 74 73 72 71 70 6F 6E 6D 6C 6B 6A 69 68 67 
66 65 64 63 62 61 60 5F 5E 5D 5C 5B 5A 59 58 57 56 55 54 53 52 51 50 4F 4E 4D 4C 4B 
4A 49 48 47 46 45 44 43 42 41 40 3F 3E 3D 3C 3B 3A 39 38 37 36 35 34 33 32 31 30 2F 
2E 2D 2C 2B 2A 29 28 27 26 25 24 23 22 21 20 00 01 00 00 00 80 1E 9F 00 C0 18 9F 00

根据变换过程写解密脚本

hex = [0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x87, 0xF6, 0xDE, 0x58, 0x78, 0x09, 0x21, 0xA7, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFE, 0xFF, 0xFF, 0xFF, 0x01, 0x00, 0x00, 0x00, 0x7E, 0x7D, 0x7C, 0x7B, 0x7A, 0x79, 0x78, 0x77, 0x76, 0x75, 0x74, 0x73, 0x72, 0x71, 0x70, 0x6F, 0x6E, 0x6D, 0x6C, 0x6B, 0x6A, 0x69, 0x68, 0x67, 0x66, 0x65, 0x64, 0x63, 0x62, 0x61, 0x60, 0x5F, 0x5E, 0x5D, 0x5C, 0x5B, 0x5A, 0x59,
       0x58, 0x57, 0x56, 0x55, 0x54, 0x53, 0x52, 0x51, 0x50, 0x4F, 0x4E, 0x4D, 0x4C, 0x4B, 0x4A, 0x49, 0x48, 0x47, 0x46, 0x45, 0x44, 0x43, 0x42, 0x41, 0x40, 0x3F, 0x3E, 0x3D, 0x3C, 0x3B, 0x3A, 0x39, 0x38, 0x37, 0x36, 0x35, 0x34, 0x33, 0x32, 0x31, 0x30, 0x2F, 0x2E, 0x2D, 0x2C, 0x2B, 0x2A, 0x29, 0x28, 0x27, 0x26, 0x25, 0x24, 0x23, 0x22, 0x21, 0x20, 0x00, 0x01, 0x00, 0x00, 0x00, 0x80, 0x1E, 0x9F, 0x00, 0xC0, 0x18, 0x9F, 0x00]

s = 'DDCTF{reverseME}'
flag = ''
for i in range(len(s)):
    flag += chr(hex[ord(s[i])])
print('flag{'+flag+'}')

运行得flag

flag{ZZ[JX#,9(9,+9QY!}
蚁小剑
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASLR_disabler:在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXEPE映像
05-28
ASLR_disabler 在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXE / PE映像 该软件通过强制固定映像库来对EXE进行黑客攻击,以使ASLR受到重大安全破坏,从而禁用ASLR,因此,软件工程师可以使用该软件来开发例如功能劫持。 这是PE的一部分:IMAGE_OPTIONAL_HEADER中的WORD DllCharacteristics,标志:IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE(0x0040)记下有关ImageBase(第52和60行)的信息,如果设置为与启动器/同一应用程序中的任何其他应用程序冲突,调试器将修改ImageBase。集会
攻防世界逆向高手题之Windows_Reverse1
沐一 · 林 的博客
08-26 939
攻防世界逆向高手题之Windows_Reverse1 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的Windows_Reverse1 下载附件,照例扔入exeinfope中查看信息: UPX壳,32位windows中,扔入我的kali中先用命令upx -d 文件名 脱壳先: 双击运行不了,查看不了起始信息,看了资料说: UPX的壳,手动脱壳或者脱壳机脱壳,但发现脱完壳的程序在win7下打不开,即使是显示没壳(这里后来查到win7包括以上版本开启了ASLR(地址随机化),winxp就没有,如
day01 攻防世界Window_Reverse1
weixin_46625454的博客
05-25 327
攻防世界Window_Reverse1 1.发现是upx壳,使用手工脱壳 2.可以发现pushad,这是加壳前的表现,先保存现场,可以看见被push进去栈中的全部寄存,我们只要对这些数据下硬件访问断点,就可以发现这些数据什么时候被恢复。 3.可见popad指令,恢复现场,准备运行主程序 4.跳到程序主入口,dump下来,修复iat表,这个程序就能脱掉upx壳 修复IAT 5.我们可以看见我们输入的内容是v6,传给sub_401000函数,一开始我很很好奇,为啥这个函数传v4,如何传出来,为啥
攻防世界 Reverse高手进阶区 2分题 Windows_Reverse1
闵行小鱼塘
12-31 425
继续ctf的旅程,攻防世界Reverse高手进阶区的2分题,本篇是Windows_Reverse1的writeup
攻防世界Windows_Reverse1
gonna2011的博客
04-21 157
题目附件打开后发现是个exe文件,先查壳,发现一个UPX壳直接命令去壳,这里我改了一下文件名 之后在查壳就没有了直接用ida打开,找main函数,追踪到sub-401000、byte-402FF8 开始以为是base64,发现不是,是ASCII码,shift+e找到a1 上脚本 最后包上flag{} ...
Windows_Reverse1
Tiany的博客
08-11 220
攻防世界Windows_Reverse1
bit_reverse.rar_reverse bit
09-24
1. **FFT(快速傅里叶变换)**:在计算傅里叶变换时,位反转在蝶形运算中扮演关键角色,用于排列复数对的计算顺序,提高算法效率。 2. **图形处理**:在图像处理中,位反转可以用于图像旋转、镜像等操作,尤其是在...
str_reverse.rar_str_reverse(a)_字符串反转
09-14
int start = 0, end = reversed.size() - 1; while (start ) { // 交换首尾字符 char temp = reversed[start]; reversed[start] = reversed[end]; reversed[end] = temp; // 移动指针 start++; end--; }...
nixu.rar_Reverse_字符串 逆序
09-24
标题中的“nixu.rar_Reverse_字符串 逆序”表明这是一个关于字符串逆序操作的教程或代码集合,可能是用汇编语言实现的。在计算机编程中,字符串逆序是一种常见的任务,它涉及到将字符串中的字符顺序反转。这在很多...
Practical Reverse Engineering_Reverse_reverseengineering_enginee
10-02
practical reverse engineering
Reverse it_it_Reverseit_reverse_it_gas7zo_
09-29
给定一个数字n,您需要输出它的反向对应项。也就是说,最有意义的数字变成列表有意义的数字等等。每个测试组有几个测试用例。输入:每个测试用例后面的测试用例计数T。例子:5120001111120125-23输出:2111111215-32
攻防世界Reverse(1)
njh18790816639的博客
12-24 577
Shuffle 首先拖进ida去查看伪代码,那就要找到伪代码,按常规操作:搜索字符串,跳转,F5伪代码。而这题我们可以看到字符串是没有我们想要的一些字符出现,而我们可以直接在左边里找到main函数,F5就能看到伪代码。 伪代码也有些长,我们直接看最后,结合着题目所给的提示: 代码如下: 那我们就分析一下,它这么个for体,因为有个随机,我们是不好判断其中最后的输出方式,而我们可以直接去看看原始数据,就能发现 整理一下就可以了:SECCON{Welcome to the SECCON 2014 CTF!
Windows_Reverse1 攻防世界
re1wn
04-13 1978
Windows_Reverse1 攻防世界
DDCTF2019reverse1_final逆向教程
weixin_42306891的博客
04-18 488
0x1,首先查壳: 是个常见的压缩壳,用手动脱壳即可。 0x2,OD调试程序: 1,最重要的是跳到函数加密的位置,根据这个压缩壳的特点,知道前面是一直的循环,让你找不到程序入口的位置,这里只使用F4跳到鼠标位置就好: 一步步到向下到想要的位置 这个位置是调用的位置,我们F7,进入看看; 2,在一步步走 再次调用位置; 3,其实我们已经知道程序入口,手动脱壳 ...
BUUCTF reverse wp 11 - 20
fa1c4的blog
01-08 1141
Java逆向解密 java逆向, 用java-decompile逆 import java.util.ArrayList; import java.util.Scanner; public class Reverse { public static void main(String[] args) { Scanner s = new Scanner(System.in); System.out.println("Please input the flag ); String s
去掉PE文件随机基址的方法
weixin_30448603的博客
07-10 1715
用010Editer打开点击下面箭头所指的NtHeader然后在上方变蓝的数据块内找到4081,然后修改为0081即可(懂得PE文件的朋友可以也可以一层一层自己找到这个字段,就是WORD IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE这个字段 ,把值1改为0即可。 未修改之前: OD加载的地址如图所示: IDA加载如图所示: 修改之后: OD加载的...
PE手动重定位
Starr
11-15 577
文章目录源码运行添加重定位信息 工具:RadAsm,010 Editor,LordPE。 源码 .386 .model flat,stdcall option casemap:none include msvcrt.inc includelib msvcrt.lib .data szText db 'welcome', 0ah, 00h szPause db 'pause', 00h ...
PE文件关闭随机基址
qq_29176323的博客
04-11 422
1.使用010Editor打开exe或者dll文件 dll不建议关闭随机基址,否则多个dll可能会冲突 2. 找到下图的WORD字段 将IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE改成0即可
攻防世界 reverse 1
最新发布
10-19
攻防世界 reverse 1 是一道逆向题目,需要使用IDA等工具对给出的32位程序进行逆向分析。程序中包含两个加密函数,其中函数1140是AES加密的S盒初始值,而密钥拓展则需要进一步分析。此外,程序中没有输入输出相关的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值