攻防世界 Windows_Reverse1

最新推荐文章于 2024-12-04 11:51:58 发布
最新推荐文章于 2024-12-04 11:51:58 发布
阅读量542 收藏 3
点赞数 3
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: python 安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/P_Bloomberg/article/details/119542938
本文详细介绍了如何通过逆向工程分析.exe文件,从使用ExeinfoPE查看文件信息,到利用upx脱壳,再到IDA静态分析,发现关键函数sub_401000的解密逻辑。通过对汇编代码的解析,作者构造了解密脚本,最终得到解密后的flag。过程中涉及ASLR、010Editor、x32dbg等工具的使用,展示了逆向工程在软件分析中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

准备

环境:Windows10

工具:ExeinfoPE、upx、IDA、x32dbg、010Editor

开始

附件是.exe文件,使用ExeinfoPE查看文件信息

在这里插入图片描述

能看出来此文件被upx加了壳。

使用upx脱壳

在这里插入图片描述

将脱壳后的文件放入IDA静态分析

main函数:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4; // [esp+4h] [ebp-804h] BYREF
  char v5[1023]; // [esp+5h] [ebp-803h] BYREF
  char v6; // [esp+404h] [ebp-404h] BYREF
  char v7[1023]; // [esp+405h] [ebp-403h] BYREF

  v6 = 0;
  memset(v7, 0, sizeof(v7));
  v4 = 0;
  memset(v5, 0, sizeof(v5));
  printf("please input code:");
  scanf("%s", &v6);
  sub_401000(&v6);
  if ( !strcmp(&v4, "DDCTF{reverseME}") )
    printf("You've got it!!%s\n", &v4);
  else
    printf("Try again later.\n");
  return 0;
}

逻辑分析,我们输入flag到v6中,然后v6经过sub_401000()函数操作后,比较v4和DDCTF{reverseME}是否相同,是则输入正确。

问题1:flag输入到了v6中,后来却用v4去比较。

sub_401000()函数:

unsigned int __cdecl sub_401000(const char *a1)
{
  _BYTE *v1; // ecx
  unsigned int v2; // edi
  unsigned int result; // eax
  const char *v4; // ebx

  v2 = 0;
  result = strlen(a1);
  if ( result )
  {
    v4 = (const char *)(a1 - v1);
    do
    {
      *v1 = byte_402FF8[(char)v1[(_DWORD)v4]];
      ++v2;
      ++v1;
      result = strlen(a1);
    }
    while ( v2 < result );
  }
  return result;
}

关键就在sub_401000()函数,第一句

_BYTE *v1; // ecx

查看汇编代码

在这里插入图片描述

将ecx中的数据压入了堆栈,再往前看,查看调用sub_401000()函数函数之前的最后一次对ecx的操作语句
在这里插入图片描述

结合v4、v5、v6、v7的地址

在这里插入图片描述

可以看出在sub_401000()函数中,v1就是main函数中的v4

下面这一句就将main函数里的v6和v4联系起来了,v6中的内容作变换之后的结果放入了v4中

*v1 = byte_402FF8[(char)v1[(_DWORD)v4]]; 
// v1[v4]=*(v1+v4)=*(v1+a1-v1)=*(a1)=a1[0]

查看数据byte_402FF8的内容

在这里插入图片描述

发现是不确定的,可能是要在程序运行过程中生成的。

之前用upx把文件脱壳过后,现在的文件是无法运行的(win7也一样),而在xp系统上可以,因为win10系统采用了地址随机化(aslr),需要手动修改。

使用010Editor打开

使用EXE.bt模板,找到

struct IMAGE_NT_HEADERS NTHeader->struct IMAGE_OPTIONAL_HEADER OptionalHeader

->struct DLL CHARACTERISTICS DllCharacteristics

修改WORD IMAGE DLLCHARACTERISTICS DYNAMIC BASE为0即可。

在这里插入图片描述

将文件放入x32dbg中调试,断点打到sub_401000()函数执行结束

在这里插入图片描述

运行,scanf时随便输入,遇到sub_401000()函数直接F8步过,运行到断点处

现在查看数据byte_402FF8的内容

在这里插入图片描述

复制下来

00 00 00 00 00 00 00 00 87 F6 DE 58 78 09 21 A7 FF FF FF FF FF FF FF FF FE FF FF FF 
01 00 00 00 7E 7D 7C 7B 7A 79 78 77 76 75 74 73 72 71 70 6F 6E 6D 6C 6B 6A 69 68 67 
66 65 64 63 62 61 60 5F 5E 5D 5C 5B 5A 59 58 57 56 55 54 53 52 51 50 4F 4E 4D 4C 4B 
4A 49 48 47 46 45 44 43 42 41 40 3F 3E 3D 3C 3B 3A 39 38 37 36 35 34 33 32 31 30 2F 
2E 2D 2C 2B 2A 29 28 27 26 25 24 23 22 21 20 00 01 00 00 00 80 1E 9F 00 C0 18 9F 00

根据变换过程写解密脚本

hex = [0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x87, 0xF6, 0xDE, 0x58, 0x78, 0x09, 0x21, 0xA7, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFE, 0xFF, 0xFF, 0xFF, 0x01, 0x00, 0x00, 0x00, 0x7E, 0x7D, 0x7C, 0x7B, 0x7A, 0x79, 0x78, 0x77, 0x76, 0x75, 0x74, 0x73, 0x72, 0x71, 0x70, 0x6F, 0x6E, 0x6D, 0x6C, 0x6B, 0x6A, 0x69, 0x68, 0x67, 0x66, 0x65, 0x64, 0x63, 0x62, 0x61, 0x60, 0x5F, 0x5E, 0x5D, 0x5C, 0x5B, 0x5A, 0x59,
       0x58, 0x57, 0x56, 0x55, 0x54, 0x53, 0x52, 0x51, 0x50, 0x4F, 0x4E, 0x4D, 0x4C, 0x4B, 0x4A, 0x49, 0x48, 0x47, 0x46, 0x45, 0x44, 0x43, 0x42, 0x41, 0x40, 0x3F, 0x3E, 0x3D, 0x3C, 0x3B, 0x3A, 0x39, 0x38, 0x37, 0x36, 0x35, 0x34, 0x33, 0x32, 0x31, 0x30, 0x2F, 0x2E, 0x2D, 0x2C, 0x2B, 0x2A, 0x29, 0x28, 0x27, 0x26, 0x25, 0x24, 0x23, 0x22, 0x21, 0x20, 0x00, 0x01, 0x00, 0x00, 0x00, 0x80, 0x1E, 0x9F, 0x00, 0xC0, 0x18, 0x9F, 0x00]

s = 'DDCTF{reverseME}'
flag = ''
for i in range(len(s)):
    flag += chr(hex[ord(s[i])])
print('flag{'+flag+'}')

运行得flag

flag{ZZ[JX#,9(9,+9QY!}
Windows_Reverse1
Tigger.run 独立开发者 热爱逆向工程
05-19 794
目录0x0 题目涉及知识点0x1 查壳脱壳0x2 反汇编分析0x3写脚本 0x0 题目涉及知识点 简单脱壳 指针运算 位移量 字符串查询 0x1 查壳脱壳 使用 UPX 工具脱壳 0x2 反汇编分析 初步了解程序执行流程,sub_401000(&v6) 为加密过程,&v4中存放了flag。 char v4; // [esp+4h] [ebp-804h] char v5; // [esp+5h] [ebp-803h] char v6; // [esp+404h] [ebp
攻防世界 Windows_Reverse2
weixin_53349587的博客
03-13 957
这道题其实不算难,只不过我想的有点复杂了,看来学逆向还是需要具有发散性思维的,有些问题确实想不到啊!! 查壳发现有aspack壳: 根据日常习惯,直接手动脱壳(其实是脱壳工具没找着。。),32位程序,x32dbg打开: 首先看到程序中有一个pushad指令,按照我习惯的脱壳方法,直接F8执行pushad,然后在栈中下一个硬件断点,F9运行,即可找到popad的位置 继续往下执行,一直到地址为0x726425的ret指令执行完: 看到一个关键的jmp指令(jmp的距离比较远,极有可能跳转..
攻防世界逆向高手题之Windows_Reverse1
沐一 · 林 的博客
08-26 1195
攻防世界逆向高手题之Windows_Reverse1 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的Windows_Reverse1 下载附件,照例扔入exeinfope中查看信息: UPX壳,32位windows中,扔入我的kali中先用命令upx -d 文件名 脱壳先: 双击运行不了,查看不了起始信息,看了资料说: UPX的壳,手动脱壳或者脱壳机脱壳,但发现脱完壳的程序在win7下打不开,即使是显示没壳(这里后来查到win7包括以上版本开启了ASLR(地址随机化),winxp就没有,如
day01 攻防世界Window_Reverse1
weixin_46625454的博客
05-25 396
攻防世界Window_Reverse1 1.发现是upx壳,使用手工脱壳 2.可以发现pushad,这是加壳前的表现,先保存现场,可以看见被push进去栈中的全部寄存,我们只要对这些数据下硬件访问断点,就可以发现这些数据什么时候被恢复。 3.可见popad指令,恢复现场,准备运行主程序 4.跳到程序主入口,dump下来,修复iat表,这个程序就能脱掉upx壳 修复IAT 5.我们可以看见我们输入的内容是v6,传给sub_401000函数,一开始我很很好奇,为啥这个函数传v4,如何传出来,为啥
攻防世界 Reverse高手进阶区 2分题 Windows_Reverse1
闵行小鱼塘
12-31 487
继续ctf的旅程,攻防世界Reverse高手进阶区的2分题,本篇是Windows_Reverse1的writeup
攻防世界---->Windows_Reverse1
shdbehdvd的博客
09-21 549
ASLR地址随机化处理。
攻防世界REVERSE—高手进阶区—debug 相关工具的使用方法(究极新人向)
Nu1bzzi的博客
03-13 596
攻防世界REVERSE—高手进阶区—debug 相关工具使用方法(究极新人向) 在做题的时候有看过很多大佬的wp,但是真的其中有些地方没有讲到,对和我一样笨的应该有些帮助(至少不至于像我这样到处搜了半天结果最后自己悟了。大佬们看到这可以选择离开or not,对不起打扰到你们了。) ILspy ILspy是一个开源的.net反编译软件 可以将一个.dll文件转换为C#或VB语言。 对于单个文件可以保存为.cs文件或.vb文件,当文件较多时,可以选择保存为项目文件。 C#语句可被反编译出来,并可支持yield
CTF Reverse Corroded_Alien_Artifact.exe解题思路
ACGeny的博客
09-22 571
CTF Reverse Corroded Alien Artifact.exe解题思路一、文件描述二、解题思路 一、文件描述 运行程序发现直接退出; 无壳的64位程序; 静态和动态都试试的。 二、解题思路 用IDA Pro打开,找到main函数,发现sub_140014420子函数打不开, 提示不能分析,应该是遇到异常情况。 进入到sub_1400012FF中,首行提示output wrong!意思是该函数没法正常显示。ps:题主的IDA Pro是7.5版本的。 在第14行Tap到汇编窗口中,
攻防世界 reverse 新手题wp (第二周)
清霂的博客
12-01 1384
目录re1思路game思路Hello, CTF思路 re1 题目描述:菜鸡开始学习逆向工程,首先是最简单的题目 思路 拖入ida,转伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax __int128 v5; // [esp+0h] [ebp-44h] __int64 v6; // [esp+10h] [ebp-34h] int v7; // [esp+18h] [ebp-
idapython_攻防世界no-strings-attached_逆向之旅007
weixin_43281394的博客
01-07 798
提示:这篇文章里涉及到:idapython,gdb,idapython中文手册.pdf百度云链接 攻防世界no-strings-attached_逆向之旅007前言一、攻防世界no-strings-attached二、writeup1.用exeinfo看一下2.在linux下运行3.分析三、总结 前言 本题的摘要: 文件是linux下的elf文件,但是运行报错。有两个解题思路,第一种是用gdb在linux虚拟机下动态调试,第二种是使用ida静态分析,然后构建脚本计算出flag。 今天距离写上一篇博客有
ASLR_disabler:在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXEPE映像
05-28
ASLR_disabler 在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXE / PE映像 该软件通过强制固定映像库来对EXE进行黑客攻击,以使ASLR受到重大安全破坏,从而禁用ASLR,因此,软件工程师可以使用该软件来开发例如功能劫持。 这是PE的一部分:IMAGE_OPTIONAL_HEADER中的WORD DllCharacteristics,标志:IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE(0x0040)记下有关ImageBase(第52和60行)的信息,如果设置为与启动器/同一应用程序中的任何其他应用程序冲突,调试器将修改ImageBase。集会
攻防世界Windows_Reverse1
gonna2011的博客
04-21 228
题目附件打开后发现是个exe文件,先查壳,发现一个UPX壳直接命令去壳,这里我改了一下文件名 之后在查壳就没有了直接用ida打开,找main函数,追踪到sub-401000、byte-402FF8 开始以为是base64,发现不是,是ASCII码,shift+e找到a1 上脚本 最后包上flag{} ...
攻防世界Reverse(1)
njh18790816639的博客
12-24 742
Shuffle 首先拖进ida去查看伪代码,那就要找到伪代码,按常规操作:搜索字符串,跳转,F5伪代码。而这题我们可以看到字符串是没有我们想要的一些字符出现,而我们可以直接在左边里找到main函数,F5就能看到伪代码。 伪代码也有些长,我们直接看最后,结合着题目所给的提示: 代码如下: 那我们就分析一下,它这么个for体,因为有个随机,我们是不好判断其中最后的输出方式,而我们可以直接去看看原始数据,就能发现 整理一下就可以了:SECCON{Welcome to the SECCON 2014 CTF!
Windows_Reverse1 攻防世界
re1wn
04-13 2062
Windows_Reverse1 攻防世界
逆向攻防世界CTF系列45-Windows_Reverse1
LH1013886337的博客
12-04 864
ASCII编码表里的可视字符就得是32往后了, 所以, byte_402FF8里凡是位于32以前的数统统都是迷惑项. 不会被索引到的,而这里0x00402FF8~0x00403017刚好是32个字符。也就是一开始是v4=a1-v1,v1为0,其实就是我们输入的第一个字符的位置,后面v1[v4]倒不如理解成v4[v1],v1会加加,就会遍历。这里V1作为地址和v4作为地址差值执行的是v1+v4的操作,因为数组a[b]本质就是在数组头地址a加上偏移量b来遍历数组的,v1一开始是0,v4是地址差。
攻防世界---->Windows_Reverse1(补)
shdbehdvd的博客
09-21 337
decode 取值等于 byte_ [xxx] 是否说明了byte_ 是一张解密表?总结:最好自己分析,不要纠结表的数据,为什么不一样。以自己的hex数据为准。假设,我们不知道地址随机怎么办?不能动调,只能静态分析。我们对 byte_ [xxx] 进行hex跟踪。“ 表示为不可见字符。数据未显示时,可以尝试追踪hex内存。不明白可以反汇编和汇编一起看。重新打开,静态分析。
DDCTF2019reverse1_final逆向教程
weixin_42306891的博客
04-18 555
0x1,首先查壳: 是个常见的压缩壳,用手动脱壳即可。 0x2,OD调试程序: 1,最重要的是跳到函数加密的位置,根据这个压缩壳的特点,知道前面是一直的循环,让你找不到程序入口的位置,这里只使用F4跳到鼠标位置就好: 一步步到向下到想要的位置 这个位置是调用的位置,我们F7,进入看看; 2,在一步步走 再次调用位置; 3,其实我们已经知道程序入口,手动脱壳 ...
PE文件关闭随机基址
qq_29176323的博客
04-11 668
1.使用010Editor打开exe或者dll文件 dll不建议关闭随机基址,否则多个dll可能会冲突 2. 找到下图的WORD字段 将IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE改成0即可
vulnhub靶机 driftingblues2
最新发布
01-04
### 关于VulnHub DriftingBlues2靶机详情 #### 靶机概述 DriftingBlues系列是VulnHub平台上提供给安全爱好者练习渗透测试技能的一组虚拟机镜像。这些靶机设计用于帮助用户提升其在网络攻防方面的能力,特别是针对Web应用的安全评估技巧。 对于特定的`DriftingBlues: 2`版本而言,此靶机旨在模拟真实世界中的信息系统环境,并设置了多个层次的任务来挑战玩家的技术水平[^4]。 #### 渗透测试流程 ##### 信息收集阶段 在这个过程中,首要任务是从外部视角了解目标系统的开放服务及其配置情况。通常采用的方法包括但不限于: - **主机发现**:通过网络扫描工具(如Nmap)识别活动主机并确定其IP地址范围。 - **端口和服务枚举**:进一步探测已知存活节点上的可用端口以及运行的服务类型和版本号。 由于`DriftingBlues: 2`的具体内部结构未完全公开,在实际操作前需自行探索更多细节以制定后续行动计划。 ##### 漏洞利用实践 一旦完成了初步的情报搜集工作,则可以根据所获数据选择合适的攻击向量实施入侵行为。例如,如果发现了某个存在已知漏洞的应用程序实例,则可考虑运用Metasploit Framework (MSF) 或其他自动化平台来进行针对性打击。 值得注意的是,在处理此类实验性质较强的项目时,建议遵循官方指南或社区分享的经验贴作为参考依据,以便更高效地完成整个过程[^5]。 ```bash # 使用Nmap进行基本的TCP SYN扫描 nmap -sS <target_ip> # 利用Metasploit加载exploit模块 use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp set LHOST <your_local_IP> run ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值