[Zer0pts2020]easy strcmp 分析与加法

最新推荐文章于 2024-05-06 11:44:41 发布
最新推荐文章于 2024-05-06 11:44:41 发布
阅读量1.4k 收藏 3
点赞数 8
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tokameine/article/details/118148770
版权

    无壳,放入IDA自动跳到main函数

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  if ( a1 > 1 )
  {
    if ( !strcmp(a2[1], "zer0pts{********CENSORED********}") )
      puts("Correct!");
    else
      puts("Wrong!");
  }
  else
  {
    printf("Usage: %s <FLAG>\n", *a2);
  }
  return 0LL;
}

    条件明确,要求我们输入的字符串和如下字符串相同

zer0pts{********CENSORED********}

     提交flag发现错误,显然没有那么容易;观察函数列表:

     从sub_610到sub_795的一系列函数笔记碍眼,不妨一个个看一下,能够发现sub_6EA有着明显的逻辑:

__int64 __fastcall sub_6EA(__int64 a1, __int64 a2)
{
  int i; // [rsp+18h] [rbp-8h]
  int v4; // [rsp+18h] [rbp-8h]
  int j; // [rsp+1Ch] [rbp-4h]

  for ( i = 0; *(_BYTE *)(i + a1); ++i )
    ;
  v4 = (i >> 3) + 1;
  for ( j = 0; j < v4; ++j )
    *(_QWORD *)(8 * j + a1) -= qword_201060[j];
  return qword_201090(a1, a2);
}

    但当我试图用IDA查看该函数的交叉引用,会发现提示:

Couldn't find any xrefs!

    那这个函数岂不是没有被用到吗?不被执行还需要分析吗?

    可以从init函数中找到答案:

void __fastcall init(unsigned int a1, __int64 a2, __int64 a3)
{
  signed __int64 v4; // rbp
  __int64 i; // rbx

  v4 = &off_200DF0 - &funcs_889;
  init_proc();
  if ( v4 )
  {
    for ( i = 0LL; i != v4; ++i )
      ((void (__fastcall *)(_QWORD, __int64, __int64))*(&funcs_889 + i))(a1, a2, a3);
  }
}

    for循环中调用了一系列的函数,而函数地址从funcs_889开始,跟入便能够发现如下内容:

.init_array:0000000000200DE0 funcs_889       dq offset sub_6E0       ; DATA XREF: LOAD:00000000000000F8↑o
.init_array:0000000000200DE0                                         ; LOAD:0000000000000210↑o ...
.init_array:0000000000200DE8                 dq offset sub_795

    分别调用了sub_6E0和sub_795两个函数;上一个倒不值得关注,进入下面的那个看看:

// write access to const memory has been detected, the output may be wrong!
int (**sub_795())(const char *s1, const char *s2)
{
  int (**result)(const char *, const char *); // rax

  result = &strcmp;
  qword_201090 = (__int64 (__fastcall *)(_QWORD, _QWORD))&strcmp;
  off_201028 = sub_6EA;
  return result;
}

     可见,off_201028被置为sub_6EA函数地址了

     可以看到,off_2010288实际上是strcmp函数的地址,但现在它被替换成了sub_6EA

    因此我们执行strcmp函数时实际上是执行sub_6EA函数

__int64 __fastcall sub_6EA(__int64 a1, __int64 a2)
{
  int i; // [rsp+18h] [rbp-8h]
  int v4; // [rsp+18h] [rbp-8h]
  int j; // [rsp+1Ch] [rbp-4h]

  for ( i = 0; *(_BYTE *)(i + a1); ++i )
    ;
  v4 = (i >> 3) + 1;
  for ( j = 0; j < v4; ++j )
    *(_QWORD *)(8 * j + a1) -= qword_201060[j];
  return qword_201090(a1, a2);
}

    逻辑:将字符串每8个比特位减去一个数字

.data:0000000000201060 qword_201060    dq 0, 410A4335494A0942h, 0B0EF2F50BE619F0h, 4F0A3A064A35282Bh

     那么解密脚本姑且是能够写出来了

int main()
{
	char p[] = "zer0pts{********CENSORED********}";
	uint64 k[4] = { 0, 0x410A4335494A0942, 0x0B0EF2F50BE619F0, 0x4F0A3A064A35282B };
	for (int i = 0; i < 4; i++)
	{
		*(uint64*)&(p[i*8]) += k[i];
	}
	cout << p;
}

    但是,我还是好奇这样一个字符串是如何实现大数加减法的,于是单步跟了进去

    以 0x410A4335494A0942 为例,其二进制表达为:

100 0001 0000 1010 0100 0011 0011 0101 0100 1001 0100 1010 0000 1001 0100 0010

    因为Intel是小端序的,所以从后面往前读

0100 0010-------> 66(十进制)

    而我们的flag变换字符为:

'*' (42)-------->'I' (108)

    相差正好为66;因此结果也变得显然了:

    字符串大数相加的实现为:将大数做成多个字节,将每个字节与对应的字符串字符相加(指相同字节位对齐相加,多者溢出)

Tokameine
关注
  • 8
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BUUCTF Reverse/[Zer0pts2020]easy strcmp
ookami6497的博客
08-12 476
BUUCTF Reverse/[Zer0pts2020]easy strcmp 先看文件信息,ELF文件,没有加壳 拖入IDA64位打开 应该没这么简单就给出flag __int64 __fastcall main(int a1, char **a2, char **a3) { if ( a1 > 1 ) { if ( !strcmp(a2[1], "zer0pts{********CENSORED********}") ) puts("Correct!"
[Zer0pts2020]easy strcmp细节探究
a5555678744的博客
03-22 625
这道题大多数的wp不知道这个程序是怎么跑的。 这道题是由一个知名的日本战队zer0pts出的,还是挺新颖,挺有意思的 总体感知 首先来看看ida里的情景 这就是main函数的所有了,很简单,感觉啥也没有,输入那串用于比较的字符当然是没用的。 那就看看a1是不是在之前有加密,调交叉引用到start函数 但是从这里找也没找到加密,所以,此题暗藏玄机呀。 函数挺少的,注意看下来不难发现下面这个函数绝对是加密函数 很多wp做到这里就结束了,但这不够! 实现细节分析 交叉引用说明.
[Zer0pts2020]easy strcmp
最新发布
2302_79135465的博客
05-06 236
main函数里什么都没有,想起来之前一个题elf会先运行init函数。给的数据以小端序存储,不过shift+e时候不需要考虑。python好像不好处理溢出的问题,再看看。会是上一字节溢出的给了下一位。
BUUCTF--[Zer0pts2020]easy strcmp
Hk_Mayfly的博客
06-17 1326
测试文件:https://wwa.lanzous.com/i54G4drrp1i 代码分析 打开IDA看了下main函数 这里就是将a2[1]与zer0pts{********CENSORED********}比较,a2[1]是我们的输入。 找到对输入字符串变换处 这里就是将输入分为8个一组,与qword_5605DCE75060数组元素,对应相减,得到zer0pts{***...
re -12 buuctf [Zer0pts2020]easy strcmp
weixin_45847059的博客
11-19 967
[Zer0pts2020]easy strcmp 前话:这题要用到ida64位远程调试先记录一下配置方法,因为本人使用的是ida7.6版本差异可能导致问题。 application与input file填linux路径下的题目文件路径 dictionary填linu下题目文件所在文件夹的路径(即题目文件的父级) Paramater不填 Hostname用ifconfig填自己的ip,Port端口固定 Password虚拟机密码 运行一下: 去找个地方下个断点: 这里的strcmp函数比较值的结果决定回
Zer0pts2020 easy strcmp
Misaka10046的博客
11-13 882
打开文件,直接在main函数里找到比较的地方,但是发现flag不是这个。
zer0pts-CTF-2021:zer0pts CTF 2021
05-06
zer0pts CTF 2021 是一个网络安全竞赛,主要针对网络安全爱好者和专业人士,旨在提升参赛者在信息安全领域的技能和知识。此类竞赛通常包括多种挑战,如逆向工程、密码学、网络取证、Web安全等。在这个特定的案例中,...
CTF_2021_zer0pts
03-08
质询目录结构 / ├── category (The name doesn't matter) │ ├── challenge (The name doesn't matter) │ │ ├── challenge (Place the files required to build the task, which are not distributed ...
zer0m0n:用于布谷鸟沙箱的 zer0m0n 驱动程序
06-05
zer0m0n v0.8 zer0m0n 是 Cuckoo Sandbox 的驱动程序,它将在恶意软件执行期间进行内核分析。 恶意软件作者有很多方法可以绕过 Cuckoo 检测,他可以检测钩子,硬编码 Nt* 函数来避免钩子,检测虚拟机......这个驱动...
zer0dump:滥用CVE-2020-1472(Zerologon)接管域,然后修复本地存储的计算机帐户密码
03-20
zer0dump是由安全研究人员开发的,用于演示和分析Zerologon漏洞的工具。它使用Python编程语言编写,这使得它易于理解和部署。这个PoC工具的主要功能包括: 1. **检测漏洞**:zer0dump首先会尝试检测目标域控制器...
host0:Zer0net的托管服务
04-28
Peer0整合 在设置本地主机Web代理 回应来自同伴的基本要求 getFile PEX-对等交换 将完整的Zite下载并验证到本地存储 向跟踪器宣布资源可用性 零网络 HTTP UDP协议 使用Electron UI构建基本的管理仪表板 ...
[buuctf][Zer0pts2020]easy strcmp
逆向萌新的博客
07-22 504
放入ida64中查看,因为这个是一个64位的可执行文件,有main函数,直接进入main函数查看。右移三位,先当与是8,八个一组,之后去减去qword_201060,看看这里是什么。这里面有一个判断是判断a2[1]是否是等于那个字符串的,之后我们再去找a2。是这些,那么写反推逆运算,因为是小端序,最后要反转过来,所以脚本可写。放在linux中运行一下,发现竟然没有任何输入的位置。...
BUU逆向 [Zer0pts2020]easy strcmp wp
苗_的博客
08-08 1159
拖进ida查看main函数,就是一个简单比较: 然后我们就看它对输入的字符进行了什么操作: 右移3位相当于除8,也就是把字符串分为8个一组,对应和qword_201060的值做减法,可以得到主函数里显示的字符串 注意:内存中存储为小端存储 我们只需要写出它的逆过程就可以了: #-*- coding:utf-8 -*- enc = "********CENSORED********" m = [0x410A4335494A0942, 0x0B0EF2F50BE619F0, 0x4F0A3A0
buu-[Zer0pts2020]easy strcmp
qaq517384的博客
03-13 488
64位
[BUUCTF]REVERSE——[Zer0pts2020]easy strcmp
mcmuyanga的博客
02-02 715
[Zer0pts2020]easy strcmp 附件 步骤 例行检查,64位程序 64位ida打开 很简单的一个程序,将a2数组与zer0pts{********CENSORED********}进行比较,相同提示correct! 然后就是要知道a2在进入main函数前经过了什么操作,应该是因为它不是exe文件吧,我没法动调,正常情况下是去动调找找看哪里对传入的字符串a2进行了操作,我在旁边函数列表里随便看看,找到了带有a2参数的函数 右移3位相当于除8,也就是把字符串分为8个一组,对应和qwor
Spark新手指南:1.4.1源码详解与实战
6. **深入阅读**:鼓励读者结合Matei Zaharia的论文、Jerry Lead的文章和Col Zer的学习笔记一起学习,这些资料提供了不同视角对Spark的理解,有助于深化理解和实践。 7. **学习工具**:推荐使用IntelliJ IDEA和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值