重做De1CTF2020的Flw

最新推荐文章于 2022-01-19 19:30:16 发布
最新推荐文章于 2022-01-19 19:30:16 发布
阅读量229 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zarcs_233/article/details/116082398
版权
初识虚拟机

当时第一次做这个题目的时候不懂这个奇怪的虚拟机,现在重新捞出来重做了一遍
首先使用普通的IDA7.5 x32会打不开,卡在打开的界面,具体原因可能是某个花指令导致的让IDA控制流分析的时候爆炸?。可以先使用IDA7.5 x64查看下汇编代码,尝试Patch掉一些不正常的代码。
首先是main函数下的经典假跳转,然后就是跳转到指令内部的花指令
发现这个跳转有说法,其实就是内部有inc和dec两个指令构成,非常的巧妙

所以直接Patch掉这一整句jmp指令即可
修复所有这样的花指令之后发现还是无法IDA打开,发现这个函数很奇怪,附近有无法分析的代码

发现就是通过call自己这个小trick来进行跳转,直接patch一下就可,发现可以IDAx32打开了,发现main函数里使用了SEH,用除零异常触发,而逻辑就放在SEH处理函数里面,这导致了IDA F5难以看到,我们直接Patch main函数逻辑,让它直接跳转到SEH处理函数中,就可以F5了。

发现逻辑十分简单,主要是有一个VM函数,我们来分析VM函数

分析虚拟机

大概可以整理一下IDA代码,可以发现这个虚拟机结构体有mem数组还有一个arr数组,然后由ptr1和ptr2来从这两个数组中取数,具体的计算操作发生在arr,还有一个reg的short变量可能用来暂存2字节的数据。

然后似乎这个虚拟机也不是普通的栈结构,这个arr似乎就是个会轮回的数组,和栈似乎没什么关系,具体的计算方式都是输入数据,然后取出开头两位计算之后放入最后一位,然后指针ptr2向前进2位,ptr1进一位,所以ptr2应该是这个数组的头指针,ptr1应该是尾指针。
然后不难想到这个arr数组应该就是用来提供寄存操作,真正算完的结果都得放回mem数组,然后所以这个arr数组应该计算完之后经常保持ptr1==ptr2,不然就很难看。写出解析器,然后开始硬看

char VM_Print(VMState *a1)
{
  char result; // al
  int v2; // [esp+Ch] [ebp-13Ch]
  int v3; // [esp+Ch] [ebp-13Ch]
  int v4; // [esp+Ch] [ebp-13Ch]
  int v5; // [esp+Ch] [ebp-13Ch]
  int v6; // [esp+Ch] [ebp-13Ch]
  int v7; // [esp+Ch] [ebp-13Ch]
  int v8; // [esp+Ch] [ebp-13Ch]
  int v9; // [esp+Ch] [ebp-13Ch]
  size_t i; // [esp+E0h] [ebp-68h]
  unsigned __int8 v13; // [esp+FBh] [ebp-4Dh]
  unsigned __int8 v14; // [esp+107h] [ebp-41h]
  unsigned __int8 v15; // [esp+113h] [ebp-35h]
  unsigned __int8 v16; // [esp+11Fh] [ebp-29h]
  unsigned __int8 v17; // [esp+12Bh] [ebp-1Dh]
  int pc; // [esp+134h] [ebp-14h]

  pc = 0;
  int xx=0;
  while ( true )
  {
    result = a1->opcodes[pc];
    if ( !result )
      return result;
    
    printf("label_%03d:\n\t",pc);
    printf("a1->ptr1%=256;a1->ptr2%=256;\n\t");
    switch ( a1->opcodes[pc] )
    {
      case 0x14u:
        printf("a1->arr[a1->ptr1++] = %d;\n",a1->opcodes[pc + 1]);	//push IMM
        pc += 2;
        continue;
      case 0x15u:
        printf("++a1->ptr2;\n");		
        ++pc;
        continue;
      case 0x20u:
        printf("a1->mem[%d] = a1->arr[a1->ptr2++];\n",a1->opcodes[pc + 1]);
        pc += 2;
        continue;
      case 0x2Au:
        printf("a1->arr[a1->ptr1++] = a1->mem[%d];\n",a1->opcodes[pc + 1]);
        pc += 2;
        continue;
      case 0x2Bu:
        printf("a1->arr[a1->ptr1++] = a1->mem[a1->arr[a1->ptr2++]];\n");
        ++pc;
        continue;
      case 0x2Cu:
        printf("tmp = a1->arr[a1->ptr2++];\n");
        printf("\ta1->ptr2 %= 256;\n");
        printf("\ta1->mem[tmp] = a1->arr[a1->ptr2++];\n");
        ++pc;
        continue;
      case 0x30u:
        
        printf("a1->reg = a1->arr[a1->ptr2++] + (a1->reg << 8);\n");
        ++pc;
        continue;
      case 0x31u:
        
        
        printf("a1->arr[a1->ptr1++] = a1->reg % (int)%d;\n",a1->opcodes[pc + 1]);
        printf("\ta1->reg /= (int)%d;\n",a1->opcodes[pc + 1]);
        pc += 2;
        continue;
      case 0x32u:
        printf("a1->arr[a1->ptr1++] = table[a1->arr[a1->ptr2++]];\n");
        ++pc;
        continue;
      case 0x33u:
        printf("tmp = a1->arr[a1->ptr2++];\n");
        printf("\ta1->ptr2 %= 256;\n");
        printf("\ta1->arr[a1->ptr1++] = a1->arr[a1->ptr2++] + tmp;\n");
        ++pc;
        continue;
      case 0x34u:
        printf("tmp = a1->arr[a1->ptr2++];\n");
        printf("\ta1->ptr2 %= 256;\n");
        printf("\ta1->arr[a1->ptr1++] = a1->arr[a1->ptr2++] - tmp;\n");
        ++pc;
        continue;
      case 0x35u:
        printf("tmp = a1->arr[a1->ptr2++];\n");
        printf("\ta1->ptr2 %= 256;\n");
        printf("\ta1->arr[a1->ptr1++] = a1->arr[a1->ptr2++] * tmp;\n");
        ++pc;
        continue;
      case 0x36u:
        printf("a1->arr[a1->ptr1++] = a1->reg;\n");
        printf("\ta1->reg = 0;\n");
        ++pc;
        continue;
      case 0x37u:
        printf("tmp = a1->arr[a1->ptr2++];\n");
        printf("\ta1->ptr2 %= 256;\n");
        printf("\ta1->arr[a1->ptr1++] = a1->arr[a1->ptr2++] ^ tmp;\n");
        ++pc;
        continue;
      case 0x3Au:
      	printf("a1->arr[a1->ptr1++] = strlen((char*)a1->your_input);\n");
        ++pc;
        continue;
      case 0x40u:
      	xx=a1->opcodes[pc + 1];
        printf("if(a1->arr[a1->ptr2++]) {goto label_%03d;}\n",pc - xx);
        pc += 2;
        continue;
      case 0x41u:
        printf("for (int i = 0; i < strlen((const char *)a1->your_input); ++i )\n\t{\n\t\ta1->arr[a1->ptr1++] = a1->your_input[i];\n\t\ta1->ptr1 %= 256;\n\t}\n\tmemset(a1->your_input, 0, 0x200u);\n");
        ++pc;
        continue;
      case 0xABu:
      	printf("return 1;");
        return 1;
      case 0xFFu:
        printf("if ( a1->arr[a1->ptr2++] ) {return 0;}\n");
        ++pc;
        continue;
      default:
        return 2;
    }
  }
}

就按照这种方法慢慢分析最后可以还原出具体算法,就是先base58然后进行一个for循环加密。最后有一个一个个字节比较的过程,dump出数据即可一条龙解出。

for(int i = 0,i<30,i+=3)
{
	mem[0x40+i+1] = mem[0x40+i+1]+mem[0x40+i+0];
	mem[0x40+i+2] = mem[0x40+i+2]-mem[0x40+i+1];
	mem[0x40+i+0] = mem[0x40+i+0]^mem[0x40+i+2];
}
Zarcs_233
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flw破解软件分解出SWF文件的所有组成
04-21
我们在窗口左上方中选择SWF文件所在的文件夹,这样,相应的SWF文件会显示在左下方窗口中,选择一个SWF文件,将鼠标移至窗口中间,点击上方的“SWF parser status”,稍等片刻,便分解出SWF文件的所有组成成分,包括声音事件(WAV)、图片(Graphic)、影片剪辑(Movie clip)、视频文件(Mor)等等。除此之外,更要的一点是,SWFBrowser甚至还能够把各个场景甚至每一帧的详细情况都展现出来。这下学可方便了,可以随时随意分解Flash高手制作的动画,向他们学习。
azkaban调度之flow文件
cclovezbf的博客
04-29 2669
拒绝抄袭,从我起,可以借鉴,必有说明 今天学习azkaban的condition判断 新建一个.flow文件我是condition.flow nodes: - name: JobA type: command config: command: bash /home/devuser/chenchi/azkaban.sh - name: JobB type:...
常用的idea插件
flw7758的博客
05-16 327
google-java-format 代码自动格式化 Translation 自动翻译快捷键Ctrl + Shift + O Alibaba Java Coding Guidelines 阿里代码检测 Leetcode Editor leetcode 在线刷题 Jclasslib Bytecode Viewer 看字节码文件看类的字节码文件。 CamelCase在几种字符串格式之间来回切换。有一下几种格式按住Shift + Alt再不停的按U Jrebel for Intelli...
各种类型文件对应文件的 Content-Type
热门推荐
zhuyu19911016520
03-21 2万+
各种类型文件对应文件的 Content-Type { ".load":"text/html", ".123":"application/vnd.lotus-1-2-3", ".3ds":"image/x-3ds", ".3g2":"video/3gpp", ".3ga":"video/3gpp", ".3gp":"video/3gpp", ...
De1CTF2020:De1CTF2020
02-18
ctftime xctftime 电报
De1ctf 2020 -‘check in’ writeup
01-09
这道题很有意思,考察知识点:.htaccess文件上传、改文件type、字符匹配的绕过 文件内容过滤了很多字符 perl|pyth|ph|auto|curl|base|>|rm|ruby|openssl|war|lua|msf|xter|telnet in contents! ...
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和... :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
DE1-soc 内部资料
03-10
DE1-soc 内部资料 项目历程
[De1CTF 2019]9calc 这道题暂时还没搞明白,暂时个记录~~
a3320315的博客
02-10 1067
参考链接 飘零师傅 梅子酒师傅 cacl_famliy
[SCTF2019]creakme (SEH异常处理机制,AES)
weixin_52369224的博客
01-19 946
32位无壳,放入IDA GetModuleHandleW 获取当前应用程序模块 首先分析一下 sub_402320函数,读取当前进程,匹配他的区段为 .SCTF 查看第一个函数的汇编代码,发现call了一处函数。但是并没有反编译 再来观察一下他的函数结构图,左半部分没有前驱调用,所以左半部分没有编译出来, 查壳函数开头,发现_except_handler4 这是SEH异常处理的标志 参考: SEH的反调试原理菜鸟版 15pb调...
De1ta 2020 部分WP
qq_40648358的博客
07-25 744
web check in 打开题目后,发现是一个文件上传的题目 随便传个马,发现过滤了perl|pyth|ph|auto|curl|base|>|rm|ruby|openssl|war|lua|msf|xter|telnet in contents! 于是想到了利用cgi执行脚本 先上传一个.htaccess文件,内容是: AddHandler cgi-script .png 然后上传一个后缀为png的文件,内容是 #! /bin/bash echo "Content-Typ
De1ctf 2020 -'Misc杂烩' writeup
汗的博客
05-06 778
一道很有意思的流量分析+NTFS隐写 文章目录描述文件地址hintwriteup 描述 文件地址 https://drive.google.com/file/d/1-SrQ8JbD8zAQNVlvuwu3T2Lbu_o1knRQ/view?usp=sharing hint writeup 下载文件,wireshark打开,看了下有很多post请求,文件-导出对象-http 然后会导出一堆文件,...
SEH反调试的实现与调试
小驹的专栏
05-16 1万+
SEH用于反调试或者用于注册码的隐藏时。在没有异常时永远都是错误的注册码,只有当触发异常时,程序才走到注册成功的地方…… 代码如下: void CSehDlg::RegSuc() { HWND hWnd = ::GetDlgItem(NULL, IDC_STC_TIP); ::SetWindowText(hWnd, "Success!!"); } void CSehDlg::RegFai
SEH及逆向调试
Starr
10-10 2620
SEH 文章目录SEH1. 异常处理方法正常运行的异常处理调试运行的异常处理2. 常见异常EXCEPTION_ACCESS_VIOLATIONEXCEPTION_BREAKPOINTEXCEPTION_ILLEGAL_INSTRUCTIONEXCEPTION_INT_DIVIDE_BY_ZEROEXCEPTION_SINGLE_STEP3. SEH详细说明回调函数ExceptionRecordEs...
De1ctf 2020 -'check in' writeup
汗的博客
05-06 1372
这道题很有意思,考察知识点:.htaccess文件上传、改文件type、字符匹配的绕过 文件内容过滤了很多字符 perl|pyth|ph|auto|curl|base|>|rm|ruby|openssl|war|lua|msf|xter|telnet in contents! 传jpg格式的shell <?=eval($_POST[123]); 传.htaccess文件,burp...
Unicorn的学习记录
Zarcs_233的博客
08-28 1217
Unicorn,是一个基于qemu的模拟引擎,当前应该有很多教程了,许多的框架都基于了Unicorn,但是学习之后发现,仅仅只是个模拟cpu的框架,在逆向分析中确实有许多的不便,于是在这里记录下学习过程中的问题与收获。 这里是基础的入门教程地址:https://bbs.pediy.com/thread-224315.htm,在这里不在细讲了。 Unicorn在CTF逆向中确实有不便之处,首先就是模拟的情况过于简单,对于linux,windows下的底层api都没办法模拟,还有异常机制也没有模拟,毕竟知识一个
攻防世界 welpwn WP
Zarcs_233的博客
01-29 899
这道题出的确实很wel 拿到这题,查看保护 发现shellcode走不通,一般都是走rop路线 IDA打开,分析代码,发现main函数内调用了echo函数 这里的buf有0x400大,但是main不存在栈溢出,继续点开echo 这里我们发现有一个赋值的过程,但是a1也就是buff有0x400,而s2只有0x10字节。 很明显,复制过程中存在栈溢出,但是我一开始没发现这一点,那就是这个赋值的终止...
[de1ctf 2019]ssrf me 1
最新发布
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值