ReverseMe-120

最新推荐文章于 2022-12-14 11:08:50 发布
最新推荐文章于 2022-12-14 11:08:50 发布
阅读量3k 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1309525802/article/details/106564785
版权

ReverseMe-120


1.WriteUp
2.知识点








声明一点以下可能说的不是很友好,所以如有敏感词汇请评论我,作者会改











WriteUp

下载附件,老规矩exe文件PEiD查看,没有后缀名exeinfope查看

在这里插入图片描述

没有壳,直接用ida打开,f5大法

int __cdecl main(int argc, const char **argv, const char **envp)
{
  unsigned int v3; // edx
  unsigned int v4; // ecx
  __m128i v5; // xmm1
  unsigned int v6; // esi
  const __m128i *v7; // eax
  __m128i v8; // xmm0
  int v9; // eax
  char v11; // [esp+0h] [ebp-CCh]
  char v12; // [esp+1h] [ebp-CBh]
  char v13; // [esp+64h] [ebp-68h]
  char v14; // [esp+65h] [ebp-67h]
  unsigned int v15; // [esp+C8h] [ebp-4h]

  printf("please input your flah:");
  v11 = 0;
  memset(&v12, 0, 0x63u);
  scanf("%s", &v11);
  v13 = 0;
  memset(&v14, 0, 0x63u);
  sub_401000(&v15, &v13, (unsigned __int8 *)&v11, strlen(&v11));
  v3 = v15;
  v4 = 0;
  if ( v15 )
  {
    if ( v15 >= 0x10 )
    {
      v5 = _mm_load_si128((const __m128i *)&byte_414F20);
      v6 = v15 - (v15 & 0xF);
      v7 = (const __m128i *)&v13;
      do
      {
        v8 = _mm_loadu_si128(v7);
        v4 += 16;
        ++v7;
        _mm_storeu_si128((__m128i *)&v7[-1], _mm_xor_si128(v8, v5));// v7[i-1]=v8^v5
      }
      while ( v4 < v6 );
    }
    for ( ; v4 < v3; ++v4 )
      *(&v13 + v4) ^= 0x25u;
  }
  v9 = strcmp(&v13, "you_know_how_to_remove_junk_code");
  if ( v9 )
    v9 = -(v9 < 0) | 1;
  if ( v9 )
    printf("wrong\n");
  else
    printf("correct\n");
  system("pause");
  return 0;
}

我的步骤:
1.找flag相关信息
2.从下往上找函数或者方法
3.查看函数参数
4.寻到函数中一些已知变量
5.注释
6.写脚本

找flag相关信息

很容易就找到printf("correct\n");

从下往上找函数或者方法

很容易就找到printf("correct\n"); 方法有: 
 if ( v15 )
  {
    if ( v15 >= 0x10 )
    {
      v5 = _mm_load_si128((const __m128i *)&byte_414F20);//414F20为16字节(0x25)数据
      v6 = v15 - (v15 & 0xF);
      v7 = (const __m128i *)&v13;
      do
      {
        v8 = _mm_loadu_si128(v7);
        v4 += 16;
        ++v7;
        _mm_storeu_si128((__m128i *)&v7[-1], _mm_xor_si128(v8, v5));// v7[i-1]=v8^v5
      }
      while ( v4 < v6 );
    }
    for ( ; v4 < v3; ++v4 )
      *(&v13 + v4) ^= 0x25u;
  }
v9 = strcmp(&v13, "you_know_how_to_remove_junk_code");

从这个方法可以看到,v13与明文的关系,逆向的话就需要将明文进行^x025,但是v4的值由上面决定,看完姑且可设v4=[0,16,32],这里有一个小技巧:通过查询可以得到明文的长度为32,而且一般代码都是将整个字符串进行异或,所以v4等于0的可能性挺大的(主要懒,因为那个判断看起来很复杂的样子,真希望他是一个诱导,借别人的话就是七分逆向三分猜)
函数有:

sub_401000(&v15, &v13, (unsigned __int8 *)&v11, strlen(&v11));

函数中传参中v15(未知),v13=0,v11(输入),()strlen(&v11))(长度)

signed int __usercall sub_401000@<eax>(unsigned int *a1@<edx>, _BYTE *a2@<ecx>, unsigned __int8 *a3, unsigned int a4)
{
  int v4; // ebx
  unsigned int v5; // eax
  int v6; // ecx
  unsigned __int8 *v7; // edi
  int v8; // edx
  bool v9; // zf
  unsigned __int8 v10; // cl
  char v11; // cl
  _BYTE *v12; // esi
  unsigned int v13; // ecx
  int v14; // ebx
  unsigned __int8 v15; // cl
  char v16; // dl
  _BYTE *v18; // [esp+Ch] [ebp-Ch]
  unsigned int *v19; // [esp+10h] [ebp-8h]
  int v20; // [esp+14h] [ebp-4h]
  unsigned int v21; // [esp+14h] [ebp-4h]
  int i; // [esp+24h] [ebp+Ch]

  v4 = 0;
  v18 = a2;
  v5 = 0;
  v6 = 0;
  v19 = a1;
  v20 = 0;
  if ( !a4 )
    return 0;
  v7 = a3;
  do
  {
    v8 = 0;
    v9 = v5 == a4;
    if ( v5 < a4 )
    {
      do
      {
        if ( a3[v5] != 32 )
          break;
        ++v5;
        ++v8;
      }
      while ( v5 < a4 );
      v9 = v5 == a4;
    }
    if ( v9 )
      break;
    if ( a4 - v5 >= 2 && a3[v5] == 13 && a3[v5 + 1] == 10 || (v10 = a3[v5], v10 == 10) )
    {
      v6 = v20;
    }
    else
    {
      if ( v8 )
        return -44;
      if ( v10 == 61 && (unsigned int)++v4 > 2 )
        return -44;
      if ( v10 > 0x7Fu )
        return -44;
      v11 = byte_414E40[v10];
      if ( v11 == 127 || (unsigned __int8)v11 < 0x40u && v4 )
        return -44;
      v6 = v20++ + 1;
    }
    ++v5;
  }
  while ( v5 < a4 );
  if ( !v6 )
    return 0;
  v12 = v18;
  v13 = ((unsigned int)(6 * v6 + 7) >> 3) - v4;
  if ( v18 && *v19 >= v13 )
  {
    v21 = 3;
    v14 = 0;
    for ( i = 0; v5; --v5 )
    {
      v15 = *v7;
      if ( *v7 != 13 && v15 != 10 && v15 != 32 )
      {
        v16 = byte_414E40[v15];
        v21 -= v16 == 64;
        v14 = v16 & 0x3F | (v14 << 6);
        if ( ++i == 4 )
        {
          i = 0;
          if ( v21 )
            *v12++ = BYTE2(v14);
          if ( v21 > 1 )
            *v12++ = BYTE1(v14);
          if ( v21 > 2 )
            *v12++ = v14;
        }
      }
      ++v7;
    }
    *v19 = v12 - v18;
    return 0;
  }
  *v19 = v13;
  return -42;
}

不得不说身为菜鸡的我看到这个真的头大,最后还是看了别人writeup才明白这个函数其实就是base64解码

寻到函数中一些已知变量

访问byte_414E40

在这里插入图片描述
如果懂base64的可能很快就发现这是base64_suffix_map
所以身为菜鸡的我以后看到这样的数据就可以初步认为这个函数是base64解码

所以整题的pop:base64.decode(输入)->判断->解码后的字符串进行^0x25->比较you_know_how_to_remove_junk_code

脚本:

import base64
s = "you_know_how_to_remove_junk_code"
f = ''
for i in s:
    f += chr(ord(i) ^ 0x25)
print(f)
print(base64.b64encode(f.encode()))








知识点

SEE指令

xmmword用于具有MMX和SSE (XMM)指令的128位多媒体操作数(也不知道翻译的对不对,官方解释是“Used for 128-bit multimedia operands with MMX and SSE (XMM) instructions.”)。

SEE指令,参考(https://www.jianshu.com/p/d718c1ea5f22)

load(set)系列,用于加载数据,从内存到暂存器。
__m128i _mm_load_si128(__m128i *p);
__m128i _mm_loadu_si128(__m128i *p);
store系列,用于将计算结果等SSE暂存器的数据保存到内存中。
void _mm_store_si128 (__m128i *p, __m128i a);
void _mm_storeu_si128 (__m128i *p, __m128i a);
_mm_load_si128函数表示从内存中加载一个128bits值到暂存器,也就是16字节,**注意:**p必须是一个16字节对齐的一个变量的地址。返回可以存放在代表寄存器的变量中的值。
_mm_loadu_si128函数和_mm_load_si128一样的,但是不要求地址p是16字节对齐。

store系列的_mm_store_si128和_mm_storeu_si128函数,与上面的load系列的函数是对应的。 表示将__m128i 变量a的值存储到p所指定的地址中去。

_mm_xor_si128用于计算128位(16字节)的按位异或,然后通过v14控制循环结束的条件,可以看到v14增长的步长为16,而且通过上面得到的flag值解码得到的字符串为32个字节大小,正好是16的整数倍。
看完这个可以在参考一下大佬的writeup















山与路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界逆向高手题之ReverseMe-120
沐一 · 林 的博客
09-05 1157
攻防世界逆向高手题之ReverseMe-120 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的ReverseMe-120 下载附件,照例扔入exeinfope中查看信息: 32位无壳,还是exe文件,按照流程,先简单运行一下看一下主要显示的字符串: 然后照例扔入IDA32中查看伪代码,有Main函数看main函数: 如下所示,第一个框判断出输入位置并改名input_flag,然后经过第二个框的加密函数处理。继续往下走是其它的操作,其中第三个框的函数双击跟踪不了,最后是明文比较,所以要逆向逻辑
攻防世界-RE-ReverseMe-120(主要是对Base64再深入熟悉一下)
WocW的博客
04-24 1693
前言 今天随机做了三题,但是感觉都是简单题,基本完成了pediy18-10,但是最后的shellcode执行上遇到了一点问题没有解决。其中有一道题,跟国赛中遇到的一题,让我很深的认识到base64加密算法的重要性。 分析 在IDA中打开,查看main函数,从最后的strcmp可以猜到是输入一个字符串,然后处理一下再与已知明文对比。 虽然有很多垃圾指令,但是通过动态调试可以知道哪些操作是有用的。动...
做题记录
一点涵的博客
08-30 250
xctf之ReverseMe-120 题目传送门:这里 主要:base64 wp: 下载,看到是exe文件,去查壳,发现无壳,是Vc++编写的,用IDA查看了一下代码。 发现要到达"correct"就得通过v9,v9是通过字符串"you_know_how_to_remove_junk_code"比较得到,寻找v13,发现for循环中:*(&v13 + v4) ^= 0x25u,与0x25...
攻防世界 三 (进阶篇)
sjt670994562的博客
06-09 1040
CRACKME 这一道题对OD的使用进行了一定的训练,虽然相比真真正的使用还是差很多,首先是一个注册问题的exe文件,有窗口,打开OD寻找messagebox。 尝试设置断点 然后尝试打开软件点击注册,发现到了断点,说明断成功了。然后这时候看栈口,会发现之前压进来的数据有失败的提示字面,说明我们没有到判断正误的界面找到最下面的提示字面的地址,跳转,发现函数,设置断点 再次运行,然后发现不行...
《数据结构》(C语言版)ch2 线性表学习笔记
xiangzi05的博客
10-06 289
一个小目录《数据结构》(C语言版)ch2 线性表学习笔记数组篇1.malloc()2.线性表宏定义3.init初始化与以前静态数组初始化区别4.函数作为参数 《数据结构》(C语言版)ch2 线性表学习笔记 数组篇 1.malloc() https://blog.csdn.net/flowing_wind/article/details/81240910 malloc()分配内存后不初始化 分配成功: 若分配成功,其返回类型是void ,表示未确定类型的指针,c,c++规定void可以强转为任何其他类型的指针
reverseMe.exe
11-20
学习OllyDbg的应该能用上,这个是很基础的软件,可以用来入门最好不过了,解压压缩包即可
ReverseMe供OD(Ollydbg)学习用-小甲鱼教程
09-11
ReverseMe供OD(Ollydbg)学习用-小甲鱼教程...ReverseMe供OD(Ollydbg)学习用-小甲鱼教程
ReverseMe
08-17
一个自修改的ReverseMe,带简单教程
小甲鱼 解密系列ReverseMe.exe
09-19
小甲鱼 解密系列教程所用工具,ReverseMe.exe,需要的朋友可以下载。
小甲鱼reverseMe.exe第三课课件下载
02-06
密码 fishc [调试篇] 调试篇 第三讲 OD使用教程3(课件 实验程序)
ReverseMe.exe供OD(Ollydbg)学习用(原版)
08-11
供OD(Ollydbg)学习用的ReverseMe原版exe
buu题解
m0_73393932的博客
12-14 269
逆向
攻防世界reverseMe
淡巴枯的博客
11-01 254
题目描述:无。
攻防世界re入门题
qq_43774856的博客
12-20 252
simple-unpack 下载附件,放进PE分析,发现是upx壳 在linux用upx -d 文件名 的命令脱壳,然后将文件拖进ida 双击flag,得到flag
基于卷积神经网络的图像分类
weixin_36670529的博客
06-02 8380
目录 一、常用的卷积神经网络概述 二、基础的神经网络 三、卷积神经网络 四、AlexNet 五、NiN 六、VGG 七、GoogleNet 1、Inception V1 2、Inception V2 3、Inception V3 4、Inception V4 八、ResNet 九、ResNeXt 十、性能比较 十一、CNN的设计准则 一、常用的卷积神经网络概述 ...
CTF逆向工程入门_2
s1054436218的博客
05-13 1万+
CTF逆向工程入门_1:http://blog.csdn.net/s1054436218/article/details/71698904 CTF逆向工程入门_2:http://blog.csdn.net/s1054436218/article/details/71809403 上一篇讲了算是最简单的一类逆向题目,.Net类型的逆向工程,这次主要是对于C/C++编写的软件。 前面已经介绍简简...
20.IDA-修改二进制文件、显示修改点
热门推荐
hgy413的专栏
02-10 2万+
1.功能选项Edit▶Patch Program菜单是GUI版本的IDA的一项隐藏功能,用户需要编辑idagui.cfg配置文件才能激活该菜单 可用选项如图所示 1.1.Change byte用于编辑IDA数据库中的字节值。相关的字节编辑对话框如图所示 这个对话框显示了从光标所在位置开始的16个字节的值。你可以更改显示的部分或全部字节。 同时,Address表示了虚拟地址,File of
攻防世界 reverse BABYRE
09-18 1002
BABYRE XCTF 4th-WHCTF-2017 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rb...
c语言格式化字符漏洞,格式化字符串漏洞题目练习
weixin_30111277的博客
05-22 888
整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。inndy_echo保护和arch[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabl...
ReverseMe-120怎么写
最新发布
07-17
ReverseMe-120 是一个逆向工程的挑战题目,你需要使用逆向工程技术来解决它。具体的解题步骤可能因题目的具体要求而有所不同,但一般来说可以按照以下步骤进行: 1. 理解题目:仔细阅读题目描述,了解题目要求和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值