BUUCTF RE crackMe WP 详细解析

最新推荐文章于 2024-01-28 21:29:41 发布
最新推荐文章于 2024-01-28 21:29:41 发布
阅读量1.4k 收藏 7
点赞数 10
分类专栏: 比赛WP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a709046532/article/details/108323936
版权

前前后后参考了几篇博文,感觉自己有些值得分享的东西,就有了这篇文章

题目地址:
https://buuoj.cn/challenges#crackMe

在这里插入图片描述
首先,国际惯例,查壳

在这里插入图片描述
没壳,拖进IDA里通过String定位到关键代码:

首先是主函数代码:

int wmain()
{
  FILE *v0; // eax
  FILE *v1; // eax
  char v3; // [esp+3h] [ebp-405h]
  char v4; // [esp+4h] [ebp-404h]
  char v5; // [esp+5h] [ebp-403h]
  char v6; // [esp+104h] [ebp-304h]
  char v7; // [esp+105h] [ebp-303h]
  char v8; // [esp+204h] [ebp-204h]
  char v9; // [esp+205h] [ebp-203h]
  char v10; // [esp+304h] [ebp-104h]
  char v11; // [esp+305h] [ebp-103h]

  printf("Come one! Crack Me~~~\n");
  v10 = 0;
  memset(&v11, 0, 0xFFu);
  v8 = 0;
  memset(&v9, 0, 0xFFu);
  while ( 1 )
  {
    do
    {
      do
      {
        printf("user(6-16 letters or numbers):");
        scanf("%s", &v10);
        v0 = (FILE *)sub_4024BE();
        fflush(v0);
      }
      while ( !(unsigned __int8)sub_401000(&v10) );
      printf("password(6-16 letters or numbers):");
      scanf("%s", &v8);
      v1 = (FILE *)sub_4024BE();
      fflush(v1);
    }
    while ( !(unsigned __int8)sub_401000(&v8) );
    sub_401090(&v10);
    v6 = 0;
    memset(&v7, 0, 0xFFu);
    v4 = 0;
    memset(&v5, 0, 0xFFu);
    v3 = ((int (__cdecl *)(char *, char *))loc_4011A0)(&v6, &v4);
    if ( sub_401830((int)&v10, &v8) )
    {
      if ( v3 )
        break;
    }
    printf(&v4);
  }
  printf(&v6);
  return 0;
}

不难看出,程序中存在一个死循环,而需要让代码中的死循环跳出,那么sub_401830和loc_4011A0需要成立的,但是loc_4011A0这个函数的参数都是前面已经确定好的且不可控为0,所以这个函数是不需要去分析的。故sub_401830是我们重点分析的目标。 

bool __cdecl sub_401830(int a1, const char *a2)
{
  int v3; // [esp+18h] [ebp-22Ch]
  unsigned int v4; // [esp+1Ch] [ebp-228h]
  unsigned int v5; // [esp+28h] [ebp-21Ch]
  unsigned int v6; // [esp+30h] [ebp-214h]
  char v7; // [esp+36h] [ebp-20Eh]
  char v8; // [esp+37h] [ebp-20Dh]
  char v9; // [esp+38h] [ebp-20Ch]
  unsigned __int8 v10; // [esp+39h] [ebp-20Bh]
  unsigned __int8 v11; // [esp+3Ah] [ebp-20Ah]
  char v12; // [esp+3Bh] [ebp-209h]
  int v13; // [esp+3Ch] [ebp-208h]
  char v14; // [esp+40h] [ebp-204h]
  char v15; // [esp+41h] [ebp-203h]
  char v16; // [esp+140h] [ebp-104h]
  char v17; // [esp+141h] [ebp-103h]

  v4 = 0;
  v5 = 0;
  v11 = 0;
  v10 = 0;
  v16 = 0;
  memset(&v17, 0, 0xFFu);
  v14 = 0;
  memset(&v15, 0, 0xFFu);
  v9 = 0;
  v6 = 0;
  v3 = 0;
  while ( v6 < strlen(a2) )
  {
    if ( isdigit(a2[v6]) )
    {
      v8 = a2[v6] - 48;
    }
    else if ( isxdigit(a2[v6]) )
    {
      if ( *(_DWORD *)(*(_DWORD *)(__readfsdword(0x30u) + 24) + 12) != 2 )
        a2[v6] = 34;
      v8 = (a2[v6] | 0x20) - 87;
    }
    else
    {
      v8 = ((a2[v6] | 0x20) - 97) % 6 + 10;
    }
    v9 = v8 + 16 * v9;
    if ( !((signed int)(v6 + 1) % 2) )
    {
      *(&v14 + v3++) = v9;
      v9 = 0;
    }
    ++v6;
  }
  while ( (signed int)v5 < 8 )
  {
    v10 += byte_416050[++v11];
    v12 = byte_416050[v11];
    v7 = byte_416050[v10];
    byte_416050[v10] = v12;
    byte_416050[v11] = v7;
    if ( *(_DWORD *)(__readfsdword(0x30u) + 104) & 0x70 )
      v12 = v10 + v11;
    *(&v16 + v5) = byte_416050[(unsigned __int8)(v7 + v12)] ^ *(&v14 + v4);
    if ( *(_DWORD *)(__readfsdword(0x30u) + 2) & 0xFF )
    {
      v10 = -83;
      v11 = 43;
    }
    sub_401710(&v16, a1, v5++);
    v4 = v5;
    if ( v5 >= &v14 + strlen(&v14) + 1 - &v15 )
      v4 = 0;
  }
  v13 = 0;
  sub_401470(&v16, &v13);
  return v13 == 43924;
}

首先,从最后一行我们可以看出,v13需要等于43924,所以打开sub_401470函数 
_DWORD *__usercall sub_401470@<eax>(int a1@<ebx>, _BYTE *a2, _DWORD *a3)
{
  int v3; // ST28_4
  int v4; // ecx
  int v6; // edx
  int v8; // ST20_4
  int v9; // eax
  int v10; // edi
  int v11; // ST1C_4
  int v12; // edx
  char v13; // di
  int v14; // ST18_4
  int v15; // eax
  int v16; // ST14_4
  int v17; // edx
  char v18; // al
  int v19; // ST10_4
  int v20; // ecx
  int v23; // ST0C_4
  int v24; // eax
  _DWORD *result; // eax
  int v26; // edx

  if ( *a2 == 100 )
  {
    *a3 |= 4u;
    v4 = *a3;
  }
  else
  {
    *a3 ^= 3u;
  }
  v3 = *a3;
  if ( a2[1] == 98 )
  {
    _EAX = a3;
    *a3 |= 0x14u;
    v6 = *a3;
  }
  else
  {
    *a3 &= 0x61u;
    _EAX = (_DWORD *)*a3;
  }
  __asm { aam }
  if ( a2[2] == 97 )
  {
    *a3 |= 0x84u;
    v9 = *a3;
  }
  else
  {
    *a3 &= 0xAu;
  }
  v8 = *a3;
  v10 = ~(a1 >> -91);
  if ( a2[3] == 112 )
  {
    *a3 |= 0x114u;
    v12 = *a3;
  }
  else
  {
    *a3 >>= 7;
  }
  v11 = *a3;
  v13 = v10 - 1;
  if ( a2[4] == 112 )
  {
    *a3 |= 0x380u;
    v15 = *a3;
  }
  else
  {
    *a3 *= 2;
  }
  v14 = *a3;
  if ( *(_DWORD *)(*(_DWORD *)(__readfsdword(0x30u) + 24) + 12) != 2 )
  {
    if ( a2[5] == 102 )
    {
      *a3 |= 0x2DCu;
      v17 = *a3;
    }
    else
    {
      *a3 |= 0x21u;
    }
    v16 = *a3;
  }
  if ( a2[5] == 115 )
  {
    *a3 |= 0xA04u;
    v18 = (char)a3;
    v20 = *a3;
  }
  else
  {
    v18 = (char)a3;
    *a3 ^= 0x1ADu;
  }
  v19 = *a3;
  _AL = v18 - v13;
  __asm { daa }
  if ( a2[6] == 101 )
  {
    *a3 |= 0x2310u;
    v24 = *a3;
  }
  else
  {
    *a3 |= 0x4Au;
  }
  v23 = *a3;
  if ( a2[7] == 99 )
  {
    result = a3;
    *a3 |= 0x8A10u;
    v26 = *a3;
  }
  else
  {
    *a3 &= 0x3A3u;
    result = (_DWORD *)*a3;
  }
  return result;
}

可以知道我们需要a2满足所有的if,v13此时就可以等于43924

也就是v16需要是这样一个BYTE数组: [0x64,0x62,0x61,0x70,0x70,0x73,0x65,0x63],即ddappsec v16的值知道了,我们还需要知道这个值是怎么来的

我们可以从第二部分代码第64行得知,byte_416050是通过与变换后的密码异或得到v16。且我们现在已经知道账号为welcomebeijing,所求的是账号的密码。因此我们需要通过动态调试,获取byte_416050的值

在这里插入图片描述
在x32dbg中将汇编断点打在xor上,观察寄存器中的内容,循环看8次就得到我们要的内容了
记录如下:
[0x2a,0xd7,0x92,0xe9,0x53,0xe2,0xc4,0xcd]

接下来只需要编写脚本解密即可

import hashlib

key = [0x2a, 0xd7, 0x92, 0xe9, 0x53, 0xe2, 0xc4, 0xcd]
text = "dbappsec"

flag = []

for i in range(len(text)):
    flag.append(hex(ord(text[i])^key[i]).replace("0x",""))

final_flag=''.join(each for each in flag)
md = hashlib.md5(final_flag.encode('utf-8')).hexdigest()
print(md)

以上就是和师傅们的WP大同小异的部分。我想重点说明的是反调试部分,也就是那些莫名其妙的__readfsdword。我所看的WP中都没能解答我对这些东西的疑惑,只能自己去找了。


《逆向工程核心原理》第51章或许能解答我们的一些疑惑(侵删)

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
我们需要重点关注的就是最后一页的提示部分,不难看出,我们题目中出现的几个反调试手段

if ( *(_DWORD *)(*(_DWORD *)(__readfsdword(0x30u) + 24) + 12) != 2 )
if ( *(_DWORD *)(__readfsdword(0x30u) + 104) & 0x70 )
if ( *(_DWORD *)(__readfsdword(0x30u) + 2) & 0xFF )

其实就是寻找PEB结构体中的特定字段来判断是否处于被调试的状态,其中: 
if ( *(_DWORD *)(__readfsdword(0x30u) + 2) & 0xFF )

从书中我们可以看出就是我们的字段BeingDebugged,我们的IsDebuggerPresent最后寻找的东西其实就是这个字段




if ( *(_DWORD *)(__readfsdword(0x30u) + 104) & 0x70 )

这个其实从PEB的结构中我们也不难看出也是反调试中经常出现的字段NtGlobalFlag



最后这个:

if ( *(_DWORD *)(*(_DWORD *)(__readfsdword(0x30u) + 24) + 12) != 2 )

一步步跟进,首先__readfsdword(0x30u) + 24),这玩意也是经常用在反调试中的字段ProcessHeap,它是一个结构体,那偏移量为12是什么呢?我们再补一张图:

在这里插入图片描述
可以看出是字段Flags,如同书中所说,进程处于被调试状态时,它被设置成了特定的值(从我们的题目中我们可以得出这个值在正常情况下应该是2)



至此,我们大体上弄明白了题目中出现的反调试手段。

识别出来了我们需要进行反反调试,绕过反调试代码执行函数的正常逻辑。
这里给出几个比较常见的手段:
其一是动调时手动修改代码,比如汇编下把jz改成jmp/jnz,我改成了jnz,机器码是74改成75
另外一个就是使用插件ScyllaHide了,这里我们只需要使用Basic模块即可(准确来说Hide from PEB就行)
在这里插入图片描述




总结一下,题目本身不难。有坑的地方即是那几个反调试的部分会修改那8个值扰乱分析。当识别出并过掉后题目基本就没问题了。

另外一点就是当fs和0x30同时出现在我们的代码中时需要额外注意。这表明PEB要被访问了,出题人要开始整活了。

PEB结构体是反调试手段中最基础也是经常会用到的技术。我们不能局限于只是能识别一些API如IsDebuggerPresent,而是同时要对背后的底层有自己的认识,这样在IDA没能识别出来时我们也能有自己正确的判断。

BUUCTF crackMe 题解
lifanxin的博客
07-12 3576
crackMe程序信息题目分析main函数分析sub_401830关键函数分析动态调试byte_416050求解总结 程序信息   这道题目来自于哪个实际比赛,我没有去找,我个人是从buuoj上刷到的,位于re部分第二页,题目只有一分,做出来的人也比较多,看起来应该是个简单的题目。   之所以要写这个wp,是对题目的答案存在一些疑问,网上也有很多wp,我都看了一下,大致都出自于同一个人的手笔O(∩_∩)O。我个人感觉网上的wp分析过程都漏了一步,虽然这样得出的flag可以通过buuoj,但是这是个crack
buuctf Crackme6
qq_37439229的博客
05-16 719
这道题涉及的知识点说实话还是蛮多的。。。 首先是这里的加密 主要是看汇编,不难,yafu一下知道是[2,3,5,7,11,13,17,19,23] a = [2 , 3, 5, 7, 11 ,13,17,19,23] b = [0x33,0x21,0x22,0x21,0x35,0x7c,0x62,0x65,0x6e] for i in range(9): a[i] = a[i] +0x41 a[i] = a[i] ^b[i] "".join(chr(a[i]) for i in rang
BUUCTF-----Crackme
qq_64558075的博客
12-12 1061
1.老规矩,拿到文件,进行查壳 收集信息,无壳,32位程序 2,试着运行一下 发现就是一个类似于登录的东西 3.拖入ida中
BUUCTF crackMe
weixin_52369224的博客
11-01 815
太菜了 做了好久没做出来,参考其他师傅的解答总结一下 题目背景: 老规矩,Ex PE打开,32位无壳程序,用IDApro打开;主程序如下: 主体是一个while循环,如果我们想让while结束,我们就需要使得两个if成立; 我们首先看跟v3有关的loc_4011A0,点进去,发现无法反编译,解决办法IDA无法反编译 编译成功之后: 发现v3的值一直为1; 我们来看看sub_401830函数,主要由两个while构成,我们先来看第一个while 主要是把输入的转换成数字并且..
BUUCTF--crackMe
Hk_Mayfly的博客
04-03 2849
测试文件:https://www.lanzous.com/iaxqvbg 代码分析 1 int __usercall wmain@<eax>(int a1@<ebx>) 2 { 3 FILE *v1; // eax 4 FILE *v2; // eax 5 char v4; // [esp+3h] [ebp-405h] 6 cha...
BUUCTF-crackMe1
weixin_61154173的博客
02-13 355
是一个while循环,a2就是用户输入的密码,先通过isdigit函数判断是否输入的是数字字符,如果是就减去'0'的ascii码使变为纯数字,如果不是则通过isxdigit函数判断是否为十六进制数a-f/A-F。返回1,所以v3 肯定不是0,所以肯定能执行到break,跳出循环,但要求sub_4011A0()函数的返回值不是0,才能执行到break,所以跟进函数sub_4011A0这个关键函数。发现就是if判断,根据判断结果进行相应运算,所以尝试计算一下,哪些可以等于43924。在主函数中可以看见,下图。
BUUCTF-CrackMe略解
feng_2016的博客
05-09 1107
先总体看看 int __usercall wmain@<eax>(int a1@<ebx>) { FILE *v1; // eax FILE *v2; // eax char v4; // [esp+3h] [ebp-405h] char v5; // [esp+4h] [ebp-404h] char v6; // [esp+5h] [ebp-403h] char v7; // [esp+104h] [ebp-304h] char v8; // [esp+
BUUCTF Reverse/crackMe
ookami6497的博客
11-02 272
BUUCTF crackme
Buuctf-Reverse(逆向) Crackme Write up
weixin_50166464的博客
09-24 420
突然发现最近的文章都是日更了,啊呀主要是最近的题都学到许多新知识。 0x00 日常查壳 无壳32位 0x01 分析主函数 这题函数很多不过慢慢分析也还好 关键是要有耐心 还有一个重要的知识点就是反调试技术 一开始不了解阅读感极差 动调也看不出来什么 所以在主函数这个界面除了关键判断函数1830不用先去看 可以看完其他所有函数 于是在这先推荐看wiki的文章 看完再去看1830函数 NtGlobalFlag - CTF Wiki 0x02 分析关键函数1830 模块一
re学习笔记(51)BUUCTF-re-[安洵杯 2019]crackMe
逆向随笔
03-10 2312
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:[安洵杯 2019]crackMe IDA64载入很懵逼,啥也没有 动调的时候出来一句hook,动调试试 OD搜索字符串,在输入call之后下断点 输入假码,回车程序被断下来 F8单步,发现在调用messagebox函数的时候执行了0x6AB1A0地址的代码 (我的映像基地址是0x690000) F7进call,来到这...
百度杯CTF比赛二月第三场比赛(Reverse专题赛)的CrackMe-1题目
03-30
百度杯CTF比赛二月第三场比赛(Reverse专题赛)的CrackMe-1题目。
[虎符CTF2021]CrackMe wp
小黑的猫窝
06-03 216
拖入IDA64,F5反编译,查看main函数: 粗略了解了一下C++的string类型的结构,上面的代码为存储字符串分配了3个缓冲区; 循环起到的作用是从输入的17个字符中分割出前7个字符存放到缓冲区; 从输入的17个字符中分割出后10个字符存放到缓冲区; 再次输入一个数值,经循环后需满足if后面的逻辑值为真,dword_140007044和dword_140007048的值均在其他函数中被修改; 在if处下断点,动态调试,先随意输入17个字符,再随意输入一个数值,得到上述两个被修改的值分别为0x1
BUUCTF--crackMe ——答案错了?
最新发布
m0_74773201的博客
01-28 534
这波我觉得是buuctf出错了
BUUCTF——CrackMe 反调试操作
fzucaicai的博客
12-20 1465
这题主要是反调试而且不是不让你调试,而是加入了很多干扰项,很磨人下面列举出这道题的反调试操作上述操作主要集中在函数中。
buuctf-crackMe题解及感悟
weixin_51373492的博客
05-19 1842
这道题花了我将近两天的时间,期间因为看wp完全看不懂疯狂请教学长,最终自己动手调试出来了。实在是不容易,也确实学到了许多东西,记录于此。 下载题目的程序后,惯例查壳,发现莫得 先打开程序,程序要我们输入用户名和密码,了解。 丢进ida 进入主函数wmain 把函数名字改成看得懂的单词 由此处的while和最里层的那个break可知,要从该循环跳出,这俩if都得满足 首先我们分析第一个if,点进sub_401830并开始分析 因为这个if要成立,所以这个return后面的表达式必须成立,及v14==43
CTF-RE-Cramckme2(Jarvis OJ)
SuperGate的博客
12-24 315
.NET逆向题  程序真正的入口在蓝条内的函数中,我们点进去之后向下翻,寻找可疑比较语句(由于函数较短,很容易找到) 根据下断点的两个语句分析,text应该就是输入的原文,而text2就是text经过加密后的密文。第一句是将text加密后赋值给text2,第二句是将text2和真正的flag的密文比较。 为了确保万无一失,我们下好断点然后观察变量的值。   text果然是输入的文...
buu_re_crackMe
qq_53008544的博客
02-15 745
本题主要考察简单的绕过反调试,结合动态调试求值。 查壳 无壳32位 ida分析 输入用户名和密码。 发现花指令,无法反编译。 将jbe和aaa那行nop掉,也将产生的这些数据nop掉。 最后得到这样。 将所有左侧标红的地址选中,按p声明为函数,打开函数发现前面是Congratulations,后面是Please try again,并返回result值为1,所以v3==1。(下图没截完整) 分析 sub_401830 函数 发现里面有很多反调试的东西...
re学习(36)看雪CTF 2017 -Crackme
m0_66039322的博客
09-01 272
刚开始用的是IDA分析,分析了半天也没有看出来什么,然后就在网上搜,还真搜出来了,直接上flag,解决了我的燃眉之急,哈哈,事后又看了看wp,才知道了真正的解法,还是应该总结的,毕竟有的题目是搜不到的......3、取key中第2位值为“5”的十六进制值即0x35,然后减去0x30,0x31-0x30 =5 ,接着就是1除以5得出浮点数0.2。,不相同则“error”这里验证key的值是否都为字符串“0”,如果4位的key又一个为“0”,则直接跳转到“error”弹出框。OD反汇编代码可以着色,比较醒目。
buu题解-crackMe
m0_73393932的博客
03-21 509
逆向
OD逆向crackme
09-02
在 [安全攻防进阶篇] 中,有关于逆向分析的教程可以帮助你了解如何使用OllyDbg逆向CrackMe程序。 OllyDbg是一种常用的逆向工具,可以用于分析和修改程序的执行流程和内存。使用内存断点和普通断点,可以在程序执行过程中捕获关键的代码位置,帮助我们找到CrackMe程序的OEP(Original Entry Point),即程序的入口点。 在 [安全攻防进阶篇] 中还有关于逆向分析两个CrackMe程序的详细教程,包括逆向分析和源码还原的步骤。这些教程将帮助你理解逆向分析的基本概念和技巧,提升你的安全能力。 如果你想深入学习如何使用OllyDbg逆向CrackMe程序,可以参考这些教程。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[安全攻防进阶篇] 六.逆向分析之OllyDbg逆向CrackMe01-02及加壳判断](https://blog.csdn.net/Eastmount/article/details/107777190)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [逆向crackme之ESp定律脱壳](https://blog.csdn.net/qq_58970968/article/details/125357834)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

h1nt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值