2018年强网杯初赛 逆向题目 hide writeup (超详细)

最新推荐文章于 2022-05-09 19:48:25 发布
最新推荐文章于 2022-05-09 19:48:25 发布
阅读量3.9k 收藏 8
点赞数 2
分类专栏: CTF WP 文章标签: CTF 逆向 强网杯 write up
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/buaaqqq2015/article/details/79736026
版权

这道题有壳,strings搜索是upx3.91。但是不能用upx -d。只好手动脱壳了。

难点在于本题目有反调试,有些函数不能步过。

首先研究壳。


第一句call必须步入。

Sub_44f1c5必须步入。

 

Sub_44F1C5中,


0x44f214的rep指令把0x400000到0x44f248复制到0x800000位置。

0x44f22c处,rbp是0x84efb5。这句话是start处的第二条指令。这里不必步入。如果步入,

在44EFCB处的call    sub_44F020,再步过就会卡死(不知道为什么,奇怪!如果卡死,按ctrl+c可以只是终止而不退出gdb);步入之后可以使用finish命令运行到函数外,即0x44F22E处pop     rcx。

在0x44f22f retn之后,到达0x84f248:  call   0x84f2ac。

0x84f2ac是一开始没有复制的地址,可以考虑是0x84efb5的代码形成的新代码。此处内存开辟是在系统调用mmap处,刚开辟后此处全为0.

此时可以dump出来0x800000处的内存,见dump2.(我修改了ep,va,filesize)

接着运行到0x84f31c:  call   0x84f782,可以步过。

在0x84f339:  jmp    QWORD PTR [r15],跳转到0x40000c

此时可以dump处0x400000处的内存,见文件bindump.so。这就是脱壳后的文件了,但是不能运行,不清楚原因。可以看到ep是0x400890。

 

0x40000c:     syscall(调用号11,sys_munmap,解除内存映射)

0x40000e:     ret   

上面两处是elf头部的padding中存储的,感叹做的壳之精准。

ret之后到达:

0x400890:     xor    ebp,ebp

 

下一部分,分析主逻辑。

发现Enter the flag出现了两次。

按照程序执行过程只会执行上面一个。



从流程图上可以看到左枝非正常退出,猜测和反调试有关,进入43f380函数,看到调用了ptrace的系统调用,确实是反调试。由于没有脱壳成功,这里没办法修改判断条件,只好用gdb脚本修改eflags寄存器了。

接着分析0x4009AE函数:


这个时候就应该认识到这是错误的分支了,毕竟告诉你是错的flag了。但是我继续分析了,


具体函数还没有写入。根据动态调试,最后比较字符串的函数是42D820.


仔细分析逻辑,需要保证输入地址的64字节和目标地址的64字节相等,而只能输入32字节,根本不能实现。

废了很久时间之后,想到了另一处Enter the flag。


这里并未被ida识别成函数,0x4c8ef4处是我标记的函数,从这里标记可以使函数能使用f5.由于原程序并不会执行到此处,需要gdb脚本中修改pc值。

下面是可以快速进入关键位置的gdb脚本。

#!/bin/bash
file hide
b *0x44f22f
r
si
si
d
b *0x84f339  
#jmp    QWORD PTR [r15];0x40000c
c
d
si
si
si
b* 0x4009EF
c
set $rip=0x4C8EBC
b *0x4c8f11
c
set $eflags = $eflags |(1<<6)
5
b *0x4C8D09
c
c
d
b *0x4C8DFB
c

下面是本题目的exp

#coding=utf-8
import struct
import string
def u32(data):
    return struct.unpack("<I",data)[0]

def p32(data):
    return struct.pack("<I",data)

def u64(data):
    return struct.unpack("<Q",data)[0]

def p64(data):
    return struct.pack("<Q",data)

input1 = '1234567890123456'
input1 = bytearray(input1)
CONST_STR = 's1IpP3rEv3Ryd4Y3'
CONST = 0X676E696C
v4 = 0
v4_4=0
v4_4_arr = [0 for i in range(0,9)]
for i in range(1,9):
    v4_4_arr[i] = (v4_4_arr[i-1]+CONST)&0XFFFFFFFF

def re_block(byte_arr_8):
    i = 0
    v3 = u32(byte_arr_8[0:4])
    v4 = u32(byte_arr_8[4:8])
    print 'round', v3, v4
    for i in range(7,-1,-1):
        v30 = (v3 << 4) & 0xffffffff
        v2c = v3 >> 5
        edx = v30 ^ v2c
        v30 = (v3 + edx) & 0xffffffff

        v28 = (v4_4_arr[i+1] >> 11) & 3
        edx = u32(CONST_STR[v28 * 4:(v28 + 1) * 4])
        v2c = (v4_4_arr[i+1] + edx) & 0xffffffff  # xxxx
        # print 'v2c',hex(v2c)
        print v30 ^ v2c
        v4 = (v4+0x100000000-(v30 ^ v2c)) & 0xffffffff

        v30 = (v4 << 4) & 0xffffffff
        v2c = v4 >> 5
        edx = v30 ^ v2c

        v30 = (v4 + edx) & 0xffffffff

        v28 = v4_4_arr[i] & 3
        edx = u32(CONST_STR[v28 * 4:(v28 + 1) * 4])
        v2c = (v4_4_arr[i] + edx) & 0xffffffff

        v3 = (v3+0x100000000-(v30 ^ v2c)) & 0xffffffff

        print 'round',i,v3,v4
    byte_arr_8[0:4] = p32(v3)
    byte_arr_8[4:8] = p32(v4)
    return byte_arr_8
def xor16(byte_arr_16):
    for i in range(0,16):
        byte_arr_16[i]^=i
def re_all(str16):
    byte_arr = bytearray(str16)
    xor16(byte_arr)#传入整个bytearray,就是传入地址
    byte_arr[0:8] = re_block(byte_arr[0:8])#传入部分bytearray,就是复制之后再传入
    byte_arr[8:16] = re_block(byte_arr[8:16])
    xor16(byte_arr)
    byte_arr[0:8] = re_block(byte_arr[0:8])
    byte_arr[8:16] = re_block(byte_arr[8:16])
    xor16(byte_arr)
    byte_arr[0:8] = re_block(byte_arr[0:8])
    byte_arr[8:16] = re_block(byte_arr[8:16])
    return str(byte_arr)


def block(str8):
    i=0
    input1=bytearray(str8)
    v3 = u32(input1[8 * i:8 * i + 4])
    v4 = u32(input1[8 * i + 4:8 * (i + 1)])
    v4_4 = 0  ##0000
    for j in range(0, 8):

        v30 = (v4 << 4) & 0xffffffff
        v2c = v4 >> 5
        edx = v30 ^ v2c

        v30 = (v4 + edx) & 0xffffffff

        v28 = v4_4 & 3
        edx = u32(CONST_STR[v28 * 4:(v28 + 1) * 4])
        v2c = (v4_4 + edx) & 0xffffffff

        v3 = ((v30 ^ v2c) + v3) & 0xffffffff


        v4_4 = (v4_4 + CONST) & 0xffffffff

        v30 = (v3 << 4) & 0xffffffff
        v2c = v3 >> 5
        edx = v30 ^ v2c
        v30 = (v3 + edx) & 0xffffffff

        v28 = (v4_4 >> 11) & 3
        edx = u32(CONST_STR[v28 * 4:(v28 + 1) * 4])
        v2c = (v4_4 + edx) & 0xffffffff  # xxxx
        print v30 ^ v2c
        v4 = ((v30 ^ v2c) + v4) & 0xffffffff

        print 'round', j, v3, v4

    input1[8 * i:8 * i + 4] = p32(v3)
    input1[8 * i + 4:8 * (i + 1)] = p32(v4)
    str8_1=str(input1)
    return str8_1
def block2(str8):
    input1 = bytearray(str8)
    for i in range(0,8):
        input1[i]=input1[1]^i
    return str(input1)
des = ('52B8137F358CF21B'+'F46386D2734F1E31').decode('hex')
print len(des)

print block('12345678').encode('hex')
des1 = '5b90ef3f91b58fe6'.decode('hex')
print re_all(bytearray(des))


j1rufeng
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2018护网杯逆向题目
10-16
2018护网杯的3道逆向题目.
强网杯 2018 opm
Bill
05-23 1124
强网杯 2018 opm 前言 &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;这篇WP是强网杯过去了很久之后才出的, 参考的是极目楚天舒师傅的博客, 这位师傅是一位CTF老赛手, 最近复出.由于图片中不能CTRL+F出文字, 本文章尽量避免使用图片, 除非必要. 程序运行 1. menu You were invited to beat one punch man! (...
hidewriteup
syk的博客
05-31 227
strings hide 加入了UPX壳 手动脱壳,基本原理是程序在运行时会将代码释放到内存中,我们只需在运行时将内存中的可执行代码段dump出来即可 ./hide sudo dd if=/proc/$(pidof hidebak)/mem of=hide_dump1 skip=0x400000 bs=1c count=827392 sudo dd if=/proc/$(pidof hid...
广东省强网杯逆向题 SimpleGame writeup
weixin_43090100的博客
09-06 1152
在i春秋平台上找到的这题,200分的题就是不一样哈:) 地址:reverse 题目SimpleGame 先运行一下,看起来还挺简单的(然而虐了我好长时间),输入flag,然后给出结果。加载到ida,一上来发现有壳。然后就查了下壳:upx 脱壳一开始用的esp定律,因为在程序开头发现一个pusha,然后alt+t搜索popa 跟进到jmp目的地址发现应该还不是oep,继续跟进 直到一...
强网杯-Just RE-3DES逆向分析
playmaker的博客
06-02 975
强网杯just re z3求解 题目流程很简单,查找字符串找到主函数 int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int *v3; // edi signed int v4; // eax _BYTE *v5; // edx int v6; // eax int resu...
强网杯 WriteUp By Nu1L
08-02
强网杯 WriteUp By Nu1L》是关于2022第六届“强网杯”全国网络安全挑战赛的一份技术分析报告,由Nu1L团队撰写。在这篇WriteUp中,作者分享了他们在竞赛中遇到的各种挑战和解决策略,涵盖了Pwn、Reverse、Find_...
2023 强网杯 Writeup
最新发布
01-29
2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目详细分析和知识点总结...
强网杯 WriteUp By Nu1L源代码程序.pdf
12-18
强网杯
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
2018的第二届强网杯线上赛中,存在一系列难度较大的Web题目,这些题目主要测试参赛者的Web安全技能,括但不限于密码学、SQL注入、XSS攻击、CSRF漏洞等。 首先,第一层绕过机制涉及到字符串比较和MD5哈希。...
2021强网杯Writeup--by Nu1L Team.pdf
06-15
第五届“强网杯”全国网络安全挑战赛
2018强网杯之silent2
极目楚天舒的博客
04-23 635
0x01分析行为按照正常思路添加、编辑、释放Add函数分配大小为16字节或大于0x7f字节的堆块,将堆地址放入0x6020c0的bss段内。Free函数释放堆块,但是没有将指针清零,导致doublefree。Edit函数修改堆块内容,修改长度不过原来的长度。0x02利用点checksec检查发现可以对got表进行写,很自然联想到用system函数地址覆盖strlen_got_plt,这样当调用E...
2018强网杯部分writeup
snowleopard_bin的博客
09-20 2313
0x00 签到题 操作内容: 打开题目就看到flag FLAG值: flag{welcome_to_qwb} 0x01 Welcome 操作内容: |拿到一张图片:               放进Stegsolve中,一点点偏移图片,慢慢发现有字,offset到100时就能清楚看到 得到flag FLAG值: QWB{W3lc0me} 0x02 web签到 操作内容:...
2018强网杯
aoque9909的博客
04-01 291
先占个楼 看着writeup慢慢学吧。。 转载于:https://www.cnblogs.com/ZHijack/p/8659885.html
linux_kernal_pwn 2018 强网杯 - core
yongbaoii的博客
09-01 305
四个文件,vmlinux不用提取了。 开了kaslr。 我们说内核的保护分四种,隔离、访问控制、异常检测、随机化。 随机化有两种,一个是kaslr,一个是fgkaslr。 在开启了 KASLR 的内核中,内核的代码段基地址等地址会整体偏移。 然后解压文件系统,看看init文件相关配置。 mkdir core cp core.cpio ./core cd core mv ./core.cpio core.cpio.gz #因为cpio是经过gzip压缩过的,必须更改名字,gunzip才认识 gu.
kernel ROP - 2018 强网杯 - core
qq_51687381的博客
05-09 181
初学kernel,做个笔记。 Kernel ROP - CTF Wiki wiki上有着详细的分析,这里只对一些wiki上没有讲到的做个笔记。 首先是对文件: 引用一句其他师傅的话:类比于libc中的pwn,感觉*.ko就是binary文件,vmlinux就是libc … 不同的是保护机制是由如何启动决定的(start.sh 中修改)。 Rop大体思路: 栈上有Canary防护的话,需要先泄露出Canary,来促使Rop Rop具体思路是和Libc中的类似,利用一些寄存器进行传值 调用com
kernel-ROP 2018 强网杯 - core
qq_41071646的博客
07-13 1330
参考链接 CTF wiki https://ctf-wiki.github.io/ctf-wiki/pwn/linux/kernel/kernel_rop-zh/ 说实话 看见强网杯 这三个字 我笑了 2019的那些pwn 题 真的多 不当人 当时因为我再看 逆向所以 pwn 就负责人一个人 比较难受 暑假多学一些pwn 能够分担pwn 压力吧 然后今天看了一下 k...
强网杯 2018 core ROP做法
weixin_46483787的博客
04-13 512
学kernel的第二天,仍然很不想学····· 拿到题目看下init先: #!/bin/sh mount -t proc proc /proc mount -t sysfs sysfs /sys mount -t devtmpfs none /dev /sbin/mdev -s mkdir -p /dev/pts mount -vt devpts -o gid=4,mode=620 none /dev/pts chmod 666 /dev/ptmx cat /proc/kallsyms > /tmp/
强网杯 2018 core ret2user做法
weixin_46483787的博客
04-13 1450
关于题目的具体分析移步 强网杯 2018 core ROP做法 这里就只介绍ret2user这种做法,不再对题目进行具体分析。 这个题没有smep,所以可以直接在内核态执行用户态的代码,所以我们可以自己写一个执行commit_creds(prepare_kernel_cred(0))的函数,然后修改返回地址到那个函数,之后再进入用户态执行system(/bin/sh\x00)来起shell,省去了找gadget编写rop的过程 exp: #include <stdio.h> #include &
强网杯ctf pwn&re writeup (部分)
这里没人
06-04 7097
打了2天的强网杯,虽然一度冲进了前10。可惜最后的时候还是掉出了20名。最后只能无奈打出GG。其中的原因有很多,也不想多说了。 逆向溢出题3连发。我就只会那么多了Orz 先来一道re200 kergen 发送24位的字符串,主要是400B56处的检验函数。检验方法是这样的先是发送字符的第1 10 7 11 2 13 16 17位,中间插入43917202。然后MD5,然后转化成32位字符串形
2018强网杯CTF Web挑战解析:绕过与解密
2018强网杯线上赛Web部分含了一系列不同难度的题目,这些题目可能涉及到SQL注入、XSS攻击、文件含漏洞等常见Web安全问题。 第一层Web签到题目中,题目设计了一个条件判断,要求`param1`与`param2`不相等,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值