hackme inndy reverse rc87cipher writeup

最新推荐文章于 2024-09-21 15:18:10 发布
最新推荐文章于 2024-09-21 15:18:10 发布
阅读量636 收藏
点赞数
分类专栏: 二进制-逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/79225734
版权

话说这题真的挺难折腾出来的

首先这个程序是有upx壳的

但是这个壳被魔改了,关键的信息都被删除了,在google搜了半天linux upx upack 都找不到什么有用的信息

有两条路,一条是修复关键信息,一条路是像windows那些程序那样手动脱壳脱下来

两条路其实都试了一下,不过最终行得通的是第二条路

这里说下第一条路,如果你们有兴趣的话,可以去试试

首先作者把0xB4~0xB7处的UPX!填充为0xff了,然后把代码段有一个copyright的声明用nop给填掉了(话说查的时候看到upx的github上有人po了rctf的一道题,然后被upx的人吐槽copyright被改了,违反了规则hhhhh

然后去看了下github上upx的源码,源码里有一个函数 canUnpack,这里貌似是会检查文件尾的32个字节,具体的可以去看源码,然后如果想修的话,找一个正常的upx程序,把文件尾的32个字节复制上去,然后根据报错信息来慢慢改

然后来说下第二条路
首先upx壳在解压的过程中是不会加载so的,只会一直用syscall,这里用到一个神器,radare2(用得好爽

然后upx壳的规律是,最后一个syscall肯定是munmap,所以只要试一下就知道oep在哪里了

我这里写个简单的radare2脚本来找oep
对于静态链接的程序

9dcs
ds

对于动态链接的程序

15dsc
ds

这样就能找到oep,或者可以参考一下别人找oep的脚本
https://asciinema.org/a/35005

找到oep之后,也是按照上面链接里面的方式dump下来
dump下来之后用ida解析一波,有可能是我不会dump吧。。。很多函数都没识别出来,但是无所谓,大概都能猜出来

这里的oep是_start,所以最后那个call是__libc_start_main,所以第一个参数,也就是rdi,就是真正的main的地址

这里大概说下程序做了什么
这个程序只实现了加密的功能

加密的过程是,首先读取8个byte随机字符
然后根据这8个byte的字符来生成sbox

之后把这8个byte写到加密文件的开头

然后每次从被加密的文件读一个字符,就用password中的一个字符来对sbox操作一波

这里有rc87和rc87.enc,于是就可以暴力dfs破出password,这里的password其实就是flag

最后给出解题的脚本


f = open('./rc87', 'rb')
rc87_data = f.read()
f.close()

f = open('./rc87.enc', 'rb')
rc87enc_data = f.read()
f.close()


rc87enc_random_seed = rc87enc_data[:8]
rc87enc_data = rc87enc_data[8:]


def sbox_loop(v1, v2, sbox):
    for q in range(36):
        v2 = (13 * (~v2)) & 0xff
        v1 = (17 * (~v1)) & 0xff
        t1 = sbox[v1]
        t2 = sbox[v2]
        sbox[v1] = t2
        sbox[v2] = t1


def generate_sbox(seed):
    sbox = []
    for i in range(256):
        sbox.append(i)

    for i in range(8):
        sbox_loop(seed[i], i, sbox)
    return sbox


rc87enc_sbox = generate_sbox(rc87enc_random_seed)

password = ''
password_length = 40

def get_xor_value(tsbox):
    v9 = 0xdeadbeef
    for w in range(256):
        v11 = tsbox[w]
        v9 = 821091 * v11 ^ 23159 * v9
        v9 &= 0xffffffff
    return v9


def find_password(pas, tsbox):
    if len(pas) >= password_length:
        if(pas[39]=='}'):
           return [pas]
        else:
           return []
    possible_pas = []
    for i in range(32,127):
        ttsbox = [i for i in tsbox]
        sbox_loop(i, len(pas), ttsbox)
        v9 = get_xor_value(ttsbox)
        v15 = (17 * rc87_data[len(pas)]) ^ v9
        v15 &= 0xff
        if v15 == rc87enc_data[len(pas)]:
            possible_pas += find_password(pas + chr(i), ttsbox)
    return possible_pas


print(find_password('', rc87enc_sbox))
charlie_heng
关注
专栏目录
reverse - > RC4
10-31
re1
[杭州师范大学校赛2023决赛]signin -- upx魔改壳 rc4
can_no_volcano的博客
04-11 855
再遇魔改upx壳,也是知道如何做这题了,HxD打开文件发现壳的标志性位置全部用ZVM替代了。一眼rc4,甚至都没有魔改,那直接取数据,端序转化拿到flag即可。改回后脱壳就可以读代码。
坤坤的csgo邀请
qq_61156124的博客
04-13 170
这里0是字符串中止的意思,不是字符串,把他们全部拼起来,像这种字符串分布比较散的情况要注意多看看别漏(比如上面那一个.和一个s)魔改upx,是出题人加壳之后改的,把vmp改成UPX就可以脱壳了。用ida打开发现字符串长得像flag。upx脱壳发现脱不了。
upx魔改壳大全
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
09-21 309
(一)overlay_offset被修改将此标志修改为正确的即可用工具正常脱壳。
5.8---5.14 reverse刷题笔记
qq_73505302的博客
05-14 631
学习
[NSSRound#X Basic]ez_z3
2302_79135465的博客
04-19 508
upx魔改,z3,异或,快速幂,还有爆破
加密与解密 读书笔记
weixin_42100211的博客
10-22 1550
加密与解密的读书笔记,持续更新中
reverse - > RC4魔改密钥流算法
最新发布
10-31
RC4魔改密钥流算法
ISCC2015 Writeup REVERSE - Q7.docx
09-30
逆向工程挑战 ISCC2015 Writeup REVERSE - Q7.docx 本文档总结了 ISCC2015 Writeup REVERSE - Q7.docx 中的逆向工程挑战题目,涉及到多种逆向工程技术和算法,包括 DLL 文件分析、APK 文件修复、DES 解密、AES 解密...
linux下最好用的upx加壳工具
12-23
upx是一个用的最多的加壳工具,有效的防止程序被人进行反编译破解 这个是linux 下32位
VCTF 2024 ezvm (虚拟机逆向初探)
xianyu_yuan的博客
03-21 1024
进入第二个函数之后,先给result(下面简称res)赋值a1偶数位的值,进行判断,第一次是4,对应-16也就是0xF0,此时a1[3]也就是box[0]的位置就是0xF0,条件成立,返回了第a1[5]也就是函数_1,参数是a1这个指针。上者在v3的地址4,6,8········18这八个位置存储了 -16,-15············,-9这几个值(对应的16进制考虑正负的转换,就是0xF0,0xF1········)下面的在v3地址5,7,9········19这八个位置存储了上面的八个函数。
upx工具脱壳
Cfoxer的博客
05-25 2967
1.exeinfope查下壳upx壳无疑2.官方工具脱壳:https://github.com/upx/upx/releases使用命令upx.exe -d。
变形UPX砸壳记
07-13 353
背景 一次应急遇到了某挖矿木马,提取出矿机进行分析时发现加壳了,为UPX变形壳,遂有了此砸壳过程,比较简单主要做个记录 砸壳 直接进行UPX脱壳是没法脱掉的,打开编辑器看下是对魔数进行了修改,如下为修改后的: 进行修复,将2E 62 73 73修改为55 50 58 21 接着使用upx -d 直接砸壳即可 比较菜所以喜欢记录一些学习过程...
ISCTF2023 Reverse方向 WP
Sciurdae的博客
12-14 1400
那么根据简单的数学公式,我们可以知道phi 即 (p-1)(q-1) = (p+1)(q+1) - 2(p+q),以及n = p * q = (p+1)(q+1) - (p+q) - 1;但是其实现在也还有点疑惑,为什么TEA加密的时候的明文和key是相同的,解密的时候密文和key也可以相同,当时就是这里纠结不出来。这里拿 刚刚 TEA加密后的密文,先是异或,将得到的数据作为一个二维数组的索引,把当前位置的值设置为1,最后比较返回0。发现一小段花指令,去除后发现是一个TEA加密,但是目前不清楚是哪里的。
CTF逆向Reverse入门学习路线(面向小白)
热门推荐
Sciurdae的博客
10-07 1万+
CTF逆向 Reverse入门学习路线(入门指南)面向小白
RE 我的upx -d怎么坏了 ——WP 2023年第三届陕西省大学生网络安全技能大赛
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
06-03 595
这是一个加了魔改UPX壳的程序,使用UPX shell和upx -d脱不掉。F9 运行到的位置就是OEP ,在此处dump。可以知道迷宫是15*15的,由UDLR控制移动。找出从终点到起点的最短路即可。在.rsrc段F2下断点。只能手动调试寻找OEP。
re [网鼎杯 2022 青龙组]fakeshell 复现
m0_75098930的博客
04-15 175
大体逻辑是,先判断长度是否等于20,再加密,加密函数很简单,有两部分,直接写出脚本。64位exe,upx魔改,放入010改回upx就行。放入ida,动调不了,静态看看。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值