Writeup of x64Lotto(reverse) in reversing.kr

最新推荐文章于 2022-07-13 07:30:00 发布
最新推荐文章于 2022-07-13 07:30:00 发布
阅读量461 收藏
点赞数
分类专栏: Reverse_of_CTF 文章标签: CTF reverse PRNG
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cossack9989/article/details/79177122
版权

此题风格诡异,有一种野生逆向的既视感(疯狂改跳转)

不扯别的,先下载附件。得到lotto.exe,无壳。接下来开始正式分析。

0x00 反编译代码逻辑

int __cdecl main(int argc, const char **argv, const char **envp)
{
  unsigned int v3; // eax@1
  signed __int64 i; // rbx@2
  char v5; // r8@4
  int r; // edx@4
  signed __int64 k; // rcx@4
  _BYTE *v8; // rdx@10
  signed __int64 j; // rcx@10
  char v10; // al@11
  signed int d; // ecx@13
  __int16 *v12; // rdx@13
  __int16 v13; // ax@14
  __int16 v14; // ax@14
  int input; // [sp+40h] [bp-78h]@1
  int v17; // [sp+44h] [bp-74h]@1
  int v18; // [sp+48h] [bp-70h]@1
  int v19; // [sp+4Ch] [bp-6Ch]@1
  int v20; // [sp+50h] [bp-68h]@1
  int v21; // [sp+54h] [bp-64h]@1
  int newkey1; // [sp+58h] [bp-60h]@1
  int v23; // [sp+5Ch] [bp-5Ch]@1
  int v24; // [sp+60h] [bp-58h]@1
  int v25; // [sp+64h] [bp-54h]@1
  int v26; // [sp+68h] [bp-50h]@1
  int v27; // [sp+6Ch] [bp-4Ch]@1
  __int16 v28; // [sp+70h] [bp-48h]@10
  __int16 v29; // [sp+72h] [bp-46h]@10
  __int16 v30; // [sp+74h] [bp-44h]@10
  __int16 v31; // [sp+76h] [bp-42h]@10
  __int16 v32; // [sp+78h] [bp-40h]@10
  __int16 v33; // [sp+7Ah] [bp-3Eh]@10
  __int16 v34; // [sp+7Ch] [bp-3Ch]@10
  __int16 v35; // [sp+7Eh] [bp-3Ah]@10
  __int16 v36; // [sp+80h] [bp-38h]@10
  __int16 v37; // [sp+82h] [bp-36h]@10
  __int16 v38; // [sp+84h] [bp-34h]@10
  __int16 v39; // [sp+86h] [bp-32h]@10
  __int16 v40; // [sp+88h] [bp-30h]@10
  __int16 v41; // [sp+8Ah] [bp-2Eh]@10
  __int16 v42; // [sp+8Ch] [bp-2Ch]@10
  __int16 v43; // [sp+8Eh] [bp-2Ah]@10
  __int16 v44; // [sp+90h] [bp-28h]@10
  __int16 v45; // [sp+92h] [bp-26h]@10
  __int16 v46; // [sp+94h] [bp-24h]@10
  __int16 v47; // [sp+96h] [bp-22h]@10
  __int16 v48; // [sp+98h] [bp-20h]@10
  __int16 v49; // [sp+9Ah] [bp-1Eh]@10
  __int16 v50; // [sp+9Ch] [bp-1Ch]@10
  __int16 v51; // [sp+9Eh] [bp-1Ah]@10
  __int16 v52; // [sp+A0h] [bp-18h]@10
  __int16 v53; // [sp+A2h] [bp-16h]@10

  input = 0;
  v17 = 0;
  v18 = 0;
  v19 = 0;
  v20 = 0;
  v21 = 0;
  newkey1 = 0;
  v23 = 0;
  v24 = 0;
  v25 = 0;
  v26 = 0;
  v27 = 0;
  v3 = time64(0i64);
  srand(v3);
  do
  {
    wprintf(L"\n\t\tL O T T O\t\t\n\n");
    wprintf(L"Input the number: ");
    wscanf_s(L"%d %d %d %d %d %d", &input, &v17, &v18);
    wsystem(L"cls");
    Sleep(0x1F4u);
    i = 0i64;
    do
      *(&v21 + ++i) = rand() % 100;
    while ( i < 6 );
    v5 = 1;
    r = 0;
    k = 0i64;
    byte_7FF7E67335F0 = 1;
    while ( *(&newkey1 + k * 4) == *(&input + k * 4) )
    {
      ++k;
      ++r;
      if ( k >= 6 )
        goto LABEL_9;
    }
    v5 = 0;
    byte_7FF7E67335F0 = 0;
LABEL_9:
    ;
  }
  while ( r != 6 );
  v8 = key;
  v29 = 92;
  v28 = 184;
  v30 = 139;
  v33 = 184;
  v31 = 107;
  j = 0i64;
  v32 = 66;
  v34 = 56;
  v35 = 237;
  v36 = 219;
  v37 = 91;
  v38 = 129;
  v39 = 41;
  v40 = 160;
  v41 = 126;
  v42 = 80;
  v43 = 140;
  v44 = 27;
  v45 = 134;
  v46 = 245;
  v47 = 2;
  v48 = 85;
  v49 = 33;
  v50 = 12;
  v51 = 14;
  v52 = 242;
  v53 = 0;
  do
  {
    v10 = key[j - 1];
    j += 5i64;
    *(&v25 + j + 1) ^= (v10 - 12);
    *(&v26 + j) ^= (key[j - 5] - 12);
    *(&v26 + j + 1) ^= (key[j - 4] - 12);
    *(&v27 + j) ^= (key[j - 3] - 12);
    *(&v27 + j + 1) ^= (key[j - 2] - 12);
  }
  while ( j < 25 );
  if ( v5 )
  {
    d = 0;
    v12 = &v28;
    do
    {
      v13 = *v12;
      ++v12;
      v14 = d++ + (v13 ^ 0xF);
      *(v12 - 1) = v14;
    }
    while ( d < 25 );
    v53 = 0;
    wprintf(L"%s\n", &v28);
  }
  wprintf(L"\n", v8);
  return 1;
}

仔细观察,发现代码逻辑应该是:

1.输入6个整数

2.和伪随机数列前六位进行校验

3.校验成功后进入下一轮对伪随机数列的运算,得到输出结果;校验失败则无输出

0x01 动态调试

平时在Windows下调试都是针对32位程序的调试,可是这个程序是64位的,怎么操作呢?

(划重点!敲黑板!)

其实原理和远程调试elf文件一样——首先启动dbgsrv目录下的win64_remotex64.exe,显示:

IDA Windows 64-bit remote debug server(MT) v1.19. Hex-Rays (c) 2004-2015
Host DESKTOP-AMVLUJ3 (192.168.211.1): Listening on port #23946...

然后选择Remote Windows Debugger,并且Set as default debugger。之后进入process options,将hostname设置为127.0.0.1。

此处推荐一篇文章:IDA debug x64 programs

之后就可以开始正常远程动态调试了。

老套路,碰到这种校验相对单一的,只需要Patch跳转指令,一路跳到最终输出前的运算代码即可。

最后输出结果前在rdx寄存器中发现:

随后屏幕输出

Password is from_GHL2_-_!
大功告成

C0ss4ck
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
171014 逆向-Reversing.krx64 Lotto
whklhhhh的博客
10-17 613
1625-5 王子昂 总结《2017年10月14日》 【连续第379天总结】 A. reversing.kr B.x64 Lotto从名字中就可以看出来这是一个x64程序 ExeInfoPe和PEiD似乎都不太支持x64的查壳的样子试运行,是一个CUI程序,提示Input the number 输入了几个数字似乎都没反应直接拖入64位IDA中,还好没壳,可以直接反编译 流程比较清晰,先
5道reversingwriteUp.docx
07-22
逆向分析CTF题目的write UP,详细写了Easy_Crack、Easy_UnpackMe、Replace、position和Easy_Keygen5道CTF题目的解题过程。
ReversingKr-wp(7)
fa1c4的blog
07-13 155
reversingkr 19 - 21 题解
GUI入门路(MISC小工具)——基于wxPython的一次小尝试
cossack9989的博客
12-20 860
之前有个同学吐槽一些HEXeditor不够优秀,想着要是有一个功能强大到能秒中低难度MISC题的工具就好了。 刚好最近下了个wxFormBuilder玩玩,就对着以前的脚本写了个肥肠简陋的GUI出来,只有很少的功能TAT: 查MD5查SHA1查CRC32查文件头尾 (我觉得还可以加几个功能上去) (开始画饼) (比如说检测可疑文件头出现次数,检测可疑字符串(专怼加密文件),对比文件b
Writeup of level3(Pwn) in JarvisOJ
cossack9989的博客
02-14 1540
又拾起了被我搁在一边快一个月的Pwn……(这一个月我被Android逆向拐跑了?) 不扯了,看题。 0x00 checksec 拿到文件先查checksec,得到如下信息: root@kali:~/Desktop/Pwn/level3# checksec level3 [*] '/root/Desktop/Pwn/level3/level3' Arch: i386-32-l
Writeup of love(reverse) in BugKu
cossack9989的博客
12-08 1490
首先,下载reverse_3.exe,扔到IDA pro (32bits),打开之后shift+F12查找字符串,得如下结果 跟踪please enter the flag,进入主函数sub_4156E0,调出伪代码 忽略sub_411127()函数。 首先发现strncmp中str2为’e3nifIH9b_C@n@dH’应为正确flag加密后的字符串。 二次加密部
ISCC2015 Writeup REVERSE - Q7.docx
09-30
逆向工程挑战 ISCC2015 Writeup REVERSE - Q7.docx 本文档总结了 ISCC2015 Writeup REVERSE - Q7.docx 中的逆向工程挑战题目,涉及到多种逆向工程技术和算法,包括 DLL 文件分析、APK 文件修复、DES 解密、AES 解密...
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
buuctf刷题记录3 [2019红帽杯]easyRE
ytj00的博客
07-30 424
先查壳,没有壳,拖进ida,f12大法 发现敏感句子,进入,代码如下 signed __int64 sub_4009C6() { const char *v0; // rdi signed __int64 result; // rax __int64 v2; // ST10_8 __int64 v3; // ST18_8 __int64 v4; // ST20_8 __int64 v5; // ST28_8 __int64 v6; // ST30_8 __int64 v7;
CTF-PWN-level3(Jarvis OJ)
SuperGate的博客
02-15 456
发现这个系列的题构造都差不多……不过不同的是这道题中没有给出system的地址。 checksec一下发现cannary没开,于是分析read函数,发现可以栈溢出。 基本思路就是先利用第二个write函数打印出write函数的got表地址。然后再在给出的libc库中找到write函数的地址,计算偏移值offset。再从libc库中找到system,/bin/sh的地址,通过offset和栈溢出...
Writeup of 黑客攻击(Misc) in WhaleCTF
cossack9989的博客
02-02 1738
题目要求获取Administrator的密码。 身为一个web方向重度残疾的二进制手,做这道题真是走了不少弯路。 比如说之前追踪TCP流在文件里找Administrator找password最后啥有用的也没找着(不是很懂黑客攻击的原理OTZ) 后来发现了inetpub\wwwroot,并且猜测黑客应该是用菜刀来取webshell,首先需要访问服务器,于是过滤HTTP包,去看看这个黑客到底干了
z3约束求解器使用
iczfy585的博客
09-17 7094
Z3约束求解器Z3的使用安装用法实例 Z3的使用 z3作为一种约束求解器,在CTF中可以用来解一些密码学,二进制逆向等问题。本文简单的介绍了z3的安装,用法,并且通过一个逆向题目来具体实践一下。 安装 pip install z3-solver 用法 1.声明变量 z3中有3中类型的变量,分别是整型(Int),实型(Real)和向量(BitVec) Int-整数型 from z3 import * a = Int('a')#声明单个整型变量 a,b = Ints('a b')#声明多个整型变量 Re
Writeup of BlueDon CTF's MISC-1:杂项全家桶
cossack9989的博客
10-30 2274
突然发现bdctf的初赛竟然还有一轮,拿起电脑顺手干了一题~。 Step1: 下载附件后解压得一个打不开的png文件,发现文件头被损坏,修正为 打开后如图   Step2: 很明显需要反色一下,用stegosolve的colour inversion(Xor)进行反色,扫码得到一串当铺密码“工井大人夫王”译得485376。这个时候本来以为是在png里面藏了个加密压缩包什么的,一番搜
Writeup of Mountainclimbing(reverse) in BugKu
cossack9989的博客
12-09 1604
好题啊! 首先扔到IDA里大致看一下逻辑 (改了函数名,数组名,变量名) 大概就是,用伪随机序列打印了一个如下图的二维数组,然后用L和R控制方向,走到哪里就把所在位置的元素值加入score s=[ [77], [5628, 6232], [29052,1558, 26150], [12947,29926,11981,22371], [4078, 28629,4665,
(未完)Writeup of Take the maze (reverse) in BugKu
cossack9989的博客
12-12 1252
好题(可惜我还没做出来,只做到一半) 简述一下逻辑吧,首先观察程序,main函数调F5伪代码失败,看看函数尾是不是要修改栈指针。果然,修改栈指针后,跳出了F5伪代码。 观察一下main函数的逻辑:   开头有一个反调试,动调改跳转过了它,接下来进入一个功能不明的函数(猜测为加密函数),然后,动态调试竟然终止了……GG   然后开始静态分析,在输出‘succeed’语句前的if条件中有一
Writeup of NJUPT CTF platform's some easy Reverse
cossack9989的博客
10-30 1117
NJUPT的CTF平台上的逆向题对于新手(比如我)来说,还是很不错的,这里给出第二题和第四题的wp~如有写的不妥的地方请指出哦
Writeup of Ransomeware(reverse) in reversing.kr
cossack9989的博客
01-22 846
emmmm这道题就当复习了一下常规操作吧 首先下载附件,得到 readme.txt , file , run.exe 打开readme理解一下题目意思,大概就是说这个run.exe加密了某一个文件,得到了file,现在需要将源文件逆向出来。 0x00 壳 DIE查壳,发现upx壳,脱掉 0x01花指令 这个程序的反汇编时间偏长,一定有蹊跷。 果然,一大片花指令,而且是在main函数的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值