【reverse】buu-[Zer0pts2020]easy_strcmp——main函数的启动过程+IDA动态调试ELF

最新推荐文章于 2023-10-31 14:53:55 发布

hhhhhggghbhh

最新推荐文章于 2023-10-31 14:53:55 发布

阅读量195

点赞数

文章标签：算法 c++ 开发语言

本文链接：https://blog.csdn.net/hhhhhggghbhh/article/details/128246686

版权

本文介绍了64位ELF程序中动态调试函数的过程，通过IDA分析和动态调试，揭示了easy_strcmp函数可能被hook的细节。在调试过程中，发现了函数地址被篡改，导致函数调用时执行了预期之外的代码。文章提供了CPP和Python+libnum的代码示例，以及IDA动态调试配置方法，帮助读者理解这种hook技术。

摘要由CSDN通过智能技术生成

依赖

1.IDA7.7
2.Ubuntu20.04

作者：hans774882968以及hans774882968以及hans774882968

本文52pojie：www.52pojie.cn/thread-1686…

本文juejin：juejin.cn/post/714231…

本文csdn：blog.csdn.net/hans7748829…

思路

64位ELF。用IDA打开即可看到main函数：

__int64 __fastcall main(int a1, char **a2, char **a3)
{if ( a1 > 1 ){if ( !strcmp(a2[1], "zer0pts{********CENSORED********}") )puts("Correct!");elseputs("Wrong!");}else{printf("Usage: %s <FLAG>\n", *a2);}return 0LL;
}

会这么简单嘛？我们应该关注a2[1]是否被修改了。因此看看start函数：

// positive sp value has been detected, the output may be wrong!
void __f

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

hhhhhggghbhh

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

170925 逆向-Reversing.kr（Replace）

whklhhhh的博客

09-25

1219

1625-5 王子昂总结《2017年9月25日》【连续第358天总结】 A. Reversing.kr-Replace B.Replace先查一波壳，还好没有运行，是一个GUI程序，下面Label框中显示Wrong！，说明没法找Msgbox了呢随便输入后点Check，就停止运行了……嗯？这么暴力的，输错就GG吗惯例拖入IDA，WinMain中只有构造窗口的DialogBoxPara

buuctf_SimpleRev 1(算法逆向0r爆破0r动态调试)

m0_49936845的博客

08-29

736

ida反汇编： unsigned __int64 Decry() { char v1; // [rsp+Fh] [rbp-51h] int v2; // [rsp+10h] [rbp-50h] int v3; // [rsp+14h] [rbp-4Ch] int i; // [rsp+18h] [rbp-48h] int v5; // [rsp+1Ch] [rbp-44h] char src[8]; // [rsp+20h] [rbp-40h] __int64 v7; // [r

参与评论您还未登录，请先登录后发表或查看评论

IDA无法反编译 and 提示错误

weixin_52369224的博客

11-01

6190

情况一：有的时候IDA的函数点进去 ,发现无法去反编译，可能是代码出问题了，考察我们对汇编的阅读能力例如下面： aaa指令明显错误(注：CODE CREF代码交叉引用）我们把这里jbe和aaa nop掉然后再选中红色部分，按p键定义为函数，然后重新反编译即可 ...

ida使用时碰到的一些问题

你连心爱的女人的大便都不敢吃, 还敢说爱她

10-16

3810

#1 IDA F5 write access to constant memory detected. output maybe wrong. 这个就shift+F7后选定对应地址所在区段(具体出问题的内存地址在output可以看到), 然后ctrl+e打开编辑器在segment permissions里面对应属性加上, 另外segment class如果是code/rdata的, 也改成d...

IDA的常见问题及解决方法

weixin_43742894的博客

04-20

4490

1. align 对齐伪指令对齐伪指令格式： ALIGN Num 其中：Num必须是2的幂，如：2、4、8和16等。伪指令的作用是：告诉汇编程序，本伪指令下面的内存变量必须从下一个能被Num整除的地址开始分配。如果下一个地址正好能被Num整除，那么，该伪指令不起作用，否则，汇编程序将空出若干个字节，直到下一个地址能被Num整除为止。 2.代码段，不能F5获得伪代码。解决方法：按“...

攻防世界--simple-check-100

qq_48274326的博客

01-02

663

攻防世界–simple-check-100 ida找到main函数 // bad sp value at call has been detected, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { void *v3; // esp int v5; // [esp-14h] [ebp-50h] int v6; // [esp-10h] [ebp-4Ch]

buu-[网鼎杯 2020 青龙组]jocker

m0_73393932的博客

05-31

1107

逆向

安卓逆向实践7——乐固脱壳实战

Ray的博客

08-07

8623

待分析应用拖到Android killer中反编译: 可以看到是加了乐固壳的。查看lib目录下的so文件为libshella-2.8.so，后缀为a表示基于ARM平台，x代表x86平台，这里的版本是2.8.0版本的乐固壳。要分析如何脱壳，那么这个libshella-2.8.so就是分析的重点了。拖到IDA中静态分析，一开始就无法解析并且出现警告提示，这里老师上课讲过了，是对elf文件中的se...

picoctf_2018_leak_me

qq_62887641的博客

09-20

105

32位，只开了NX有个后门，只要我们输入正确的密码就getshell了看我们输入的点，v5和s的位置这两个是紧挨着的并且password是读入到s的。

勒索病毒-特洛伊木马变种

m0_64973256的博客

04-20

1036

文件名称： 457d9e4773f45954449ee5913d068fdbb3d8e5689019688e7bce901467e5473a 文件类型(Magic)： PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed 文件大小： 410.00KB SHA256： 457d9e4773f45954449ee5913d068fdbb3d8e5689019688e7bce901467e5473a SHA1： eef83497e8aa

从2023蓝帽杯0解题heapSpary入门堆喷

最新发布

ftiusadfnjew的博客

10-31

此题为2023年蓝帽杯初赛0解pwn题，比赛的时候是下午放出的，很难在赛点完成该题，算是比较高难度的题，他的题目核心思想确实和题目名字一样，堆喷，大量的随机化和滑板指令思想，在赛后一天后完成了攻破。此题，不是因为0解我才觉得他有意义，是因为他的堆喷思想和实际在工作中的二进制利用是很贴合的，确实第一次打这种题。

Buuctf [网鼎杯 2020 青龙组]jocker 题解

OrientalGlass的博客

03-11

1573

1.提示:,出现了堆栈不平衡的情况2.函数的作用是取消encrypt函数所在区域的读写保护,为下方给函数脱壳做准备3.首先输入一个字符串input,判断长度是否为24,然后复制到str中;4.wrong函数对input串加密,加密后由omg函数进行判断是否满足条件,但是根据这两条函数得到的flag是假的,也就图一乐5.真正的flag要根据encrypt和finally函数以及str串(原始的input)来求得二.wrong函数和omg函数--假flag1.wrong函数很普通的一个加密。

[Zer0pts2020]easy strcmp 分析与加法

Tokameine的博客

06-23

1569

无壳，放入IDA自动跳到main函数 __int64 __fastcall main(int a1, char **a2, char **a3) { if ( a1 > 1 ) { if ( !strcmp(a2[1], "zer0pts{********CENSORED********}") ) puts("Correct!"); else puts("Wrong!"); } else { printf("Usage: ...

[Zer0pts2020]easy strcmp细节探究

a5555678744的博客

03-22

653

这道题大多数的wp不知道这个程序是怎么跑的。这道题是由一个知名的日本战队zer0pts出的，还是挺新颖，挺有意思的总体感知首先来看看ida里的情景这就是main函数的所有了，很简单，感觉啥也没有，输入那串用于比较的字符当然是没用的。那就看看a1是不是在之前有加密，调交叉引用到start函数但是从这里找也没找到加密，所以，此题暗藏玄机呀。函数挺少的，注意看下来不难发现下面这个函数绝对是加密函数很多wp做到这里就结束了，但这不够！实现细节分析交叉引用说明.

BUU逆向 [Zer0pts2020]easy strcmp wp

苗_的博客

08-08

1202

拖进ida查看main函数，就是一个简单比较：然后我们就看它对输入的字符进行了什么操作：右移3位相当于除8，也就是把字符串分为8个一组，对应和qword_201060的值做减法，可以得到主函数里显示的字符串注意：内存中存储为小端存储我们只需要写出它的逆过程就可以了： #-*- coding:utf-8 -*- enc = "********CENSORED********" m = [0x410A4335494A0942, 0x0B0EF2F50BE619F0, 0x4F0A3A0

void ReleaseOneValue(void* data) { if (data == NULL) { return; } ValueNode* node = (ValueNode*)data; if (node->value_.use_count_ <= 1) { node->value_.use_count_ = 0; node_list_tail_->next_node_ = node; node->next_node_ = NULL; node_list_tail_ = node; value_status_.free_num_++; node->value_.RelResourceInTime(); //RelResourceInTime: 用户需要在其中释放动态分配的内存 //reverse end; if(rphead && ::is_open_reverse) { if(PACKET_NONE != rphead->btCurStaus) { rphead->pktbuf = NULL;//防止重复存包; } rphead->CdrRaw.ncdrid = node->value_.GetCdrid(); rphead->CdrRaw.tstart.tm_cycles = node->value_.GetTstart(); rphead->CdrRaw.cdrstat = PACKET_END; rphead->btCurStaus = PACKET_END; pubSendPkt((void*)rphead); } } else { node->value_.use_count_--; } return; } 函数意思，每句都解释

06-08

这是一个C++函数，名为ReleaseOneValue，它的参数是一个指向void类型的指针data。第一行代码检查data是否为NULL，如果是，则立即返回。第二行代码将data强制转换为ValueNode*类型，并将其赋值给node变量。第三...