BUUCTF Youngter-drive1

最新推荐文章于 2024-10-02 01:59:48 发布
最新推荐文章于 2024-10-02 01:59:48 发布
阅读量290 收藏
点赞数 1
文章标签: 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevinhezhuzhu/article/details/127482299
版权

  查看文件,发现UPX壳,先脱壳。

 拖入IDA,查看字符串。发现了input flag

点进去看看,跟进到 sub_411BD0 ,查看伪C代码。

int sub_411BD0()
{
  char v1; // [sp+Ch] [bp-C0h]@1

  memset(&v1, 0xCCu, 0xC0u);
  printf("1111111111111111111111111111111111111111111111111111111111111111111111111111111\n*******************************************************************************\n**************             ****************************************************\n**************   ********   *********************                 *************\n**************   *********  *********************   ***************************\n**************   *********  *********************   ***************************\n**************   *********  *********************   ***************************\n**************   *******   **********************   ***************************\n**************   ****   *************************   ***************************\n**************   *    ***************************                **************\n**************   ***    *************************   ***************************\n**************   ******   ***********************   ***************************\n**************   ********   *********************   ***************************\n**************   **********   *******************   ***************************\n**************   ***********    *****************                 *************\n*******************************************************************************\n1111111111111111111111111111111111111111111111111111111111111111111111111111111\n");
  sub_41116D();
  printf("input flag:\n");
  sub_41116D();
  scanf("%36s", &Source);
  sub_41116D();
  return sub_41116D();
}

跟踪进去看了半天,还真没啥思路,不太像main函数,尝试向前跟踪。

 

找到了sub_411C70,查看

int sub_411C70()
{
  char v1; // [sp+Ch] [bp-D8h]@1
  HANDLE v2; // [sp+D0h] [bp-14h]@1
  HANDLE hObject; // [sp+DCh] [bp-8h]@1

  memset(&v1, 0xCCu, 0xD8u);
  sub_4110FF();
  CreateMutexW(0, 0, 0);
  ::hObject = (HANDLE)sub_41116D();
  j_strcpy(Dest, &Source);
  CreateThread(0, 0, StartAddress, 0, 0, 0);
  hObject = (HANDLE)sub_41116D();
  CreateThread(0, 0, sub_41119F, 0, 0, 0);
  v2 = (HANDLE)sub_41116D();
  CloseHandle(hObject);
  sub_41116D();
  CloseHandle(v2);
  sub_41116D();
  while ( dword_418008 != -1 )
    ;
  sub_411190();
  CloseHandle(::hObject);
  sub_41116D();
  return sub_41116D();
}

多线程,先看看 sub_4110FF()

int sub_4110FF(void)
{
  return sub_411BD0();
}

就是刚才的那个sub_411BD0,在这里面输入Source,之后把Source赋给Dest,然后创建一个新线程,里面是StartAddress,跟踪进去。

void __stdcall StartAddress_0(int a1)
{
  int v1; // eax@2
  int v2; // eax@3
  int v3; // eax@4
  int v4; // [sp+0h] [bp-CCh]@2
  char v5; // [sp+Ch] [bp-C0h]@1

  memset(&v5, 0xCCu, 0xC0u);
  while ( 1 )
  {
    v1 = WaitForSingleObject(hObject, 0xFFFFFFFF);
    sub_41116D(&v4 == &v4, v1);
    if ( dword_418008 > -1 )
    {
      sub_41112C(&Source, dword_418008);
      --dword_418008;
      Sleep(0x64u);
      sub_41116D(&v4 == &v4, v2);
    }
    v3 = ReleaseMutex(hObject);
    sub_41116D(&v4 == &v4, v3);
  }
}

dword_418008为1Dh,每循环一次,dword_418008都减1,当dword_418008>-1时,把Source和dword_418008当作sub_41112C函数的参数,sub_41112C进去之后是sub_411940,但是我这里点不进去,尝试查看一下汇编,发现爆红处,尝试NOP掉。

 

 这样就可以了。

void __cdecl sub_411940(int a1, int a2)
{
  char v2; // [sp+Ch] [bp-CCh]@1
  char v3; // [sp+D3h] [bp-5h]@1

  memset(&v2, 0xCCu, 0xCCu);
  v3 = *(_BYTE *)(a2 + a1);
  if ( v3 >= 97 && v3 <= 122 || v3 >= 65 && v3 <= 90 )
  {
    if ( v3 < 97 || v3 > 122 )
      *(_BYTE *)(a2 + a1) = off_418000[0][*(_BYTE *)(a2 + a1) - 38];
    else
      *(_BYTE *)(a2 + a1) = off_418000[0][*(_BYTE *)(a2 + a1) - 96];
    sub_41116D();
    JUMPOUT(loc_411A03);
  }
  exit(0);
}

 其中off_418000=QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm

 这个其实就是一个加密函数,将source进行加密。

若v3为非小写,则:

*(_BYTE *)(a2 + a1) = off_418000[0][*(_BYTE *)(a2 + a1) - 38];

否则,则:

*(_BYTE *)(a2 + a1) = off_418000[0][*(_BYTE *)(a2 + a1) - 96];

第二个线程,跟进函数查看:

void __stdcall sub_411B10(int a1)
{
  int v1; // eax@2
  int v2; // eax@3
  int v3; // eax@4
  int v4; // [sp+0h] [bp-CCh]@2
  char v5; // [sp+Ch] [bp-C0h]@1

  memset(&v5, 0xCCu, 0xC0u);
  while ( 1 )
  {
    v1 = WaitForSingleObject(hObject, 0xFFFFFFFF);
    sub_41116D(&v4 == &v4, v1);
    if ( dword_418008 > -1 )
    {
      Sleep(0x64u);
      sub_41116D(&v4 == &v4, v2);
      --dword_418008;
    }
    v3 = ReleaseMutex(hObject);
    sub_41116D(&v4 == &v4, v3);
  }
}

他能做的主要是让dword_418008-1。

两个线程会交替运行,这样会导致加密函数变成一个隔一个加密,这个也可以看成奇数加密,偶数不加密

最后,调用sub_411880这个函数,同理,NOP掉爆红部分。

 跟进查看发现:

void sub_411880()
{
  int v0; // eax@6
  int v1; // eax@6
  int v2; // [sp+0h] [bp-D8h]@6
  char v3; // [sp+Ch] [bp-CCh]@1
  int i; // [sp+D0h] [bp-8h]@1

  memset(&v3, 0xCCu, 0xCCu);
  for ( i = 0; i < 29; ++i )
  {
    if ( *(&Source + i) != off_418004[i] )
      exit(0);
  }
  v0 = printf("\nflag{%s}\n\n", Dest);
  v1 = sub_41116D(&v2 == &v2, v0);
  sub_41116D(1, v1);
  JUMPOUT(loc_411911);
}

其中off_418004为TOiZiZtOrYaToUwPnToBsOaOapsyS,即将Source和此字符串相比较

然后写脚本的时候卡住了……

kevinhezhuzhu
关注
BUUCTF Reverse/Youngter-drive
ookami6497的博客
07-22 296
BUUCTF Reverse/Youngter-drive 查壳发现UPX壳,且为·32位程序 用脱壳工具脱壳 用IDA32位打开 跟进查看,又是一道字符串比较的题目 发现这个函数对输入的字符串进行了比较 int sub_411880() { int i; // [esp+D0h] [ebp-8h] for ( i = 0; i < 29; ++i ) { if ( *(&Source + i) != off_418004[i] )
西威 avy系列变频器调试软件 easy-drive
01-13
1. 参数配置:用户可以通过软件界面设定变频器的各项运行参数,如电机类型、额定功率、电压、频率范围等,以适应不同的应用需求。 2. 功能码编程:软件支持功能码编程,允许用户自定义变频器的功能,比如启动停止...
BUUCTF Youngter-drive
zgwz123456的博客
06-21 371
首先查壳发现是upx壳,直接上工具脱壳 upx -d E:\桌面\7289daa8-a5d5-430e-87a0-92ce805d8f15\Youngter-drive.exe 打开是这样的程序 拉入IDA进行分析 找到主函数,发现创建了两个线程,一个StartAddress,一个sub_41119F,进去看看 这里是对我们的flag进行操作,主要函数是sub_41112C 会出现这种情况,原因是堆栈不平衡利用ida调堆栈就好 找到411A04处,在pop ebp上按alt+k 将0x4改为.
buuctf-Youngter-drive
liuzejie1的博客
07-07 225
BUUCTF_Youngter-drive
weixin_46009088的博客
10-30 1366
BUUCTF_Youngter-drive 学到一些多线程和IDA平衡堆栈的知识!同样也是尽量写的详细! 解压后拖进IDA,发现UPX的壳,如图: 用upx -d 把它给脱壳了,如图: 接下来就可以用IDA载入了,如图: 找到main_0函数就可以用F5大法了 一个函数一个函数来看,先看到sub_4110FF,点进去看看: 没啥东西,往下看,CreateThread创建了两个线程,MSDN文档1如下: 点进StartAddress查看线程,如图: 发现一个函数,点进去看,如图: 但是弹出了下面的错误.
buuctf Youngter-drive
weixin_45701079的博客
10-31 2574
buuctf Youngter-drive 拿到题目,查壳(upx),首先脱壳,(不会脱壳自行百度,很多教程),脱壳之后是不能运行的,好像是因为文件重定向,但是不影响ida静态分析,ida打开 分析,多线程,最近刚好在学多线程,第一个线程h0bject会执行StartAddress函数,第二个线程v2执行sub_41119f函数,然后挨个分析打开StartAddress函数 会出现这种情况,原因是堆栈不平衡利用ida调堆栈就好, 在红色部分用alt+k,打开![在这里插入图片描述] 把原来的0x-4改成
R-Drive Image 2024 是一款全面的 Windows 基础恢复和磁盘复制工具
08-20
R-Drive Image 2024 是一款全面的 Windows 基础恢复和磁盘复制工具,可以帮助您快速轻松地修复驱动器上的数据。它是一款非常可靠且高效的工具,即使在操作系统故障、恶意软件攻击或硬件故障导致重大数据丢失的情况下...
Citizen西铁城手表Eco-Drive光动能手表说明书.pdf
02-11
Citizen西铁城品牌说明书
R-Drive Image 5.3中文破解版.rar
09-02
安装步骤:安装后不要立即运行R-Drive Image,将R-DriveImage.exe文件复制C:\Program Files\R-Drive Image目录下,覆盖原来的文件,再使用压缩包内附的序列号注册即可。R-Drive Image 5.3能够为数据归档/备份...
BUUCTF--Youngter-drive
Hk_Mayfly的博客
03-26 897
测试文件:https://www.lanzous.com/ianojbc 如果运行程序提示缺少msvcr100d.dll文件,将此dll文件放程序的同一目录。(https://www.lanzous.com/iap3v6f) 准备 获取信息 32位文件 存在upx壳 代码分析 upx脱壳之后,打开主函数代码 int __thiscall main_0(void *thi...
buuctf——youngter_drive
yhfgs的博客
05-29 318
1.得到exe文件,查壳。 upx
Youngter-drive
weixin_52034946的博客
01-25 766
有壳,upx的,先脱壳,教程自己上网搜 从main函数开始 创造俩个进程,StartAddress和sub_41119F StartAddress 里面含有一个加密处理和一个减一 看加密函数,在进 sub_411940 时会有一个报错,我这边用的IDA7.5,提示错误了,但是还是可以看到伪代码 加密函数就是大写字母-38,小写字母-96, 是off_418000 减d的. off_418000:QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasd 下一个线程里面只有减一 最后一
BUUCTF RE Youngter-drive by YuSec
YuSec
08-12 337
Youngter-drive Start 打开发现加了个UPX壳 想手脱,发现 好吧,直接脱壳机脱吧,脱完重新载入IDA 搜索字符串,将flag放在Source中,后面就没了 看看谁用了Source 发现四处引用的地方,除了当前的,还有三处 看到sub_411880 对Source和off_418004常量字符串进行比较,这里应该就是最终加密后进行比较的 看到StartAddress_0 发现调用了sub_41112C进行处理Source 这里有个细节需要注意,dword_418008是临界资源
BUUCTF-Youngter-drive
weixin_50783572的博客
10-25 236
BUUCTF reverse Youngter-drive 用Exeinfo打开发现加了upx壳 用upxshell脱壳后用IDA32打开 找到主函数 sub_4110FF函数控制输入了Source的值 打开StartAddress函数 发现sub_41112C函数,进入查看 是将输入的字符中的大小写字母从下面这个字符串中进行替换 这里我犯了错误,没有继续看main后面的函数,以为每一个都要替换 回去看main函数,发现在sub_41119F函数中也对dword_418008的值进行了减一操作,
buu:Youngter-drive
weixin_60553183的博客
12-30 1476
查壳发现有壳,UPX脱壳放IDA进入MAIN函数 学到新的知识点,多线程。CreateThread是创造一个线程,CloseHandle是关闭该线程。 先点进第一个线程的第一个函数 发现打不开,放百度。 这里又是一个新的知识点:堆栈不平衡。这里需要修改栈顶。 这里勾选Stack pointer再去汇编指令那里,就会发现有标红,在对应的地址那里按ALT+K进行修改后。即可打开函数 这里就很简单了小写改大写。 ...
buuctf--->Youngter-drive
最新发布
shdbehdvd的博客
10-02 454
关键是 提高对win32 API的重视程度,如果 不知道 createMutexW互斥 那想都别想做。Youngter-drive - PYozo_free - 博客园 (cnblogs.com)”Source“很眼熟,在字符判断时也出现过,猜测是input。脚本:不会,不想动脑筋(思路清晰,不想写。因为这题运行不起来,调试不起来,会报错,只能纯分析。看见的一瞬间就知道,是某种表以及某种加密。所以,我先看的字符串:>>>信息收集。跟踪sub_411940就好。所以,此时可以综合所有已知的。
e-drive hil test
04-28
e-drive hil测试是对电驱动系统的高压测试,其中e-drive代表电子驱动,hil代表硬件在循环测试。电驱动系统是将电能转化为机械能的系统,主要应用于电动汽车和混合动力汽车中,是这些车辆的关键部件之一。e-drive hil...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值