WP-南邮CTF逆向第四题 WxyVM1

最新推荐文章于 2022-04-13 22:30:00 发布
最新推荐文章于 2022-04-13 22:30:00 发布
阅读量640 收藏
点赞数
分类专栏: CTF 文章标签: 南邮逆向 CTF 第四题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l15263458908/article/details/83862862
版权

WP-南邮CTF逆向第四题 WxyVM1

用记事本打开后发现前面有elf,所以确认这个是一个elf文件.

  1. 打开IDA,载入WxyVM1,找到main函数,按F5,得到伪代码,并对伪代码进行分析
    在这里插入图片描述
  2. 对sub_400586这个函数进行分析
    在这里插入图片描述
  3. 观察这个函数,发现里面只有6010C0这个地址和604B80这个地址,并没有601060这个地址,说明这个函数是根据6010C0处的数据对用户输入的字符串进行重写,然后重写后的数据再与601060处的数据进行比较,下面对这个函数进行详细的分析,来观察它到底是怎么对用户输入的数据进行重写的
    在这里插入图片描述
  4. 下面我们再来观察一下6010C0处的数据
    在这里插入图片描述
    我们发现,这个数据非常有规律,再配合前面的for循环是i += 3,判断处6010C0处存放的其实是一个以3个字节为一个元素的数组,并且元素中的第一项(V0)决定了进行什么样的操作,第二项byte_6010C0[i + 1]决定了在哪个地方进行操作,第三项(V3)决定了与什么样的数进行操作
  5. 由于加减乘除,按位异或的逆向运算比较简单,我们发现这个题可以直接进行逆向,于是编写IDC脚本
    在这里插入图片描述
  6. 最终的到真正的flag 为nctf{Embr4ce_Vm_j0in_R3}
z4ky
关注
专栏目录
南邮ctf攻防平台RE第四WxyVM1
计算机小白的博客
07-28 3260
今天做了南邮攻防平台RE第四,链接:http://ctf.nuptsast.com/用Winhex打开以后可以看出来是ELF文件,所以用IDA打开,找到main函数,F5。 可以看出来,程序的意思就是:输入flag,经过sub_4005B6那个函数进行运算,然后长度必须为24,再与最终答案进行比较,检测是否正确。 接下来看那个运行的函数: 6010C0是一个长度为15000的数组,每
170707 逆向-南邮CTF逆向WxyVM1
whklhhhh的博客
07-08 2220
1625-5 王子昂 总结《2017年7月7日》 【连续第278天总结】 A. 南邮CTF逆向(4) B. 4: 记事本打开发现文件头是ELF,拖入IDA进行反编译,发现只有几个函数 查看main函数,发现输入以后调用sub_4005B6()函数,然后判断长度是否为24和字符串0x601060比较 再进一步看4005B6,发现是按照0x6010C0的14
[ctf.show.reverse] 逆向4
weixin_52640415的博客
04-13 1216
程序按26进制作了个查表,然后和7异或 void __fastcall __noreturn sub_1400010E0(char *a1, __int64 a2) { int v2; // er9 __int64 v3; // r8 char *v4; // r10 char v5; // al __int64 v6; // rbx char v7; // cl char v8; // [rsp+1Fh] [rbp-3F9h] char v9; // [rsp+20h]
cgctf RE WxyVM1
qq_42192672的博客
12-08 483
之前沉迷各种实验,咕了真的有点久了……咕咕咕 自己分析虚拟机指令的能力一向是比较弱的,应该说主要就是基本没有练过,打算从简单开始练习 基本就是一个这样的一个ELF文件,拖进IDA分析 首先分析main函数 然后分析函数4005B6 流程基本就这样,三个一组,写个脚本逆回去就好 脚本,数据特别多…… dword_601060 = [0xC4, 0x34, 0x22, 0x...
南邮CTF逆向第四道WxyVM解思路
iqiqiya的博客
12-24 4150
首先看下目   ELF文件 直接载入64位IDA 进入main函数 F5查看C代码 分析main函数代码:    __int64 __fastcall main(__int64 a1, char **a2, char **a3)
CTF逆向-[羊城杯 2020]Bytecode-WP-Python字节码反编译
serfend's blog
04-12 2824
CTF逆向-[羊城杯 2020]Bytecode-WP-Python字节码反编译 来源:https://buuoj.cn/ 内容:无 附件:https://pan.baidu.com/s/15XJLq9jFV_pOtPMzNXG9XA?pwd=tlwo 提取码:tlwo 答案:GWHT{cfa2b87b3f746a8f0ac5c5963faeff73} 总体思路 反编译汇编成py源码 检查源码逻辑发现是一个约束求解(解方程) 使用z3输入条件得到flag 详细步骤 文件信息,打开发现是Python的
170708 逆向-南邮CTF逆向(maze)
whklhhhh的博客
07-08 3298
1625-5 王子昂 总结《2017年7月8日》 【连续第279天总结】 A. 南邮CTF逆向(5、6) B. 5: 又是maze,拖到IDA分析后发现主要内容就在main中:if ( strlen(&input) != 24 || strncmp(&input, "nctf{", 5uLL) || *(&byte_6010BF + 24) != 125
Android逆向CTF基础汇总
06-11
附件是八道Android基础逆向,基本都是CTF。平时网上基础的CTF目比较难找,全靠平时慢慢积累起来的,后面有其他做过的CTF再贴出来分享给大家练手。
CTF-RE-WcyVM
SuperGate的博客
12-14 925
源:nctf2018 逆向+虚拟机鬼畜,对萌新来说是非常好的一道虚拟机入门 如果缺少虚拟机相关知识先看一下这篇文章:https://www.52pojie.cn/forum.php?mod=viewthread&tid=713219 首先我们用LINUX执行这个文件,提示要我们输入字符,随便输几个之后输入文本结束符号。我们发现程序没办法继续运行下去了。于是扔进ida开始调试。...
南邮ctf平台 逆向 WxyVM2
CHOOOU的博客
11-03 607
直接 IDA F5出源代码, 非常好懂,就是做比较 for ( i = 0; i <= 24; ++i ) { if ( *(&byte_694100 + i) != dword_694060[i] ) v1 = 0; } 但是这段代码之前有几万条指令,其中有很多混淆的指令,只有对 byte_694100 ~ byte_694124 的修改才是有用的。 我们要做...
南京邮电大学网络攻防训练平台-逆向-Py交易
a3uRa的一个窝
10-20 418
import base64 def decode(message): message=base64.b64decode(message) b='' for i in message: i=ord(i)-16 b+=chr(i^32) print b correct = 'XlNkVmtUI1MgXWBZXCFeKY+AaXNt' decode(correct)
南京邮电大学网络攻防平台逆向writeup之[WxyVM]
qq_31344951的博客
08-01 1890
#1 找到主函数,看上去很简单,把输入的字符串拿去一个函数作运算,然后拿字节和一个固定的dword对比 坑点1:动态调试的时候才找到,是拿byte和dword对比,这里卡了好久,终于找到拿出来对比的字符串了。 #2 进入sub_4005b6();这个就是加密函数,byte_6010C0 是一个类似hash表的东东,有1500字节长,为了方便读取截出来
WP-南邮CTF逆向第六 WxyVM2
z4ky的博客
11-08 592
WP-南邮CTF逆向第六 WxyVM2 用记事本打开WxyVM2,发现是elf文件 用ida pro载入这个文件,找到main函数 这个地方有个红色的部分 ,意思是块内容太大,无法显示, 这里我们先不用管,过会查看伪代码之后就知道什么意思了,,, 按下F5查看伪代码,这个地方由于代码过于庞大,耐心等待了一会,终于显示出来了,对了,这个地方有的朋友可能由于代码段过大而没有办法查看伪代码,这个时...
CG-CTF WxyVM
YenKoc的博客
04-08 415
一. 之前一直以为虚拟机是那种vmp的强壳,下午看了一些文章才逐渐明白虚拟机这个概念,目前ctf目出现的都是在程序中相等于内嵌了一个虚拟机,将程序代码转换成自己定义的指令,通过内嵌的虚拟机进行解释,就想jvm解释字节码一样。 这感觉直接分析数据流也可以逆向出来233,看了令师傅的博客,临时学习了下idapython,原来这玩意这么好用,有点顶,学了点皮毛,看了很多文章,很多骚操作。 找到...
nctf-WxyVM1-writeup
tu_siji的博客
05-07 735
记事本打开发现文件头是ELF,拖入IDA进行反编译查看main函数,发现输入以后调用sub_4005B6()函数,判断长度是否为24然后和字符串0x601060比较再进一步看4005B6,发现是按照0x6010C0的14997个字节来处理,每3个字节为一组,每组的第一个字节为处理方式,通过switch来判断;第二个字节指定处理第几个字节;第三个字节则为处理数 使用HEX将0x6010c0开始的14...
第8届nctfWcyVM
Hu4
03-02 477
VM的目我在比赛上看到很多··· ELF文件 先拖进虚拟机跑一下 看到关键词 IDA启动! 关键函数 当程序执行到sub 4009B3 Getchar 看一下堆栈 猜测应该是strlen 开始读数据 一次读一个··然后进行运算· 在数据里看到 猜测输入的数据可能跟NCTF有着某些联系 注意一...
逆向WxyVM1----给同学写的解思路
thread
09-27 951
给同学写的,上传下当做笔记 两个关键点 第一个函数的作用是改变输入的字符串 第一个函数先放一放 我把改变后的输入字符串设为 输入2 以示和之前原本输入的字符串有区别 看下第二个点 遍历输入2的每一个字符 和dword的数组对比 每一个都要一样 于是提取下这个数组 ata:0000000000601060 dword_601060 dd 0FFFFFFC4h ; DAT...
虚拟机挑战解析:hgame-week4-easyvm与cg-ctf WxyVM
"虚拟机目解析,包括hgame-week4-easyvm、cg-ctf wxyVM1/2,涉及虚拟机基础知识、数据处理及逆向工程" 虚拟机技术是计算机科学中的一个重要领域,它允许在单一硬件系统上运行多个操作系统实例。在网络安全和密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值