WP-南邮CTF逆向第六题 WxyVM2

最新推荐文章于 2023-11-28 17:20:17 发布
最新推荐文章于 2023-11-28 17:20:17 发布
阅读量578 收藏
点赞数
分类专栏: CTF 文章标签: 南邮逆向 CTF 第6题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l15263458908/article/details/83863949
版权

WP-南邮CTF逆向第六题 WxyVM2

  1. 用记事本打开WxyVM2,发现是elf文件
  2. 用ida pro载入这个文件,找到main函数
    在这里插入图片描述
    这个地方有个红色的部分 ,意思是块内容太大,无法显示, 这里我们先不用管,过会查看伪代码之后就知道什么意思了,,,
  3. 按下F5查看伪代码,这个地方由于代码过于庞大,耐心等待了一会,终于显示出来了,对了,这个地方有的朋友可能由于代码段过大而没有办法查看伪代码,这个时候IDA会弹出一个窗口,如下在这里插入图片描述
    小编已经给整理出了解决方法:
    修改配置文件IDA 7.0\cfg\hexrays.cfg
    找到
    MAX_FUNCSIZE = 64 // Functions over 64K are not decompiled
    修改为
    MAX_FUNCSIZE = 1024 // Functions over 64K are not decompiled
    4. 等加载出伪代码之后,观察伪代码,发现用户在694100这个地址处输入数据,如果输入的字符不是25个的话,v4 = 0,由此推测flag是25个字符组成在这里插入图片描述
    5. 接下来是一长串代码,我们先不管他,因为既然这个代码这么长,说明它是有规律的,或者说绝大部分是没有用的
    6. 直接来到main函数的末尾部分在这里插入图片描述
    观察末尾,694100是用户输入的地方,而694060存放的是程序本来的数据,,
    由此推测,上面那一长串代码很可能是对用户输入的数据进行修改或者对694060处的数据进行修改,然后观察长串代码,发现很大部分并没有对694060处的数据和用户输入的数据进行修改,而有仅有一小部分对用户输入的数据进行修改,即对604100-604118范围内的数据进行修改。
    7 . 因为程序最后是对694100-694118和694060-6940C3(因为694060存放是DWORD类型的),所以只要不是对这个范围的数据进行修改的代码都是没有用的。
    8 . 我们观察一下中间那一串超长的代码,我们的目的是将有用的代码和没用的代码区分开,观察其汇编语言(因为这个时候看伪代码是看不出什么东西了)在这里插入图片描述
    观察其汇编代码,发现只要是对694100-694118处的东西进行修改的代码都是以movezx开头的,并且大部分是三个指令一起的,个别的是2个指令一起,如上图的第一个黑框中的代码,
    movzx eax, cs:byte_694114
    mov cs:byte_694114, al
    仔细观察这2条指令的话,其实也是没有用的,但是为了便于筛选有用的汇编指令,我们按将其默认为有用(因为它也是movezx开头的),然后最后的时候我们再将其删掉即可
    9 . 我们开始写脚本进行筛选在这里插入图片描述
    FindCode和GetDisasm这两个函数可以说是这个题解题的关键中的关键,这些IDC脚本在《IDA pro权威指南》中有详解,大家可以参考一下
    打印指令后都是这样的 在这里插入图片描述
    10 我们将这些指令复制到Notepad++中,方便我们将这些改写为IDC脚本
    利用Notepad++的替换功能,我们将sub改为add,add改为sub等等 利用replace进行了一系列操作
    最终得到了脚本
    在这里插入图片描述
    11 .因为这个是对694100处的数据进行逆向的,所以我们先写一个IDC脚本将694060处的对应的数据复制到694100处在这里插入图片描述
    12.最后我们运行我们刚才改好的脚本进行最终的逆向
    在这里插入图片描述
    得到最终的flag
z4ky
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF比赛真中学习压缩包伪加密与图片隐写术
2401_84141304的博客
05-01 558
🍅 硬核资料:关注即可领取PPT模板、简历模板、行业经典书籍PDF。🍅 技术互助:技术群大佬指点迷津,你的问可能不是问,求资源在群里喊一声。🍅 面试库:由技术群里的小伙伴们共同投稿,热乎的大厂面试真,持续更新中。🍅 知识体系:含编程语言、算法、大数据生态圈组件(Mysql、Hive、Spark、Flink)、数据仓库、Python、前端等等。网上学习资料一大堆,但如果学到的知识不成体系,遇到问时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
Android逆向CTF基础汇总
06-11
附件是八道Android基础逆向,基本都是CTF。平时网上基础的CTF目比较难找,全靠平时慢慢积累起来的,后面有其他做过的CTF再贴出来分享给大家练手。
南邮ctf平台 逆向 WxyVM2
CHOOOU的博客
11-03 597
直接 IDA F5出源代码, 非常好懂,就是做比较 for ( i = 0; i <= 24; ++i ) { if ( *(&byte_694100 + i) != dword_694060[i] ) v1 = 0; } 但是这段代码之前有几万条指令,其中有很多混淆的指令,只有对 byte_694100 ~ byte_694124 的修才是有用的。 我们要做...
南京邮电大学网络攻防平台逆向writeup之[WxyVM2]
qq_31344951的博客
08-02 1167
1# 先找到最后判断的地方,2.5万行啊,2.4万行无效运算,2400多有效运算,坑死人不偿命。 2# 复制出来吧,还好,变量名称里面带得有地址,input的字符串只有25个字节,也就694100-694117吧,大神最善良的地方就是,把所有无效计算的过程都是dword变量,有效计算的部分变量全是byte。用python截出来,再反序,保存为一个文件再利用,code3.txt 。
cgctf RE WxyVM2
qq_42192672的博客
12-17 373
咕王又来做了,也不是什么时候会做出来 ELF,直接拖进IDA有个坑,IDA7.0说这个东西太大了,无法转换成伪C代码,貌似别的版本可以,我就换了个6.8,界面的确是丑了点,但至少可以F5了,但是过程真的好漫长 茫茫多的代码,直接拖到最底下 老套路,这里所有的dword运算就是WxyVM1中的函数 第一步,先把dword_694060里无效的数据全部过滤掉,如下 dwo...
南京邮电大学 RE-WxyVM2
WocW的博客
09-10 805
把文件拖入IDA进行反编译。然后到main函数F5查看伪代码(IDA7.0版本不能查看伪代码,6.8版本可以) 代码非常好读懂,输入一个数然后处理,然后再与某个字符串对比,完全一样即为flag。 要对比的字符串存在dword_694060 dword为双字类型,即每32位为一个字符。又因为在参与运算时候为BYTE类型 所以只需要取第一个字节,共取25个形成处理后的flag字符串...
南邮CTF逆向第六道WxyV2解思路
iqiqiya的博客
12-24 956
看提示应该与第四道WxyVM一样是ELF文件 那么我们直接上IDAx64 http://blog.csdn.net/xiangshangbashaonian/article/details/78883486  首先找到main函数 还是习惯性查看下可疑字符串 按下F5查看伪代码(中间有大段 我省略截图了) 这次就不一行一行分析了 大致
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息... 使用场景: ... 其他说明: ...
vm虚拟机-简单目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
比较经典的虚拟机的目是南邮的cg-ctf目, 然后先写了前面的cg-ctf的两个目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的目,然后再看的时候就感觉到有些那个意思,但是两个目是基础目也...
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
几个ctf 逆向
07-31
ctf比赛碰到几个逆向,挺有意思,拷下来研究研究。ctf 逆向 隐写
这是tweakpng,ctf比赛工具
01-24
这是tweakpng,ctf比赛工具
WP-南邮CTF逆向第四 WxyVM1
z4ky的博客
11-08 624
WP-南邮CTF逆向第四 WxyVM 用记事本打开后发现前面有elf,所以确认这个是一个elf文件. 打开IDA,载入WxyVM1,找到main函数,按F5,得到伪代码,并对伪代码进行分析 对sub_400586这个函数进行分析 观察这个函数,发现里面只有6010C0这个地址和604B80这个地址,并没有601060这个地址,说明这个函数是根据6010C0处的数据对用户输入的字符串进行重写...
vm类型目(2) WxyVM2
lhk124的博客
10-07 188
感觉还是缺点vm的味道。应该是目简单的原因吧。 1.首先目进去f5的话会出现function too long的问。 修ida中的cfg文件夹下的hexrays.cfg中的MAX_FUNCSIZE = 1024(64为1024) 2.之后f5,等待会。会看到大量的代码 3.可以直接把代码复制下来。用脚本处理这代码也好,手工处理也罢(现在的文本编辑器功能很齐全了)。把数据处理只保存byte的那部分。其中有u -- ++ 这些内容的修整。还有16进制的问...
nctf-WxyVM1-writeup
tu_siji的博客
05-07 728
记事本打开发现文件头是ELF,拖入IDA进行反编译查看main函数,发现输入以后调用sub_4005B6()函数,判断长度是否为24然后和字符串0x601060比较再进一步看4005B6,发现是按照0x6010C0的14997个字节来处理,每3个字节为一组,每组的第一个字节为处理方式,通过switch来判断;第二个字节指定处理第几个字节;第三个字节则为处理数 使用HEX将0x6010c0开始的14...
详解汇编中的movzx和movsx指令
weixin_51409218的博客
08-10 1774
详解汇编中的movzx和movsx指令
9.IDA-重新设置函数类型、创建数组结构
hgy413的专栏
06-16 7511
重新设置函数类型 写一个简单的代码做测试: int fun(int a, double b) { return 0; } int _tmain(int argc, _TCHAR* argv[]) { int c = fun(1, 2); return 0; } release生成,去掉pdb,由于fun内部没有任何操作,所以IDA是无法通过类型传播来得到正确的函数参数和数据类型的,默认
IDA Pro使用技巧
工作学习笔记
11-28 998
Python使用记录
BUUCTF 文件中的秘密
m0_49025459的博客
05-09 597
小明经常喜欢在文件中藏一些秘密。时间久了便忘记了, 你能帮小明找到该文件中的秘密吗? 注意:得到的 flag 请包上 flag{} 提交 解压是一张图片,那么我是使用经典的解密图片隐写工具stegsolve File Format:文件格式 Data Extract:数据提取 Steregram Solve:立体试图 可以左右控制偏移 FrameBrowser:帧浏览器 Image Combiner:拼图,图片拼接 我们打开File Format,浅找一下就能找到flag了 ..
03-reversing CTF
最新发布
06-06
03-reversing CTF是一种CTF(Capture The Flag)比赛中的一类,重点考察的是逆向工程技能。CTF比赛中,参赛者需要通过解决一系列的难,获取旗帜(flag)来得分。在03-reversing CTF中,参赛者需要通过对程序进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值