vm类型题目(3) hagem-week4-easy

最新推荐文章于 2020-11-25 16:02:22 发布
最新推荐文章于 2020-11-25 16:02:22 发布
阅读量202 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhk124/article/details/108946374
版权

解题步骤

1.题目打开并定位到sub_140001180(查找字符串 error)

2.有一堆的代码混淆,我们可以看到在末端

3.进入sub_1400017D0函数,看看

是一道vm题,各种switch case

4.查看F5后的代码,模拟了栈的push pop操作

这是动态调试后看出来的。具体如下:

sub_140001000借用一下大佬的说明

5.之后继续动态调试,发现在loc_140001963 处有计算

 

 6.整体调试下来,其实只有该处有xor运算。所以,我们可以通过输入40个1,调试找到地址000000000014FEBB附近是存放输入和最终结果的地方,在ret下断。把数据复制出来。之后把数据跟"1"异或,得出用来异或计算的值。(学到了,大佬们真聪明)

7.用来异或计算的值跟数组进行比较,得出flag

脚本

end = [0x63, 0x02, 0x7F, 0x76, 0x7B, 0x7C, 0x56, 0x58, 0x76, 0x41, 0x5B, 0x07, 0x1B, 0x60, 0x07, 0x1B,
0x6F, 0x07, 0x65, 0x56, 0x7F, 0x12, 0x71, 0x44, 0x6F, 0x55, 0x02, 0x50, 0x09, 0x7A, 0x03, 0x79,
0x67, 0x76, 0x47, 0x7E, 0x52, 0x40, 0x15, 0x68] # 导出的数据
xor = []  # 异或的值
for x in end:
    xor.append(x ^ ord("1"))
print(xor)
print(len(xor))
cipher = [58, 84, 47, 42, 47, 54, 19, 1, 46, 3, 53, 64, 71, 14, 95, 89, 1, 105, 39, 8, 61, 76, 51, 26, 45, 11, 64, 14, 75, 36, 65, 39, 37, 40, 41, 42, 2, 2, 93, 36]
for i in range(40):
    print(chr(cipher[i] ^ xor[i]), end='')

# hgame{this_vm_is__sosososososososo_easy}

总结

1.模拟栈的操作的骚操作(数据结构)->实现数据结构。

2.F5在看代码时有点静态混淆,都不容易看。动态调试起来。

3.边调试边看graph,利于分析;文本样式并不利于分析。伟大的工具。

酸酸菜鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
令则
02-20 1903
vm 还是一个比较有感觉的虚拟机,中间有一个栈的结构, 还是比较好玩, 还有比较经典的虚拟机的题目是南邮的cg-ctf的题目, 文章目录vm 首先是 函数逻辑比较简单。输入一个data, 然后设定了一个大数组, 然后进入函数vm_fun,结束后和一段写好的数据对比, 我们看一下函数vm_fun,一个看着比较经典的使用while和switch构成的虚拟机的样子, 值得注意的是这个内存区: 这...
secret-父子进程信号交互
令则
02-24 399
secret 文章目录secret获取codecode - 汇编代码分析code解密 对这个题目可以说一直很迷,一直感觉毫无问题,但是写python脚本就是不对,今天又想起来了,拿c按着他的加密方式i写了一个,结果还真ok了,c中的程序中使用的是一个uint_32类型,然后python中数据长度会溢出, 然后之前一直试图去用& 去控制,但是也很尴尬的一直没弄好, 题目文件: https:...
vm类型题目(1) WxyVM1
lhk124的博客
09-24 291
先简单说一下 vm逆向题。vm是什么? 原本的指令用另一种方式实现。比如我看到哪个特征,我就去执行那部分的内容,而这部分的内容会对应一条指令。大致便是这样的意思。无限套娃。 先讲一道相对简单的题目 WxyVM1 根据 switch case到的值:选择运算方式(即对应一条指令) 进行运算。 ...
虚拟机(vm)逆向(二)
re1wn
05-07 1526
虚拟机(vm)逆向(二)
CRC算法python简单实现
lhk124的博客
07-16 3261
import copy import zlib # https://github.com/Michaelangel007/crc32 def crc8(): test_crc8 = 0x11 # 数据 poly_crc8 = 0x11d # 多项式 for bit in range(8): if (test_crc8 & 0x80) != 0: # 判断首位是否为1 test_crc8 <<= 1 .
python 实现汇编指令循环左移和循环右移
lhk124的博客
09-07 2314
ROL(Rotation Left) ROR(Rotation Right) def ROR(i,index): tmp = bin(i)[2:].rjust(8,"0") """ >>>bin(10) '0b1010' 所以从[2:]开始 rjust(width[,fillchar=None]) width -- 指定字符串长度,要在Unicode字符串长度范围内。 fillchar -- 可选参数...
z3个人使用
lhk124的博客
11-10 1051
# 步骤: 1.定位某类型未知数 2.创建求解器s = Solver() 3.添加约束条件 4.检查是否解决 check() 5.创建解决问题后的模型对象 6.输出值 # 模板 如下: from z3 import * x = Int('x') # 定义 'x' 为数据类型为int的未知数 # int 是 数据类型 可换 如: y = BitVec('y',32) # BitVecs-末端有s,则定义多.
XCTF EasyRE
lhk124的博客
07-31 734
直接看ida和代码 str_list = [0x78,0x49,0x72,0x43,0x6A,0x7E,0x3C,0x72,0x7C,0x32,0x74,0x57,0x73,0x76,0x33, 0x50,0x74,0x49,0x7F,0x7A,0x6E,0x64,0x6B,0x61] flag_list = [] # print(len(str_list)) """ 正向:1.判断长度是否为24 2.对输入的每个字符串从最后一位开始往前进行+1,^0x6 3.与上边的字符串
2020网鼎杯 青龙组 逆向signal
lhk124的博客
11-25 625
signin 虚拟机题目 1.用angr解决 In [1]: import angr In [2]: p = angr.Project("./signal.exe") In [3]: init_state = p.factory.entry_state()
WMCTF2020 easy_re
lhk124的博客
08-10 607
11
SCTF2020 signin writeup
lhk124的博客
07-09 593
1.丢进ida,查看字符串。发现带有python相关字眼,且是pyinstaller打包的。 2.用pyinstxtractor将exe编译回pyc 3.使用工具uncompyle6反编译pyc。由于是python3.8写的,所以存在几个情况 1.在python3.8环境下编译,可以直接打开。 2.缺乏python3.8环境,打不开。winhex添加pyc头部magic number,换成3.8的。经师傅提醒,可以查看同文件夹下的pyc文件,参考并修改。(可留多个版本的pyc文件,作为参考)
在CTF中的小端序与大端序
lhk124的博客
10-03 580
大,人类为大。所以这是符合人的思维的。即高地址放数据低位 eg:地址从低到高的表示方式:[12][34] 12是低地址,但是为了人方便看,把数据的高位放在了低地址,这样子看起来的顺序还是 1234。方便看。 小端序:是为了计算机效率的。即高地址放数据高位。高高低低。 之前我走进了一个误区:将数组也当作字节序。其实不然。这里感谢师傅的提醒。 eg:设置int data = 0x1234 在这里,会受到字节序的影响,所以在CTF中,在调试工具中看到该数据,可能会因为字节序的不同,而要把数据进行一个位置的调整。
angr不能运行某python文件的原因
lhk124的博客
07-20 577
python运行时的忌讳之一:python文件不要跟标准库重名。 这也是为何显示module'angr' has no attribute 'Project'的原因 某佬是神。 思考: 不要跟标准库重名。因为python里的库也是以py为后缀,且会先执行标准库,所以有个叫signal.py的库,就会执行他。然后你就不知所云地以为是操作出了问题。结果是python执行的不是你编写的代码,而是标准库。 一些基本原则的东西,应该要深入思考,编写代码规范,注意的点。往往是看过忘记,随意取名。这是导致.
ctf mov混淆
lhk124的博客
09-03 570
首先贴一篇文章 https://blog.csdn.net/qq_33438733/article/details/79860304 作者跟我所要表达的是一致的。 mov混淆的解决方式: 简单的,会在某个寄存器中出现,全局搜索该寄存器后可以得出结果 或者可以使用动态调试出结果 难的,需要爆破 使用工具 https://github.com/kirschju/demovfuscator 计划 写一篇mov混淆的文章。深度些可以看代码,具体的。包括简单的 难的 使用工具的 使用动态调试的。感觉挺费事的,因为不知
XCTF攻防新手区逆向writeup(1)csaw2013reversing2
lhk124的博客
07-07 546
题目1 csaw2013reversing2 题目描述:听说运行就能拿到Flag,不过菜鸡运行的结果不知道为什么是乱码 exeinfo查壳,无壳 ida分析 1.查看字符串
GACTF easyRe
lhk124的博客
11-02 527
1111111111
XCTF Windows_Reverse2
lhk124的博客
07-24 487
1.查壳,脱壳。 壳:aspack 可以手工脱壳或者用工具 1.取值范围和长度的判断(如图) 2.sub_401240:可以通过减去的值判断出:最后的值的取值范围是0-15,所以判定为转换为16进制 3.sub_401240里的sub_401000函数:base64的加解密的魔改 所以,程序的正向逻辑是: 输入,判断长度是否为偶数,是否在'0'->'9' 'A'->'F'之间 在sub_401240转换为16进制 在sub_401000里进行base64魔改加密,最终结果为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值