[羊城杯 2021]BabySmc-复现

最新推荐文章于 2024-07-12 16:16:27 发布
最新推荐文章于 2024-07-12 16:16:27 发布
阅读量132 收藏
点赞数
分类专栏: 逆向 C CTF 文章标签: python c++ c语言 青少年编程 开发语言 汇编 编辑器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liaochonxiang/article/details/131916718
版权
CTF 同时被 3 个专栏收录
53 篇文章 2 订阅
订阅专栏
逆向
43 篇文章 1 订阅
订阅专栏
C
10 篇文章 0 订阅
订阅专栏

SMC:自解函数

BOOL sub_7FF7E2A01E30()
{
  _BYTE *v0; // r9
  __int64 v1; // rdx
  DWORD flOldProtect; // [rsp+20h] [rbp-8h] BYREF

  VirtualProtect(lpAddress, qword_7FF7E2A2AD88 - (_QWORD)lpAddress, 0x40u, &flOldProtect);
  v0 = lpAddress;
  v1 = qword_7FF7E2A2AD88;
  if ( (unsigned __int64)lpAddress < qword_7FF7E2A2AD88 )
  {
    do
    {
      *v0 = __ROR1__(*v0, 3) ^ 0x5A;
      ++v0;
      v1 = qword_7FF7E2A2AD88;
    }
    while ( (unsigned __int64)v0 < qword_7FF7E2A2AD88 );
    v0 = lpAddress;
  }
  return VirtualProtect(v0, v1 - (_QWORD)v0, flOldProtect, &flOldProtect);
}

选一个地方下断点,得到自解后的Main函数

int __cdecl main(int argc, const char **argv, const char **envp)
{
  __int64 v3; // rbx
  __int64 v4; // r12
  __int64 v5; // r13
  unsigned __int64 v6; // rax
  char v7; // sp
  char v8; // cl
  __int64 v9; // rcx
  __int64 v11; // rax
  __int64 v12; // rcx
  unsigned __int128 v13; // rax
  char v14; // r9
  char v15; // r10
  char v16; // r8
  const char *v17; // rsi
  char *v18; // rdi
  bool v19; // cf
  unsigned __int8 v20; // dl
  int v21; // eax
  const char *v22; // rcx
  __int64 v23; // rcx
  unsigned __int64 v24; // rcx
  __int128 v26[2]; // [rsp+0h] [rbp-1C8h] BYREF
  _QWORD v27[2]; // [rsp+20h] [rbp-1A8h]
  __int128 v28; // [rsp+30h] [rbp-198h]
  char v29; // [rsp+40h] [rbp-188h] BYREF
  char v30; // [rsp+41h] [rbp-187h]
  char v31[254]; // [rsp+42h] [rbp-186h] BYREF
  __int128 v32[4]; // [rsp+140h] [rbp-88h]
  __m128i v33; // [rsp+180h] [rbp-48h] BYREF
  __int128 v34; // [rsp+190h] [rbp-38h]
  __int128 v35; // [rsp+1A0h] [rbp-28h]
  __int64 v36; // [rsp+1B0h] [rbp-18h]

  sub_7FF7E2A01EB0(0i64, 0i64, envp);
  v33 = 0i64;
  v34 = 0i64;
  v35 = 0i64;
  sub_7FF7E2A01D40((int)"Input Your Flag : ");
  sub_7FF7E2A01DC0("%46s", v33.m128i_i8);
  lpAddress = &loc_7FF7E2A01085;
  qword_7FF7E2A2AD88 = (__int64)&loc_7FF7E2A01D00;
  sub_7FF7E2A01E30();
  v6 = 256i64;
  do
  {
    *(__int128 *)((char *)&v28 + v6) = 0i64;
    *(_OWORD *)&v27[v6 / 8] = 0i64;
    v26[v6 / 0x10 + 1] = 0i64;
    v26[v6 / 0x10] = 0i64;
    v6 -= 64i64;
  }
  while ( v6 );
  v32[0] = *(_OWORD *)&byte_7FF7E2A1E340;
  v32[1] = *(_OWORD *)&byte_7FF7E2A1E350;
  v32[2] = *(_OWORD *)&byte_7FF7E2A1E360;
  v32[3] = *(_OWORD *)&byte_7FF7E2A1E370;
  v8 = v7 + 0x80;
  v9 = v8 & 0xF;
  if ( !_BitScanForward((unsigned int *)&v11, (unsigned int)_mm_movemask_epi8(_mm_cmpeq_epi8((__m128i)0i64, v33)) >> v9) )
    v11 = sub_7FF7E2A02340(v9, &v33.m128i_i8[v9]);
  v12 = v11;
  v13 = 0xAAAAAAAAAAAAAAABui64 * (unsigned __int128)(unsigned __int64)v11;
  if ( *((_QWORD *)&v13 + 1) >> 1 )
  {
    if ( *((_QWORD *)&v13 + 1) >> 5 )
    {
      *(_QWORD *)&v28 = v3;
      v27[1] = v4;
      v27[0] = v5;
      v29 = *((_BYTE *)v32 + (v33.m128i_i8[0] >> 2)) ^ 0xA6;
      v30 = *((_BYTE *)v32 + ((v33.m128i_i8[1] >> 4) | (16 * (v33.m128i_i8[0] & 3)))) ^ 0xA3;
      v31[0] = *((_BYTE *)v32 + ((v33.m128i_i8[2] >> 6) | (4 * (v33.m128i_i8[1] & 0xF)))) ^ 0xA9;
      v31[1] = *((_BYTE *)v32 + (v33.m128i_i8[2] & 0x3F)) ^ 0xAC;
      v31[2] = *((_BYTE *)v32 + (v33.m128i_i8[3] >> 2)) ^ 0xA6;
      v31[3] = *((_BYTE *)v32 + ((v33.m128i_i8[4] >> 4) | (16 * (v33.m128i_i8[3] & 3)))) ^ 0xA3;
      v31[4] = *((_BYTE *)v32 + ((v33.m128i_i8[5] >> 6) | (4 * (v33.m128i_i8[4] & 0xF)))) ^ 0xA9;
      v31[5] = *((_BYTE *)v32 + (v33.m128i_i8[5] & 0x3F)) ^ 0xAC;
      v31[6] = *((_BYTE *)v32 + (v33.m128i_i8[6] >> 2)) ^ 0xA6;
      v31[7] = *((_BYTE *)v32 + ((v33.m128i_i8[7] >> 4) | (16 * (v33.m128i_i8[6] & 3)))) ^ 0xA3;
      v31[8] = *((_BYTE *)v32 + ((v33.m128i_i8[8] >> 6) | (4 * (v33.m128i_i8[7] & 0xF)))) ^ 0xA9;
      v31[9] = *((_BYTE *)v32 + (v33.m128i_i8[8] & 0x3F)) ^ 0xAC;
      v31[10] = *((_BYTE *)v32 + (v33.m128i_i8[9] >> 2)) ^ 0xA6;
      v31[11] = *((_BYTE *)v32 + ((v33.m128i_i8[10] >> 4) | (16 * (v33.m128i_i8[9] & 3)))) ^ 0xA3;
      v31[12] = *((_BYTE *)v32 + ((v33.m128i_i8[11] >> 6) | (4 * (v33.m128i_i8[10] & 0xF)))) ^ 0xA9;
      v31[13] = *((_BYTE *)v32 + (v33.m128i_i8[11] & 0x3F)) ^ 0xAC;
      v31[14] = *((_BYTE *)v32 + (v33.m128i_i8[12] >> 2)) ^ 0xA6;
      v31[15] = *((_BYTE *)v32 + ((v33.m128i_i8[13] >> 4) | (16 * (v33.m128i_i8[12] & 3)))) ^ 0xA3;
      JUMPOUT(0x7FF7E2A0143Di64);
    }
    JUMPOUT(0x7FF7E2A01B22i64);
  }
  if ( v12 == 1 )
  {
    strcpy(v31, "14");
    v14 = *((_BYTE *)v32 + (unsigned __int8)(16 * (v33.m128i_i8[0] & 3))) ^ 0xA3;
    v29 = *((_BYTE *)v32 + (v33.m128i_i8[0] >> 2)) ^ 0xA6;
    v30 = v14;
  }
  else if ( v12 == 2 )
  {
    v15 = *((_BYTE *)v32 + 4 * (v33.m128i_i8[1] & 0xFu)) ^ 0xA9;
    v16 = *((_BYTE *)v32 + ((v33.m128i_i8[1] >> 4) | (16 * (v33.m128i_i8[0] & 3)))) ^ 0xA3;
    v29 = *((_BYTE *)v32 + (v33.m128i_i8[0] >> 2)) ^ 0xA6;
    v30 = v16;
    v31[0] = v15;
    strcpy(&v31[1], "4");
  }
  else
  {
    v29 = 0;
  }
  v17 = "H>oQn6aqLr{DH6odhdm0dMe`MBo?lRglHtGPOdobDlknejmGI|ghDb<4";
  v18 = &v29;
  while ( 1 )
  {
    v19 = (unsigned __int8)*v18 < (unsigned int)*v17;
    if ( *v18 != *v17 )
      break;
    if ( !*v18 )
      goto LABEL_20;
    v20 = v18[1];
    v19 = v20 < (unsigned int)v17[1];
    if ( v20 != v17[1] )
      break;
    v18 += 2;
    v17 += 2;
    if ( !v20 )
    {
LABEL_20:
      v21 = 0;
      goto LABEL_22;
    }
  }
  v21 = v19 ? -1 : 1;
LABEL_22:
  v22 = "No.\r\n";
  if ( !v21 )
    v22 = "Yes.\r\n";
  sub_7FF7E2A01D40((int)v22);
  sub_7FF7E2A06B38("pause");
  v23 = v36;
  v36 = 0i64;
  v24 = (unsigned __int64)v26 ^ v23;
  if ( v24 == _security_cookie )
    return 0;
  else
    return sub_7FF7E2A01D40(v24);
}

通过观察,显然为一个base64变异加密,即异或

找到表:

 

table = [0xE4, 0xC4, 0xE7, 0xC7, 0xE6, 0xC6, 0xE1, 0xC1, 0xE0, 0xC0,
         0xE3, 0xC3, 0xE2, 0xC2, 0xED, 0xCD, 0xEC, 0xCC, 0xEF, 0xCF,
         0xEE, 0xCE, 0xE9, 0xC9, 0xE8, 0xC8, 0xEB, 0xCB, 0xEA, 0xCA,
         0xF5, 0xD5, 0xF4, 0xD4, 0xF7, 0xD7, 0xF6, 0xD6, 0xF1, 0xD1,
         0xF0, 0xD0, 0xF3, 0xD3, 0xF2, 0xD2, 0xFD, 0xDD, 0xFC, 0xDC,
         0xFF, 0xDF, 0x95, 0x9C, 0x9D, 0x92, 0x93, 0x90, 0x91, 0x96,
         0x97, 0x94, 0x8A, 0x8E]

 找到加密后的结果:

res = 'H>oQn6aqLr{DH6odhdm0dMe`MBo?lRglHtGPOdobDlknejmGI|ghDb<4'

 找到异或的值:

temp = [0xA6, 0xA3, 0xA9, 0xAC]

 在网上找到python写的base64解密脚本,进行改写

# base_table
table = [0xE4, 0xC4, 0xE7, 0xC7, 0xE6, 0xC6, 0xE1, 0xC1, 0xE0, 0xC0,
         0xE3, 0xC3, 0xE2, 0xC2, 0xED, 0xCD, 0xEC, 0xCC, 0xEF, 0xCF,
         0xEE, 0xCE, 0xE9, 0xC9, 0xE8, 0xC8, 0xEB, 0xCB, 0xEA, 0xCA,
         0xF5, 0xD5, 0xF4, 0xD4, 0xF7, 0xD7, 0xF6, 0xD6, 0xF1, 0xD1,
         0xF0, 0xD0, 0xF3, 0xD3, 0xF2, 0xD2, 0xFD, 0xDD, 0xFC, 0xDC,
         0xFF, 0xDF, 0x95, 0x9C, 0x9D, 0x92, 0x93, 0x90, 0x91, 0x96,
         0x97, 0x94, 0x8A, 0x8E]
table = ''.join(chr(i) for i in table)
print(table)
res = 'H>oQn6aqLr{DH6odhdm0dMe`MBo?lRglHtGPOdobDlknejmGI|ghDb<4'  # 结果
temp = [0xA6, 0xA3, 0xA9, 0xAC]  # 异或的key
res_temp = ''.join(chr(ord(res[i]) ^ temp[i % 4]) for i in range(len(res) - 1))  # 异或回去
print(res_temp)
table_temp = []
for i in range(len(res_temp)):
    table_temp.append(table.index(res_temp[i]))  # 索引
flag = ""
for i in range(0, 52, 4):  # 解密
    f1 = (table_temp[i] << 2) | (table_temp[i + 1] >> 4) & 0xff
    f2 = ((table_temp[i + 1] << 4) | (table_temp[i + 2] >> 2)) & 0xff
    f3 = ((table_temp[i + 2] << 6) | (table_temp[i + 3])) & 0xff
    flag += chr(f1) + chr(f2) + chr(f3)
f1 = (table_temp[52] << 2) | (table_temp[53] >> 4) & 0xff
f2 = ((table_temp[53] << 4) | (table_temp[54] >> 2)) & 0xff
flag += chr(f1) + chr(f2)
print(flag)
# SangFor{XSAYT0u5DQhaxveIR50X1U13M-pZK5A0}

liqingdi437
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网鼎-第三场-逆向-simpleSMC
08-28
2018年8月27日--网鼎-第三场-逆向-simpleSMC-------
2023羊城 DASCTF EZ-Misc
09-03
2023羊城 DASCTF EZ-Misc
[羊城 2021]BabySmc
weixin_61154173的博客
01-15 347
SMC加密说一下思路:既然是换表就想到用maketrans和translate进行解决,所以我们要做的就是把加密后的字符串先去掉末尾的4(因为4是在异或后加上的,不参与异或运算)然后进行异或得到异或前的字符串,然后在通过换表进行解密就好了。SMC,即Self Modifying Code,动态代码加密技术,指通过修改代码或数据,阻止别人直接静态分析,然后在动态运行程序时对代码进行解密,达到程序正常运行的效果。也就是说SMC是修改了代码或者数据,阻碍进行静态分析,但是在动态的时候就会自解密,使程序正常运行。
2021 SangFor(羊城)-Reverse(逆向) BabySmc Write up
weixin_50166464的博客
09-16 548
前言:新手一枚 能理解到的点我会写的很细 有问题可问 有错地方欢迎提出 0x00 日常查壳 无壳64位 0x01 主函数 先简单介绍一下smc,看了很多文章,意思大概就是自解码程序(运行过程中会有程序专门解数据),这种题动调最方便 分析一下主程序 1085地址和1d00的地址放在这两个地方(后面有用) 然后再经过一个1e30的加密函数 1085和1D00就是这串数据开始和结束的地方 0x02 1E30函数分析 进函数一看 想了解VirtualProtect往
羊城2021_Re_BabySmc
CHUNJIUJUN的博客
09-21 519
拿到题第一件事查壳、看信息 无壳,64位 IDA,进入主函数 跟进byte_140001085 发现一大推数据,应该是被加密了 IDA动态调试,先F5,然后一路F8,随意输入flag,执行到140001085地址 继续一直F8到出现此对话,Yes 这时程序代码已经自解密了,然后一直按着F8直到程序暂停 重新进行动调,F5,一路F8,随意输入flag后继续F8,F8进去,再F5回去 接着边鼠标向下划边一直按...
2021羊城CTF wp
abelxu
09-13 2866
1.签到 比较坑的点是《一起来看***》是17,猜了很久才猜出来 28-08-30-07-04-20-02-17-23-01-12-19 得到flag SangFor{d93b7da38d89c19f481e710ef1b3558b} 2.BabyRop 一万年没做pwn了,为了骗点分还是看了一下。 fgets存在栈溢出 没有cannary保护 存在system函数(也可以用func1),存在/cin/sh字符串 所以可以直接getshell。坑点是不能使用/cin/sh和/sh要执行system(“sh
2020YCBCTF:2020羊城官方writeup及
03-24
2020年 2020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
「数」观羊城广州城市数据报告-38页.pdf
04-18
「数」观羊城广州城市数据报告-38页.pdf
2023 羊城 final
11-21
附件
2021年9月广州羊城,REVERSE的RE-BabySmc
沐一 · 林 的博客
09-17 582
2021年9月广州羊城,REVERSE的RE-BabySmc 下载附件,首先理解下SMC: SMC,即Self Modifying Code,动态代码加密技术,指通过修改代码或数据,阻止别人直接静态分析,然后在动态运行程序时对代码进行解密,达到程序正常运行的效果。 而计算机病毒通常也会采用SMC技术动态修改内存中的可执行代码来达到变形或对代码加密的目的,从而躲过杀毒软件的查杀或者迷惑反病毒工作者对代码进行分析。 通常来说,SMC使用汇编去写会比较好,因为它涉及更改机器码,但SMC也可以直接通过C、C+
cv2读取和保存图片
最新发布
m0_53291740的博客
07-12 108
cv2.imwrite('b\\img1.png',img)#b存在就可以保存进去。如果b存在,c不存在,程序不会报错,也不会保存图片。如果目录b不存在就会存到当前文件夹。
面试题 21:解释 Python 中的 help() 函数和 dir() 函数?
专注于全栈开发领域
07-10 747
Python中,help()和dir()是两个非常有用的内置函数,它们可以帮助开发者更好地了解Python对象和模块。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 669
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
leetcode--验证二叉搜索树
liulanba的博客
07-09 657
给你一个二叉树的根节点 root ,判断其是否是一个有效的二叉搜索树。有效 二叉搜索树定义如下:节点的左子树只包含 小于 当前节点的数。节点的右子树只包含 大于 当前节点的数。所有左子树和右子树自身必须也是二叉搜索树。示例 1:输入:root = [2,1,3]输出:true示例 2:输入:root = [5,1,4,null,null,3,6]输出:false解释:根节点的值是 5 ,但是右子节点的值是 4。提示:树中节点数目范围在[1, 104] 内。
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
小明的Java问道之路
07-08 2347
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
一键安装ros及出现问题的解决方案
m0_58173801的博客
07-10 557
catkin_make时出现报错如下。
java占位符替换五种方式
weixin_61478518的博客
07-08 554
在业务开发中,经常需要输出文本串。其中,部分场景下大部分文本内容是一样的,只有少部分点是不一样。简单做法是直接拼接字段,但是这会有个问题。后面如果想要修改内容,那么每个地方都要修改,这不符合设计模式中的开闭原则,面向应该对扩展开放,对修改关闭。如何解决这个问题?先来看现实生活中的例子,个人信息填写。一般会要填写表格,已经定义好了姓名,性别,年龄等字段,只要填写对应的个人信息就好了。在程序开发中,我们会预先定义好一个字符串模板,需要改动的点使用占位符。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值