CTF逆向-[SCTF2019]creakme-WP-基于AES加密算法下的保护:反调试及except_handler和SMC

最新推荐文章于 2024-05-11 20:42:07 发布
最新推荐文章于 2024-05-11 20:42:07 发布
阅读量834 收藏 2
点赞数 1
分类专栏: CTF-逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37157335/article/details/124072225
版权

CTF逆向-[SCTF2019]creakme-WP-基于AES加密算法下的保护:反调试及except_handler和SMC

来源:https://buuoj.cn/

内容:无

附件:链接:https://pan.baidu.com/s/16pQIqjmG2nUhGGDt8Iw-TQ?pwd=g965 提取码:g965

答案:sctf{Ae3_C8c_I28_pKcs79ad4}

总体思路

简单反调试的patch

_except_handler的知识点

smc得到解密算法,得到题目的flag密文

使用ctrl+alt+f发现encode方法是aes加密

猜测得到key和iv,解密得到flag

详细步骤

  • 检查文件信息

  • image-20220409192110209

  • 经过检查发现可能存在检查debugger的,进入该方法,找到所有退出进程的地方,nop掉

    • image-20220409193133356

  • 点击edit-patch program-apply patches to...应用上面的nop

    • image-20220409193620641
    • image-20220410072339315
    • 开始动调,发现有DebugBreak的时候点击Yes pass to app将异常给app自行处理。
    • image-20220410072208440
    • 发现调用smc方法进行了自解密SMC入门学习
    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ucs7dhU8-1649549533259)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220410072437865.png)]

  • dword_404000按c将其转换成代码,再按p将其声明为函数,再按F5得到伪代码

    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-b2MKXyiu-1649549533259)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220410072821803.png)]

  • return处断点,让其运行完,发现全局变量的值发生了改变,变成了nKnbHsgqD3aNEB91jB3gEzAr+IklQwT1bSs3+bXpeuo=,按shift+e复制该变量

    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BbWYNz3r-1649549533259)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220410073031505.png)]

  • 继续动调,回到主程序,随便输入一些值例如1111111111111111

    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VK5DF4bN-1649549533260)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220410073201350.png)]

  • 发现调用f_encode方法后得到了v_encode_result,并且拿来和v_key进行比较

    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iT7qyXE4-1649549533260)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220410073543754.png)]

  • 重新开始动调,进入f_encode方法,发现v_input_address的值为0x7d2660,按下g跳转过去发现这里是我们的输入值

    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zXGzYHzP-1649549533261)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220410073838639.png)]
    • image-20220410073917143

  • 按下ctrl+alt+f查看编码发现存在大量加密算法,同时在f_encode方法中发现了aes算法,标注出来

    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-opeAseH8-1649549533261)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220410074455282.png)]
    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jUyqtMld-1649549533261)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220410074504035.png)]

  • 在该方法中发现了一个字符串sycloversyclover,双击进去,发现上面还有个字符串,按下x跟进其出现位置

    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-45jP0XEQ-1649549533262)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220410074544885.png)]
    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wx6NbINm-1649549533262)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220410075915223.png)]
    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CjoWGAo4-1649549533263)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220410075942343.png)]

  • 猜测上面两个字符串分别是AES加密的密钥和偏移量,f_encode执行完以后发现值变成了ZJ+E8g0oeUq671t/NxUXWcI6ybXkZP3O6hbOC0s+xBU=

    • image-20220410080222159
    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4d55SqK0-1649549533263)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220410075026808.png)]

  • 使用cyberchef测试

    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Jilq4jj0-1649549533264)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220410075310928.png)]

  • 解密题目的密文,得到flagsctf{Ae3_C8c_I28_pKcs79ad4}

    • image-20220410080355936

参考文档

  • SMC入门学习
  • 中国某省队CTF集训(逆向工程部分)(已授权)(一)
    • 基础加密方式例如 XXTEABase64换表
    • Python库 Z3 方程式、不定式等的 约束求解
    • 基础的假跳转花指令(脏字节)
    • 非自然程序流程
      • 扁平化程序控制流
      • OLLVM程序流程(虚拟机壳) 很难一般不考
      • ida里面按X键跟踪,寻找所有Tyw的引用(即类型是写入的),通常就是关键位置
  • 中国某省队CTF集训(逆向工程部分)(已授权)(二)
    • ollydb动调去壳,upx为例子
    • python的逆向和自定义虚拟指令
      • 使用pycdc 提取码:dorr 解密python编译的exe或者pyc
      • 逐条去解析用py字典手动实现的指令调用
      • C++编译的程序的逆向
  • 中国某省队CTF集训(逆向工程部分)(已授权)(三)

    • 简单模运算加密

    • base58 寻找一下特别大的数,这种数通常是算法的标识,或者ida7.7版本以上自带的find crypt插件ctrl+alt+f

    • 常见的关键位置是有新的内存分配的地方通常是关键地方,或者函数中间突然return的地方也是

    • 迷宫题 注意绘制出来就好

    • 动调题

      • 注意观察会执行的反调试分支,例如出现int 3,需要跳过去

    • 大小端序

serfend
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
aes离线解密工具_CTF常用工具、网站、练习平台
weixin_42355252的博客
12-25 1263
常用工具网站CTFtools比较全的工具下载网站,提供百度云链接BUUCTF比较全的工具下载网站,提供百度云链接XSS之旅xss 攻击练习网站,闯关式设计,难度递增tooleyes在线工具库,一些编码和算法之类的都有千千秀字常用密码学网站,一些编码转换和古典密码加密解密都可以完成The X编码转换,base、des、aes、rsa 之类的github 下载服务g...
再不学点现代密码,CTF就Hold不住啦!
蚁景网安学院
01-04 1373
点击蓝字关注我们0x00 前记 在许多CTF中,crypto中DES,AES,RSA三种现代密码频繁出现,今天在此做一下分享,给大家带来几个有趣的题目分析。0x01 现代密码之DES...
CTF-reverse逆向分析解题可能用上的脚本
最新发布
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
05-11 891
注:本篇用于记录一些CTF-reverse中可能用上的脚本,脚本都来源于博主解出某道题后留下,如果遇上类似的题目,根据脚本中注释的提示更改对应的密文密钥或条件即可快速解题! 持续更新!!点个收藏关注不迷路~
新手逆向练习与详解(6)(详解带有源文件)51-creakme
qq_41071646的博客
09-04 164
链接:百度云盘 密码:23l0 我这里和大家声明一下 我这个是文件 是来自吾爱破解的creakme 160   导航链接  帖子里面有更厉害的思路   本帖是编号为51的creakme  好久没有怎么动过creakme 因为已经开学了 有很多课程需要学习 自己还想深入学习一下数据结构 还有密码学什么的课程 比较多 然后 一些毛概什么课也逃不掉。。。。。看见比较好的书 还想一口气读完 因为自己...
[SCTF2019]creakme1
weixin_61154173的博客
04-05 374
有一个_except_handler4,他是SEH的异常处理标志,在往下看发现一个函数sub_402450,发现他并没有被编译出来,可能和_except_handler4有关,根据别人的博客说,这个函数被跟踪所以无法直接查看他的伪代码,手动跟进 sub_402450,所以一个是密钥一个是偏移,采用CBC模式,可以猜一下那个是密钥,哪个是偏移量,最终知道 sctfsctfsctfsctf是偏移量,sycloversyclover是密钥,所以在线解密。接下来看主函数中的sub_4024A0函数。
SEH stack 结构探索(3)--- __exception_handler4() 探秘1
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 1623
SEH stack 结构探索(3)--- __exception_handler4() 探秘1 在我的环境里,用户的缺省的 exception handler 是 MSVCR100D!_except_handler4(),它是 VC/C++ 的调试版本运行库里的函数,当然如果是发行版的话是MSVCR100!_except_handler4() 在 WinNT.h 里定义的 exceptio
[buuctf.reverse] 084_[SCTF2019]creakme
weixin_52640415的博客
05-13 351
SEH异常处理防跟踪 patch代码区加密 AES加密
BUUCTF [SCTF2019]creakme 题解
sirrior的博客
12-04 457
这个函数是void类型,但是在调试函数后有一个return,这会导致程序异常。有aes加密,追踪一下,发现是sub_4020d0内进行加密,base64在aes里。没法编译,看汇编吧。v3+=40后变成了.sctf,继续在数据段往下看看,+=40后是.data 可见是数据段的名字。异或在取,这里笔者本来想patch掉调试函数后自动解密,不知为何patch后一片飘红。GetModuleHandleW函数返回指定模块的句柄,进入402320看看。这段代码是设置函数的栈帧和设置数据,为异常调试做准备。
CTF逆向-[WMCTF2020]easy_re-WP_虚机-perl加载器截取
serfend's blog
03-24 526
CTF逆向-[WMCTF2020]easy_re-WP_虚机-perl加载器截取 来源:BUUCTF在线评测/ 内容:无 附件:百度网盘 请输入提取码 提取码:jua5 答案:WMCTF{I_WAnt_dynam1c_F1ag} 总体思路 面对perl脚本加载的题,可以是从Shift+F12中搜索script找到其引用位置,则该引用位置为脚本加载的位置,按F8让脚本载入完成,则在下一个eax中就能看到脚本原文,根据原文分析perl代码得到flag。 详细步骤 检查文件信息
CTF解题——[ACTF新生赛2020]crypto-aes(保姆级图解+讲解)
qq_46089119的博客
12-20 2327
【ACTF新生赛2020】crypto-aes图解。
[CTF]AES-CBC字节翻转攻击
V1040375575的博客
12-27 5518
文章目录前言一、AES-CBC二、攻击步骤1.对于解密时:2.字节翻转3.修复IV:三、CTF实例题 前言 [CTF] AES-CBC字节翻转攻击 一、AES-CBC 加密过程: Plaintext:明文数据 IV:初始向量 Key:分组加密使用的密钥 Ciphertext:密文数据 明文都是先与混淆数据(第一组是与IV,之后都是与前一组的密文)进行异或,再执行分组加密的。 1、首先将明文分组(常见的以16字节为一组),位数不足的使用特殊字符填充。 2、生成一个随机的初始化向量(IV)和一个密钥。
window异常处理——except_handler4以及栈展开分析
weixin_30478619的博客
12-15 150
以前在15pb学习时候在看雪论坛发的一篇精华帖。 主要是分析在try块中发生嵌套异常时候堆栈是如何平衡的。 就不复制过来了,给个链接http://bbs.pediy.com/showthread.php?t=206603 转载于:https://www.cnblogs.com/shangye/p/6183159.html...
[SCTF2019]creakme (SEH异常处理机制,AES
weixin_52369224的博客
01-19 994
32位无壳,放入IDA GetModuleHandleW 获取当前应用程序模块 首先分析一下 sub_402320函数,读取当前进程,匹配他的区段为 .SCTF 查看第一个函数的汇编代码,发现call了一处函数。但是并没有编译 再来观察一下他的函数结构图,左半部分没有前驱调用,所以左半部分没有编译出来, 查壳函数开头,发现_except_handler4 这是SEH异常处理的标志 参考: SEH的调试原理菜鸟版 15pb调...
2019SCTF crackme复现
siphre
07-04 570
比赛没做出来,参考SU战队WP复现。 exeinfope查无壳 有调试 运行程序显示: welcome to 2019 sctf please input your ticket: 需要输入特定的ticket Shift+F12查找字符串,跟踪到主函数sub_402540 sub_402540内部伪代码 开头调用两个可疑函数:sub_402320、sub_402...
[SCTF2019]creakme
m0_46296905的博客
04-14 931
这题用到的知识点很多,我们先一步步分析。 首先看主函数: int __cdecl main(int argc, const char **argv, const char **envp) { HMODULE v3; // eax int v4; // eax _DWORD *v5; // eax unsigned int v6; // edx _DWORD *v7; // ecx unsigned int v8; // ebx char *v9; // edi unsigne
CTF Crypto中涉及的AES题目
M3ng@L的博客
04-20 7162
keywords: `AES_CBC模式`,`AES_ECB模式`,`AES_CTR模式` 来源于陇原战疫2021网络安全大赛 `Civet cat for Prince` $keywords:$ `AES_CBC`,`xor`,`狸猫换太子` 来源于安洵杯2020 `easyAES` $keywords:$ `AES_CBC`,`AES_CBC所使用的加解密器和AES_ECB模式所使用的相同` 来源于安洵杯2021 `air encryption` $keywords:$ `AES_CTR`,`xo
成理信安大挑战ctf 部分wp
qq_51796436的博客
11-24 2927
第二届信安大挑战wp #mermaid-svg-bzITyqJePqUjjend .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-bzITyqJePqUjjend .label text{fill:#333}#mermaid-svg-bzITyqJePqUjjend .node rect,#mermaid-svg
20220211-CTF-MISC-006-pure_color(stegsolve工具的使用)-007-Aesop_secret(AES解密)
qq_51550750的博客
02-12 732
MISC-攻防世界-006-pure_color 下载附件是一张png图片: 用stegsolve打开,按一下箭头就得到: flag{true_steganographers_doesnt_need_any_tools} MISC-攻防世界-007-Aesop_secret 下载附件,并解压: 用PS打开: ISCC,尝试flag{ISCC},失败, 查看WP,是AES加密(小白都没学过AES。。。) 用winhex打开这个gif 在最后找到: 得到flag{DugUpADiamondADe
[ACTF新生赛2020]crypto-aes(考点:AES
MikeCoke的博客
02-18 4958
#注:文中代码都使用 python3 题目: from Cryptodome.Cipher import AES import os import gmpy2 from flag import FLAG from Cryptodome.Util.number import * def main(): key=os.urandom(2)*16 iv=os.urandom(16) print(bytes_to_long(key)^bytes_to_long(iv)) aes=A
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值