CTF逆向-[安洵杯 2019]game-使用deflat对主要混淆脱混淆后常规逻辑判断

最新推荐文章于 2023-12-24 16:37:10 发布
最新推荐文章于 2023-12-24 16:37:10 发布
阅读量1.3k 收藏 4
点赞数 1
分类专栏: CTF-逆向 文章标签: 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37157335/article/details/124830551
版权

CTF逆向-[安洵杯 2019]game-使用deflat对主要混淆脱混淆后常规逻辑判断

来源:https://buuoj.cn/

内容:无

附件: https://pan.baidu.com/s/1qq_64SNIRnnTTCNqNIKOiw?pwd=1iz9 提取码:1iz9

答案:KDEEIFGKIJ@AFGEJAEF@FDKADFGIJFA@FDE@JG@J

总体思路

判断和输入相关的函数,然后对这些函数使用deflat.py对程序扁平化处理。

反向编写脚本得到答案

详细步骤

  • 检查文件信息

image-20220324224825993

  • 打开general_inspection以及trace等自定义方法的,程序发现控制流特别大,可能是进行了混淆

image-20220325080818724

使用deflat.py(见附件),在ida中查看main方法的地址为0x4006F0,分别deflat掉对输入有操作的函数,check1check3check2

  • check3函数中套了一个check2,该函数中是判断用户的输入值是否与全局变量相同,双击点开sodokuD0g3变量,shift+e按如图设置得到地图。其中D0g3变量会接收变更后的input值,即使得用户输入与其sodoku变量相同即可

    • image-20220517193131654
    • image-20220517194652212

  • 其中check1函数的实现是转换v_input:

    • v_input的0-len/2-1len/2-len互换
    • v_input[2n]和v_input[2n+1]互换
    • v_input[k] = (v_input[k] & 0xF3 | ~v_input[k] & 0xC) - 20

  • 通过使用z3创建一个 0-9的映射,即将每个数字都得到原来的输入

    • from typing import List
import z3
import struct


def convert(raw: str) -> List[int]:
    raw = bytearray.fromhex(raw)
    raw = [raw[x*4:(x+1)*4] for x in range(int(len(raw)/4))]
    raw = [struct.unpack('<I', x)[0] for x in raw]
    return raw


v_sudo = '010000000400000005000000030000000200000007000000060000000900000008000000080000000300000009000000060000000500000004000000010000000200000007000000060000000700000002000000080000000100000009000000050000000400000003000000040000000900000006000000010000000800000005000000030000000700000002000000020000000100000008000000040000000700000003000000090000000500000006000000070000000500000003000000020000000900000006000000040000000800000001000000030000000600000007000000050000000400000002000000080000000100000009000000090000000800000004000000070000000600000001000000020000000300000005000000050000000200000001000000090000000300000008000000070000000600000004000000'
v_d0g3 = '010000000000000005000000030000000200000007000000000000000000000008000000080000000000000009000000000000000500000000000000000000000200000000000000000000000700000000000000000000000100000000000000050000000000000003000000040000000900000000000000010000000000000000000000030000000000000000000000000000000100000000000000000000000700000000000000090000000000000006000000070000000000000003000000020000000900000000000000040000000800000000000000000000000600000000000000050000000400000000000000080000000000000009000000000000000000000004000000000000000000000001000000000000000300000000000000000000000200000001000000000000000300000000000000070000000000000004000000'
v_sudo = convert(v_sudo)
v_d0g3 = convert(v_d0g3)
print(f'v_sudo:{v_sudo}')
print(f'v_d0g3:{v_d0g3}')
s = z3.Solver()
v_result = [index + 48 for index, x in enumerate([0] * 10)]  # 初始化数字的ascii
v_input = [0] * len(v_result)
v_input = [z3.BitVec(str(index), 16) for index, x in enumerate(v_input)]


def exp(index: int):
    x = v_input[index]
    r = v_result[index]
    return (x & 0xf3 | ~x & 0xc) - 20 == r


def get_result(index: int) -> int:
    r = None
    s.add(exp(index))
    result = s.check()
    if result == z3.sat:
        rs = s.model()
        r = rs[0]  # 获取最后结果key
        r = rs[r].as_long()  # 转换为value
    else:
        print(f'fail on {index}')
    s.reset()
    return r


key_mapper = [get_result(index) for index, x in enumerate(v_result)]
print(f'key_mapper:{key_mapper}')

  • 得到 key_mapper:[72, 73, 74, 75, 68, 69, 70, 71, 64, 65]

  • 发现在最后的input判断中是只判断当前数组中为0的项的,即输入的值是v_sudo和v_d0g3不一致的值

    • image-20220517212507739

    • # 只填入d0g3中为0的位置,使得v_sudo == v_d0g3
is_invalid = -1
v_encoded = [v_sudo[index] if x == 0 else is_invalid for index,
             x in enumerate(v_d0g3)]  # 转换为输入
v_encoded = list(filter(lambda x: x != is_invalid, v_encoded))
v_encoded = [key_mapper[x] for x in v_encoded]
v_encoded = [chr(x) for x in v_encoded]
print(f'v_encoded:{v_encoded}')

    • 得到转换后的v_input v_encoded:['D', 'F', 'A', 'K', 'F', 'D', 'I', 'G', 'F', 'J', '@', 'A', 'D', 'F', '@', 'E', 'G', 'J', 'J', '@', 'D', 'K', 'E', 'E', 'F', 'I', 'K', 'G', 'J', 'I', 'A', '@', 'G', 'F', 'J', 'E', 'E', 'A', '@', 'F']

  • 最后将其通过key_mapper后,按:

    • v_input的0-len/2-1len/2-len互换
    • v_input[2n]和v_input[2n+1]互换

  • 最终的exp为

    • from typing import List
import z3
import struct


def convert(raw: str) -> List[int]:
    raw = bytearray.fromhex(raw)
    raw = [raw[x*4:(x+1)*4] for x in range(int(len(raw)/4))]
    raw = [struct.unpack('<I', x)[0] for x in raw]
    return raw


v_sudo = '010000000400000005000000030000000200000007000000060000000900000008000000080000000300000009000000060000000500000004000000010000000200000007000000060000000700000002000000080000000100000009000000050000000400000003000000040000000900000006000000010000000800000005000000030000000700000002000000020000000100000008000000040000000700000003000000090000000500000006000000070000000500000003000000020000000900000006000000040000000800000001000000030000000600000007000000050000000400000002000000080000000100000009000000090000000800000004000000070000000600000001000000020000000300000005000000050000000200000001000000090000000300000008000000070000000600000004000000'
v_d0g3 = '010000000000000005000000030000000200000007000000000000000000000008000000080000000000000009000000000000000500000000000000000000000200000000000000000000000700000000000000000000000100000000000000050000000000000003000000040000000900000000000000010000000000000000000000030000000000000000000000000000000100000000000000000000000700000000000000090000000000000006000000070000000000000003000000020000000900000000000000040000000800000000000000000000000600000000000000050000000400000000000000080000000000000009000000000000000000000004000000000000000000000001000000000000000300000000000000000000000200000001000000000000000300000000000000070000000000000004000000'
v_sudo = convert(v_sudo)
v_d0g3 = convert(v_d0g3)
print(f'v_sudo:{v_sudo}')
print(f'v_d0g3:{v_d0g3}')
s = z3.Solver()
v_result = [index + 48 for index, x in enumerate([0] * 10)]  # 初始化数字的ascii
v_input = [0] * len(v_result)
v_input = [z3.BitVec(str(index), 16) for index, x in enumerate(v_input)]


def exp(index: int):
    x = v_input[index]
    r = v_result[index]
    return (x & 0xf3 | ~x & 0xc) - 20 == r


def get_result(index: int) -> int:
    r = None
    s.add(exp(index))
    result = s.check()
    if result == z3.sat:
        rs = s.model()
        r = rs[0]  # 获取最后结果key
        r = rs[r].as_long()  # 转换为value
    else:
        print(f'fail on {index}')
    s.reset()
    return r


key_mapper = [get_result(index) for index, x in enumerate(v_result)]
print(f'key_mapper:{key_mapper}')
# 只填入d0g3中为0的位置,使得v_sudo == v_d0g3
is_invalid = -1
v_encoded = [v_sudo[index] if x == 0 else is_invalid for index,
             x in enumerate(v_d0g3)]  # 转换为输入
v_encoded = list(filter(lambda x: x != is_invalid, v_encoded))
v_encoded = [key_mapper[x] for x in v_encoded]
v_encoded = [chr(x) for x in v_encoded]
print(f'v_encoded:{v_encoded}')


result = v_encoded
vel = len(result)  # result_len
vehl = int(vel / 2) # result_half_len

for i in range(vehl):
    (result[i], result[i+vehl]) = (result[i+vehl], result[i])

for i in range(0, vel-1, 2):
    (result[i], result[i+1]) = (result[i+1], result[i])


print(''.join(result))

    • 得到答案 KDEEIFGKIJ@AFGEJAEF@FDKADFGIJFA@FDE@JG@J

其他文档

更多CTF逆向题通用性做法和常用工具下载参考该博文内容:CTF逆向Reverse题的玩法

相关逆向CTF题

serfend
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安洵——game混淆控制流平坦化)
寻梦&之璐
04-04 2900
文章目录查壳拖进idamain函数分析general_inspection((int (*)[9])sudoku)blank_num((int (*)[9])sudoku)代码第一步第二步第三步第四步第五步总结trace(sudoku, v5, v4);代码第一步第二步第三步:第四步第五步第六步第七步(第五步的第二种情况)总结check(int (*a1)[9])代码check1(char *a1)代码check3(char *a1)代码check2(char *a1)代码 查壳 拖进ida main函数
[安洵 2019]game writeup
HLi1219的博客
12-31 783
每天一道re Exeinfo PE查壳,可以用Linux打开 用kali打开,得到关键语句 用ida打开,找到main函数F5反编译 int __cdecl main(int argc, const char **argv, const char **envp) { signed int v3; // eax unsigned int v4; // ST38_4 __int64 v5; // rsi signed int v7; // [rsp+2Ch] [rbp-54h.
CTF逆向入门-XOR加密混淆
cike_y
02-15 1939
关于一次简单逆向题的方法与思路总结,有什么不会的都可以问我,qq:162099475。
ctf——逆向新手题目4 (game) WP
qq_52842965的博客
07-29 1032
首先还是下载附件,这次是一个exe文件,先打开看一下 发现这是一个依次输入数字然后点亮所有的符号,得到flag的游戏,然后我们就用Exeinfo PE打开 发现是一个c++编写的32位程序,然后就用ida32打开 有时进来之后无法直接找到main函数,那就按 Alt+T 搜索文本 main 就能找到,然后就跟进main函数查看伪代码 继续跟进main_0函数,跟进后可以看到以下代码 这些代码是判断输入的数字是否在要求范围内,否则重新输入,下面的代码是根据输入的数字,改变字符 我们就先跟进 sub
UNCTF2022Pwn和Reverse的部分题解(其他方向的签到题也有)
weixin_73290593的博客
11-21 1154
unctf的re和pwn部分题解
i-SOON_CTF_2018:2018第一届安洵过渡环境源码WP
03-24
AXB-CTF 2018第一届安洵过渡环境/原始码
i-SOON_CTF_2019:2019第二届安洵过渡环境
03-09
i-SOON_CTF_2019 2019第二届安洵部分过渡环境/源码 收集分类为大型/大型CTF比赛赛题,提供容器化专属翻译环境。 如有争议,或转型问题请电联
CTF-Game-Challenges:精选各种CTF的游戏挑战赛清单
05-09
CTF游戏挑战我最近一直在学习有关游戏黑客的知识,而我可以合法找到的最好的练习方法是玩 。 但是困难的部分是从以前的CTF中找出游戏中的挑战。 此列表包括我在玩ctfs和阅读文章时遇到的游戏挑战。 由于一些游戏...
CTF逆向-简单虚拟机指令类题目分析
11-26
CTF逆向-简单虚拟机指令类题目分析CTF逆向-简单虚拟机指令类题目分析
网鼎-第三场-逆向-simpleSMC
08-28
2018年8月27日--网鼎-第三场-逆向-simpleSMC-------
buuctf-Misc 题目解答分解94-96
最新发布
shelbytt的博客
12-24 733
右键用notepad ++ 打开 搜flag 直接拿到flag。这,也不是flag 估计是加密了,刚才的xinan 就是密钥。文件块的HEAD_TYPE应该是0x74而不是0x7A。发现大量 USB 字符串,用010 editor 打开。在源码包里面 有一个静态页面和一些样式表。在index,html 中看到了flag。解密后发现是Salted 格式的文件。发现了{xinan} 是啥子意思?看了别的人的思路发现 压缩包有问题。查看 key.ftm 文件类型。密钥应该就是刚才的假flag。
去除控制流平坦化的工具deflat.py安装及使用
m0_49936845的博客
07-22 927
首先deflat.py需要一个库angr的支持,angr对python27较兼容,这里使用python27进行安装 安装angr: 方法1:(没有试验过) 使用pycharm中的安装库直接安装 方法2:
re学习笔记(74)BUUCTF - re - [安洵 2019]game
逆向随笔
06-05 452
[安洵 2019]game ollvm混淆 直接贴上分析后的代码了 unsigned int sudoku[81] = { 1, 4, 5, 3, 2, 7, 6, 9, 8, 8, 3, 9, 6, 5, 4, 1, 2, 7, 6, 7, 2, 8, 1, 9, 5, 4, 3, 4, 9, 6, 1, 8, 5, 3, 7, 2, 2, 1, 8, 4, 7, 3, 9, 5, 6, 7, 5, 3, 2, 9, 6, 4, 8,
game 虎符CTF
re1wn
04-24 1058
神仙打架,萌新吃瓜
CTF逆向-[RoarCTF2019]polyre-WP_控制流扁平化去混淆idcpy去指令
serfend's blog
03-24 4451
CTF逆向-[RoarCTF2019]polyre-WP_控制流扁平化去混淆idcpy去指令 来源:BUUCTF在线评测/ 内容:无 附件:百度网盘 请输入提取码 提取码:nyty 答案:flag{6ff29390-6c20-4c56-ba70-a95758e3d1f8} 总体思路 使用deflat.py对程序扁平化处理。 使用ida的python idc工具对多余指令去除。 检查算法发现是crc64,按其流程逆运算 详细步骤 检查文件信息 打开程序发现控..
安洵-game-wp
令则
12-09 1201
game 安洵2019逆向 链接:https://pan.baidu.com/s/1vICnEqYfSezXUiTJU6C9TA 提取码:d9m7 题目的文件和idb分析文件和写出的python文件都给出了 首先进入函数发现时ollvm, 这次的分析是直接看那个伪代码,比以前好很多了,就简单写下分析的思路方法,然后后面的分析结果直接写成了python代码,同时的idb文件会同样在附赠文件中...
CTF中常见的编码,代码混淆及加、解密
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
07-27 6260
其实刚开始我对编码与加密的概念区分的不是非常清楚,一度以为加密就是对信息进行编码,这是一种错误的观点。编码是将数据信息转化成一种固定格式的编码信息,而加密是为了保证信息传输的安全性,两者还是有区别的。接下来就给大家讲讲编码与加密、解密。 一,编码 编码是为了方便不同系统间的信息传输,将数据转化成固定格式的信息,通过编码可以得到原始信息。常见的编码我们都已经很熟悉了,比如ASCII编码、URL编码、...
CTF小白学习笔记(Reverse)-i春秋 Classical CrackMe
qq_44370676的博客
10-30 650
这道题主要考察.Net程序逆向 运行一下: 用exeinfo查看文件: 发现是混淆过的.Net程序 那再用de4dot反混淆,这里给一个de4dot下载链接:https://github.com/de4dot/de4dot/actions/runs/229869631 反混淆后生成CrackMe-cleaned.exe,用dnsPy打开: 程序大概流程就是把输入字符串base64加密过后与字符串b比对,这里base64解码 得flag:PCTF{Ea5y_Do_Net_Cr
hackergame2018ctf_猫咪遥控器
Spwpun的博客
10-19 626
这是中科大第五届信息安全大赛的一道题,比赛那一周没有做出来,后来看了官方的writeup之后才知道原来这么简单只要自己写个python的小程序来运行一下就行了,于是花了点时间重新看了一下python的turtle库,写出来了。意识到,写代码一定要注释好,不然以后看的时候都不知道什么意思了,简直感觉到自己是有多菜! 附件seq.txt和代码放在我的资源里面,有兴趣的可以下载来看看。 imp...
buuctf-强网2019随便注
09-03
buuctf-强网2019随便注是一场2019年强网举办的CTF比赛中的一道题目。这道题目的名称暗示着它是一个与注入漏洞相关的题目。 注入漏洞是一种网络安全漏洞,攻击者可以通过在用户输入的数据中注入恶意代码来获取或者修改数据库中的数据。通常,这种漏洞主要存在于动态网页应用程序中,比如通过用户输入生成SQL查询语句的网页。攻击者可以通过在用户输入的数据中插入SQL代码,从而绕过正常的验证机制,查看、修改或者删除数据库中的数据。 为了解决注入漏洞,我们需要在编写动态网页应用程序时,对用户输入的数据进行严格的验证和过滤,避免将恶意代码传递给数据库。 对于buuctf-强网2019随便注这道题目,我们需要了解题目的具体要求和给定的环境,然后通过分析和尝试来找到漏洞的利用方法。可能的解题思路包括对输入的数据进行SQL注入、获取数据库中的信息或者修改数据库中的数据等等。 解决这道题目需要具备一定的网络安全知识和相关工具的使用能力。通过不断的尝试和调试,找到并利用漏洞成功获取到flag(标志),即为完成题目。 总之,buuctf-强网2019随便注是一道涉及注入漏洞的CTF题目,要求我们通过找到并利用漏洞来获取flag。完成这道题目需要一定的网络安全知识和技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值