简单逆向18

于 2021-07-28 15:45:59 发布
阅读量238 收藏
点赞数
分类专栏: 笔记 ctf 文章标签: python unctf 算法 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49936845/article/details/119180710
版权
笔记 同时被 2 个专栏收录
54 篇文章 2 订阅
订阅专栏
ctf
35 篇文章 5 订阅
订阅专栏
"本文详细分析了一个名为诺莫18的程序,该程序要求用户输入符合特定条件的字符串。通过逆向工程,解析了输入字符串的处理流程,包括字符转换、异或运算和MD5加密。最终确定了正确的输入字符串'flag{d2be2981b84f2a905669995873d6a36c}
摘要由CSDN通过智能技术生成

诺莫18

原题:在这里插入图片描述

开始:

放入IDA:

int __usercall wmain@<eax>(int a1@<ebx>)
{
  FILE *v1; // eax
  FILE *v2; // eax
  char v4; // [esp+3h] [ebp-405h]
  char v5; // [esp+4h] [ebp-404h]
  char v6; // [esp+5h] [ebp-403h]
  char v7; // [esp+104h] [ebp-304h]
  char v8; // [esp+105h] [ebp-303h]
  char v9; // [esp+204h] [ebp-204h]
  char v10; // [esp+205h] [ebp-203h]
  char v11; // [esp+304h] [ebp-104h]
  char v12; // [esp+305h] [ebp-103h]

  printf("Come one! Crack Me~~~\n");
  v11 = 0;
  memset(&v12, 0, 0xFFu);
  v9 = 0;
  memset(&v10, 0, 0xFFu);
  while ( 1 )
  {
    do
    {
      do
      {
        printf("user(6-16 letters or numbers):");
        scanf("%s", &v11);
        v1 = (FILE *)sub_4024BE();
        fflush(v1);
      }
      while ( !sub_401000(&v11) );
      printf("password(6-16 letters or numbers):");
      scanf("%s", &v9);
      v2 = (FILE *)sub_4024BE();
      fflush(v2);
    }
    while ( !sub_401000(&v9) );
    sub_401090(&v11);
    v7 = 0;
    memset(&v8, 0, 0xFFu);
    v5 = 0;
    memset(&v6, 0, 0xFFu);
    v4 = ((int (__cdecl *)(char *, char *))loc_4011A0)(&v7, &v5);
    if ( sub_401830(a1, (int)&v11, &v9) )
    {
      if ( v4 )
        break;
    }
    printf(&v5);
  }
  printf(&v7);
  return 0;
}

sub_401000()判断输入字符长度为6-16,并且为字母或者字符

sub_401090(&v11)没有对v11进行操作,不影响密码和流程,跳过

v4 = ((int (__cdecl *)(char *, char *))loc_4011A0)(&v7, &v5);

看后面printf(&v5);
v5的数据没有,使用动态调试:
在这里插入图片描述
在这里插入图片描述
一个跳出这个循环就对了,那就要
sub_401830(a1, (int)&v11, &v9)
v4均满足if,v4是由两个已知量输入的,所以我们不用管

sub_401830(a1, (int)&v11, &v9):

bool __usercall sub_401830@<al>(int ebx0@<ebx>, int user, const char *pow)
{
  int v4; // [esp+18h] [ebp-22Ch]
  signed int v5; // [esp+1Ch] [ebp-228h]
  signed int v6; // [esp+28h] [ebp-21Ch]
  unsigned int v7; // [esp+30h] [ebp-214h]
  char v8; // [esp+36h] [ebp-20Eh]
  char v9; // [esp+37h] [ebp-20Dh]
  char v10; // [esp+38h] [ebp-20Ch]
  unsigned __int8 v11; // [esp+39h] [ebp-20Bh]
  unsigned __int8 v12; // [esp+3Ah] [ebp-20Ah]
  char v13; // [esp+3Bh] [ebp-209h]
  int v14; // [esp+3Ch] [ebp-208h]
  char v15; // [esp+40h] [ebp-204h]
  char v16; // [esp+41h] [ebp-203h]
  char v17; // [esp+140h] [ebp-104h]
  char v18; // [esp+141h] [ebp-103h]

  v5 = 0;
  v6 = 0;
  v12 = 0;
  v11 = 0;
  v17 = 0;
  memset(&v18, 0, 0xFFu);
  v15 = 0;
  memset(&v16, 0, 0xFFu);
  v10 = 0;
  v7 = 0;
  v4 = 0;
  while ( v7 < strlen(pow) )
  {
    if ( isdigit(pow[v7]) )
    {
      v9 = pow[v7] - 48;
    }
    else if ( isxdigit(pow[v7]) )
    {
      if ( *(_DWORD *)(*(_DWORD *)(__readfsdword(0x30u) + 24) + 12) != 2 )
        pow[v7] = 34;
      v9 = (pow[v7] | 0x20) - 87;
    }
    else
    {
      v9 = ((pow[v7] | 0x20) - 97) % 6 + 10;    // 将a,b,c...转换为16进制对应的10进制数值
    }
    v10 = v9 + 16 * v10;
    if ( !((signed int)(v7 + 1) % 2) )
    {
      *(&v15 + v4++) = v10;
      ebx0 = v4;
      v10 = 0;
    }
    ++v7;
  }
  while ( v6 < 8 )
  {
    v11 += byte_416050[++v12];
    v13 = byte_416050[v12];
    v8 = byte_416050[v11];
    byte_416050[v11] = v13;
    byte_416050[v12] = v8;
    if ( *(_DWORD *)(__readfsdword(0x30u) + 104) & 0x70 )
      v13 = v11 + v12;
    *(&v17 + v6) = byte_416050[(unsigned __int8)(v8 + v13)] ^ *(&v15 + v5);
    if ( *(_DWORD *)(__readfsdword(0x30u) + 2) & 0xFF )
    {
      v11 = -83;
      v12 = 43;
    }
    sub_401710((int)&v17, (const char *)user, v6++);
    v5 = v6;
    if ( v6 >= (unsigned int)(&v15 + strlen(&v15) + 1 - &v16) )
      v5 = 0;
  }
  v14 = 0;
  sub_401470(ebx0, &v17, &v14);
  return v14 == 43924;
}

分析:

将输入字符串进行操作后与byte_416050[(unsigned __int8)(v8 + v13)]数据亦或再放入sub_401470(ebx0, &v17, &v14);。这是关键流程,倒着看,要让v14 == 43924,进入sub_401470(ebx0, &v17, &v14):

_DWORD *__usercall sub_401470@<eax>(int a1@<ebx>, _BYTE *a2, _DWORD *a3)
{
  int v3; // ST28_4
  int v4; // ecx
  _DWORD *_EAX; // eax
  int v6; // edx
  int v8; // ST20_4
  int v9; // eax
  int v10; // edi
  int v11; // ST1C_4
  int v12; // edx
  char v13; // di
  int v14; // ST18_4
  int v15; // eax
  int v16; // ST14_4
  int v17; // edx
  char v18; // al
  int v19; // ST10_4
  int v20; // ecx
  char _AL; // al
  int v23; // ST0C_4
  int v24; // eax
  _DWORD *result; // eax
  int v26; // edx

  if ( *a2 == 'd' )
  {
    *a3 |= 4u;
    v4 = *a3;
  }
  else
  {
    *a3 ^= 3u;
  }
  v3 = *a3;
  if ( a2[1] == 'b' )
  {
    _EAX = a3;
    *a3 |= 0x14u;
    v6 = *a3;
  }
  else
  {
    *a3 &= 0x61u;
    _EAX = (_DWORD *)*a3;
  }
  __asm { aam }
  if ( a2[2] == 'a' )
  {
    *a3 |= 0x84u;
    v9 = *a3;
  }
  else
  {
    *a3 &= 0xAu;
  }
  v8 = *a3;
  v10 = ~(a1 >> -91);
  if ( a2[3] == 'p' )
  {
    *a3 |= 0x114u;
    v12 = *a3;
  }
  else
  {
    *a3 >>= 7;
  }
  v11 = *a3;
  v13 = v10 - 1;
  if ( a2[4] == 'p' )
  {
    *a3 |= 0x380u;
    v15 = *a3;
  }
  else
  {
    *a3 *= 2;
  }
  v14 = *a3;
  if ( *(_DWORD *)(*(_DWORD *)(__readfsdword(0x30u) + 24) + 12) != 2 )
  {
    if ( a2[5] == 102 )
    {
      *a3 |= 0x2DCu;
      v17 = *a3;
    }
    else
    {
      *a3 |= 0x21u;
    }
    v16 = *a3;
  }
  if ( a2[5] == 's' )
  {
    *a3 |= 0xA04u;
    v18 = (char)a3;
    v20 = *a3;
  }
  else
  {
    v18 = (char)a3;
    *a3 ^= 0x1ADu;
  }
  v19 = *a3;
  _AL = v18 - v13;
  __asm { daa }
  if ( a2[6] == 'e' )
  {
    *a3 |= 0x2310u;
    v24 = *a3;
  }
  else
  {
    *a3 |= 0x4Au;
  }
  v23 = *a3;
  if ( a2[7] == 'c' )
  {
    result = a3;
    *a3 |= 0x8A10u;
    v26 = *a3;
  }
  else
  {
    *a3 &= 0x3A3u;
    result = (_DWORD *)*a3;
  }
  return result;
}

加入每一个if都成立,验证a3的值是不是43924

a3 = 0
a3 |= 0x4
a3 |= 0x14
a3 |= 0x84
a3 |= 0x114
a3 |= 0x380
#a3 |= 0x2DCu  反调试的不要
a3 |= 0xA04
a3 |= 0x2310
a3 |= 0x8A10

print(a3) #43924 #dbappsec

输出结果就是43924
所以v17的值是’dbappsec’
现在研究前面的算法:

while ( v7 < strlen(pow) )
  {
    if ( isdigit(pow[v7]) )
    {
      v9 = pow[v7] - 48;
    }
    else if ( isxdigit(pow[v7]) )
    {
      if ( *(_DWORD *)(*(_DWORD *)(__readfsdword(0x30u) + 24) + 12) != 2 )
        pow[v7] = 34;
      v9 = (pow[v7] | 0x20) - 87;
    }
    else
    {
      v9 = ((pow[v7] | 0x20) - 97) % 6 + 10;    // 将a,b,c...转换为16进制对应的10进制数值
    }
    v10 = v9 + 16 * v10;
    if ( !((signed int)(v7 + 1) % 2) )
    {
      *(&v15 + v4++) = v10;
      ebx0 = v4;
      v10 = 0;
    }
    ++v7;
  }

如果是字符是数字,就转成相应的值,如果是字母,就转成相应的16进制,如:a转成10,b转成11(第二个if不需要管,单个字符字符不肯能识别为16进制)

然后两个两个组合看成16进制,转化为10进制寸到v15。

简而言之就是把一个字符串两个两个看成一个16进制,转换为10进制存到数组中

byte_416050我们也需要动态调试(再IDA找到偏移地址):
在这里插入图片描述
查找ecx值,8次
[0x2a, 0xd7, 0x92, 0xe9, 0x53, 0xe2, 0xc4, 0xcd]

逆向:

import hashlib
a3 = 0
a3 |= 0x4
a3 |= 0x14
a3 |= 0x84
a3 |= 0x114
a3 |= 0x380
#a3 |= 0x2DCu  反调试的不要
a3 |= 0xA04
a3 |= 0x2310
a3 |= 0x8A10

print(a3) #43924 #dbappsec

x = [0x2a, 0xd7, 0x92, 0xe9, 0x53, 0xe2, 0xc4, 0xcd]
y = ['d','b','a','p','p','s','e','c']
m = ""

for i in range(len(y)):
    m += hex(ord(y[i])^x[i])
    m = m.replace("0x","")

n = hashlib.md5()
n.update(m.encode("utf-8"))

print(n.hexdigest())

根据题目要求,要进行md5加密

套上flag
flag{d2be2981b84f2a905669995873d6a36c}

I Am Rex
关注
专栏目录
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
1.逆向工程介绍,IDA页面简单介绍,开发和逆向的对比 2.如何定位MAIN函数,修改逻辑跳转指令案例 3.加密编码算法 包括base64变表编码和简单异或加密解密案例并带有加解密源码 4.动态调试 包括动态调试解密案例 5....
IDA __usercall __userpurge __spoils 关键字说明
xkdlzy的专栏
08-05 2573
__usercall __userpurge __spoils IDA 函数原型 变量类型
挂钩__usercall函数型
q123456789098的专栏
09-23 3158
知道人说起过挂钩__usercall函数型?我挂钩__thiscall,__stdcall和__cdecl电话,但这就足够了 认识任何人挂钩库__usercall's或如何挂钩这种类型的翻译对__stdcall或__cdecl? 函数谁我必须挂钩起先是: int __usercall func(int a, int b, int c, unsigned int d, signed int e);
IDA 中的_usercall协议
zhangmiaoping23的专栏
03-28 5855
IDA supports the user-defined calling convention. In this calling convention, the user can explicitly specify the locations of arguments and the return value. For example:         int __usercall fu
[BUU]HellScream
m0_46296905的博客
05-05 1046
题目:[BUU]HellScream 32位程序
C++虚函数调用的反汇编解析
阮建辉的专栏
08-23 1万+
C++虚函数调用的反汇编解析     作者:阮建辉 虚函数的调用如何能实现其“虚”?作为C++多态的表现手段,估计很多人对其实现机制感兴趣。大约一般的教科书就说到这个C++强大机制的时候,就是教大家怎么用,何时用,而不会去探究一下这个虚函数的真正实现细节。(当然,因为不同的编译器厂家,可能对虚函数有自己的实现,呵呵,这就算是虚函数对于编译器的“多态”了:)。 作为编译型语言,C
SQLite数据库逆向分析1
08-08
在SQLite数据库逆向分析中,我们需要使用VS编写一个简单的数据库操作程序,以便于了解数据库的实现机理和数据结构。通过编写程序,我们可以了解数据库的数据结构和实现机理。 12. 获取软件访问 SQLite 数据库的句柄...
猿人学18题——js加密进阶
08-21
猿人学18题完整版独家代码,绝对不会让你失望
Reversing:逆向工程揭密
06-21
其思想很简单:我们应当对底层软件有深入的理解,还要学习那些能够让我们轻松进入任何程序的二进制码并获取信息的技术。不知道系统为什么会以它那样的工作方式运转而且其他人也不知道答案的话,怎么办?没问题——你...
JD-GUI_18.zip
09-07
JD-GUI是一款强大的Java反编译工具,专为...在处理没有源代码的第三方库,或者进行逆向工程时,这些工具能发挥巨大的作用。使用JD-GUI,开发者可以更深入地了解代码的工作原理,从而提升自己的编程技能和问题解决能力。
BUUCTF-CrackMe略解
feng_2016的博客
05-09 1108
先总体看看 int __usercall wmain@<eax>(int a1@<ebx>) { FILE *v1; // eax FILE *v2; // eax char v4; // [esp+3h] [ebp-405h] char v5; // [esp+4h] [ebp-404h] char v6; // [esp+5h] [ebp-403h] char v7; // [esp+104h] [ebp-304h] char v8; // [esp+
函数的2种主要调用方式
yellow的博客
07-04 1450
2种方式:__cdecl     __stdcall相同点:调用方按从右向左的顺序把函数参数放入栈中,导致结果函数的第一个参数始终在栈顶(第一个参数在栈顶,并不意味着:函数访问第二个参数,第一个参数就要出栈,通过内存地址访问)不同点:__cdecl方式的参数数量可变,调用方清楚知道参数个数,按理来说被调用方也知道参数个数,有可能是规定由调用方清理参数(在函数外面add esp,一个参数的时候发现编...
__stdcall、__cdcel和__fastcall三者的区别
yfy_47的专栏
06-28 2231
__stdcall、__cdecl和__fastcall是三种函数调用协议,函数调用协议会影响函数参数的入栈方式、栈内数据的清除方式、编译器函数名的修饰规则等。如下图所示,可以在IDE环境中设定所有函数默认的调用协议,还可以在函数定义时单独设定本函数的调用协议。调用协议常用场合__stdcall:Windows API默认的函数调用协议。__cdecl:C/C++默认的
[C++] 反编译器
weixin_30867015的博客
02-09 8798
各种开源的decompiler都不太好用,目前最好的反编译器是IDA pro。虽然是收费的,不过破解版很好找。我试过5.5版本的,还不错。我把windows notepad进行了反编译,多少算有点可读性:/* This file has been generated by the Hex-Rays decompiler. Copyright (c) 2009 Hex-Rays <i...
cgfsb-格式化字符串
playmaker的博客
06-08 655
cgfsb-格式化字符串漏洞 程序大致逻辑如下 v8 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); buf = 0; v5 = 0; v6 = 0; memset(&s, 0, 0x64u); puts("please tell me your...
驱动里执行应用层代码之KeUserModeCallBack,支持64位win7(包括WOW64)
fanxiushu的专栏
07-26 1万+
by Fanxiushu            2014-07-26 在驱动层(ring0)里执行应用层(ring3)代码,这是个老生常谈的技术,而且方法也挺多。 这种技术的本质:其实就是想方设法在驱动层里把应用层代码弄到应用层去执行。 比如在APC异步调用中,KeInsertQueueApc,KeInitializeApc等函数中可设置一个在ring3层执行一个回调函数,这样就可以
一个栈溢出漏洞的复现
weixin_42559271的博客
11-04 671
过程记录 定位漏洞点 其实课件中给出的漏洞点代码由于只有伪代码,所以信息量很少,但是万幸的是观察给出的关键漏洞点代码,可以看到在循环的时候会进行一个判断,判断的时候调用了sub_4B9C6C这个函数。 这就给出了一个思路就是利用sub_4B9C6C这个信息点和IDA的交叉引用功能找到这个漏洞点对应的VA。 运气比较好的是,这个函数在整个主模块中被调用的次数比较少,可以手工进行比对,否则就将IDA的伪代码人工转化成汇编代码并编写一个IDA的脚本进行比对了。 人工一一比对完着五个交叉引用,可以找到对应的漏洞点
call_user_func_array函数详解
热门推荐
weihuiblog的博客
01-08 2万+
call_user_func_array : 调用回调函数,并把一个数组参数作为回调函数的参数。 说明:mixed call_user_func_array ( callable $callback , array $param_arr ) 把第一个参数作为回调函数(callback)调用,把参数数组作(param_arr)为回调函数的的参数传入。 返回回调函数的结果。如果出
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

I Am Rex

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值