简单逆向21

最新推荐文章于 2022-09-07 18:21:41 发布
最新推荐文章于 2022-09-07 18:21:41 发布
阅读量117 收藏
点赞数
分类专栏: 笔记 ctf 文章标签: python 算法 unctf 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49936845/article/details/119251636
版权
笔记 同时被 2 个专栏收录
54 篇文章 2 订阅
订阅专栏
ctf
35 篇文章 5 订阅
订阅专栏

诺莫21

知识点:
动态调试,亦或,爆破

开始:

放入IDA:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  _DWORD *v4; // [esp+1Ch] [ebp-A0h]
  int v5; // [esp+20h] [ebp-9Ch]
  int v6; // [esp+24h] [ebp-98h]
  int v7; // [esp+28h] [ebp-94h]
  int v8; // [esp+2Ch] [ebp-90h]
  char v9; // [esp+30h] [ebp-8Ch]
  int v10; // [esp+50h] [ebp-6Ch]
  int v11; // [esp+70h] [ebp-4Ch]

  sub_402620();
  v5 = 1701148529;
  v6 = 101;
  v7 = 0;
  v8 = 0;
  v4 = malloc(0x408u);
  puts("Plz solve the puzzle:");
  sub_40ED00("%32s", &v9);
  if ( check1(&v9)
    && (sub_401B60(&v10, &v9), sub_401850(v4, &v5, strlen(&v5)), sub_4018D0(v4, &v10, 8), sub_401950(&v10)) )
  {
    sub_401BA0(&v9, &v11);
    sub_40ED20("Congrats!\n%s\n", &v11);
  }
  else
  {
    puts("Failed!");
  }
  return 0;
}

逻辑简单
Congrats上面有个if,让if成立就正确

check1(&v9):
在这里插入图片描述
判断输入的字符16位a-f或者0-9(注意:0-9能满足是因为v2前面是unsigned,数字减去58是负数,会溢出结果大于0x38)

在这里插入图片描述
&&后面是一个,运算符,就是只看最后一个(如a = (1,2,3)最终a = 3),那我们直接看最后一个函数:
sub_401950(&v10):

bool __cdecl sub_401950(_BYTE *a1)
{
  _BYTE *v1; // ecx
  bool result; // al

  v1 = a1;
  while ( 2 )
  {
    switch ( *v1 )
    {
      case 0:
        dword_40F028 &= dword_40F038;
        dword_40F02C *= dword_40F028;
        goto LABEL_4;
      case 1:
        if ( !dword_40F02C )
          goto LABEL_6;
        dword_40F028 /= dword_40F02C;
        dword_40F024 += dword_40F034;
        goto LABEL_4;
      case 2:
        dword_40F030 ^= dword_40F034;
        dword_40F03C += dword_40F020;
        goto LABEL_4;
      case 3:
        dword_40F03C -= dword_40F030;
        dword_40F030 &= dword_40F024;
        goto LABEL_4;
      case 4:
        dword_40F034 *= dword_40F020;
        dword_40F02C -= dword_40F038;
        goto LABEL_4;
      case 5:
        dword_40F020 ^= dword_40F02C;
        dword_40F038 -= dword_40F03C;
        goto LABEL_4;
      case 6:
        if ( !dword_40F03C )
          goto LABEL_6;
        dword_40F034 |= dword_40F024 / dword_40F03C;
        dword_40F024 /= dword_40F03C;
        goto LABEL_4;
      case 7:
        dword_40F038 += dword_40F028;
        dword_40F034 |= dword_40F024;
        goto LABEL_4;
      case 8:
        dword_40F020 *= dword_40F02C;
        dword_40F030 -= dword_40F03C;
        goto LABEL_4;
      case 9:
        dword_40F028 += dword_40F034;
        dword_40F02C ^= dword_40F030;
LABEL_4:
        if ( ++v1 != a1 + 8 )
          continue;
        result = (dword_40F038 == 231)
               + (dword_40F034 == 14456)
               + (dword_40F030 == 14961)
               + (dword_40F02C == -13264)
               + (dword_40F028 == 16)
               + (dword_40F024 == 104)
               + (dword_40F020 == -951) == 7;
        if ( dword_40F03C != -239 )
          goto LABEL_6;
        break;
      default:
LABEL_6:
        result = 0;
        break;
    }
    return result;
  }
}

从代码中得知v10一共由8位,每一位是0-9的数字,我们就可以利用条件暴力破解:

#include<stdio.h>

int f(int* a1);
void f2(int a1, int* a2);

int main(void)
{
	int num[8];
	for (int i = 10000000;i < 1000000000; i++)
	{
		f2(i, num);
		if (f(num))
		{
			printf("%d", i);
			break;
		}
	}

	return 0;
}

void f2(int a1, int* a2)
{
	int i = 0;

	for (i = 7; i >= 0; i--)
	{
		a2[i] = a1 % 10;
		a1 = a1 / 10;
	}
}


int f(int* num)
{
	int
		dword_40F000 = 0x0000000A,
		dword_40F020 = 0x0000008A,
		dword_40F024 = 0x000001A1,
		dword_40F028 = 0x0000012A,
		dword_40F02C = 0x00000269,
		dword_40F030 = 0x00000209,
		dword_40F034 = 0x00000068,
		dword_40F038 = 0x0000039F,
		dword_40F03C = 0x000002C8;
	int result;
	int i = 0;

	while(1)
	{
		switch (num[i])
		{
		case 0:
			dword_40F028 &= dword_40F038;
			dword_40F02C *= dword_40F028;
			goto LABEL_4;
		case 1:
			if (!dword_40F02C)
				goto LABEL_6;
			dword_40F028 /= dword_40F02C;
			dword_40F024 += dword_40F034;
			goto LABEL_4;
		case 2:
			dword_40F030 ^= dword_40F034;
			dword_40F03C += dword_40F020;
			goto LABEL_4;
		case 3:
			dword_40F03C -= dword_40F030;
			dword_40F030 &= dword_40F024;
			goto LABEL_4;
		case 4:
			dword_40F034 *= dword_40F020;
			dword_40F02C -= dword_40F038;
			goto LABEL_4;
		case 5:
			dword_40F020 ^= dword_40F02C;
			dword_40F038 -= dword_40F03C;
			goto LABEL_4;
		case 6:
			if (!dword_40F03C)
				goto LABEL_6;
			dword_40F034 |= dword_40F024 / dword_40F03C;
			dword_40F024 /= dword_40F03C;
			goto LABEL_4;
		case 7:
			dword_40F038 += dword_40F028;
			dword_40F034 |= dword_40F024;
			goto LABEL_4;
		case 8:
			dword_40F020 *= dword_40F02C;
			dword_40F030 -= dword_40F03C;
			goto LABEL_4;
		case 9:
			dword_40F028 += dword_40F034;
			dword_40F02C ^= dword_40F030;
		LABEL_4:
			if (++i != 8)
				continue;
			result = (dword_40F038 == 231)
				+ (dword_40F034 == 14456)
				+ (dword_40F030 == 14961)
				+ (dword_40F02C == -13264)
				+ (dword_40F028 == 16)
				+ (dword_40F024 == 104)
				+ (dword_40F020 == -951) == 7;
			if (dword_40F03C != -239)
				goto LABEL_6;
			break;
		default:
		LABEL_6:
			result = 0;
			break;
		}
		return result;
	}
}

//result = 61495072

结果是61495072

然后思考:v10肯定是v9推到的,所以我们能逆向推出v9,就得出答案

sub_401B60(&v10, &v9):

int __cdecl sub_401B60(int a1, _BYTE *a2)
{
  _BYTE *v2; // ebx
  int i; // esi
  char v4; // ST08_1
  _BYTE *v5; // ST00_4
  int result; // eax

  v2 = a2;
  for ( i = a1; *v2; result = sub_40ED40(v5, "%02X", v4) )
  {
    v4 = i;
    v5 = v2;
    v2 += 2;
    ++i;
  }
  return result;
}

将v5(a2)的数据,v4(a1)数据放到一个函数中处理。
函数中还有%02X,猜测是把输入的数据(字符串)转换为16进制存到v10

使用OD动态可以验证:
在这里插入图片描述
数据一样

然后观察后面的两个函数
sub_401850:
因为传入的是两个已知数据和一个未知数据,可以使用动态得出未知数据v4

sub_401850:
传入了v10我们得看看对v10做改变没

_DWORD *__cdecl sub_4018D0(_DWORD *tab, _BYTE *sou, int a3)
{
  int v3; // edx
  int v4; // ecx
  _DWORD *v5; // esi
  _BYTE *v6; // ebx
  int v7; // edi
  unsigned int *v8; // eax
  int v9; // edx
  _DWORD *v10; // ebp
  _DWORD *v11; // ST00_4
  unsigned int v12; // ebp
  _DWORD *result; // eax

  v3 = *tab;
  v4 = tab[1];
  v5 = tab + 2;
  if ( a3 > 0 )
  {
    v6 = sou;
    v7 = *tab;
    do
    {
      v7 = (v7 + 1);
      v8 = &v5[v7];
      v9 = *v8;
      v4 = (*v8 + v4);
      v10 = &v5[v4];
      v11 = v10;
      v12 = *v10;
      *v8 = v12;
      *v11 = v9;
      *v6++ ^= v5[(v9 + v12)];
    }
    while ( v6 != &sou[a3] );
    v3 = v7;
  }
  result = tab;
  *tab = v3;
  tab[1] = v4;
  return result;
}

v5[(v9 + v12)]都是已知数据
使用OD动态调试:
在这里插入图片描述
找到8个数据
tab = [0x7c,0xab,0x2d,0x91,0x2f,0x98,0xed,0xa9]
然后因为前面是%02x,两字节对齐,所以后面v10就只有8位
写出逆向脚本:

tab = [0x7c,0xab,0x2d,0x91,0x2f,0x98,0xed,0xa9]
v10 = [0x6,0x1,0x4,0x9,0x5,0x0,0x7,0x2]
flag = ""

for i in range(8):
    ch = tab[i]^v10[i]
    print("%x"%ch, end = "")

结果:7aaa29982a98eaab

输入7aaa29982a98eaab得到flag

在这里插入图片描述

I Am Rex
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
深入理解计算机系统(2)
石灰聪的博客
11-02 1436
2.1 信息存储 大多数计算机使用8位的字节,作为最小的可寻址的内存单位,而不是访问内存中单独的位。机器级程序将内存视为一个非常大的字节数组,称为虚拟内存。内存的每个字节都由一个唯一的数字来标识,称为它的地址,数组下标是地址的增量,所有可能地址的集合就称为虚拟地址空间。 2.1.1 十六进制表示法 十六进制和十进制之间转换: 十进制转十六进制:用十进制数不断的除以16,得到一个商和一个余数,余数用十六进制数表示作为最低位数。以此类推。例如:十进制数314156. 314156 ÷ 16 = 19634・
unity 反编译_【游戏安全】记一次Unity游戏逆向
weixin_39715460的博客
11-26 6692
作者论坛账号:二娃游戏是steam上一款单机音游,难度有点高,在被虐了千百次后,我决定对这个游戏下手。探秘大家都知道,unity游戏的主要逻辑都在Assembly-CSharp.dll,只要用dnspy之类的工具就能够轻易的反编译出源码。于是我兴冲冲的掏出了我的dnspy,将Assembly-CSharp.dll拖了进去,然而一片空白的dnspy告诉我事情没这么简单。使用010 edit...
BUUCTF RE crackMe WP 详细解析
h1nt的博客
09-06 1400
前前后后参考了几篇博文,感觉自己有些值得分享的东西,就有了这篇文章 题目地址: https://buuoj.cn/challenges#crackMe 首先,国际惯例,查壳 没壳,拖进IDA里通过String定位到关键代码: 首先是主函数代码: int wmain() { FILE *v0; // eax FILE *v1; // eax char v3; // [esp+3h] [ebp-405h] char v4; // [esp+4h] [ebp-404h] char v5;
struct内存对齐
学长Online
11-13 246
struct内存对齐遵循以下两条原则:     1,  结构体中成员变量的内存地址相对于结构体首地址的偏移量,是其自身长度的整数倍。     2,  结构体变量的整体长度是其中最长成员变量长度的整数倍。     struct data{          char a;          short b;          int c;          char d;
PCI 设备的前64字节寄存器布局
RToax
08-31 181
https://gitee.com/rtoax/linux-5.10.13/commit/7a01c5efae348597815cd577d29e46471846c447 /** * * 0x0 0x1 0x2 0x3 0x4 0x5 0x6 0x7 0x8 0x9 0xa 0xb 0xc 0xd 0xe 0xf * +---------+---------+---------+---------+----+-------------+----+----+---
21春南开大学《逆向工程》在线作业参考答案.docx
10-23
逆向工程相关知识点 ...* 表示回调函数在进行异常展开操作时再次发生了异常,其中展开操作可以简单理解为恢复发生事故的第一现场,并在恢复过程中对系统资源进行回收的返回值是 ExceptionContinueExecution。
高中数学 21数列的概念与简单表示法优秀学生寒假必做作业练习二 新人教A版必修5 试题.doc
11-06
数列的概念与简单表示法是学习数列的基础,通常包括通项公式、递推关系以及数列的性质。 在给定的练习题目中,我们可以看到涉及了多个关于数列的问题: 1. 选择题第一题考察了数列中的最小项,这需要理解数列的...
小学二年级简单奥数.doc
10-12
这些题目涵盖了小学二年级奥数的一些基础概念,主要包括数学运算、几何、逻辑推理以及简单的代数思维。让我们逐一解析这些知识点: 1. **几何与测量**:涉及绳子的对折问题,通过计算对折两次后的长度反推原始长度...
一年数学级上册课时练习题及答案【青岛版】21精选.doc
09-26
文档“一年数学级上册课时练习题及答案【青岛版】21精选.doc”包含了小学一年级数学的一些关键概念和问题解决技巧,主要集中在“移多补少”的数学思想上。这种思想是基础数学中的重要概念,它涉及到比较、数量调整和...
最新apktool_2.3.0.jar 2017-9-21更新下载
12-05
apktool是一款广泛使用的Android应用(APK)反编译工具,由IzzySoft开发,其最新版本为2.3.0,发布日期为2017年9月21日。这款工具对于开发者、安全研究人员和逆向工程爱好者来说至关重要,因为它允许他们查看、修改...
(_DWORD )是什么?
热门推荐
SkYe's Blog
08-15 1万+
*(_DWORD *)是什么? 用IDA分析文件时,出现的反汇编代码,如下图: *(_DWORD *)是强制类型转化,然后在提领指针。 dword是指注册表的键值,每个word为2个字节,dword双字即为4个字节。 结合以上信息可以推出第8行代码*(_DWORD *)(4LL * i + a1)的理解应为: ​ 从 a1[4LL * i] 开始,按DWORD格式取出 四个字节。(其...
linux 动态扫描 数码管,数码管动态扫描显示01234567程序(三种方案)
weixin_35794835的博客
05-13 1776
描述数码管由于价格便宜,使用简单,在电器特别是家电领域(比如空调、热水器和冰箱等)得到了极为广泛的应用。在高校电子信息类专业单片机的教学过程中,数码管动态显示及实现方法是学生普遍反映较难掌握的内容。鉴于此,本文为大家带来三个数码管动态扫描显示01234567程序介绍。数码管动态扫描显示01234567程序一原理图8个数码管它的数据线并联接到JP5, 位控制由8个PNP型三级管驱动后由JP8引出。程...
【1】计算机原理-内存模型
最新发布
记录生命的轨迹
09-07 719
内存模型
内存寻址方式
m0_52559870的博客
08-10 2072
1.[idata]:直接寻址,用于直接指定一个内存单元2.[bx]:寄存器间接寻址,用于间接定位一个内存单元3.[bx+idata]:寄存器相对寻址,可在一个起始地址的基础上用变量间接定位一个内存单元4.[bx+si]:基址变址寻址,用两个变量表示地址5.[bx+si+idata]:相对基址变址寻址。...
内存对齐与字节序
SSS
05-10 497
整理下字节对齐和字节序的相关问题,原先整理的都丢了。。。 一、字节对齐 字节对齐是什么?当在c语言中定义复合数据类型,如数组,枚举,联合,结构体等,类型中的成员往往不止一个,而数据定义好之后,数据在内存中的排列就是如定义的那般,一个成员挨着一个成员,连续存放的吗? 答案是否定的。复合数据类型在内存中存储时,成员之间可能存在一些空洞(又名padding),当然,你在存取数据时完全感觉不出差别,但这些...
内存分配器一
GeorgeDon专栏
01-12 383
glibc内存管理学习 http://www.cnblogs.com/tianchi/archive/2012/08/02/2620634.html x86平台Linux进程内存布局: text:ELF格式程序代码 data:程序运行时就能确定的数据,可读可写 bss:没有初始化的全局变量和静态表里 heap stack:由编译器自动分配释放,存放函数参数、局部变量等 Mmap:映射
内存-----C语言
阿古朵
12-12 422
概念 内存可分为物理内存和虚拟内存 物理内存是实实在在的内存;虚拟内存是操作系统虚拟出来的内存。 操作系统会在物理内存和虚拟内存之间做映射。 在32位系统下,每个进程的寻址范围是4G,0x00 00 00 00 ~ 0xff ff ff ff 写应用程序时,看到的都是虚拟内存的地址。如输出时的%d 32位操作系统中,虚拟内存被分为用户空间和内核空间两部分,其中用户空间占3G,是当前进程所私有的;内核空间占1G,是一个系统中所有的进程所公有的 内存分区 在运行程序时,操作系统会将虚拟内存进行分区 根
对称加密协议DES、3DES aes 和非对称加密协议(不用分发私钥 RSA)
09-14 2141
对称加密协议DES、3DES aes   DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK、AES等。 和非对称加密协议(不用分发私钥 RSA) 原创地址:http://www.cnblogs.com/jfzhu/p/4020928.html 转载请注明出处   (一)对称加密(Sym
简单逆向23(dnSpy,.net,动态调试)
m0_49936845的博客
08-14 4488
根据习惯放入IDA: 发现不是c语言之类写的,放入exeinfope看一下 是.net,通过百度发现可以使用dnSpy等反编译软件 使用dnSpy打开: Module处ctrl + f搜索main: 找到主函数 // Token: 0x06000030 RID: 48 RVA: 0x00002618 File Offset: 0x00001A18 internal unsafe static int main() { string b = "3ACF8D62AAA0B630C4AF43AF3
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

I Am Rex

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值