2020mrctf(Re)-hard-to-go

最新推荐文章于 2022-03-14 20:18:09 发布
最新推荐文章于 2022-03-14 20:18:09 发布
阅读量280 收藏 1
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51713041/article/details/115475085
版权

Hard-to-go

拿到程序查壳后发现无壳直接拖入ida进行分析

然后发现没有符号表

http://www.syjblog.com/wp-content/uploads/2021/04/VIK9X82XVN90AUV3TS-1024x601.png

我们导入一个插件

https://github.com/Mas0nShi/IDAGolangHelper

直接将zip下载下来然后解压,解压之后将文件夹中的两个内容移动到IDA7.5的plugins目录下,然后重新打开ida即可

http://www.syjblog.com/wp-content/uploads/2021/04/image-13-1024x629.png

然后将文件载入的时候

http://www.syjblog.com/wp-content/uploads/2021/04/image-14.png

点击Rename function,即可重新命名函数

之后直接找到main.main开始分析

// main.main
__int64 __fastcall main_main(__int64 *a1, __int64 a2, int a3, __int64 a4, int a5, int a6)
{
int v6; // edx
int v7; // ecx
int v8; // er8
int v9; // er9
int v10; // er8
int v11; // er9
int v12; // edx
__int64 v13; // rcx
int v14; // er8
int v15; // er9
int v16; // edx
int v17; // ecx
int v18; // er8
int v19; // er9
int v20; // edx
int v21; // ecx
int v22; // er8
int v23; // er9
int v24; // er8
__int64 v25; // r9
int v26; // esi
int v27; // er8
__int64 *v28; // r9
int v29; // er8
int v30; // er9
int v31; // edx
__int64 result; // rax
_QWORD *v33; // [rsp+8h] [rbp-C0h]
__int64 v34; // [rsp+18h] [rbp-B0h]
__int64 v35; // [rsp+18h] [rbp-B0h]
unsigned __int64 v36; // [rsp+20h] [rbp-A8h]
__int64 v37; // [rsp+28h] [rbp-A0h]
__int64 v38; // [rsp+28h] [rbp-A0h]
__int64 v39; // [rsp+30h] [rbp-98h]
unsigned __int64 v40; // [rsp+40h] [rbp-88h]
_BYTE key[12]; // [rsp+48h] [rbp-80h] BYREF
_BYTE v42[12]; // [rsp+54h] [rbp-74h] BYREF
__int64 v43; // [rsp+80h] [rbp-48h] BYREF
_QWORD *v44; // [rsp+88h] [rbp-40h]
__int128 v45; // [rsp+90h] [rbp-38h] BYREF
__int128 v46; // [rsp+A0h] [rbp-28h] BYREF
__int128 v47; // [rsp+B0h] [rbp-18h] BYREF
while ( (unsigned __int64)&v43 <= *(_QWORD *)(__readfsqword(0xFFFFFFF8) + 16) )
runtime_morestack_noctxt();
qmemcpy(v42, "MRCTF_GOGOGO", sizeof(v42));
crypto_rc4_NewCipher((int)a1, a2, a3, (int)v42, a5, a6, (__int64)v42, 12LL);
if ( dword_592FA0 )
{
a1 = &byte_577540;
runtime_gcWriteBarrier(&byte_577540, a2, v6, v7, v8, v9);
}
else
{
byte_577540 = v34;
}
runtime_newobject((_DWORD)a1, a2, v6, v7, v8, v9, (__int64)&unk_4ACA60);
v44 = v33;
*(_QWORD *)&v47 = &unk_4A9740;
*((_QWORD *)&v47 + 1) = v33;
fmt_Fscanln( // 输入
(int)a1,
a2,
(int)&byte_4EBFC0,
(unsigned int)&v47,
v10,
v11,
(__int64)&byte_4EBFC0,
byte_577550,
(__int64)&v47,
1LL,
1LL);
main_move(
(int)a1,
a2,
v12,
v13,
v14,
v15,
4LL,
(__int64)&unk_4D0B6F,
1LL,
(__int64)&unk_4D0B76,
1LL,
(__int64)&unk_4D0B70,
1LL);
qmemcpy(key, "MRCTF_GOGOGO", sizeof(key));
crypto_rc4_NewCipher((int)a1, a2, v16, v17, v18, v19, (__int64)key, 12LL);// rc4初始化
if ( dword_592FA0 )
{
a1 = &byte_577540;
runtime_gcWriteBarrier(&byte_577540, a2, v20, v21, v22, v23);
}
else
{
byte_577540 = v35;
}
v40 = v44[1];
runtime_makeslice((int)a1, a2, (__int64)qword_4ACBA0, v40, v22, v23, qword_4ACBA0, v40, v40);
v43 = v35;
runtime_stringtoslicebyte((_DWORD)a1, a2, v44[1], *v44, v24, v25);
v26 = v40;
v39 = v37;
crypto_rc4__ptr_Cipher_XORKeyStream((int)a1, v40, v36, v35, v27, v28, byte_577540, v43, v40, v40, v35, v36);// rc4_crypto部分,点击a1过去可以看见第一个参数就是我们输入的字符串
v31 = qword_577948;
if ( qword_577948 == v40 || (v26 = v43, v38 = qword_577950, internal_bytealg_Compare(), v39) )
{
*(_QWORD *)&v45 = &unk_4ACA60;
*((_QWORD *)&v45 + 1) = &off_4EA7D0;
result = fmt_Fprintln(
(_DWORD)a1,
v26,
v31,
(unsigned int)&off_4EBFE0,
v29,
v30,
(__int64)&off_4EBFE0,
byte_577558,
(__int64)&v45,
1LL,
1LL,
v38,
v39);
}
else
{
*(_QWORD *)&v46 = &unk_4ACA60;
*((_QWORD *)&v46 + 1) = &off_4EA7C0;
result = fmt_Fprintln(
(_DWORD)a1,
v26,
v31,
(unsigned int)&off_4EBFE0,
v29,
v30,
(__int64)&off_4EBFE0,
byte_577558,
(__int64)&v46,
1LL,
1LL,
v38,
0LL);
}
return result;
}

可以看出就是一个标准的RC4加密,我们可以直接操作内存得到flag

先逐步动调,修改跳转条件(一个jz改为jnz),因为此时我们是随便输入的长度,让程序能够执行函数

internal_bytealg_Compare

http://www.syjblog.com/wp-content/uploads/2021/04/SE8KPISVDR_@P4RTSO2-1024x710.png

将rdi,即最后加密的数据复制出进行处理

string = "7D306EC9CC03931E854D455FC546F4A8A03E11BE70751DA3CD7FFFBD8112"
i = 0
while string:
    i += 1
    string = string[2:]
print(i)
# 得出我们输入的字符串长度必须为29
print('a' * 30)
# 这样就可以免去最后修改汇编跳转到internal_bytealg_Compare函数之后得到的加密之后的数据(即flag长度不对)

然后再次重新动调,这次我们要输入30个字符长度的字符串aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

http://www.syjblog.com/wp-content/uploads/2021/04/VF0LMWW57VUGH5KLSTL-1024x746.png

到这个函数时,将参数a1所对应内存的值直接修改为加密后的数据

http://www.syjblog.com/wp-content/uploads/2021/04/5KHEUYX2YUJWV@OJ@OZKICJ-1024x528.png

最后查看rsi的值

http://www.syjblog.com/wp-content/uploads/2021/04/2J@LZAK69DWSL9DACH.png

http://www.syjblog.com/wp-content/uploads/2021/04/1FISW_A96PQFS24U05CWH-1024x309.jpg

就得到了flag:

CTCFTFCTFCFTCTCFTFTCFCTFCTCFTF

syj-re
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF-RE-[MRCTF2020]Xor
Henlenl的博客
04-30 1182
[MRCTF2020]Xor查壳IDA分析get flag 查壳 发现是无壳的 IDA分析 查找字符串,找到这个Give Me Your Flag 通过交叉引用 来到sub_401090 然后 F5 发现报错了 不能F5,而且不是sp错误 那我们干脆直接看汇编 首先我们看到 这里压入了byte_4212C0 和 %s 这个我们就知道 flag其实储存在byte_4212C0中 然后我们看到 loc_4010B6 我们可以知道 edx 寄存器不断自增,最后退出循环,然后再与27 进行比较,这个时候我
IDA 7.0 如何使用 IDAGolangHelper插件
热门推荐
瘦果的专栏
02-15 1万+
Background 现在时间是2020年2月15日 星期六 IDA插件(地址)[https://github.com/sibears/IDAGolangHelper] 在Macos 上使用 IDA Pro 7.0 问题 由于现在IDAGolangHelper支持IDA Pro 7.4,可能对低版本的IDAPython支持不太友好。由于某些问题(qiong),无法更换到最新IDA版本,因此要想在I...
[MRCTF2020]hello_world_go-buuctf
Lenard404的博客
03-14 4258
Go语言的二进制文件,简单的明文flag,应该是Go逆向的引进门题目
MacOS通过IDA反编译GO并简单修改二进制文件
womanbai7547的博客
06-18 4028
目录索引MacOS通过IDA反编译GO并简单修改二进制文件操作步骤下载安装IDA PRO通过IDA打开二进制文件通过IDAGolangHelper显示方法名称找到汇编语言位置检查参考 MacOS通过IDA反编译GO并简单修改二进制文件 所需工具:IDA PRO 7.0、IDA7.0_SP、 公司有一个GO语言开发的系统丢失了源码,只剩下一个可执行的二进制文件,现在需要简单修改其中的逻辑,通过一些搜索和尝试终于实现了,本文将介绍其中的操作过程。 操作步骤 下载安装IDA PRO 参考 IDA Pro 7.
golang rc4加密算法的使用
淡淡忧桑
11-09 6196
golang rc4 算法 实例 介绍
详解git reset 加不加 --hard的区别
10-15
在本文中,我们将详细探讨`git reset`命令在加不加`--hard`选项时的区别。 1. **不加`--hard`的情况** 当不带`--hard`选项运行`git reset`时,主要有以下两种情况: - `git reset HEAD`: 这个命令会取消暂存区中...
详解git reset --hard 和 git reset --soft区别
10-15
主要介绍了详解git reset --hard 和 git reset --soft区别,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
NP.zip_NP-Hard_动态规划 np
09-22
动态规划解决NP问题,是老师要求的一个小实验。希望帮助到大家理解动态规划。
NP.rar_NP_NP-Hard_NP问题_np -hard
09-20
算法当中的NP问题的详细讲解以及各种实例算法讲解
learn-python-the-hard-way中文版
03-14
《学习Python的硬方式》中文版是一本针对初学者的Python编程教材,旨在帮助零基础的读者快速掌握Python编程语言。书名中的“硬方式”指的是通过大量的实践和练习来深入理解和掌握Python语法及编程思维,而非仅仅依赖...
MRCTF (re和crypto)wp
YenKoc的博客
03-31 573
RE: 一.PixelShooter(这题比赛我居然没看,靠,血亏,所以做不出来就不要一直死怼,这题挺好写的,) unity一般是用c#写的,刚好又是apk,可以用dnspy来反编译看看,在源码中找到了flag,应该要安装apk,玩一下,再来找线索,会更好,然后要去看控制类这块,一般核心代码在那边 太困了,后续还得写 ...
CTF——MISC习题讲解(MRCTF2020系列)
tlovejr的博客
03-08 4164
CTF——MISC习题讲解(MRCTF2020系列) 前言 上一章节我们已经做完一场比赛的杂项题目,这次给大家介绍一下MRCTF中杂项题目 一、[MRCTF2020]pyFlag 题目链接如下: 链接:https://pan.baidu.com/s/1IQWks6UXUFq5gbkpcGp9sw?pwd=t05h 提取码:t05h 首先打开题目后发现共有三张图片 老规矩,对于杂项的题目先扔到winhex或者010Editor工具进行查看 但是发现这几张图片的结尾处都是存在压缩包数据 第一张图片 第二张图
MRCTF部分题的总结与复现
qwzf
04-10 9054
0x00 前言 题目整体来说不太难,毕竟是个新生赛。但考察的知识点等方面,确实需要总结一下。于是我总结了部分MISC、Crypto和Web。
2021红名谷杯-g0.exe
m0_51713041的博客
05-31 212
2021红名谷杯-g0.exe 一:准备 检查发现是用go写的,载入装了GolangHelperIDA7.5,结果发现解析不了,也恢复不了函数名 然后在网上乱逛的时候查找到发现说ida7.6的free版的可以看见反汇编,但是不能反编译 搞一个IDA7.6free的试试 果然恢复了函数名,也能看得了汇编 二:调试+汇编分析逻辑 记下main_main函数的地址,开始调试 得到长度为20,重新调试,这次输入0123456789abcdefghij这种长度为20的字符串 在encode函数前,将我们的输入进
xctf攻防世界dmd-50 writeup
qq_42983283的博客
11-12 380
下载附件,打开: ida64打开,得到关键字符串780438d5b6e29db0898bc4f0225935c0: int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rax __int64 v4; // rax __int64 v5; // rax __int64 v6; // rax __int64 v7; // rax __int64 v8; // ra..
[2019红帽杯]easyRE 分析与自省
Tokameine的博客
06-24 458
稍微......有那么一点离谱 程序无壳,可以直接放入IDA,通过字符串找到如下函数: __int64 sub_4009C6() { __int64 result; // rax int i; // [rsp+Ch] [rbp-114h] __int64 v2; // [rsp+10h] [rbp-110h] __int64 v3; // [rsp+18h] [rbp-108h] __int64 v4; // [rsp+20h] [rbp-100h] __int...
[MRCTF2020]Xor
qq_37439229的博客
04-13 1387
buuctf [MRCTF2020]Xor 无聊又来水博客了。。。。 打开od看看汇编,cmp edx 0x1b,知道字符串长度为27,之后与自己的序号xor,对比的数在栈里很容易发现 a="MSAWB~FXZ:J:`tQJ\"N@ bpdd}8g" >>> for i in range(len(a)): ... print chr(i^ord(a[i])), 直接出来,...
IDA动调exe
m0_51713041的博客
01-09 4804
动调exe文件: 步骤:1.找到文件夹IDA目录下的dbgsrv文件夹,找到对应版本的win_32或者64remote.exe,点击运行。 2.打开ida,将exe拖入,Debugger → Select a debugger → Remote windows debugger 3.Debugger → process options → 填写三行(第一,二行为 文件的路径,第三行为空,也可设置为文件对应的根目录) 和 Hostname设为127.0.0.1(代表本机) → ok 4.附加程序:先运
2021东华杯-Re-All
m0_51713041的博客
11-16 1943
2021东华杯-Re-all 对于这个比赛呢,还是挺有感悟的,你一个人怎么和那些"几个队伍一起打的"对线,我也不知道该怎么说,我只能说打ctf的都懂我前面那句话,虽然我花了一天AK了逆向,但是也没用,hh… 看题吧,还是有些地方能够积累一些经验的 ooo 这道题应该算是一道签到题吧 看汇编 movzx edx, byte ptr [rbp-105] movzx eax, byte ptr [rbp-104] xor edx, eax movzx eax, byte ptr [rbp-1
git reset -- hard
最新发布
06-14
`git reset --hard` 是 Git 中的一个命令,用于重置仓库的HEAD指针(指向当前分支的最新提交)并丢弃所有未提交的改动。当你执行 `git reset --hard` 时,Git 将将你的工作目录和暂存区(Staging Area)都回退到上一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值