HZNUCTF2023-部分wp

最新推荐文章于 2024-03-26 09:23:24 发布
最新推荐文章于 2024-03-26 09:23:24 发布
阅读量590 收藏 1
点赞数
文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73393932/article/details/129898913
版权
文章介绍了如何处理被修改UPX特征的加壳文件,通过使用十六进制编辑器修复特征并成功脱壳。接着,展示了程序中的RC4加密过程,并提供了解密脚本。最后,提到了一种利用永真或永假条件的花指令,并给出了清除这些指令的方法,以暴露main函数。
摘要由CSDN通过智能技术生成

esay signin

打开查壳,发现是upx壳,尝试脱壳失败,直接去网上搜索原因,是因为upx特征修改了,使用upx -d 文件名.exe无法脱壳,需要进行upx特征修复

没被修改upx特征的upx加壳文件,在winhex中打开程序后,可以看到三个区段名。“UPX0”和“UPX1”是加UPX壳后的两个区段名。其中UPX1区段包含了需要解压的数据块。“.rsrc”是程序资源信息区段名,这个区段含有原资源段的完整头部以及图标、Manifest、版本等未被压缩的资源,当然还有UPX自身需要的导入信息等(如果程序自身不含资源段,加壳后就是“UPX2”)(摘自一位大佬的博客)

这是正常的upx加壳文件,可以看到upx0,upx1的特征 ,再往后看可以看到upx的头

UPX头是供UPX通过“upx-d”命令脱壳用的,并不影响程序运行,可以把它权改为0,或者其他的数,这样就无法使用upx -d命令来快速脱壳

其实 exeinfope上显示了被修改了的upx特征,只要把它改回upx即可

正在上传…重新上传取消

可以直接在winhex或者其他十六进制编辑器中修复文件,这里使用010editor

 

 这个时候再进行脱壳就可以脱掉

ida中打开程序

int __cdecl main(int argc, const char **argv, const char **envp)
{
  size_t v3; // esi
  unsigned int v4; // kr00_4
  int v5; // ebx
  int i; // ecx
  int j; // edi
  unsigned __int8 v8; // dl
  int v9; // ebx
  int v10; // edi
  unsigned __int8 v11; // cl
  int v12; // ecx
  size_t v13; // esi
  char v15; // [esp+0h] [ebp-90Ch]
  size_t k; // [esp+4h] [ebp-908h]
  char v17[512]; // [esp+8h] [ebp-904h] BYREF
  __int128 v18[32]; // [esp+208h] [ebp-704h] BYREF
  char Src[512]; // [esp+408h] [ebp-504h] BYREF
  char v20[256]; // [esp+608h] [ebp-304h] BYREF
  char v21[256]; // [esp+708h] [ebp-204h] BYREF
  char v22[256]; // [esp+808h] [ebp-104h] BYREF

  memset(v22, 0, sizeof(v22));
  memset(v17, 0, sizeof(v17));
  v18[0] = xmmword_402140;
  v18[1] = xmmword_402130;
  memset(&v18[2], 0, 0x1E0u);
  strcpy(v21, "justfortest");
  memset(&v21[12], 0, 0xF4u);
  memset(Src, 0, sizeof(Src));
  sub_401050("%s", (char)byte_403370);
  v3 = strlen(byte_403370);
  memcpy(Src, byte_403370, v3);
  v5 = 0;
  v4 = strlen(v21);
  memset(v20, 0, sizeof(v20));
  for ( i = 0; i < 256; ++i )
  {
    v22[i] = i;
    v20[i] = v21[i % v4];
  }
  for ( j = 0; j < 256; ++j )
  {
    v8 = v22[j];
    v5 = (v8 + v20[j] + v5) % 256;
    v22[j] = v22[v5];
    v22[v5] = v8;
  }
  v9 = 0;
  v10 = 0;
  for ( k = 0; k < v3; ++k )
  {
    v10 = (v10 + 1) % 256;
    v11 = v22[v10];
    v9 = (v11 + v9) % 256;
    v22[v10] = v22[v9];
    v22[v9] = v11;
    Src[k] ^= v22[(unsigned __int8)(v11 + v22[v10])];
  }
  memcpy(v17, Src, v3);
  v12 = 0;
  v13 = v3 - 1;
  if ( v13 )
  {
    while ( v17[v12] == *((_BYTE *)v18 + v12) )
    {
      if ( ++v12 >= v13 )
        goto LABEL_10;
    }
    sub_401020("fail\n", v15);
  }
  else
  {
LABEL_10:
    sub_401020("success\n", v15);
  }
  return 0;
}

很明显的rc4加密,其中密钥是justfortest ,密文是v18中存储的数据,注意v18[0]为xmmword_402140,v18[1]为xmmword_402130,写脚本解密

import codecs

def rc4_decrypt(key, ciphertext):
    S = list(range(256))
    j = 0
    out = []
    # KSA Phase
    for i in range(256):
        j = (j + S[i] + key[i % len(key)]) % 256
        S[i], S[j] = S[j], S[i]
    # PRGA Phase
    i = j = 0
    for char in ciphertext:
        i = (i + 1) % 256
        j = (j + S[i]) % 256
        S[i], S[j] = S[j], S[i]
        out.append(chr(char ^ S[(S[i] + S[j])%256]))
    return ''.join(out)

key = b'justfortest'
ciphertext = codecs.decode('42FD5561B9276FF5B68623A9EF1C049FD41687D65468BC02156D30084B614C5E', 'hex')
plaintext = rc4_decrypt(key, ciphertext)
print(plaintext)

 解得flag:flag{4950b6562657477e6685828e537f43e5}

虽然他送了我玫瑰花

打开文件,查壳无壳,放入到ida中

main函数f5无法解析,结合题目猜测是花指令

 找到可疑的部分,这部分代码就是花指令,通过设置永真或者永假的条件来使程序执行,具体可参考一位大佬的文章https://blog.csdn.net/abel_big_xu/article/details/117927674

把这部分的垃圾数据nop掉,就可以分析main函数

 main函数出现了

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int i; // esi
  int j; // eax
  char v6; // [esp+0h] [ebp-F8h]
  char *v7; // [esp+0h] [ebp-F8h]
  char v8; // [esp+4h] [ebp-F4h]
  char v9[100]; // [esp+Ch] [ebp-ECh]
  __int128 v10; // [esp+70h] [ebp-88h]
  int v11; // [esp+80h] [ebp-78h]
  int v12; // [esp+84h] [ebp-74h]
  int v13; // [esp+88h] [ebp-70h]
  char v14; // [esp+8Ch] [ebp-6Ch]
  char flag[100]; // [esp+90h] [ebp-68h] BYREF

  printf(&Format, v6);
  scanf("%s", flag);
  v11 = -171171450;
  v12 = -669748952;
  v13 = 1651994351;
  v14 = -6;
  v10 = xmmword_402170;
  if ( strlen(flag) == 29 )                     // flag的长度为29
  {
    for ( i = 0; i < 29; ++i )
      v9[i] = funcs_40117E[i % 5u](flag[i]);    // 对余数为0,1,2,3,4,的值分别如下操作sub_401080  sub_401090 sub_4010A0 sub_4010B0 sub_4010C0
    for ( j = 0; j < 29; ++j )
    {
      if ( v9[j] != *(&v10 + j) )               // 比对处理过的flag与xmmword_402170
        break;
    }
    printf(v7, v8);
  }
  else
  {
    printf("wwwhhhaaattt???\n", v8);
  }
  return 0;
}

写脚本解密

#include<stdio.h>
#include<string.h>
#include<math.h>
#include<Windows.h>
#include<stdint.h>
int main(){
unsigned char miwen[] =
{
 0x7F, 0x7E, 0x51, 0xCE, 0xFB, 0x4E, 0x7A, 0x24, 
  0xE8, 0xDF, 0x59, 0x71, 0x26, 0xCA, 0xE1, 0x6C,0x86, 0x21, 0xCC, 0xF5,0x28, 0x71, 0x14, 0xD8,0xEF, 0x6E, 0x77, 0x62, 0xFA
};
 char flag[30];
 int i;
 for(i=0;i<29;i++){
 	int n=i%5;
 	switch(n){
 		case 0:
		  flag[i]=miwen[i]^ 0x19;
		  break;
		case 1:
			flag[i]=miwen[i] - 18;
			break;
		case 2:
			flag[i]=miwen[i]+ 16;
			break;
		case 3:
			flag[i]=(miwen[i]>>1)&0x7f;//2 * (a1 & 0x7F)
			break;
		case 4:
			flag[i]=miwen[i] & 0x7f;
			break;
	 }
 }printf("%s",flag);
 
 
	return 0;
}

注意:密文不仅包含xmmword_402170,后面的v11,v12,v13.....也有部分,为什么说是部分呢,因为v11,v12...虽然数很大,但是其是int型,也就是说数再大也只是取int(4字节)的数据。

学到的点:

  1. upx脱壳
  2. 一种新的花指令类型:利用构造永真永假来实现程序运行,常见的形式为:(引用大佬的文章介绍https://blog.csdn.net/abel_big_xu/article/details/117927674

__asm{
    push ebx
    xor ebx,ebx
    test ebx,ebx
    jnz label1
    jz label2
label1:
    _emit junkcode
label2:
   pop ebx//需要恢复ebx寄存器    
}

__asm{
    clc
    jnz label1:
    _emit junkcode
label1:
}

3.写脚本时注意要提取的数据是什么类型。

cool breeze☆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
all-in-one-wp-migration-file-extension.zip
04-07
《全面解析WordPress迁移插件:All-in-One WP Migration File Extension》 在WordPress的世界里,数据迁移是一项常见的任务,无论是为了网站备份、迁移至新的主机,还是进行开发测试,都需要高效且可靠的工具。All-...
all-in-one-wp-migration:多合一WP迁移-无限制importexport
04-09
《全面解析多合一WP迁移插件:实现无限导入与导出》 在WordPress的世界中,数据迁移是一项常见的任务,无论是为了备份、站点迁移还是多站点管理。"All In One WP Migration" 插件正是为此而生,它为用户提供了一种...
HZNUCTF 2023 final easy_rw
qq_62172019的博客
07-26 179
[HZNUCTF 2023 final]easy_rw
HZNUCTF2023初赛
Emmaaaaa's blog
03-27 1026
cpdd:摩斯密码 classical:base + 凯撒 child_OTP:异或 child_quadratic_residue:直接开根法 child_proof_work:暴力破解uuid4{8位 - 4位 - 4位 - 12位} chile_steam:异或 child_RSA:基础RSA解密 RSA1:维纳攻击 很简单的数学1:离散对数(discrete_log) child_gcd:费马小定理 (a ** (p-1) = 1 mod p) RSA3:模运算法则,离散对数
NSSCTF-[HZNUCTF 2023 preliminary]-web
J1ng_Hong的博客
11-13 471
进题发现没有回显,我试着用dirsearch,发现找到的三个网页都是没有回显的。进题看到输入框,并且下面的提示看起来想sql注入,随便输了几次,发现只有数字1、2、3、4有回显,并且输入会逆向。它最后的回显肯定是在class B的__call 魔术方法里,所以我们需要让func和arg成为我们需要的变量。由于序列化中的b代表着Boolean,所以我试着把0改为1。然后我们就看到了回显,但是没找到flag。
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp
Jay17的博客
08-16 1305
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp
2023HZNUCTF-findme(web)
qq_44640313的博客
04-03 273
sudo的提权和find命令执行
HZNUCTF2023部分wp-Reverse
m0_73393932的博客
04-04 770
逆向
All-in-One WP Migration 插件
12-03
**All-in-One WP Migration 插件详解** 在WordPress的生态系统中,All-in-One WP Migration(全功能WordPress迁移)是一款至关重要的工具,它为用户提供了简便且全面的数据迁移解决方案。这款插件允许用户轻松地将...
wp-china-yes插件
12-03
**WP-China-Yes插件详解** 在WordPress的众多插件中,WP-China-Yes是一款针对中国用户特别设计的工具,旨在解决国内用户访问基于WordPress搭建的网站时速度慢的问题。这款插件通过优化资源加载、缓存策略以及采用...
wp-script-core
09-07
标签"wp-script-co"可能是一个简化的版本或者错误,完整的可能是"wp-script-core",用于标识与标题相关的关键词,帮助用户搜索和识别这个插件。在WordPress插件目录中,通常会用这样的标签来分类和组织插件。 **...
[HZNUCTF 2023 final]虽然他送了我玫瑰花
liaochonxiang的博客
09-23 268
然后在main函数头处点p,生成函数,f5查看伪函数。funcs_40117E中有5个函数,分别逆向一下。存在花指令,永真跳转,将选中部分nop掉。先查看运算符的优先级:~大于&大于^这里重点讲一下第五个函数。
HZNUCTF 2023 final虽然他送了我玫瑰花
qq_62172019的博客
09-07 237
放入ida分析发现花指令。nop掉就能看到伪代码了。一共使用了五种加密算法。
[花指令、互补跳转][HZNUCTF 2023 final]虽然他送了我玫瑰花
yjh_fnu_ltn的博客
02-29 469
是作者写入的垃圾数据,从而构成的花指令,那么与其一起受影响的指令应该位于其后方,但是本题互补的花指令位于其前方,所有垃圾数据不是74。构成了第二个跳转指令,而数据C7则被独立出来无法与其他数九构成指令,进而导致ida无法反汇编。: 发现互补跳转的花指令时,垃圾数据为前一个跳转指令的跳转字节(如 75(jnz))就是因为在nop处的垃圾数据75,导致其与后面的02构成一个跳转指令,进而。(jnz) 导致ida错误的将原指令反汇编成错误指令,2)、分析指令,导致花指令的原因是:在数据。: 为什么不是将后面的。
pickle反序列化
rev1ve的博客
12-22 1438
与PHP类似,python也有序列化功能以长期储存内存中的数据。pickle是python下的序列化与反序列化包。python有另一个更原始的序列化包marshal,现在开发时一般使用pickle。与json相比,pickle以二进制储存,不易人工阅读;json可以跨语言,而pickle是Python专用的;pickle能表示python几乎所有的类型(包括自定义类型),json只能表示一部分内置类型且不能表示自定义类型。
NSSCTF第13页(3)
wwwwyyyrre的博客
11-29 199
所以注册用户admin'--并修改密码就可以登录admin,在home页面的查询有两种回显,exist或no user,显然是布尔盲注,需要注意的是数据库是sqlite,查询语句不太一样。print(("%s表的%s字段数据: " + data) % (tab_name, col_name))先注册一个admin'--+ 因为admin'#报错了,用这个注册的admin来覆盖之前的那个admin。#使用时改一下Success_message、url!tbl_name:记录所从属的表名,如索引所在的表名。
NSSCTF第16页(1)
wwwwyyyrre的博客
12-14 226
是有附件,下载下来解压在/vote-1637654763\www\routes下找到了源码这道题的考点是AST配合Pug模板引擎实现注入有现成的payload主要代码,需要满足if语句,从而可以执行compile语句"name":"奇亚纳"},
CTF题型 Python中pickle反序列化进阶利用&opcode绕过
最新发布
qq_39947980的博客
03-26 2841
Python 的 opcode(operation code)是一组原始指令,用于在 Python 解释器中执行字节码。在 Python 中,源代码首先被编译为字节码,然后由解释器逐条执行字节码指令。每个 opcode 都有其特定的功能,用于执行不同的操作,例如变量加载、函数调用、数值运算、控制流程等。因此os中o可以存在,但是单独的o是被禁止的,因为os被替换成Os,但对后续ser_data不影响。构造方法,在反序列化的时候自动执行,类似于php中的_功能:从string中读出序列化前的obj对象。
--wp--preset--color--black:这是什么
07-12
`--wp--preset--color--black` 是一个以双短横线开头的 CSS 自定义属性(CSS Custom Property)。 这个属性看起来是一个特定于某个平台或框架的命名约定,其中 `wp` 可能代表 WordPress,`preset` 可能代表预设,`color` 可能代表颜色,而 `black` 则指定了一个预设的颜色值。然而,这只是我的猜测,具体含义需要根据上下文来确定。 CSS 自定义属性是一种变量,可以在 CSS 中定义一次,并在整个样式表中多次使用。它们非常有用,因为可以将一些常用的值定义为变量,然后在需要的地方引用这些变量,从而实现样式的灵活性和可维护性。 如果你能提供更多关于 `--wp--preset--color--black` 属性的上下文信息,我可以给出更准确的解释。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值