buu-[网鼎杯 2020 青龙组]jocker

最新推荐文章于 2024-03-19 19:52:30 发布
最新推荐文章于 2024-03-19 19:52:30 发布
阅读量922 收藏 1
点赞数 1
文章标签: 逆向工程 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73393932/article/details/130957960
版权

目录

堆栈不平衡:

 动态调试查看函数源码:

今天写了一道buu上的题目,学到新知识,记录一下

// positive sp value has been detected, the output may be wrong!
int __cdecl main(int argc, const char **argv, const char **envp)
{
  char Str[50]; // [esp+12h] [ebp-96h] BYREF
  char Destination[80]; // [esp+44h] [ebp-64h] BYREF
  DWORD flOldProtect; // [esp+94h] [ebp-14h] BYREF
  size_t v7; // [esp+98h] [ebp-10h]
  int i; // [esp+9Ch] [ebp-Ch]

  __main();
  puts("please input you flag:");
  if ( !VirtualProtect(encrypt, 0xC8u, 4u, &flOldProtect) )// 用于更改已分配的虚拟内存区域的访问权限。它的作用是保护或取消保护已分配的内存区域,以控制读、写或执行内存的能力。
    exit(1);
  scanf("%40s", Str);                           // 输入数据
  v7 = strlen(Str);
  if ( v7 != 24 )                               // 字符长度的判断
  {
    puts("Wrong!");
    exit(0);
  }
  strcpy(Destination, Str);                     // Str字符串复制到Destination中
  wrong(Str);                                   // 加密函数,得到假的flag
  omg(Str);                                     // 判断
  for ( i = 0; i <= 186; ++i )                  // 真正加密部分
    *(encrypt + i) ^= 0x41u;
  if ( encrypt(Destination) )
    finally(Destination);
  return 0;
}

打开附件,可以看到主函数逻辑,但是可以发现函数出现 positive sp value has been detected, the output may be wrong!字样,搜索可以发现出现此字符串是堆栈不平衡问题导致的。

堆栈不平衡:

某些函数在使用 f5 进行反编译时,会提示错误 "sp-analysis failed",导致无法正确反编译。原因可能是在代码执行中的 pop、push 操作不匹配,导致解析的时候 esp 发生错误。如用push + n条指令 + retn来实际跳转,而IDA会以为retn是函数要结束,结果它分析后发现调用栈不平衡,因此就提示sp analysis failed.

可以在Option->General->Disassembly中将Stack Point勾选上

 操作完可以看到1处出现了一竖排的绿色数据,这就是程序的每步操作执行后对应的sp指针的偏移值。可以看到主函数在调用2处的encryptPc函数后,sp指针的偏移值发生了变化

修复堆栈不平衡:选中堆栈变化数据的上一个数据,按ALT+K,修改栈的偏移值为0

 操作后可以看到sp指针的偏移值相同了,下面的finallyPc进行同样的操作。

修复好后,重新F5可以发现,函数没有出现sp-analysis failed的字样。

下面对main函数分析

  1. if ( !VirtualProtect(encrypt, 0xC8u, 4u, &flOldProtect) )  其中VirtualProtect函数查资料是修改虚拟内存区域的访问呢权限,还是不知道具体什么作用,好学长讲解后知道作用是取消下面encrypt函数所在区域的读写保护,为下方给函数脱壳做准备
  2. wrong函数部分貌似是加密函数,进入分析,是一段对奇数和偶数进行不同操作的加密部分
int __cdecl omg(char *a1)
{
  int v2[24]; // [esp+18h] [ebp-80h] BYREF
  int i; // [esp+78h] [ebp-20h]
  int v4; // [esp+7Ch] [ebp-1Ch]

  v4 = 1;
  qmemcpy(v2, &unk_4030C0, sizeof(v2));
  for ( i = 0; i <= 23; ++i )
  {
    if ( a1[i] != v2[i] )
      v4 = 0;
  }
  if ( v4 == 1 )
    return puts("hahahaha_do_you_find_me?");
  else
    return puts("wrong ~~ But seems a little program");
}

 3.omg函数是判断函数,对wrong函数加密后的数据进行判断

int __cdecl omg(char *a1)
{
  int v2[24]; // [esp+18h] [ebp-80h] BYREF
  int i; // [esp+78h] [ebp-20h]
  int v4; // [esp+7Ch] [ebp-1Ch]

  v4 = 1;
  qmemcpy(v2, &unk_4030C0, sizeof(v2));
  for ( i = 0; i <= 23; ++i )
  {
    if ( a1[i] != v2[i] )
      v4 = 0;
  }
  if ( v4 == 1 )
    return puts("hahahaha_do_you_find_me?");
  else
    return puts("wrong ~~ But seems a little program");
}

尝试写脚本解密

#include<stdio.h>
#include<string.h>
int main(){
	int i;
unsigned char a[] =
{
  102,  107,     99,  100, 127, 
   97,   103,  100,  59,    86, 
  107,     97,   123,  38,   59, 
   80,    99,    95,     77,   90,  
  113,   12,    55,   102,   
};
for ( i = 0; i <= 23; ++i )
  {
    if ( (i & 1) != 0 )                         // (i & 1) != 0 奇数满足条件
      a[i] += i;                               // 奇数
    else
      a[i] ^= i;
	  printf("%c",a[i]);                               // 偶数
  }
	return 0;
}
//flag{fak3_alw35_sp_me!!}

哭...得到一个假flag,不过这个flag后面还有用,接着分析

4.下面可以看到encrypt和finallypt函数,这里是真正的加密部分

 动态调试查看函数源码:

但是函数无法打开,动调试试,需要注意的是,在动调时需要输入假flag,才能跳过上面函数的判断

 在此处下断点(之前尝试在24行处下断点但是失败了.花花枯萎.....),F8步过,F7单步进入encryptPc函数

将encryptPc处的数据里连通下面的一大块数据选中,按U取消定义,再按P重新创建函数,F5,得到函数源码 ,往下找finally函数,下面的finally函数同样操作,得到源码

encryptPc函数源码:

int __cdecl encrypt(char *a1)
{
  int v2[19]; // [esp+1Ch] [ebp-6Ch] BYREF
  int v3; // [esp+68h] [ebp-20h]
  int i; // [esp+6Ch] [ebp-1Ch]

  v3 = 1;
  qmemcpy(v2, &unk_403040, sizeof(v2));
  for ( i = 0; i <= 18; ++i )
  {
    if ( (a1[i] ^ Buffer[i]) != v2[i] )
    {
      puts("wrong ~");
      v3 = 0;
      exit(0);
    }
  }
  puts("come here");
  return v3;
}

不难看出a1数组与Buffer数组(跟进得到:hahahaha_do_you_find_me?)进行异或运算,异或后的值与v2进行比较判断,其中V2的值就是unk_403040地址处的值,直接写脚本解密

#include<stdio.h>
#include<string.h>
int main(){
	int i;
unsigned char a1[] =
{
   14,  13,  9,     6,   19, 
    5,   88,   86,   62,    6,  
   12,    60,     31,  87,   20,  
  107,   87,     89,    13,  
};
char Buffer[]="hahahaha_do_you_find_me?";
for(i=0;i<19;i++){
	a1[i]^=Buffer[i];
	printf("%c",a1[i]);
}
return 0;
}
//flag{d07abccf8a410c

只有一半,剩下的部分在finally函数中,进入finally函数 分析

finaly函数:

  unsigned int v1; // eax
  char v3[9]; // [esp+13h] [ebp-15h] BYREF
  int v4; // [esp+1Ch] [ebp-Ch]

  strcpy(v3, "%tp&:");
  v1 = time(0);
  srand(v1);
  v4 = rand() % 100;
  v3[6] = 0;
  *&v3[7] = 0;
  if ( (v3[v3[5]] != a1[v3[5]]) == v4 )
    return puts("Really??? Did you find it?OMG!!!");
  else
    return puts("I hide the last part, you will not succeed!!!");
}

一直看不懂怎么搞的,只能看出来有随机数参与,没看到有啥操作,看了其他大佬的wwp知道,此处是异或运算,异或后的密文是“%tp&:”可以通过flag最后一位一定是"}"来推算异或的key

直接写脚本,解密后面的数据

#include<stdio.h>
#include<string.h>
int main(){
  int i;
  char miwen[]="%tp&:";
  int key=':'^'}';
  for(i=0;i<5;i++){
  	miwen[i]^=key;
  	printf("%c",miwen[i]);
  }
return 0;
}
//b37a}

得到完整flag

cool breeze☆
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF Reverse/[网鼎杯 2020 青龙]jocker
ookami6497的博客
08-11 917
BUUCTF Reverse/[网鼎杯 2020 青龙]jocker 先看下文件信息,没有加壳,32位程序 运行一下,又是一道字符串比较的题目 用IDA32位打开,分析一下 // positive sp value has been detected, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { char Str[50]; // [esp+12h
2020网鼎杯青龙Boom
05-12
2020网鼎杯青龙Boom。如果需要的可以下载,其实就是解方程而已,没啥难度。
Buuctf [网鼎杯 2020 青龙]jocker 题解
OrientalGlass的博客
03-11 1325
1.提示:,出现了堆栈不平衡的情况2.函数的作用是取消encrypt函数所在区域的读写保护,为下方给函数脱壳做准备3.首先输入一个字符串input,判断长度是否为24,然后复制到str中;4.wrong函数对input串加密,加密后由omg函数进行判断是否满足条件,但是根据这两条函数得到的flag是假的,也就图一乐5.真正的flag要根据encrypt和finally函数以及str串(原始的input)来求得二.wrong函数和omg函数--假flag1.wrong函数很普通的一个加密。
[网鼎杯 2020 青龙]jocker
Nike_name的博客
03-19 455
SMC加密导致IDA报错
2020——网鼎杯青龙)jocker
寻梦&之璐
03-30 8260
文章目录声明栈指针修改wrongomgsmc自修改动调进入encrtpt(把数据段编程代码来解析)idc脚本 声明 这个题,分析了一下,两个知识,一个是栈指针修改,还有一个smc自修改(自修改的话,两种破法,一个是idc脚本,一个是动调) 栈指针修改 进入程序直接地址0x401838的sp指针(堆栈不平衡)报错,点击options—>general—>勾选stack pointer,然后找到地址0x401838,截图看看 call函数调用前后 栈顶指针sp位置不一样,可能吗???????那栈
[BUUCTF]Reverse——[网鼎杯 2020 青龙]jocker
mcmuyanga的博客
04-06 571
[网鼎杯 2020 青龙]jocker 例行检查,无壳,32位程序 运行一下看看大概的情况 32位ida载入 进入encrypt函数会报错,0x40151D处反编译失败40151D:无法转换为伪代码 我一开始以为是堆栈不平衡导致,后来发现恢复后也没法f5 看程序的逻辑,大概这边的代码被加密了,24~25行代码的作用就是给这个函数代码进行解密,这个函数后面在说,先继续往下看。 wrong(),一个简单的加密函数 omg() 经过wrong处理的字符串得到unk_4030c0
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
BUU-Reveser-XMAN2018排位赛_easywasm(WebAssembly逆向分析)
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
BUU刷题-Reveser-FlareOn5_Web2.0(WebAssembly逆向分析)
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
网鼎杯青龙18道.rar
06-11
2020网鼎杯青龙的题目压缩包,里面已经分好类了。
网鼎杯2020 青龙 jocker
m0_51357657的博客
04-18 278
来看一眼题目逻辑哈,看函数名知道_Z5wrongPc那一处是个假加密函数,先不看。。。然后下面很明显是一道smc了 对加密函数的前186(0xBA)位异或 0x41 这里可以用idapython对加密函数解密(呜呜不会。。) 也可以选择动调,在左边已经解密好的位置下断,步入, 事情没那么简单,要修复代码 一通U和C之后,发现在奇怪的位置end了,也undefine掉 修了半天代码终于成型,还是不能F5,唉还要修个栈针 呃,我是废物。。。我不太懂栈针不平是什么原理就猜着乱改(ALT+K),反正改成没有
[网鼎杯 2020 青龙]jocker(详解)
qq_32072825的博客
12-01 1916
buuctf
buu练题记录12-[网鼎杯 2020 青龙]jocker
Asteri5m
04-28 236
0x00 IDA分析 IDA打开,发现不能F5 看提示知道是堆栈不平衡,所以先打开堆栈指针提示 发现这里有两个地方堆栈有突变 在这两个call的地方,ALT+K收到调节堆栈为0x0 成功F5,得到伪代码 通过这里的wrong和omg函数可以逆出来一个flag 0x01 exp1 假flag enc = [0x66,0x6B,0x63,0x64,0x7F,0x61,0x67,0x64,0x3B,0x56,0x6B,0x61,0x7B,0x26,0x3B,0x50,0x63,0x5F,0x4D,0x
buuctf刷题记录21 [网鼎杯 2020 青龙]jocker
ytj00的博客
08-01 873
今天挑战一下,结果最后还是看了别人的wp才写出来的 无壳,ida查看发现不能f5,原因堆栈不平衡 进行栈指针修改 修改出错的地方的栈指针偏移,快捷键alt+k,值改为0 然后就能f5了, 逻辑也不难,首先输入长度是24位,然后有三个关键函数 wrong(),omg(),encrypt() 先看wrong和omg,wrong函数,对输入的前24个进行加密 omg函数比较wrong加密结果和unk_4030C0地址的值是否相同 把unk_4030C0地址的值考出来,写个脚本 s=[102, 1
[BUUCTF][网鼎杯 2020 青龙]jocker 分析与记录
Tokameine的博客
06-30 373
无壳,IDA打开可以直接进入main函数: 第12行调用VirtualProtect函数更改了offset encrypt处的访问保护权限 BOOL VirtualProtect( LPVOID lpAddress, SIZE_T dwSize, DWORD flNewProtect, PDWORD lpflOldProtect ); 参见:https://docs.microsoft.com/en-us/windows/win32/memor...
[re]硬猜flag:2020网鼎杯青龙re_joker_wp
Breeze的博客
05-15 9769
[re]硬猜flag:2020网鼎杯青龙re_joker_wp 2020网鼎杯青龙的一道逆向题joker,这道题其实并不是很难,但难在考心态和脑洞,获取flag的最后一步居然是硬猜,我吐了啊,而且没法爆破,因为这道题你拿到flag了,在程序中输入也不会告诉你flag正确。 题目分析 题目是一个32位windows程序: 逆向分析一下,main函数直接f5是不行的,堆栈不平衡。 但这里无需去纠正他,因为main函数的逻辑还算简单: 直接可以看出flag字符串长度是0x18也就是24 然后对输入的f
re学习笔记(61)2020网鼎杯-青龙-Re部分WP
逆向随笔
05-10 2731
新手一枚,如有错误(不足)请指正,谢谢!! bang 找个软件一键脱壳,jeb打开就是flag,, signal 虚拟机指令,看了一下貌似不能逆,,就直接用angr跑了 import angr p = angr.Project('/home/cx330/Desktop/Debugging/signal.exe') state = p.factory.entry_state() sm = p.factory.simulation_manager(state) def good(state): retu
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。 在解密Quoted-printable编码时,我们可以使用在线工具来帮助我们。一个可以使用的工具是[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。 根据提供的信息,得到的flag是"flag{那你也很棒哦}"。 总结:Quoted-printable是一种常见的邮件编码方法,用于将非ASCII字符转换为可打印的ASCII字符。解密Quoted-printable编码可以使用在线工具,如[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。根据提供的信息,得到的flag是"flag{那你也很棒哦}"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值