[SCTF2019]babyre 题解

于 2023-02-15 15:24:02 发布
阅读量6.0k 收藏 4
点赞数 1
分类专栏: reverse 文章标签: 逆向 CTF buuctf 网络安全 reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73644864/article/details/128985892
版权
文章介绍了逆向工程中的查壳、处理花指令以找到main函数的过程,并通过静态分析解密了三个不同阶段的密码psword1、psword2和psword3。psword1涉及的是一个5x5x5的立体迷宫问题,psword2通过代码分析得出,而psword3则涉及到复杂的加密函数sub_1464。最后,根据这些密码整理出了flag的格式和内容。
摘要由CSDN通过智能技术生成

对未来的真正慷慨,是把一切献给现在。

                                                                ——加缪

目录

1.查壳  

2.处理花指令,找到main函数

这一操作过程可以参考下面的视频:

3.静态分析第一部分,psword1

4.静态分析第二部分,psword2

5.静态分析第五部分,psword3

6.根据psword1~3整理出flag

1.查壳  

64bit可执行文件

2.处理花指令,找到main函数

操作讲解(讲解后配有这一步骤的视屏)

我们在函数窗口找不到main函数,可能存在一些脏字节之类的东西导致main函数反编译失败

先打开string窗口,跟踪找一下main函数的位置+

发现一个可疑的字符串

跟进,按下X交叉引用

  

跟进找到引用这个字符串的函数

 发现代码标红了

有一些花指令,nop掉,nop的方法如下:

选中花指令 Edit -> Patch program -> Assemble

花指令的位置:

第一处,nop掉

第二处花指令,nop掉

 第三处花指令,nop掉

 第四处花指令,nop掉

 

 光标点在nop上面,按下如下过程点击

光标移到in处,Edit -> Patch program -> change byte查看字节码,很可能E4是个脏字节,影响了C7(mov)指令的反汇编

我们把E4改为90(90对应的操作码就是nop)

然将这里的数据选中,按下快捷键C重新分析

之后我们选中从push到return的标红的区间按下快捷键P,将其识别为一个函数

注意这一段标红区域有两个retn,有两个函数,要分开来P

这一操作过程可以参考下面的视频:

nop花指令

进过上述操作,我们就得到了main函数和另一个函数

3.静态分析第一部分,psword1

我们看到了一个迷宫图案和移动操作

这又是一个迷宫题

但是有六个移动键,有可能是一个立体迷宫

根据这里的数值判断,这可能是一个5×5×5的迷宫 

将字符串排列成迷宫:

 走迷宫得到的路径是ddwwxxssxaxwwaasasyywwdd

4.静态分析第二部分,psword2

可以看出password2的关键操作函数是sub_C22,且第一个参数就是出入的psword2

跟进查看

根据这段代码编写wp

#include <stdio.h>
unsigned int data[128] = {
    0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F,
    0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F,
    0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F,
    0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F,
    0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F,
    0x7F, 0x7F, 0x7F, 0x3E, 0x7F, 0x7F, 0x7F, 0x3F,
    0x34, 0x35, 0x36, 0x37, 0x38, 0x39, 0x3A, 0x3B,
    0x3C, 0x3D, 0x7F, 0x7F, 0x7F, 0x40, 0x7F, 0x7F,
    0x7F, 0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06,
    0x07, 0x08, 0x09, 0x0A, 0x0B, 0x0C, 0x0D, 0x0E,
    0x0F, 0x10, 0x11, 0x12, 0x13, 0x14, 0x15, 0x16,
    0x17, 0x18, 0x19, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F,
    0x7F, 0x1A, 0x1B, 0x1C, 0x1D, 0x1E, 0x1F, 0x20,
    0x21, 0x22, 0x23, 0x24, 0x25, 0x26, 0x27, 0x28,
    0x29, 0x2A, 0x2B, 0x2C, 0x2D, 0x2E, 0x2F, 0x30,
    0x31, 0x32, 0x33, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F
};
int main()
{
    int ctf[3] = { 0x736374,0x665f39,0x313032 };
    int i0, i1, i2, i3, i4, i5;
    for (i0 = 0; i0 < 3; i0++)
    {
        for(i1=32;i1<128;i1++)
            for (i2 = 32; i2 < 128; i2++)
                for (i3 = 32; i3 < 128; i3++)
                    for (i4 = 32; i4 < 128; i4++)
                    {
                        i5 = (((((data[i1] << 6) | data[i2]) << 6) | data[i3]) << 6) | data[i4];
                        if (i5 == ctf[i0])
                            printf("%c%c%c%c",i1, i2, i3, i4);
                    }
    }
    return 0;
}

psword2:c2N0Zl85MS=yMT=yMTAy

5.静态分析第五部分,psword3

sub_FFA()函数是关键处理函数,跟进

跟进加密函数sub_143B()

 

继续跟进

编写wp:

#include <stdio.h>
#include "defs.h"
unsigned int ROR4(unsigned int x, int y)
{
	return (x << (32 - y) | x >> y) & 0xffffffff;
}

unsigned int ROL4(unsigned int x, int y)
{
	return (x >> (32 - y) | x << y) & 0xffffffff;
}


__int64 sub_1464(unsigned int a1)
{
	int v2;
	unsigned int v3[288] = {
	0xD6, 0x90, 0xE9, 0xFE, 0xCC, 0xE1, 0x3D, 0xB7,
	0x16, 0xB6, 0x14, 0xC2, 0x28, 0xFB, 0x2C, 0x05,
	0x2B, 0x67, 0x9A, 0x76, 0x2A, 0xBE, 0x04, 0xC3,
	0xAA, 0x44, 0x13, 0x26, 0x49, 0x86, 0x06, 0x99,
	0x9C, 0x42, 0x50, 0xF4, 0x91, 0xEF, 0x98, 0x7A,
	0x33, 0x54, 0x0B, 0x43, 0xED, 0xCF, 0xAC, 0x62,
	0xE4, 0xB3, 0x1C, 0xA9, 0xC9, 0x08, 0xE8, 0x95,
	0x80, 0xDF, 0x94, 0xFA, 0x75, 0x8F, 0x3F, 0xA6,
	0x47, 0x07, 0xA7, 0xFC, 0xF3, 0x73, 0x17, 0xBA,
	0x83, 0x59, 0x3C, 0x19, 0xE6, 0x85, 0x4F, 0xA8,
	0x68, 0x6B, 0x81, 0xB2, 0x71, 0x64, 0xDA, 0x8B,
	0xF8, 0xEB, 0x0F, 0x4B, 0x70, 0x56, 0x9D, 0x35,
	0x1E, 0x24, 0x0E, 0x5E, 0x63, 0x58, 0xD1, 0xA2,
	0x25, 0x22, 0x7C, 0x3B, 0x01, 0x21, 0x78, 0x87,
	0xD4, 0x00, 0x46, 0x57, 0x9F, 0xD3, 0x27, 0x52,
	0x4C, 0x36, 0x02, 0xE7, 0xA0, 0xC4, 0xC8, 0x9E,
	0xEA, 0xBF, 0x8A, 0xD2, 0x40, 0xC7, 0x38, 0xB5,
	0xA3, 0xF7, 0xF2, 0xCE, 0xF9, 0x61, 0x15, 0xA1,
	0xE0, 0xAE, 0x5D, 0xA4, 0x9B, 0x34, 0x1A, 0x55,
	0xAD, 0x93, 0x32, 0x30, 0xF5, 0x8C, 0xB1, 0xE3,
	0x1D, 0xF6, 0xE2, 0x2E, 0x82, 0x66, 0xCA, 0x60,
	0xC0, 0x29, 0x23, 0xAB, 0x0D, 0x53, 0x4E, 0x6F,
	0xD5, 0xDB, 0x37, 0x45, 0xDE, 0xFD, 0x8E, 0x2F,
	0x03, 0xFF, 0x6A, 0x72, 0x6D, 0x6C, 0x5B, 0x51,
	0x8D, 0x1B, 0xAF, 0x92, 0xBB, 0xDD, 0xBC, 0x7F,
	0x11, 0xD9, 0x5C, 0x41, 0x1F, 0x10, 0x5A, 0xD8,
	0x0A, 0xC1, 0x31, 0x88, 0xA5, 0xCD, 0x7B, 0xBD,
	0x2D, 0x74, 0xD0, 0x12, 0xB8, 0xE5, 0xB4, 0xB0,
	0x89, 0x69, 0x97, 0x4A, 0x0C, 0x96, 0x77, 0x7E,
	0x65, 0xB9, 0xF1, 0x09, 0xC5, 0x6E, 0xC6, 0x84,
	0x18, 0xF0, 0x7D, 0xEC, 0x3A, 0xDC, 0x4D, 0x20,
	0x79, 0xEE, 0x5F, 0x3E, 0xD7, 0xCB, 0x39, 0x48,
	0xC6, 0xBA, 0xB1, 0xA3, 0x50, 0x33, 0xAA, 0x56,
	0x97, 0x91, 0x7D, 0x67, 0xDC, 0x22, 0x70, 0xB2,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
	};
	
	v2 = (v3[BYTE2(a1)] << 16) | v3[(unsigned __int8)a1] | (v3[BYTE1(a1)] << 8) | (v3[HIBYTE(a1) ] << 24);
	return ROL4(v2, 12) ^ (unsigned int)(ROL4(v2, 8) ^ ROR4(v2, 2)) ^ ROR4(v2, 6);
}

int main()
{	
	int n = 25;
	unsigned int v10[30] = { 0 };
	v10[26] = 0xBE040680;
	v10[27] = 0xC5AF7647;
	v10[28] = 0x9FCC401F;
	v10[29] = 0xD8BF92EF;

	do
	{
		v10[n] =v10[n + 4] ^ sub_1464(v10[n + 1] ^ v10[n + 2] ^ v10[n + 3]);
		--n;
	} while (n >= 0);
	for (int i = 0; i < 4; i++)
		printf("%c%c%c%c", ((char*)&v10[i])[0], ((char*)&v10[i])[1], ((char*)&v10[i])[2], ((char*)&v10[i])[3]);
	return 0;
}

 psword3:fl4g_is_s0_ug1y!

6.根据psword1~3整理出flag

 可以知道flag的格式为sctf{%s-%s(%s)}

flag{ddwwxxssxaxwwaasasyywwdd-c2N0Zl85MTAy(fl4g_is_s0_ug1y!)}

 

烨鹰
关注
专栏目录
CTF逆向-[SCTF2019]babyre-WP_简单去花指令和流程识别
serfend's blog
03-24 4692
CTF逆向-[SCTF2019]babyre-WP_简单去花指令和流程识别 来源:https://buuoj.cn/ 内容:无 附件:https://pan.baidu.com/s/1pWTpezTXnr_NN4lY9xWzag?pwd=m2zv 提取码:m2zv 答案:flag{ddwwxxssxaxwwaasasyywwdd-c2N0Zl85MTAy(fl4g_is_s0_ug1y!)} 总体思路 发现汇编中出现有红色部分,则说明反汇编失败,通常是有花指令或者说SMC(程序自己修改自己的代码)。 去除
CTF逆向-[SCTF2019]creakme-WP-基于AES加密算法下的保护:反调试及except_handler和SMC
serfend's blog
04-10 869
CTF逆向-[SCTF2019]creakme-WP-基于AES加密算法下的保护:反调试及except_handler和SMC 来源:https://buuoj.cn/ 内容:无 附件:链接:https://pan.baidu.com/s/16pQIqjmG2nUhGGDt8Iw-TQ?pwd=g965 提取码:g965 答案:sctf{Ae3_C8c_I28_pKcs79ad4} 总体思路 简单反调试的patch _except_handler的知识点 smc得到解密算法,得到题目的flag密文 使用c
[SCTF2019]babyre
m0_46296905的博客
04-16 1575
exeinfope打开发现是64位无壳程序 ida64打开,搜索关键字符串 进入目标字符串的汇编窗口 我们发现无法F5,发现了几处反ida调试,总结有两种类别: 下面是第一种,我们直接把jb和jnb这两行改成nop。 下面是第二种, 所有都改完之后,从main开头到retn选中按p申明成一个新函数,就可以F5了 反汇编代码如下: __int64 __fastcall main(int a1, char **a2, char **a3) { __int64 result; // rax uns
[buuctf.reverse] 078_[SCTF2019]babyre
weixin_52640415的博客
05-12 431
3D迷宫 变表BASE64 SM4变形
BUUCTF-[SCTF2019]babyre1
最新发布
weixin_61154173的博客
02-10 817
我们发现后面有v11,v12,v13,v14。在根据这4个数据在堆栈中的位置,可以知道这四个就是v10[26],v10[27],v10[28],v10[29],知道这些,又是异或操作那不就可以向前异或求出v10的前四个元素了嘛。用户输入为v15,从操作可以看出w向上,s向下,a向左,d向右,x向下走一个迷宫大小,y向上走一个迷宫大小。这里是真没看出来是什么,经过查阅wp,部分师傅是用爆破求出,有的则看出这是base64的解密过程,我通过把'sctf_9102'进行base64加密就是正确的input2。
java版sm4源码-SCTF2019-Write-Up:SCTF2019报道
06-04
SCTF 2019 官方 Write-Up Misc 签到 出题人: XXX 解题人数: 260 最终分数:71 [removed]/9j/4QBkRXhpZgAATU0AKgAAAAgABYdp... 给了个图片的base64编码,某些浏览器可能渲染会截断,本来想放hint提示浏览器问题,但是...
[SCTF2019]Flag Shop
ChenZIDu的博客
03-04 1066
第一次遇见Ruby我去,以为是思路题~~~ 首先页面是一个shop类的题 buy flag是购买flag,但是要求你的钱要到1e+27才行,work可以加钱,reset重置。审查页面元素没什么思路,发现robots.txt。 提示了/filebak require 'sinatra' require 'sinatra/cookies' require 'sinatra/json' requir...
sctf_2019_easy_heap
fayinq的博客
04-20 284
sctf_2019_easy_heap 保护全开,所以又只能修改__malloc_hook,或者说__free_hook了。 函数分析: main函数 add函数 Free函数 Edit函数 下面的函数中有一个off-by-one的漏洞,所以我们可以很自然的想到overlap 思路 首先,程序在运行的时候泄露了一段Mmap的地址,至于给了一个地址,那一定是有用的东西,这里可以思考,是不是可以直接往里面写一段shellcode,然后把__free_hook或者说__malloc_hook改成前面的
re学习笔记(38)BUUCTF-re-[SCTF2019]babyre IDA无法F5|代码修复|花指令
逆向随笔
02-11 2133
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:[SCTF2019]babyre 题目下载:点击下载 修复代码可以F5 这道题不能F5,修改了好久,才显示出伪代码。 修复完的伪代码显示如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 result; // rax char ...
网鼎杯-第三场-逆向-babyre
08-27
2018年8月27日网鼎杯第三场逆向题-babyre
xctf BABYRE
weixin_45701079的博客
10-10 552
xctf BABYRE 第一次做smc类型题目,利用idapython把源代码补全 首先确保idapro里有python插件(一般都有的),打开文件 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i &
[ CTF ] Reverse baby_re
ZXW_NUDT的博客
07-14 949
CTF
[QCTF2018]babyre
qq_37439229的博客
05-07 610
一道一般般的题。。。 打开ida,调试到这里 发现长度为0x20,于是输入“ABCDEFGHIJKLMNOPQRSTUVWXYZ[]^-`” 第一个函数 打乱我的输入顺序,第二个函数从第三个数开始,每四个为一组分别加一些数,第三个函数从第9个开始,每四个一组进行一些位运算 写出脚步 flag=[0xda,0xd8,0x3d,0x4c,0xe3,0x63,0x97,0x3d,0xc1,0x91,...
[SUCTF2018]babyre
m0_46296905的博客
05-05 815
题目:[SUCTF2018]babyre C++写的64位bin文件 查找字符串定位到主函数 __int64 sub_140012460() { char *v0; // rdi __int64 i; // rcx char v3[48]; // [rsp+0h] [rbp-20h] BYREF char v4[32]; // [rsp+30h] [rbp+10h] char v5[184]; // [rsp+50h] [rbp+30h] BYREF char v6[60]; //
BUUCTF [RCTF2019]babyre1
weixin_53349587的博客
01-01 931
1.先分析一下大致的流程: 1)输入flag,先进行长度判断,是不是16位 2)sub_562AB8800C00函数:判断输入的flag是否为16进制数 3)sub_562AB8801180函数:xxtea解密(无填充模式),密钥是unk_562AB8A02010 4)sub_562AB88013D0函数:CRC16校验,具体可以参考CRC校验码简介及CRC16的计算方法 - 21ic电子网 5)最后将解密后的数据与0x17异或,最终得到"Bingo!" 2.分析具体的解密过程 1)先
XCTF BABYRE
lhk124的博客
08-04 354
用exeinfo查出是个elf文件,把后缀去了丢linux系统里 看汇编代码和F5(在judge函数里) 直接写脚本 运行至运算结束部分,直接查看寄存器。 """ 正向思路: 1.判断长度 2.逐位与i进行异或运算 逆向思路: 1.逐位异或回去 """ str_list =[0x66, 0x6D, 0x63, 0x64, 0x7F, 0x6B, 0x37, 0x64, 0x3B, 0x56, 0x60, 0x3B, 0x6E, 0x70] flag = list.
xctf攻防世界 REVERSE 高手进阶区 BABYRE
l8947943的博客
04-13 1919
0x01. 进入环境,下载附件 给出的babyRE后缀文件,不懂是什么玩意,按照常规流程进行操作吧 0x02. 问题分析 使用IDA打开,找到main函数,F5反编译,得到代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h]
大豆新C2H2锌指蛋白SCTF-1克隆与功能研究
本研究论文聚焦于大豆中的C2H2型锌指蛋白基因SCTF-1,由宋冰、王丕武等人合作完成。C2H2型锌指蛋白是一类在转录调控中发挥关键作用的蛋白质,它们在真核生物的生长发育和对逆境压力的适应中起着重要作用。SCTF-1的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烨鹰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值