[BUUCTF]Reverse——[WUSTCTF2020]funnyre

最新推荐文章于 2024-07-13 15:23:08 发布
最新推荐文章于 2024-07-13 15:23:08 发布
阅读量1.3k 收藏 4
点赞数 2
分类专栏: REVERSE BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/118702864
版权
本文档介绍了如何修复一个无壳ELF文件,通过IDA64进行汇编分析,修复花指令并创建未识别的函数。通过观察主要的加密逻辑,包括XOR和移位操作,利用IDAPython或angr进行逆向工程和暴力求解,最终揭示加密后的值。提供了三种不同的解密方法,包括暴力求解、IDAPython脚本和angr约束求解。
摘要由CSDN通过智能技术生成

[WUSTCTF2020]funnyre

  1. ELF文件,无壳,用ida64打开,程序没法f5,从程序入口点找到main函数的汇编部分
    因为这边没有创建函数,所以无法f5
    在这里插入图片描述

  2. 在选取汇编部分打算创建函数的过程中发现了不对劲的地方
    jz和jnz跳转到同一地址,花指令,nop掉,然后那个call看着也不太对的样子,先也nop掉,call下面的那条jz也nop掉。经过多次测试,要从第一条jz指令nop到xor eax,eax之前
    在这里插入图片描述

  3. 一共有4处需要修改nop掉,修改完后,发现一共有三个函数没有创建,拿一处说一下。
    在一段汇编的结束处,标识了这段汇编的起始地址
    在这里插入图片描述
    点击改地址,按热键G,点击ok即可快速跳转
    在这里插入图片描述点击起始地址,右击,选择creat functions(快捷键P)
    在这里插入图片描述

  4. 一共有三处要创建函数。到这里程序就修复好了,f5 main函数看一下
    在这里插入图片描述
    在这里插入图片描述
    可以看到逻辑,进行了数次xor操作,又进行了数次移位操作,最后得到4025c0处的值
    在这里插入图片描述

  5. 这里可以使用IDAPython获取每一个操作的详细数据,然后化简,也可以使用angr进行暴力求解。

贴一下官方wp
解法一:暴力求解:

dt = [0xd9, 0x2c, 0x27, 0xd6, 0xd8, 0x2a, 0xda, 0x2d, 0xd7, 0x2c, 0xdc, 0xe1, 0xdb, 0x2c, 0xd9, 0xdd, 0x27, 0x2d, 0x2a, 0xdc, 0xdb, 0x2c, 0xe1, 0x29, 0xda, 0xda, 0x2c, 0xda, 0x2a, 0xd9, 0x29, 0x2a]


def kaisa(xx, kk):
    return [(x+kk) & 0xFF for x in xx]


def xor(xx, kk):
    return [x ^ kk for x in xx]


def check(xx):
    for x in xx:
        if x < ord('0') or (x > ord('9') and x < ord('a')) or x > ord('f'):
            return False
    return True


if __name__ == '__main__':
    for k1 in range(0x100):
        tt = kaisa(dt, k1)
        for k2 in range(0x100):
            tt2 = xor(tt, k2)
            if check(tt2):
                print(bytes(tt2))
                print(k1, k2)

解法二:IDAPython根据指令去逆向:

def trans(xx, kk):
    return [(x-kk) & 0xFF for x in xx]
def xor(xx, kk):
    return [x^kk for x in xx]
def not_(xx):
    return [~x for x in xx]

dt = [0xd9, 0x2c, 0x27, 0xd6, 0xd8, 0x2a, 0xda, 0x2d, 0xd7, 0x2c, 0xdc, 0xe1, 0xdb, 0x2c, 0xd9, 0xdd, 0x27, 0x2d, 0x2a, 0xdc, 0xdb, 0x2c, 0xe1, 0x29, 0xda, 0xda, 0x2c, 0xda, 0x2a, 0xd9, 0x29, 0x2a]

ads = 0x4005B0
end = 0x401DC0
i = PrevHead(end)
while i > ads:
    if GetMnem(i) == 'xor' and GetOpnd(i, 0) == 'byte ptr [rdx+rax+5]':
        k = int(GetOpnd(i, 1).rstrip('h'), 16)
        dt = xor(dt, k)
        print("xor: {}".format(k))
    if GetMnem(i) == 'add' and GetOpnd(i, 0) == 'byte ptr [rdx+rax+5]':
        k = int(GetOpnd(i, 1).rstrip('h'), 16)
        dt = trans(dt, k)
        print("trans: {}".format(k))
    if GetMnem(i) == 'not' and GetOpnd(i, 0) == 'byte ptr [rdx+rax+5]':
        dt = not_(dt)
        print("not: {}".format(k))
    i = PrevHead(i)

print(dt)

解法三:符号执行工具约束求解:

import angr
import claripy

p=angr.Project('./attachment',load_options={"auto_load_libs": False})
f=p.factory
state = f.entry_state(addr=0x400605)	  #设置state开始运行时的地址
flag = claripy.BVS('flag',8*32)			  #要求的内容有32个,用BVS转成二进制给flag变量
state.memory.store(0x603055+0x300+5,flag) #因为程序没有输入,所以直接把字符串设置到内存
state.regs.rdx=0x603055+0x300
state.regs.rdi=0x603055+0x300+5           #然后设置两个寄存器

sm = p.factory.simulation_manager(state)  #准备从state开始遍历路径

print("ready")

sm.explore(find=0x401DAE)                #遍历到成功的地址
if sm.found:
    print("[+] found!")
    x = sm.found[0].solver.eval(flag, cast_to=bytes)
    print(x)

在这里插入图片描述

ubuntu16.04上python的angr库的安装参考文章

Angel~Yan
关注
专栏目录
[WUSTCTF2020] funnyre wp
liuxiaohuai_的博客
04-03 602
下载附件。无壳,直接ida64打开。发现没有main()函数。感觉应该是用了混淆。 从上往下查看汇编代码发现了main()函数的位置。 继续向下看。 上图红圈里的jz和jnz一看就有毛病!红框中没有标红的地方也是一样。 这里的代码应该都是像这样的格式。先声明地址,然后一个xor语句,一个add语句,一个cmp语句,一个jnz语句,最后再来一个xor语句。 把上面红框中的语句改成这种格式,直接nop掉这些多余的语句。下面大概还有4,5处这样的地方。 弄完这么的清爽! 到最后这里有个判断语句。对比v7和unk_
BUUCTF Reverse/[WUSTCTF2020]level3
ookami6497的博客
07-26 271
BUUCTF Reverse/[WUSTCTF2020]level3 没有加壳 用IDA64位打开,分析代码 int __cdecl main(int argc, const char **argv, const char **envp) { char *v3; // rax char v5; // [rsp+Fh] [rbp-41h] char v6[56]; // [rsp+10h] [rbp-40h] BYREF unsigned __int64 v7; // [rsp+4
[buuctf.reverse] 069_[WUSTCTF2020]funnyre
weixin_52640415的博客
05-11 354
去花指令 重写
[WUSTCTF2020]funnyre
最新发布
Nike_name的博客
07-13 217
angr符号执行写入内存的方法,和花指令
buuctf刷题记录25 [WUSTCTF2020]funnyre
ytj00的博客
08-08 1545
太巧了,昨天刚看了有关angr的视频今天就碰到有关的题目了 这道题考察两点吧:1.简单的花指令去除 2.在有限域上简化 无壳,ida64打开,发现不能f5,而且也没有main函数,判断应该是用了混淆 从上往下看汇编代码,找到第一处问题 这里jz和jnz一看就有问题,下面的数据也是胡扯,然后下面的这些没标红的地方都是一个样 应该吧上面错误的地方改成下面的样子,大概有四五处吧,nop掉,p声明函数,得声明两处 然后f5得到反编译 定义了300多个变量,进行了好多好多运算,直接算肯定是算不出来的, 然后就
[WUSTCTF 2020]funnyre-复现
liaochonxiang的博客
07-28 244
先来到startmain存在花指令,那就去除找到一处jz与jnz跳转一样,下面call和jnz也存在花指令一起nop掉这样的花指令存在4个,全部nop掉后f5得到伪代码但是里面存在这样的错误同样存在4处找到原先nop与其他地方对比发现,需要nop到xor前在main头处按p键生成函数进入main,分析,可用angr符号执行秒了flag长度为32位,加密后的flag在unk_4025C0。
[WUSTCTF2020]funnyre writeup
HLi1219的博客
12-28 639
常规第一步用exeinfope查壳 在虚拟机尝试运行 不能正常运行,利用ida打开,在函数列表中没有找到主函数,在IDA View中找到了主函数main,没有被定义 往下找发现花指令,这也是我第一次接触到花指令 这里的jz short near ptr loc_40061A+1和jnz short near ptr loc_40061A+1肯定是有问题的,还有call near ptr 0FFFFFFFF810037AFh的地址很奇怪,需要修改,根据之后的函数...
BUUCTF Reverse/[WUSTCTF2020]level4
ookami6497的博客
08-02 641
BUUCTF Reverse/[WUSTCTF2020]level4 先看文件信息,没有加壳 IDA打开找到主函数,看描述说这是一个数据结构的算法,而且有left以及rleft,这不就是数据结构里面的左子树和右子树么 跟进init 看一下这两个输出 运行一下 这type1和type2就是中序遍历和后序遍历没跑,那么猜测type3就是前序遍历了,找到这个已知中序遍历和后序遍历求前序遍历 改下脚 脚本 #include <stdlib.h> #include
BUUCTF Reverse/[WUSTCTF2020]Cr0ssfun
ookami6497的博客
07-27 215
BUUCTF Reverse/[WUSTCTF2020]Cr0ssfun 先看文件信息, IDA64位打开,很简单的题目,只要一个个输入就行 都是返回的这种元素 _BOOL8 __fastcall iven_is_handsome(_BYTE *a1) { return a1[10] == 112 && a1[13] == 64 && a1[3] == 102 && a1[26] == 114
BUUCTF Reverse/[MRCTF2020]hello_world_go
ookami6497的博客
07-26 579
BUUCTF Reverse/[MRCTF2020]hello_world_go 先看文件信息,没有加壳 看到题目有go,推测这是go语言编写的程序 下载好IDAGolangHelper,然后按alt + f7 选择 go_entry.py 上面两个是查看go语言信息的 检测到可能是这几个版本 选择一个版本,然后点击剩下的三个按钮,然后点OK,但是我的IDA(7.5版本)加载失败了,然后找了好久的解决方法还是搞不定 然后直接搜索字符串flag 跟进 这里按a
buuctf 逆向刷题01——reverse1
qq_42642222的博客
11-03 1866
仅作学习ctf逆向的buu刷题记录,不定期更新,大佬轻拍。
2020-纵横杯-Writeup.pdf
03-15
2020年纵横杯CTF比赛Writeup 高清PDF版
WUSTCTF2020 funnyre
YenKoc的博客
01-26 84
运行起来,发现啥都没反应也没输出,ida直接打开,反编译 .init函数动调了下,发现没啥用,主要核心在于main函数,直接跟进去 发现了核心逻辑,有花指令,直接去掉,发现还挺多,然后似乎不影响观看,直接跳到后面,发现有个比较 ,直接angr一把梭就完事了,想太多没啥意思 import angr import claripy p=angr.Project('/root/Desktop/at...
你知道junk code吗[花指令][WUSTCTF 2020]funnyre
yjh_fnu_ltn的博客
03-06 552
回头再分析花指令:发现垃圾数据 jz(74) 和 call(E8)插入的位置在,0000000000400616和 000000000040061A,其与后面的数据一起被分析成了错误的指令。发现花指令仍然存在,原因是call后面的地址错误,推测这条语句原本就不是call,而硬件编码E3就是花指令,导致跳转的地址出错。1)、查壳发现没壳,用ida64打开,首先直接进入main函数。F5无法反编译,发现花指令。2)、去除花指令, 首先patch去掉jz的硬件编码74(修改位90“nop”)
HITCTF2020 -- re1 HelloReverse wp
Air_cat的博客
12-11 419
程序分析 打开,没什么用的input flag: ida 打开,定位到main函数: 作为一道基础re,前面的内容都没什么好说的,输入,长度校验。 但后面的内容就开始诡异了起来。 首先是给v8赋值的那个变量嗷,不对劲啊不对劲: 想来应该是在入口点进行初始化了,一看果然是。 打开看看 完事一半嗷 在比赛的时候想的是先不管他,看看底下的程序 一个逻辑我好像看懂了,但其实没看懂的变换。 简单的来说是输入串异或来以获去,然后还要和上面那个很迷幻的玩意进行一个比较。这个很迷幻的玩意进行了左移操作,但这个左移菜菜
[BUUCTF]REVERSE——[GWCTF 2019]re3
mcmuyanga的博客
03-04 1266
[GWCTF 2019]re3 附件 步骤 64位程序,无壳儿,直接用ida打开,首先是检索程序里的字符串 根据correct跳转去找到有关flag的函数,下面能看到ABC……*/,猜测程序里存在base64加密 这边没法f5,估计是jz的锅影响了ida的正常运行,先看一下上面的main函数 main() 输入的字符串长度为32位,利用mprotect函数将dword_400000处的0xF000长度地址修改成了可读可写可执行,sub_402219()里的数据进行了异或处理。 可以看到sub_402
BUUCTF逆向题练习记录(wp) --(3)WUSTCTF2020&&level1-4已完成
Air_cat的博客
08-28 484
注:funnyre待我搞懂angr后来解 WUSTCTF2020-level1 解密嗷 hexData = [0, 198 , 232 , 816 , 200 , 1536 , 300 , 6144 , 984 , 51200 , 570 , 92160 , 1200
buuctf reverse reverse3
09-27
BUUCTF Reverse Reverse3是一个题目,通过对给定的字符串进行逆运算,解密出一个flag。首先,给出的字符串经过了base64加密和按位加的操作,得到了"e3nifIH9b_C@n@dH"这个结果。要得到flag,我们需要进行逆运算。通过按位减和base64解密,可以得到flag {i_l0ve_you}。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值