XCTF-攻防世界CTF平台-Reverse逆向类——57、re5-packed-movement(linux32位ELF文件、movfuscator代码混淆)

最新推荐文章于 2024-05-17 16:41:20 发布
最新推荐文章于 2024-05-17 16:41:20 发布
阅读量1.9k 收藏 4
点赞数 3
分类专栏: XCTF-攻防世界-Reverse逆向类题目 文章标签: 1024程序员节 linux movfuscator 代码混淆 字节码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/onlyone_1314/article/details/120928679
版权

目录标题

先查看文件信息:
在这里插入图片描述

  是linux下的32位ELF文件,且被加了UPX的壳
  下载最新版的UPX脱壳,UPX脱壳的Githup地址:https://github.com/upx/upx/releases/tag/v3.91
  之后脱壳,指定加壳文件57,输出脱壳文件57move

upx -d 57 -o 57move

在这里插入图片描述

赋执行权限运行程序:
在这里插入图片描述

用IDA打开57move,找到字符串“Guess a flag:”
在这里插入图片描述

有两个位置使用了这个字符串:
在这里插入图片描述
在这里插入图片描述

同样地,我们查看“Wrong Flag!”字符串:
在这里插入图片描述

发现有70个引用的地方。
  但是我们可以看到程序的汇编代码全都是mov,肯定是被混淆过了,这里是用了movfuscator来混淆,。
  剑桥大学的Stephen Dolan证明了x86的mov指令是图灵完全的(论文《mov is Turing-complete》)。这意味着从理论上来讲,x86只要有mov这一条指令就可以完成几乎所有功能了(可能还需要jmp),其他指令都是“多余的”。受此启发,有个大牛做了一个虚拟机加密编译器。它是一个修改版的LCC编译器,输入是C语言代码,输出的obj里面直接包含了虚拟机加密后的代码。如它的名字,函数的所有代码只有mov指令,没有其他任何指令。对,完全没有,连call,jz,ret之类的都没有。
  开源项目地址:https://github.com/xoreaxeaxeax/movfuscator
  M/o/Vfuscator(简称“o”,听起来像“mobfuscator”)将程序编译成“mov”指令,并且只编译“mov”指令。算术、比较、跳转、函数调用,以及程序需要的一切,都是通过mov操作完成的;没有自修改代码,没有传输触发的计算,也没有其他形式的非 mov 作弊。
  继续直接分析原程序:
在这里插入图片描述

  这类movfuscator 混淆后的程序,MOV混淆是不会混淆函数的逻辑的,因此函数的逻辑还是不变的。大多都是通过逐个比较输入后的字符串的每个字符的方式,比较结果不对就输出“Wrong Flag!”,所以在程序当中就会出现单个的字符,例如:

.text:080493DB C7 05 68 20 06 08 41 00 00 00                   mov     R2, 41h ; 'A'

  movfuscator 混淆后的程序都是通过R2寄存器来存储常量字符,

方法一:搜索字节序列

  直接在IDA中搜索字节序列:字符串C7 05 68 20 06 08(“mov R2,”对应字节码)
在这里插入图片描述

得到程序中所有使用的常量字符:
在这里插入图片描述

  连起来就是程序的flag:ALEXCTF{M0Vfusc4t0r_w0rk5_l1ke_m4g1c}
  输入到程序验证:
在这里插入图片描述

Well Done,这就是正确的flag。

方法二:IDC脚本

  也可以用IDA中的IDC脚本和Python脚本来提取代码段中的常量字符:

#include<idc.idc>
static isAscii(p)  //判断符合条件的字符
{
	if(Byte(p)<='9' && Byte(p)>='0')
		return 1;
	if(Byte(p)<='z' && Byte(p)>='a')
		return 1;
	if(Byte(p)<='Z' && Byte(p)>='A')
		return 1;
	if(Byte(p)=='}' || Byte(p)=='{' || Byte(p)=='_' || Byte(p)=='@' || Byte(p)=='!' || Byte(p)=='#' || Byte(p)=='&' || Byte(p)=='*')
		return 1;
	return 0;
}
static main()
{
	auto start=0x0804829C,end=0x08060B32;  //代码段起止地址
	auto point=start;
	auto str="";
	while(point<=end)
	{
		if(isAscii(point) && Byte(point+1)==0 && Byte(point+2)==0 && Byte(point+3)==0)  
		{   //汇编中立即数一般都是DWORD
			Message("%X  %c\n",point,Byte(point));
			str=str+Byte(point);
		}
		point=point+1;
	}
	Message("%s\n",str);   //可能是flag
}

在这里插入图片描述

运行结果:
在这里插入图片描述
得到flag:ALEXCTF{M0Vfusc4t0r_w0rk5_l1ke_m4g1c}

方法三:Python脚本:

start=0x0804829C
end=0x08060B32
flag = ""
while start<end:
    if (Byte(start) <= ord('9') and Byte(start)>=ord('0')) or (Byte(start)<=ord('z') and Byte(start)>=ord('a')) or (Byte(start)<=ord('Z') and Byte(start)>=ord('A')) or (Byte(start) == ord('}')) or (Byte(start) == ord('{')) or (Byte(start) == ord('_')) or (Byte(start) == ord('@')) or (Byte(start) == ord('!')) or (Byte(start) == ord('#')) or (Byte(start) == ord('&')) or (Byte(start) == ord('*')):
        if Byte(start) and (Byte(start+1)==0) and (Byte(start+2)==0) and (Byte(start+3)==0):
            print(chr(Byte(start)))
            flag += chr(Byte(start))
    start += 1
print(flag)

在这里插入图片描述

运行结果:
在这里插入图片描述

  脚本找到的运行结果flag中都出现了字符2,这是因为脚本在判断的时候的逻辑是:从代码段.text起止地址0x0804829C到0x08060B32,只要字符的ASCII值在数字、大小写字母和几个特殊字符中,即可认为是flag中的一个字符,所以这中判断逻辑是可能出现误判的:
在这里插入图片描述
得到flag:ALEXCTF{M0Vfusc4t0r_w0rk5_l1ke_m4g1c}

方法四:bgrep工具

  我们从前面的IDA中知道.text:080493DB上的字节序列:字符串C7 05 68 20 06 08(“mov R2,”对应字节码),表明标志的字符是硬编码在二进制文件中的:
在这里插入图片描述

bgrep工具:
用法:
bgrep [-B 字节] [-A 字节] [-C 字节] [ […]]
-B:bytes_before
-A:bytes_after
-C:bytes_before 和 bytes_after
先安装:
在这里插入图片描述 

bgrep "C70568200608" ./57move

查找程序当中字节序列:C70568200608
在这里插入图片描述

  得到的是所有出现的字节序列C70568200608的文件偏移地址,之后+6是字节序列C70568200608的长度是6,再从当前的文件读取指针位置读取一个字节的字符,拼接起来所有的字符就是flag。
Python脚本:

#!/usr/bin/env python2

offsets = [0x000013db, 0x00001dde, 0x000027e1, 0x000031e4, 0x00003b9c, 0x0000459f, 0x00004fa2, 0x000059a5, 0x00006357, 0x00006d5a, 0x0000775d, 0x00008160, 0x00008b0c, 0x0000950f, 0x00009f12, 0x0000a915, 0x0000b2bb, 0x0000bcbe, 0x0000c6c1, 0x0000d0c4, 0x0000da64, 0x0000e467, 0x0000ee6a, 0x0000f86d, 0x00010207, 0x00010c0a, 0x0001160d, 0x00012010, 0x000129a4, 0x000133a7, 0x00013daa, 0x000147ad, 0x0001513b, 0x00015b3e, 0x00016541, 0x00016f44, 0x000178cc]

with open('./57move') as f:
    flag = ''
    for offset in offsets:
        # "mov R2, 41h" is "C70568200608"+"41000000" (the immediate starts after the 6th byte)
        # 移动文件读取指针到指定位置
        f.seek(offset + 0x6)
        #从当前的文件读取指针位置读取一个字节的字符,+6是字节序列C70568200608的长度是6
        flag += f.read(1)
print flag

运行结果:
在这里插入图片描述
得到flag:ALEXCTF{M0Vfusc4t0r_w0rk5_l1ke_m4g1c}

大灬白
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
XCTF-攻防世界-密码学crypto-新手练习区-writeup
Ryannn_的博客
10-23 9765
目录 0x00 base64 0x01 Caesar 0x02 Morse 0x03 Railfence 0x04 转轮机加密 0x05 easy_RSA 0x06 Normal_RSA 0x07 不仅仅是Morse 0x08 混合编码 0x09 easychallenge 0x0A easy_ECC 0x0B 幂数加密 0x00 base64 元宵节灯谜是一种古老的传...
XCTF-RE】新手练习区-Hello, CTF.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/gisa2b
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习区-no-strings-attached-解压密码:十三陵陈飞宇.rar
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/qffkcv
XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
「干货」XCTF Web安全入门练习靶场全部通关教程
橙留香Park的博客
04-13 6596
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
xctf新手区(附详细过程)
qq_39670065的博客
09-15 2426
攻防世界
攻防世界逆向高手题之re5-packed-movement
沐一 · 林 的博客
11-14 1393
攻防世界逆向高手题之re5-packed-movement 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的re5-packed-movement 下载附件,照例扔入exeinfope中查看信息: 32位的UPX壳,直接扔入Kali中脱壳处理先: 照例先运行一下程序,看一下主要的回显信息: 照例扔入32位IDA中查看伪代码信息,有main函数看main函数,结果没有Main函数: . . . 现在冷静分析一下,关键代码都在main函数中,但是都是Mov指令,这应该是经过某种处理的好像
CTF逆向入门
2301_77472496的博客
09-13 710
ELF文件在各种平台下都通用,ELF文件32位版本和64位版本,其文件头内容是一样的,只不过有些成员的大小不一样。在这个二进制文件中,符号没有被剥离,因此我们可以看到函数名称,这使得它更容易理解。节表头部(Section Headers)包含了描述文件节区的信息,比如大小、偏移等,但这些对二进制文件的执行流程来说并不重要。我们先来看看 ELF 文件头,如果想详细了解,可以查看ELF的man page文档。3、我们可以查看“.rodata ”部分的偏移量,可以更好的查看这些字符。它到底循环了多少个字符?
攻防世界Reverse-maze
西电卢本伟的博客
05-12 982
ctf逆向、迷宫问题、攻防世界
攻防世界题目练习——Reverse新手+引导模式(持续更新)
qq_48550824的博客
09-27 374
然后接下来的for循环将v9的值赋值给v4,遇到空字符则退出,然后将v4的值以16进制形式写入Buffer中,再将Buffer接到v10后面,而由于v10初始化为全0,故V10的内容就是Buffer的内容。=0时是flag错误的提示,也就是v3=0时,v7==v5.m128i_i8时获得flag,因此需要知道v5.m128i_i8的内容。真的是被报错折磨半天,一直报错各种型之的问题,一开始一直以为是把v3[0]这种整个字符串变成int型的值然后加上2*(i/3),后来看了解析终于发现,
XCTF-RE】新手练习区-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
攻防世界RE练习区题目总结(1-10)
oxhbq的博客
03-06 1585
前言 这篇文章是我做完攻防世界练习区的题目后对这十道题做的总结。emmm,其实这几道题我几个月前就做完了,这几天又回去试着再做一遍发现还是有一些地方存在疑惑,并且速度也没有太大的提升。所以决定把之前做过的题目整理一下都写在博客里,便于以后复习顺便把一些我没搞懂的地方也记录在这里,希望以后可以解决。也希望能有大佬有缘看到我这个小菜鸟的文章,可以帮我指点迷津。 这一篇只写攻防世界新手区的几道题,之后我还会把BUUCTF做的题也做个总结,写一篇博客,希望可以把这个习惯保持下去。说了这么多废话,下面开始正文。
XCTF re5-packed-movement
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-08 449
原题出现在alexctf-2017 题目下载:点此下载 首先UPX脱壳 IDA载入。IDA关闭 IDAPython脚本: start=0x0804829C end=0x08060B32 flag = "" while start<end: if (Byte(start) <= ord('9') and Byte(start)>=ord('0')) or (Byte(sta...
攻防世界Reverse(1)
njh18790816639的博客
12-24 531
Shuffle 首先拖进ida去查看伪代码,那就要找到伪代码,按常规操作:搜索字符串,跳转,F5伪代码。而这题我们可以看到字符串是没有我们想要的一些字符出现,而我们可以直接在左边里找到main函数,F5就能看到伪代码。 伪代码也有些长,我们直接看最后,结合着题目所给的提示: 代码如下: 那我们就分析一下,它这么个for体,因为有个随机,我们是不好判断其中最后的输出方式,而我们可以直接去看看原始数据,就能发现 整理一下就可以了:SECCON{Welcome to the SECCON 2014 CTF!
CTF逆向入门
fly_enum的博客
09-04 1993
ELF文件在各种平台下都通用,ELF文件32位版本和64位版本,其文件头内容是一样的,只不过有些成员的大小不一样。在这个二进制文件中,符号没有被剥离,因此我们可以看到函数名称,这使得它更容易理解。节表头部(Section Headers)包含了描述文件节区的信息,比如大小、偏移等,但这些对二进制文件的执行流程来说并不重要。我们先来看看 ELF 文件头,如果想详细了解,可以查看ELF的man page文档。3、我们可以查看“.rodata ”部分的偏移量,可以更好的查看这些字符。它到底循环了多少个字符?
XCTF-攻防世界CTF平台-Reverse逆向——54、echo-server(Linux32位ELF文件、花指令混淆反汇编)
Onlyone_1314的博客
10-30 905
目录标题第一个花指令混淆080487C1:第二个花指令混淆080487F3:第三个花指令混淆08048816:第四个花指令混淆08048859:修改程序跳转逻辑方法1:方法2:题外话:   下载附件,查看信息:   是Linux下的32位ELF文件,运行程序:   发现是一个输入字符串,将字符串中的每个字符转换成对应的ASCII码输出的程序   用IDA打开,先查看字符串窗口:   有一些用到的字符串:   “Echo Server 0.3 ALPHA”这个在我们上面运行程序的时候见过了:   就
xctf攻防世界 Web高手进阶区 unfinish
l8947943的博客
01-02 3969
1. 进入环境,查看页面 我的心情和这个图像一样懵逼,拿起dirsearch就是一顿乱扫。如图: 发现有register.php 2. 问题分析 登入register.php,注册相关账户并登录 直接吧usrname给显示出来了,也就是说,注册提交了usrname数据,然后又从数据库中查询了username并回显,那么问题就清晰了一丢丢,想办法通过username注入数据,在回显时候再执行。查了查相关的wp,这种方式叫做二次注入: 二次注入的原理,在第一次进行数据库插入数据的时候(注册时),仅
linux---进程通信
最新发布
m0_74979625的博客
05-17 612
提示:以下是本篇文章正文内容,下面案例可供参考。
guess-xsctf
07-28
- *1* [xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number](https://blog.csdn.net/l8947943/article/details/124064262)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值