强网杯2019逆向 just re lebel:string2hex(string2decimal是atoi) / ida识别字符串有点小Bug? / rdtsc / 3DES(可PEiD插件识别)

已于 2022-05-09 15:19:28 修改
阅读量472 收藏
点赞数
分类专栏: CTF 逆向 文章标签: 安全 CTF 逆向 强网杯
于 2019-09-02 19:33:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q1uTruth/article/details/100257892
版权

静态分析

定位关键函数

通过字符串定位到关键函数,输入为flag{}括号里的值,长度应该为26
注意到函数指针byte_4018A0,联想到了SMC,会有写入它的地方

  if ( sub_401610((int)&v1, (int)&savedregs) 
  	&& ((int (__thiscall *)(char *))byte_4018A0)(&v1) )
  {
    puts("congrats!");
    sub_401CA0("flag{%.26s}\n\n", &v1);
    result = 0;
  }

找与输入相关的地方

  index1 = 0;
  while ( 1 )
  {
    v5 = *(_BYTE *)(index1 + input);
    if ( v5 >= '0' && v5 <= '9' )               // 输入为数字
    {
      v6 = v5 - 0x41;
      goto LABEL_6;
    }
    v6 = v5 - 0x41;                             // A-F转为0-5
    if ( (unsigned __int8)(v5 - 0x41) > 0x19u ) // v5 > 0x5a,输入为a-z
      break;
LABEL_6:
    v3 *= 16;
    if ( (unsigned __int8)(v5 - 0x30) <= 9u )   // 输入为数字
    {
      v7 = v3 - 0x30;
LABEL_10:
      v3 = v5 + v7;
      goto LABEL_11;
    }
    if ( v6 <= 25u )                            // A-Z
    {
      v7 = v3 - 0x37;                           // A-F转为10-15
      goto LABEL_10;
    }
LABEL_11:
    if ( ++index1 >= 8 )                        // 循环8次
    {
      v8 = 1;
      goto LABEL_14;
    }
  }

又是熟悉的输入范围判断,追一遍流程就行
根据 0-9减0x30,A-F减0x37,v3 *= 16 推出应是对前8位进行了string2hex
后面有对第9和第10个数进行操作的代码,分析了一下应该也是判断范围,没什么特别的

找return 1

  v9 = _mm_shuffle_epi32(_mm_cvtsi32_si128(v3), 0);

  ..............
  
  v18 = _mm_cvtsi32_si128((char)v11);
  v19 = _mm_unpacklo_epi8(v18, v18);
  v27 = _mm_shuffle_epi32(_mm_unpacklo_epi16(v19, v19), 0);
  if ( v17 )
  {
    v20 = 0;
    if ( dword_4053C4 >= 2 )
    {
      v20 = 16;
      v21 = _mm_mullo_epi32(_mm_cvtepu8_epi32(_mm_cvtsi32_si128(v27.m128i_u32[0])), (__m128i)xmmword_404380);
      xmmword_405018 = (__int128)_mm_xor_si128(
                                   _mm_add_epi32((__m128i)xmmword_404340, v9),
                                   _mm_add_epi32(v21, (__m128i)xmmword_405018));
      xmmword_405028 = (__int128)_mm_xor_si128(
                                   _mm_add_epi32(_mm_add_epi32((__m128i)xmmword_404350, (__m128i)xmmword_404340), v9),
                                   _mm_add_epi32(v21, (__m128i)xmmword_405028));
      xmmword_405038 = (__int128)_mm_xor_si128(
                                   _mm_add_epi32(_mm_add_epi32((__m128i)xmmword_404360, (__m128i)xmmword_404340), v9),
                                   _mm_add_epi32(v21, (__m128i)xmmword_405038));
      xmmword_405048 = (__int128)_mm_xor_si128(
                                   _mm_add_epi32(_mm_add_epi32((__m128i)xmmword_404370, (__m128i)xmmword_404340), v9),
                                   _mm_add_epi32(v21, (__m128i)xmmword_405048));
    }
    do
    {
      *((_DWORD *)&xmmword_405018 + v20) = (v20 + v3) ^ (0x1010101 * v11 + *((_DWORD *)&xmmword_405018 + v20));
      ++v20;
    }
    while ( v20 < 24 );
    v22 = 0;
    while ( *((_BYTE *)&xmmword_405018 + v22) == *((_BYTE *)&loc_404148 + v22) )
    {
      if ( ++v22 >= 96 )
      {
        v28 = 0;
        v23 = __rdtsc();
        if ( HIDWORD(v23) > HIDWORD(v26) || (v28 = v23 - v26, (unsigned int)(v23 - v26) >= 0xFFFFFF) )
          MEMORY[0] = 0;
        v24 = GetCurrentProcess();
        WriteProcessMemory(v24, &byte_4018A0, &xmmword_405018, 96u, 0);
        return 1;
      }
    }
  }
  return 0;
}

参与xmmword运算的v9和前8位有关,v21和9,10位有关

while ( *((_BYTE *)&xmmword_405018 + v22) == *((_BYTE *)&loc_404148 + v22) )
*((_DWORD *)&xmmword_405018 + v20) = (v20 + v3) ^ (0x1010101 * v11 + *((_DWORD *)&xmmword_405018 + v20))

25510约为107数量级
v3是int,v11是byte,爆破范围v3为0x10000000-0xFFFFFFFF,v11为0-0xFF
不过自己确实没搞懂爆破这一步…略过
在这里插入图片描述

v24 = GetCurrentProcess();
WriteProcessMemory(v24, &byte_4018A0, &xmmword_405018, 96u, 0);

写入byte_4018A0,写入的96字节只是真个函数的一部分

3DES(可PEiD插件识别)

OWORD输入的后16位

  v1 = *(_OWORD *)(a1 + 10);

xmmword处,正常来说正确的结果应该是ida识别的字符串的倒序
在这里插入图片描述
在这里插入图片描述
&v23存了Src的24个Byte,再结合&v21为三个函数参数,v23,v25,v27相差八个字节,这里很像3个Key,那么就是三重DES

  Src = xmmword_4041A8;
  v2 = strlen((const char *)&Src);
  memcpy(&v23, &Src, v2);
  memset((char *)&v23 + v2, 0, 24 - v2);
  v21 = v23;
  v22 = v24;
  sub_401000(&v21, &v20);
  v21 = v25;
  v22 = v26;
  sub_401000(&v21, &v19);
  v21 = v27;
  v22 = v28;
  sub_401000(&v21, &v18);

/8说明输入长度最好为8的倍数,正常明文是64位8字节,这里正好得16,16是加密轮数
DES循环左移 [1, 1, 2, 2, 2, 2, 2, 2, 1, 2, 2, 2, 2, 2, 2, 1]
3DES循环左移{ 0, 0, 1, 1, 1, 1, 1, 1, 0, 1, 1, 1, 1, 1, 1, 0 };

然后到这,v21应该是明文,同时可得到加密后的结果应该要为v12

v21 = ((unsigned __int8)*(&v32 + v5) << 24) | ((unsigned __int8)*(&v31 + v5) << 16) | ((unsigned __int8)*(&v30 + v5) << 8) | (unsigned __int8)*(&Dst + v5);
.........
sub_401500((unsigned int *)&v21, (int)&v20, (int)&v19, (int)&v18);
*(&v37 + v5) = v21;
........
  *(_QWORD *)&v12 = 0xFACE0987E6A97C50i64;
  v10 = 0;
  *((_QWORD *)&v12 + 1) = 0x6C97BB90CF0DD520i64;
  v13 = -1326018416;
  v14 = -391862661;
  while ( *((_BYTE *)&v12 + v10) == *(&v37 + v10) )
  {
    if ( ++v10 >= 16 )
      return 1;
  }

1 0 1像3DES解密的的EDE,a2 a3 a4对应三个Key

  sub_401250(a2, this, 1);
  sub_401250(a3, v4, 0);
  sub_401250(a4, v4, 1);

进入sub_401250
函数内跟踪1 0 1分析其代表的是加密模式还是解密模式
因为DES解密密钥要反过来,所以跟踪第一个参数 密钥 的变化
在if(a3)内v17 += 4; else里v18 -= 4;所以1为加密,0为解密

解题脚本

from Crypto.Cipher import DES
s = '\x50\x7C\xA9\xE6\x87\x09\xCE\xFA\x20\xD5\x0D\xCF\x90\xBB\x97\x6C'
des0 = DES.new('AFSAFCED', DES.MODE_ECB)
des1 = DES.new('YCXCXACN', DES.MODE_ECB)
des2 = DES.new('DFKDCQXC', DES.MODE_ECB)
#加密是E(0)D(1)E(2)所以解密D(2)E(1)D(0)
text = des0.decrypt(des1.encrypt(des2.decrypt(s)))
print text

其它一些点

rdtsc可用来获得程序或者一段代码运行的时间

q1uTruth
关注
专栏目录
深度学习算法识别文件类型准确率98%支持市面上所有的文件
02-27 260
精确的文件类型检测是一个众所周知的难题,因为每种文件格式都有不同的结构,或者根本没有结构。这对于文本格式和编程语言来说尤其具有挑战性,因为它们的结构非常相似。迄今为止,libmagic 和其他大多数文件类型识别软件都依赖于手工制作的启发式方法和自定义规则来检测每种文件格式。算法使用一个定制的、高度优化的深度学习模型,该模型使用 Keras 设计和训练,仅重 1MB。在推理时,Magika 使用 Onnx 作为推理引擎,确保在几毫秒。
用Tensorflow2搭建经典的卷积神经网络(LeNet,AlexNet,VGG16,ResNet50)
QianLong_的博客
06-18 1438
最近看了卷积神经网络的一些经典论文,用Tensorflow2进行了复现,其中包括LeNet,AlexNet,VGG16,ResNet50,并且在数据集上进行了测试,能够正常训练,结果表明搭建的没有问题。 下面进入正题: import tensorflow as tf from tensorflow import keras from tensorflow.keras import layers import numpy as np import matplotlib.pyplot as plt %matpl
强网杯-JustRe
40KO的博客
05-28 1766
Windows32位程序,无壳,编译器版本还算高。 主函数除了CFG有点诡异外,流程十分简单。 进入第一个check函数,可以看到大量SSE指令,前面一些基本的判断很不好看,直接调试看结果 .text:00401682 060 movd xmm0, eax .text:00401686 060 pshufd xmm5,...
CTF-RE-JustRE (2019第三届强网杯
SuperGate的博客
06-06 1540
首先IDA点开进行静态分析: 发现判断函数sub_401610,点进去看之后发现很长一串……前面比较好说,是将前8位字符变hex放入eax寄存器中,第9,10位变hex放入ch(还是dh?)中 然后再往下面拉,可以看到很多SSE指令集,但是不是很复杂,网上可以搜到,发现都是一些比较基础数位操作。 这个地方的v27在后面会频繁用到,值为第9,10位变hex后的128位填充 这里是对...
逆向中静态分析工具——IDA初学者笔记之字符串分析
weixin_30657541的博客
10-18 892
程序中往往包含很多字符串资源,这些资源存在于PE文件的rdata段,使用IDA反编译后,可以查找到这些字符串逆向破解程序通常需要一个突破点,而这个突破点,往往就是一个Messagebox,因为这个Messagebox可以很直观的 让我们知道当前位置的代码负责哪些功能,而同时Messagebox可以提供一个字符串让我们来查找定位。 首先,打开IDA,主菜单View-Open subview...
IDA插件字符串识别插件
weixin_30810583的博客
08-28 480
插件是一款可以自动识别栈上局部变量为字符串插件,字符串形式如下,并自动的加上注释 如图:可以自动识别栈上的字符串项目主页地址: https://github.com/fireeye/flare-ida 该项目有4个插件 本文介绍 stack_strings插件插件的原文介绍:https://www.firee...
(转)IDA 中文字符串
zhangmiaoping23的专栏
05-13 6366
<br />标 题:Ida pro 里的中文字串(菜鸟进来) (2千字)作 者:nULL时 间:2003-4-1 11:22:03链 接:http://bbs.pediy.com<br /> Ida Pro 的默认设置里对中文字串的支持比较差,对于首字节大于'EO'的都显示成?了.其实... <br /> 打开IDA PRO 目录下的IDA.CFG <br /> 看到如下: <br /> .........................cut............
iOS中lebel特殊字符的自动换行问题解决
01-21
今天在工作被一个同事问,如果在label自动换行的时候,碰到特殊的字符串时候,我不想特殊字符串换行分开,该如何实现??? 问题图片 说一下刚看到这个问题的时候,自己的思路:  1.想将事件字符串转化成一个...
draw_networkx_nodeslebel如何使用?
最新发布
09-23
`networkx.draw_networkx_nodes`函数本身并没有直接提供设置节点标签(label)的选项,它是用于绘制节点形状和大小的。如果你想要在节点上显示标签或ID,你应该配合`networkx.draw_networkx_labels`或`networkx.draw...
支持了Unicode及各国字符集编码识别]改善IDA6.8对中文等非英语国家的ANSI字符串显示支持不佳的问题...
weixin_34246551的博客
10-18 354
为什么80%的码农都做不了架构师?>>> ...
ida数据提取技巧-利用LazyIDA插件实现一键提取无法识别字符串
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
04-05 1776
首先具体介绍一下这个技巧的意思,因为标题可能没有说的很明白在使用ida逆向分析的过程中,会遇到某些密文、密钥之类的字符串,而这些字符串往往不全是由正常字符组成的,其中存在一些非常规字符,而一旦ida识别字符串的过程识别到这种字符,就会认为该字符串到此已经结束(但我们知道,字符串必须是由0来结束的),并把之后的字符当成内存中无意义的数据进行排列,例如下图所示的【】字符。
实战:2019 强网杯 final Web Writeup
systemino的博客
06-17 1014
前言 强网杯线下赛打的非常happy也非常累,感觉这种赛制非常有意思,早就厌倦了web的AD,这种cms的0/1day的挖掘非常带劲,就是和0ctf连着打,感觉命都没了。 线下赛共有3道web,分别是1道框架0/1day,2道cms前台getshell的0/1day,但是Laravel框架由于可以搜到相关CVE,于是本篇文章不再编写,只分析另外2个cms。 yxtcmf 信息搜集 拿到这...
强网杯 - JustRe - writeup
哒君的博客
05-29 1399
JustRe 文件链接 -> Github 初步分析 使用32位的IDA打开文件 按 shift+F12 搜索字符串,找到了带有 flag{%.26s} 字样的字符串。根据交叉引用找到该字符串被引用的代码段 发现 test eax,eax 这句代码上方的代码IDA识别不出来。按下 [space] ,查看上方的代码是什么样的 我们发现它调用了这个函数,跟进去看一下 发现端倪了,这里使...
[强网杯 2019]高明的黑客
沐目的博客
10-18 1268
首先访问URL,让后得到源码,打开一看,发现300多个文件,而且还都很奇怪的文件名。然后就不知道干嘛了。看来别人的题解,得到思路: 随便打开一个页面,发现里面存在着大量的system和eval函数,而且参数是我们可控的。所以这一题的思路应该是:通过$_GET[]来传递命令,然后由system()或eval()执行。**但是有一点不明白,为什么这些都不能用了,只有最后答案的那个参数可以用。**先继续...
强网杯-Just RE-3DES逆向分析
playmaker的博客
06-02 1067
强网杯just re z3求解 题目流程很简单,查找字符串找到主函数 int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int *v3; // edi signed int v4; // eax _BYTE *v5; // edx int v6; // eax int resu...
[强网杯 2019]高明的黑客(考察代码编写能力)
a3320315的博客
11-07 9947
0x01 试题分析 1、我们先打开题目,提示可以下载源码 下载源码,打开是几千个php文件,而且很乱,根本没法看,不过里面包含很多shell 不过很多shell都没用,所以我们猜测这几千个php文件中肯定含有可以使用的shell,我们只有写脚本去试了。 0x02 脚本分析 – coding: utf-8 – import os import requests import re import...
java:string2hexString 中文字符转码问题解决
Cat的专栏
08-25 8564
java 中提供了一些字符串转码的工具类,比如:Base64,UrlEncoder & UrlDecoder。但是这些类,真的非常有局限性,转码之后的字符串,往往不能被当成文件路径识别。 于是将 字符串转成16进制的字符串就显得非常有必要了。因为16进制的字符串就是数字以及英文字母a-f组成的。所以,当成路径去解析是完全可以的。import java.io.UnsupportedEncodingE
ida 字符串查找_IDA 搜索中文字符串
weixin_33242139的博客
02-23 4476
IDA字符串窗口默认只能显示英文,网上的一些方法是指定启动时的参数可以显示中文ida64 -DCULTURE=allida -DCULTURE=all还有就是修改 cfg/ida.cfg 文件,但是这两种方法都没试成功。实际上没有那么麻烦,IDA 7.0 操作很方便,在字符串列表窗口右键点击 Setup,如下图所示。对话框勾上 Unicode C-style (16 bits),点击 OK,如...
2019强网杯wp
一筐萝卜的博客
05-27 1792
我不配强网!! 强网先锋-AP 64位elf文件,保护全开 拖入IDA中查看流程,有三个选项,添加一张票,查看一张票,修改指定票 添加票的函数申请了两个堆块,第一个堆块(v0)存name的堆块地址和puts的地址,第二个堆块存name 查看票的操作,用v0堆块存着的puts地址作为函数调用,v0中存着name的堆块地址作为参数,相当于“puts(&name)” 修改指定票,虽然限制了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

q1uTruth

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值