中关村2019逆向 Reverse lebel:控制流平坦化 / python字节码分析

已于 2022-05-09 15:17:35 修改
阅读量474 收藏 1
点赞数
分类专栏: CTF 逆向 文章标签: 安全 CTF 逆向 reverse 控制流平坦化
于 2019-08-17 14:14:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q1uTruth/article/details/99634952
版权

flat

题目名字,流程图都指向了控制流平坦化
通过阅读 https://blog.csdn.net/yangbostar/article/details/6204724 了解了
顺序流/条件流/循环控制流平坦化 及 一些变形

静态分析

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  char v4; // al
  int v5; // ecx
  char v6; // al
  int v7; // ecx
  char v8; // al
  int v9; // ecx
  char v10; // al
  int v11; // ecx
  char v12; // al
  int v13; // ecx
  int v15; // [rsp+4Ch] [rbp-154h]
  char dest; // [rsp+50h] [rbp-150h]
  int v17; // [rsp+E8h] [rbp-B8h]
  int index; // [rsp+ECh] [rbp-B4h]
  char arr[64]; // [rsp+F0h] [rbp-B0h]
  char s[108]; // [rsp+130h] [rbp-70h]
  int v21; // [rsp+19Ch] [rbp-4h]

  v21 = 0;
  printf("please input string:\n", argv, envp);
  gets(s);
  v17 = strlen(s);
  index = 5;
  v15 = -1046111848;
  while ( 1 )
  {
    while ( 1 )
    {
      while ( 1 )
      {
        while ( v15 == -2012804730 )
        {
          memcpy(&dest, "J", 0x90uLL);          // J2261C63-3I2I-EGE4-IBCC-IE41A5I5F4HB
          v4 = fun_check1(s);                   // 判断len
          v5 = -1855144052;
          if ( v4 & 1 )
            v5 = 1890735184;                    // 这个分支值走的是default
          v15 = v5;
        }                                       // 第4个while结束
        if ( v15 != -1855144052 )
          break;
        v15 = -1153978545;
        printf("what a shame !!!\n");
      }                                         // 第3个while结束
      if ( v15 != -1612797716 )
        break;
      v10 = fun_check4(s);
      v11 = -1855144052;
      if ( v10 & 1 )
        v11 = -842747696;
      v15 = v11;                                // 第2个while结束
    }
    if ( v15 == -1153978545 )
      break;
    switch ( v15 )
    {
      case -1046111848:
        v3 = -2012804730;
        if ( index < v17 - 1 )
          v3 = -370117910;
        v15 = v3;
        break;
      case -842747696:
        v12 = fun_check5(arr, (int *)&dest);
        v13 = -1855144052;
        if ( v12 & 1 )
          v13 = -194644933;
        v15 = v13;
        break;
      case -370117910:
        arr[index - 5] = s[index];              // arr赋值块
        v15 = 805361575;
        break;
      case -194644933:
        v15 = -1153978545;
        printf("you got it !\n");
        break;
      case 805361575:                           // index++块
        ++index;
        v15 = -1046111848;
        break;
      case 1222385267:
        v8 = fun_check3(s); 		// }
        v9 = -1855144052;
        if ( v8 & 1 )
          v9 = -1612797716;
        v15 = v9;
        break;
      default:
        v6 = fun_check2(s);			//flag{
        v7 = -1855144052;
        if ( v6 & 1 )
          v7 = 1222385267;
        v15 = v7;
        break;
    }
  }
  return 0;
}

从开头跟着分支值跟一遍(或从回显信息那从后往前推),把各块实现的功能拼接,大致流程为
首先 arr[i] = flag{后的字符直到字符串结束
之后 memcpy dest为J2261C63-3I2I-EGE4-IBCC-IE41A5I5F4HB,然后call func1判断len范围0到50
之后 call func2 判断input前几位为 ‘flag{’
之后 call func3 判断input[41] = ‘}’
之后 call func4 判断input[23,18,13,28] = ‘-’
最后 call func5
从头跟一遍
输入范围’0’-‘9’,local_arr[i] = arr[i]+17,i++
输入范围’a’-‘z’,local_arr[i] = arr[i] - 0x30,i++
输入范围’A’-‘Z’,i++
输入为‘-',local_arr[i] = arr[i],i++
从尾跟一遍
v16 = 1 <- index == 36 <- index++ <- local_arr[i] == dest[i]
所以将J2261C63-3I2I-EGE4-IBCC-IE41A5I5F4HB中数字-17,字母+0x30,套上flag{}
推出 flag{9bbfa2fc-c8b8-464d-8122-84da0e8e5d71}

一些思考

  • 从头(程序开始)跟一遍,从尾(回显信息,return的值)跟一遍,多分支要想办法减少条件分支
  • 一个块由两部分构成:实现的功能和分支值的改变。做题时追踪分支值,拼接各块实现的功能
  • 整个程序的出口是最外层while的break
  • 题目里嵌套的很多while(1)的原因是保证在执行完一个块后,能够回到开始,其功能和 https://blog.csdn.net/yangbostar/article/details/6204724 中每个case下的goto是一样的
  • switch,while(expression)本质都是if。在平坦化中,一个if就代表了一个分支值,一个分支值就对应了一个块,分支值和它对应的块有以下几种表现形式
if(分支值1)
	分支值1的块
elif(分支值2)
	分支值2的块
else
	其它分支值的块


switch(分支值)
	case(分支值1)
		1的块
	case(分支值2)
		2的块
	default:
		其它的块

while(分支值1)
{
	1的块
}

if(不等于分支值2)
	break
2的块

py交易

python字节码

python字节码操作栈,和wasm相似
https://blog.csdn.net/wenxueliu/article/details/80919947 看不懂的字节码链接里找一下

比较

COMPARE_OP               0 (<)
COMPARE_OP               4 (>)
COMPARE_OP               2 (==)

列表及循环

a = [1, 2, 3]
for e in a:
    b = e

LOAD_CONST               0 (1)
LOAD_CONST               1 (2)
LOAD_CONST               2 (3)
BUILD_LIST               3
STORE_NAME               0 (a)

SETUP_LOOP              16 (to 28)
LOAD_NAME                0 (a)
GET_ITER
FOR_ITER                 8 (to 26)
STORE_NAME               1 (e)

LOAD_NAME                1 (e)
STORE_NAME               2 (b)
JUMP_ABSOLUTE           16  //调到 FOR_ITER
POP_BLOCK
LOAD_CONST               3 (None)   
RETURN_VALUE

函数调用

a=2
print(a)

LOAD_CONST               0 (2)
STORE_NAME               0 (a)

LOAD_NAME                1 (print)
LOAD_NAME                0 (a)
CALL_FUNCTION            1
POP_TOP
LOAD_CONST               1 (None)
RETURN_VALUE

静态分析

cd到目录
python generateCFG.py ./example/py交易.pyc
分析生成的最后一张图(总流程图)
从开头跟一遍,大致流程为

一堆load_const
build_list 38,store a
一堆load_const,
build_list 38,store b
一堆load_const,
build_list 38 ,store c
build_list 0,store d(新建空列表d)
setup_loop
load global range
load_const 38
call func 1
GET_ITER
FOR_ITER
store i
load d,load_attr append(d.append(后面所有的结果))
load a,load i,subscr(a[i])
load data,load i,subscr(data[i])
multiply(data[i]*a[i])
load data,load i,subscr(data[i])
multiply((data[i]*a[i])*data[i])
load b,load i,subscr(b[i])
load data,subscr(data[i])
multipal(data[i]*b[i])
add((data[i]*b[i])+(data[i]*a[i])*data[i])
load c,load i,subscr(c[i])
add((data[i]*b[i])+(data[i]*a[i])*data[i]+c[i])
call func 1
pop_top结束

同样方式建完list e后,load d,load e,cmp
若相等:get global p_s(盲猜得到回显字符串)
call func 0(盲猜是print函数)
pop_top
不相等:load global p_f
call func 0
pop_top

总结一下流程就是
构建了四个长度为38的list a,b,c,e,要满足如下关系:
a[i]*data[i]*data[i] + b[i]*data[i] + c[i] == e[i]
一元二次方程

解题脚本

import z3
s = z3.Solver()
x = [z3.Int("x%d"%i) for i in range(38)]
for i in range(len(x)):
    s.add(0<x[i])

a = [13433, 4747, 17752, 33060, 31051, 48809, 29988, 6421, 20021, 38888, 24844, 20706, 11713, 34938, 12865, 6085, 37391, 32840, 31964, 27194, 8701, 48142, 27066, 28626, 37431, 39142, 46795, 21771, 44280, 40628, 35013, 18583, 5418, 4347, 43929, 9934, 46892, 19868]


b = [13711, 7074, 79833, 42654, 23241, 41412, 61795, 6373, 19304, 1363, 1682, 66279, 76134, 60748, 10355, 63484, 30491, 34005, 51393, 38029, 7241, 4998, 18562, 16935, 66677, 51321, 13771, 49108, 52166, 8851, 16900,31682,16684,12046,16764,64315,76742,14022]


c = [832832835, -924053193, -307134635, -527578092, 998625960, -715102211, 3572182, -963194083, -475718185, -361574731, -678171563, 107566155, 608670527, 254218946, -81206308, -284228457, 373369420, 659110852, 165298084, -389004184, 893094421,-868933443,  44838205, -98551062, -59800920, -575871298,  -748337118, 696390966, 427210246,-266607884,  -555200820, -594235119, -233255094, 229291711, 711922719, 14476464, -783373820, 892608580]


e = [973988289, -867920193, -132362266, -172451190, 1471255182, -242282199, 321870424, -897049789, -428663209, -256350703, -613466537, 321254055, 641759727, 344601346, -40281788, -217030057, 476060216, 767746297, 503093626, -102198850, 984358207, -415480559, 322813233, 178032672, 48876640, -467362638, -260077296, 923436845, 536082660, -138702820, -210365307, -397666023, -215329942, 274852104, 818217684, 41479433, -632022956 ,1204798830]

flag = ''
for i in range(37):
    s.add(x[i]*x[i]*a[i] + x[i]*b[i] + c[i]==e[i])
if s.check() == z3.sat:
    m = s.model()
    for i in range(len(x)):
        flag += chr(m[x[i]].as_long())
print(flag+"}")

#flag{bfe043d228d49fffaeb54fe18cf8e118}
q1uTruth
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java安卓辅助源码-android-reverse:安卓逆向工具汇总/AwsomeAndroidReverseTools
06-04
Reverse Tools 脱壳 / Unshell 安卓xposed脱壳工具 通过Hook ClassLoader的loadClass方法,反射调用getDex方法取得Dex(com.android.dex.Dex类对象),再将里面的dex写出 安卓4.4以上的手机或模拟器 其它看软件提示 ...
简单逆向13(angr,控制流平坦)
m0_49936845的博客
07-24 465
诺莫13 开始 放入IDA: 查看流程视图 这是一个控制流平坦 比较复杂的控制台流程,使用
python dis模块和ctf中的python字节码逆向
weixin_42100211的博客
06-03 848
来自第三届陕西省网安大赛的一道例题,带来关于python字节码、cpython的启发。
控制流平坦学习
szxpck的博客
07-14 4202
控制流平坦是OLLVM中使用到的一种代码保护方式,它还有2个兄弟-虚假控制流和指令替换,这3种保护方式可以累加,对于静态分析来说混淆后代码非常复杂。 控制流平坦的主要思想就是以基本块为单位,通过一个主分发器来控制程序的执行流程。 例如一个常见的if-else分支结构的程序可以是这样: 经过控制流平坦之后,得到了一个相当规整的流程图: 控制流平坦在代码上体现出来可以简要地理解为是while+switch的结构,其中的switch可以理解为主分发器。这一点在IDA的反汇编里面可以很明显地体现出来。 混
《封号码罗》python爬虫之AST在js逆向中switch-case反控制流平坦2(二十三)
Python_DJ的博客
10-29 878
ast处理之前的js源码:链接:https://pan.baidu.com/s/1Duf7G8i2W3GQ1vt46NnxWg?文章是学习明妃ast的笔记,加了学习时的一些注释,对照学习看不懂的地方进行了debugger方式查看运行结果,内容不多,慢慢敲一遍。平时主要是自学,不系统,getbinding和scope这些玩意儿拿捏不住,不过,两层for循环我还是能看得懂滴!
python扁平界面_用Python生成扁平的PDF
weixin_39627144的博客
12-20 232
当我从任何一个源PDF打印PDF时,文件大小下降并删除表单中呈现的文本框.简而言之,它平坦文件.这是我想要实现的行为.以下代码使用另一个PDF作为源(我想要展平的一个)创建一个PDF,它也会写入文本框.我可以得到没有文本框的PDF,展平吗?就像Adobe在PDF中打印PDF一样.我的其他代码看起来像这样减去一些东西:import osimport StringIOfrom pyPdf impor...
CTF逆向-[羊城杯 2020]Bytecode-WP-Python字节码反编译
serfend's blog
04-12 2618
CTF逆向-[羊城杯 2020]Bytecode-WP-Python字节码反编译 来源:https://buuoj.cn/ 内容:无 附件:https://pan.baidu.com/s/15XJLq9jFV_pOtPMzNXG9XA?pwd=tlwo 提取码:tlwo 答案:GWHT{cfa2b87b3f746a8f0ac5c5963faeff73} 总体思路 反编译汇编成py源码 检查源码逻辑发现是一个约束求解(解方程) 使用z3输入条件得到flag 详细步骤 文件信息,打开发现是Python
Python3 字节码混淆
sid10t.
10-25 3万+
文章目录前言什么是 pyc 文件?pyc 的版本号pyc 的基本格式解题 前言 emmm,关于字节码混淆,最早碰到还是在校赛的时候,当时一脸懵逼,什么情况,怎么 uncompyle6 不能反编译 pyc 了,不过之后也就不了了之了,今天特地写此博文纪念 DASCTF Oct X 吉林工师魔法赛 中的一道 RE 题 —— 魔法叠加,出题人是真的阴间????   什么是 pyc 文件? 简单来说,pyc 文件就是 Python字节码文件; 众所周知,Python 是一种全平台的解释性语言,全平台其
Python攻防-模拟猜测附近局域网WIFI密码
热门推荐
道阻且长,行则将至。
08-18 6万+
本文将记录学习下如何通过 Python 脚本实现 WIFI 密码的自动猜解、以及 Python GUI 图形编程的基础使用。
HTTP-Reverse-Shell:Python中的HTTP反向Shell
05-22
这是用Python编程的HTTP Reverse Shell。 它用于建立从客户端到服务器端的反向HTTP连接。 先决条件 Python 用法 在客户端上传输客户端程序 在服务器端传输服务器程序 运行服务器端程序以开始侦听 运行客户端程序 ...
miasm:Python中的逆向工程框架
02-03
Miasm是一个免费和开源(GPLv2)逆向工程框架。 Miasm旨在分析/修改/生成二进制程序。 以下是功能的不完整列表: 打开/修改/生成PE / ELF 32/64 LE / BE 组装/拆卸X86 / ARM / MIPS / SH4 / MSP430 使用中间语言...
xia0LLDB:xia0 用于 iOS arm64 逆向的 LLDB python 脚本
08-04
Welcome to xia0LLDB - Python3 Edition ,--. ,--. ,--. ,--. ,------. ,-----. ,--. ,--.`--' ,--,--. / \ | | | | | .-. \ | |) /_ \ `' / ,--.' ,-. || () || | | | | | \ :| .-. \ / /. \ | |\ '-' | \ /...
python-roku:螺丝遥控器。 使用Python控制Roku
05-02
通过Python控制 。 安装pip install roku用法基础知识首先,导入Roku对象,并使用Roku的IP地址或主机名创建它。 >>> from roku import Roku>>> roku = Roku('192.168.10.163')Roku对象为遥控器上的每个按钮都有一个...
绿盟之旅——一段安全实习结束
carrot11223的博客
05-08 502
去年,因为着急找实习,拿着简历就开始海投,当时想的是有人让我去就谢天谢地了,第一个约我面试的就是绿盟,也很顺利的通过了面试,当时让我选择在上海还是北京,我选择的是上海,因为学校在上海,结果到上海才知道我是隶属于北京总部,但是在上海办公的,这样,大多数时候就只能远程办公了,导师至今没见过,领导也只见过一面。
德国储能项目锂电池储能集装箱突发火灾:安全挑战再引关注
最新发布
iotsensor的博客
05-11 297
德国警方估计,此次火灾造成的经济损失约为50万欧元,但更为严重的是,起火原因至今尚未明确,这无疑给储能系统的安全性再次敲响了警钟。在储能系统大规模应用的背景下,如何有效预防和控制锂离子电池的热失控和火灾风险成为了一个亟待解决的问题。目前,虽然技术上尚未有绝对保证锂电池不发生热失控的方法,但通过气体传感器技术等手段对储能电池进行实时监测和预警,仍被视为一种可行的预防措施。针对储能电池热失控,要坚持“早发现,早处置”的原则,对储能集装箱锂电池热失控初级阶级进行超前探测预警,将火灾隐患扑灭在萌芽阶段。
概念解析 | 威胁建模与DREAD评估:构建安全的系统防线
NLOS的博客
05-05 445
在信息安全领域,威胁建模就像是一位睿智的军师,他审时度势,为系统安全布局。这位军师会仔细分析系统的架构,找出其中潜在的薄弱环节,预判可能出现的安全威胁。他会问自己这样的问题:“如果我是敌人,我会从哪里发起进攻?我的目标是什么?我会利用系统的哪些漏洞?通过这样的分析,威胁建模可以帮助我们更全面、更系统地评估系统面临的安全风险,找出最需要防范的威胁,并有针对性地制定防御策略。这就像是在城墙上加固门禁,在易受攻击的地方布置更多的守卫。
12350 安全生产举报投诉特服热线系统解决方案
05-11 488
随着经济的持续发展和社会的不断进步,安全生产问题日益凸显,成为影响社会稳定和人民福祉的重要因素。在此背景下,加强安全生产监管,提高监管效率和质量显得尤为重要。举报投诉作为安全生产监管的重要手段之一,具有信息来源广泛、反映问题直接、监督作用明显等特点。然而,传统的举报投诉方式往往存在信息传递不畅、处理效率低下等问题,难以满足现代社会对安全生产监管的需求。因此,开发一套高效、智能、安全的特服热线系统,对于提升安全生产监管水平、保障人民群众生命财产安全具有重要意义。
ConcurrentHashMap并发安全实现
Mr.xing的博客
05-11 34
JDK1.7使用的是分段锁机制,其内部类Segment 继承了ReentrantLock,将容器内的数组划分成多段区域,每个区域对应一把锁,相比于HashTable确实提升了不少并发能力,但在数据量庞大的情况下,性能依然不容乐观,只能通过不断的增加锁来维持并发性能。而JDK1.8则使用了CAS乐观锁 + synchronized 局部锁处理并发问题,锁粒度更细,即使数据量很大也能保证良好的并发性。ConcurrentHashMap并发安全实现源码如下。
针对 % 号 | 引起的 不安全情况
m0_74381444的博客
05-11 497
%%%%%%
为什么我的显示代码def show_products(): print("请选择显示方式:") print("1. 根据销售价格显示") print("2. 根据销售数量显示") print("3. 根据利润显示") option = input("请选择:") print("请选择排序方式:") print("1. 升序排列") print("2. 降序排列") order = "asc" if input("请选择:") == "1" else "desc" with open("products.csv", "r") as file: reader = csv.reader(file) header = next(reader) rows = [row for row in reader] if option == "1": rows.sort(key=lambda x: float(x[1]), reverse=order == "desc") elif option == "2": rows.sort(key=lambda x: int(x[4]), reverse=order == "desc") else: rows.sort(key=lambda x: float(x[1]) - float(x[2]), reverse=order == "desc") print("{:<10}{:<10}{:<10}{:<10}{:<10}".format(*header)) for row in rows: print("{:<10}{:<10}{:<10}{:<10}{:<10}".format(*row))出现了这样子的问题Traceback (most recent call last): File "D:/pythonProject1/main.py", line 208, in <module> main() File "D:/pythonProject1/main.py", line 194, in main show_products() File "D:/pythonProject1/main.py", line 61, in show_products rows.sort(key=lambda x: float(x[1]), reverse=order == "desc") File "D:/pythonProject1/main.py", line 61, in <lambda> rows.sort(key=lambda x: float(x[1]), reverse=order == "desc") ValueError: could not convert string to float: '销售价' 进程已结束,退出代码1请告诉我如何解决这个问题
06-11
rows.sort(key=lambda x: float(x[1]) - float(x[2]), reverse=order == "desc") print("{:<10}{:<10}{:<10}{:<10}{:(*header)) for row in rows: print("{:<10}{:<10}{:<10}{:<10}{:(*row)) ``` 希望这能帮助...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

q1uTruth

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值