[Reverse]BABYRE(idapython解题)

最新推荐文章于 2024-05-28 09:37:13 发布
最新推荐文章于 2024-05-28 09:37:13 发布
阅读量271 收藏
点赞数 1
分类专栏: 赛后题解 文章标签: c++ 算法 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24481913/article/details/128427593
版权

题目下载地址:BABYRE

main:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[24]; // [rsp+0h] [rbp-20h] BYREF
  int v5; // [rsp+18h] [rbp-8h]
  int i; // [rsp+1Ch] [rbp-4h]

  for ( i = 0; i <= 181; ++i )
    judge[i] ^= 0xCu;
  printf("Please input flag:");
  __isoc99_scanf("%20s", s);
  v5 = strlen(s);
  if ( v5 == 14 && (*(unsigned int (__fastcall **)(char *))judge)(s) )
    puts("Right!");
  else
    puts("Wrong!");
  return 0;
}

这道题本身很简单,但是难度出现在了judge函数这里,由于ida在反编译的时候误以为这里的judge函数是数据,从而导致反编译出错.
这里提供了两种方法:

方法一:动态调试:

由于判断长度在judge判断之前所以我们需要输入14位的数据来让judge函数生成

  ; main+74↑o
.data:0000000000600B00 push    rbp
.data:0000000000600B01 mov     rbp, rsp
.data:0000000000600B04 mov     [rbp-28h], rdi
.data:0000000000600B08 mov     byte ptr [rbp-20h], 66h ; 'f'
.data:0000000000600B0C mov     byte ptr [rbp-1Fh], 6Dh ; 'm'
.data:0000000000600B10 mov     byte ptr [rbp-1Eh], 63h ; 'c'
.data:0000000000600B14 mov     byte ptr [rbp-1Dh], 64h ; 'd'
.data:0000000000600B18 mov     byte ptr [rbp-1Ch], 7Fh
.data:0000000000600B1C mov     byte ptr [rbp-1Bh], 6Bh ; 'k'
.data:0000000000600B20 mov     byte ptr [rbp-1Ah], 37h ; '7'
.data:0000000000600B24 mov     byte ptr [rbp-19h], 64h ; 'd'
.data:0000000000600B28 mov     byte ptr [rbp-18h], 3Bh ; ';'
.data:0000000000600B2C mov     byte ptr [rbp-17h], 56h ; 'V'
.data:0000000000600B30 mov     byte ptr [rbp-16h], 60h ; '`'
.data:0000000000600B34 mov     byte ptr [rbp-15h], 3Bh ; ';'
.data:0000000000600B38 mov     byte ptr [rbp-14h], 6Eh ; 'n'
.data:0000000000600B3C mov     byte ptr [rbp-13h], 70h ; 'p'
.data:0000000000600B40 mov     dword ptr [rbp-4], 0
.data:0000000000600B47 jmp     short loc_600B71
.data:0000000000600B47
.data:0000000000600B49 ; ---------------------------------------------------------------------------
.data:0000000000600B49
.data:0000000000600B49 loc_600B49:                             ; CODE XREF: .data:0000000000600B75↓j
.data:0000000000600B49 mov     eax, [rbp-4]
.data:0000000000600B4C movsxd  rdx, eax
.data:0000000000600B4F mov     rax, [rbp-28h]
.data:0000000000600B53 add     rax, rdx
.data:0000000000600B56 mov     edx, [rbp-4]
.data:0000000000600B59 movsxd  rcx, edx
.data:0000000000600B5C mov     rdx, [rbp-28h]
.data:0000000000600B60 add     rdx, rcx
.data:0000000000600B63 movzx   edx, byte ptr [rdx]
.data:0000000000600B66 mov     ecx, [rbp-4]
.data:0000000000600B69 xor     edx, ecx
.data:0000000000600B6B mov     [rax], dl
.data:0000000000600B6D add     dword ptr [rbp-4], 1
.data:0000000000600B6D
.data:0000000000600B71
.data:0000000000600B71 loc_600B71:                             ; CODE XREF: .data:0000000000600B47↑j
.data:0000000000600B71 cmp     dword ptr [rbp-4], 0Dh
.data:0000000000600B75 jle     short loc_600B49
.data:0000000000600B75
.data:0000000000600B77 mov     dword ptr [rbp-4], 0
.data:0000000000600B7E jmp     short loc_600BA9
.data:0000000000600B7E
.data:0000000000600B80 ; ---------------------------------------------------------------------------
.data:0000000000600B80
.data:0000000000600B80 loc_600B80:                             ; CODE XREF: .data:0000000000600BAD↓j
.data:0000000000600B80 mov     eax, [rbp-4]
.data:0000000000600B83 movsxd  rdx, eax
.data:0000000000600B86 mov     rax, [rbp-28h]
.data:0000000000600B8A add     rax, rdx
.data:0000000000600B8D movzx   edx, byte ptr [rax]
.data:0000000000600B90 mov     eax, [rbp-4]
.data:0000000000600B93 cdqe
.data:0000000000600B95 movzx   eax, byte ptr [rbp+rax-20h]
.data:0000000000600B9A cmp     dl, al
.data:0000000000600B9C jz      short loc_600BA5
.data:0000000000600B9C
.data:0000000000600B9E mov     eax, 0
.data:0000000000600BA3 jmp     short loc_600BB4
.data:0000000000600BA3
.data:0000000000600BA5 ; ---------------------------------------------------------------------------
.data:0000000000600BA5
.data:0000000000600BA5 loc_600BA5:                             ; CODE XREF: .data:0000000000600B9C↑j
.data:0000000000600BA5 add     dword ptr [rbp-4], 1
.data:0000000000600BA5
.data:0000000000600BA9
.data:0000000000600BA9 loc_600BA9:                             ; CODE XREF: .data:0000000000600B7E↑j
.data:0000000000600BA9 cmp     dword ptr [rbp-4], 0Dh
.data:0000000000600BAD jle     short loc_600B80
.data:0000000000600BAD
.data:0000000000600BAF mov     eax, 1
.data:0000000000600BAF
.data:0000000000600BB4
.data:0000000000600BB4 loc_600BB4:                             ; CODE XREF: .data:0000000000600BA3↑j
.data:0000000000600BB4 pop     rbp
.data:0000000000600BB5 retn
.data:0000000000600BB5
.data:0000000000600BB5 _data ends

以上是生成出来的函数

file
首先和13进行比较,小于或者等于13就进入循环

循环的内容是将上面字符串循环13次恰好等于[rbp+var_13]的长度,也就是进行处理字符串

处理方式就是进行异或,xor edx,ecx ecx就是循环的次数 每个字符与当前循环的次数进行xor

异或结束后调入下一个地址

又是进行循环判断[rbp+var_4]作为循环因子逐次+1 直到等于13结束
file
[rbp+var_4]是次数作为元素下标处理放入rdx

[rbp+var_28]是用户输入的flag放入rax中

最后相加是依次对输入的flag进行处理

为了更直白的看出来
我们按p将函数声明了,然后按f5反编译
file
这样就能更加直白的看出flag的处理方式了!

方法二:嵌入式脚本(idapython)

首先介绍以下idapython在ida7.0后按shitf + f2可以打开如下窗口
file
我们可以在其中运行脚本来对代码进行处理。
首先我们进入主函数发现
file
这一段对judge函数进行了处理,那我们思路就来了我们只需要按照这个方式将judge数组里面的东西处理了之后再按c分析代码就可以出来judge函数了。
我们需要用到的是idc_bc695库
说明一下这个库非常的离谱我的7.7ida居然没有搞得我弄了好久这个玩意,后面发现我的ida7.5里面居然存在这个库,果断移植过来
首先我们找到judge的首地址0x0600B00然后从这里开始修改它。
脚本内容就是每一位数字对0xC也就是12进行异或,我们这里需要使用到的是 PatchByte 函数.(我个人的理解 PatchByte函数就是将后面的值赋值给前面的地址)
脚本如下:

from idc_bc695 import*
a = 0x600B00
for i in range(182):
    PatchByte(a+i,Byte(i+a)^0xc)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lHiz4Eic-1671856458143)(null)]
我们点击下面的run运行之后会发现judge的值已经被我们改变了。
我们选中0x600B00到0x600BB5的数据按c然后选择force模式分析代码
file
然后我们依然需要选中他们按p声明代码后按f5反编译就得到了原本的judge函数

__int64 __fastcall judge(__int64 a1)
{
  char v2[5]; // [rsp+8h] [rbp-20h] BYREF
  char v3[9]; // [rsp+Dh] [rbp-1Bh] BYREF
  int i; // [rsp+24h] [rbp-4h]

  qmemcpy(v2, "fmcd", 4);
  v2[4] = 127;
  qmemcpy(v3, "k7d;V`;np", sizeof(v3));
  for ( i = 0; i <= 13; ++i )
    *(i + a1) ^= i;
  for ( i = 0; i <= 13; ++i )
  {
    if ( *(i + a1) != v2[i] )
      return 0LL;
  }
  return 1LL;
}

解题脚本

#include<iostream>
using namespace std;
char flag[] = {
	0x66,0x6d,0x63,0x64,0x7f,0x6b,0x37,0x64,0x3b,0x56,0x60,0x3b,0x6e,0x70
};
int main ()
{
	for(int i = 0 ; i < 0xe; i++ )
	{
		printf("%c",flag[i]^i);
	}
//	printf("%s",flag);
}
5WDD
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUGKU] [REVERSE] 入门逆向
Stan冲冲冲
05-18 430
[BUGKU] [REVERSE] 入门逆向 下载附件然后拉进IDA Hi~ this is a babyre 按x发现交叉引用 按TAB转换成汇编 .text:0040147A mov byte ptr [esp+2Fh], 66h .text:0040147F mov byte ptr [esp+2Eh], 6Ch .text:00401484 mov byte ptr [es
网鼎杯-第三场-逆向-babyre
08-27
2018年8月27日网鼎杯第三场逆向题-babyre
ISCTF2023 Reverse方向 WP
Sciurdae的博客
12-14 1315
那么根据简单的数学公式,我们可以知道phi 即 (p-1)(q-1) = (p+1)(q+1) - 2(p+q),以及n = p * q = (p+1)(q+1) - (p+q) - 1;但是其实现在也还有点疑惑,为什么TEA加密的时候的明文和key是相同的,解密的时候密文和key也可以相同,当时就是这里纠结不出来。这里拿 刚刚 TEA加密后的密文,先是异或,将得到的数据作为一个二维数组的索引,把当前位置的值设置为1,最后比较返回0。发现一小段花指令,去除后发现是一个TEA加密,但是目前不清楚是哪里的。
【攻防世界】Reverse——BABYRE writeup
2301_77295404的博客
01-07 394
在 if ( v5 == 14 && (unsigned int)judge((__int64)s) ) 这行下断点,这时解密方法已经执行,也就是可以跳转到judge函数查看解密后的代码。下面的代码可知:flag的长度是14,通过judge来判断是否成功。但jugde函数是加密过,也就是代码是被混淆过的。所以不可以直接查看。main函数中有下面这段代码,它是用来还原或解密代码的。在“run”后,可看到judge的数值已经发生改变。
攻防世界 reverse BABYRE
09-18 996
BABYRE XCTF 4th-WHCTF-2017 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rb...
xctf攻防世界 REVERSE 高手进阶区 BABYRE
l8947943的博客
04-13 1759
0x01. 进入环境,下载附件 给出的babyRE后缀文件,不懂是什么玩意,按照常规流程进行操作吧 0x02. 问题分析 使用IDA打开,找到main函数,F5反编译,得到代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h]
攻防世界-Reverse-BABYRE
P_Bloomberg的博客
08-08 449
附件是.exe文件,放入ExeInfoPE中,发现是linux可执行文件 放入IDA64中,F5查看伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { char s[24]; // [rsp+0h] [rbp-20h] BYREF int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i <= 181;
攻防世界 Reverse高手进阶区 2分题 BABYRE
闵行小鱼塘
12-26 532
继续ctf的旅程,攻防世界Reverse高手进阶区的2分题,本篇是BABYRE的writeup
Sark:轻松实现IDAPython
04-28
IDA插件和IDAPython脚本库。 有关文档,请参见 安装(Python 3和IDA 7.4) 对于最新版本(IDA7.4和Python3): pip3 install -U git+https://github.com/tmr232/Sark.git#egg=Sark 或从PyPI: pip3 install ...
idacode:IDA和VS Code的集成,可以轻松执行和调试IDAPython脚本
03-19
使用IDACode可以轻松地在IDA环境中执行和调试Python脚本,而无需离开Visual Studio Code。 VS Code扩展可以在找到。 IDACode仍处于早期状态,预计会出现错误。如果遇到任何问题,请打开一个新的问题。 特征 速度:...
Stingray:IDAPython插件,用于递归查找函数字符串
05-04
黄貂鱼 Stingray是用于查找函数字符串的IDAPython插件。 从当前功能的当前位置开始搜索。 它也可以使用可配置的搜索深度来递归地执行此操作。 结果顺序是BFS搜索图中字符串的自然顺序。 对于找到的每个字符串,它...
python reverse反转部分数组的实例
09-19
今天小编就为大家分享一篇python reverse反转部分数组的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
ScratchABit:使用与IDAPython兼容的插件API可以轻松地重定向和入侵的交互式反汇编程序
04-23
ScratchABit支持社区IDAPython API中众所周知的编写反汇编/扩展模块。 ScratchABit尚在开发中,将根据需要添加功能,欢迎您提供帮助。 ScratchABit是根据GNU通用公共许可证v3(GPLv3)的条款发布的。要求/清单不应...
从一道非常简单的题目开始了解 IDA
江南小虫虫的博客
02-14 971
flag.exe 本次操作是来源于 ddctf 的一道入门题目! 下载flag.exe程序并打开分析输出的有用信息 然后用 ida 32 位打开 在菜单栏上的View->Open subviews->Strings, 或者直接使用快捷键Shift+F12打开Strings窗口, 一键找出所有的字符串(定位中文) 然后找一下flag字眼 双击flag get字符串进入IDA...
[QCTF2018]babyre
qq_37439229的博客
05-07 563
一道一般般的题。。。 打开ida,调试到这里 发现长度为0x20,于是输入“ABCDEFGHIJKLMNOPQRSTUVWXYZ[]^-`” 第一个函数 打乱我的输入顺序,第二个函数从第三个数开始,每四个为一组分别加一些数,第三个函数从第9个开始,每四个一组进行一些位运算 写出脚步 flag=[0xda,0xd8,0x3d,0x4c,0xe3,0x63,0x97,0x3d,0xc1,0x91,...
[SUCTF2018]babyre
m0_46296905的博客
05-05 771
题目:[SUCTF2018]babyre C++写的64位bin文件 查找字符串定位到主函数 __int64 sub_140012460() { char *v0; // rdi __int64 i; // rcx char v3[48]; // [rsp+0h] [rbp-20h] BYREF char v4[32]; // [rsp+30h] [rbp+10h] char v5[184]; // [rsp+50h] [rbp+30h] BYREF char v6[60]; //
[SCTF2019]babyre
m0_46296905的博客
04-16 1465
exeinfope打开发现是64位无壳程序 ida64打开,搜索关键字符串 进入目标字符串的汇编窗口 我们发现无法F5,发现了几处反ida调试,总结有两种类别: 下面是第一种,我们直接把jb和jnb这两行改成nop。 下面是第二种, 所有都改完之后,从main开头到retn选中按p申明成一个新函数,就可以F5了 反汇编代码如下: __int64 __fastcall main(int a1, char **a2, char **a3) { __int64 result; // rax uns
xctf BABYRE
weixin_45701079的博客
10-10 517
xctf BABYRE 第一次做smc类型题目,利用idapython把源代码补全 首先确保idapro里有python插件(一般都有的),打开文件 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i &
C++:round函数用法
最新发布
Solititude的博客
05-28 373
C++:round函数用法
reverse 函数Python
05-31
reverse 函数是 Python 内置函数之一,用于将列表或者元组中的元素反向排列。其语法如下: ```python list.reverse() ``` 其中,`list` 表示列表或者元组的名称。 示例: ```python >>> lst = [1, 2, 3, 4, 5] >...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值