逆向WxyVM1----给同学写的解题思路

最新推荐文章于 2020-09-24 16:16:54 发布
最新推荐文章于 2020-09-24 16:16:54 发布
阅读量914 收藏
点赞数 1
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27617675/article/details/82861660
版权

给同学写的,上传下当做笔记
在这里插入图片描述

两个关键点

第一个函数的作用是改变输入的字符串
在这里插入图片描述

第一个函数先放一放
我把改变后的输入字符串设为 输入2 以示和之前原本输入的字符串有区别

看下第二个点

遍历输入2的每一个字符
和dword的数组对比 每一个都要一样
于是提取下这个数组

ata:0000000000601060 dword_601060 dd 0FFFFFFC4h ; DATA XREF: main+6E↑r
.data:0000000000601064 dd 34h
.data:0000000000601068 dd 22h
.data:000000000060106C dd 0FFFFFFB1h
.data:0000000000601070 dd 0FFFFFFD3h
.data:0000000000601074 dd 11h
.data:0000000000601078 dd 0FFFFFF97h
.data:000000000060107C dd 7
.data:0000000000601080 dd 0FFFFFFDBh
.data:0000000000601084 dd 37h
.data:0000000000601088 dd 0FFFFFFC4h
.data:000000000060108C dd 6
.data:0000000000601090 dd 1Dh
.data:0000000000601094 dd 0FFFFFFFCh
.data:0000000000601098 dd 5Bh
.data:000000000060109C dd 0FFFFFFEDh
.data:00000000006010A0 dd 0FFFFFF98h
.data:00000000006010A4 dd 0FFFFFFDFh
.data:00000000006010A8 dd 0FFFFFF94h
.data:00000000006010AC dd 0FFFFFFD8h
.data:00000000006010B0 dd 0FFFFFFB3h
.data:00000000006010B4 dd 0FFFFFF84h
.data:00000000006010B8 dd 0FFFFFFCCh
.data:00000000006010BC dd 8

注意一下 他不是对比整个dword 他是取了每一个dword的一个字节进行和输入2的每个字符对比。

所以 每一个dword有效的数据其实是最后两个16进制位
如dd 0FFFFFFCCh 有效的是cc

这个数组比较小,其实还是手动转一下快
这个数组可以看成char[] 因为每一个char是一个字节
char dword_arr[]=”\xC4\x34\x22\xB1\xD3\x11\x97\x7\xDB\x37\xC4\x6\x1D\xFC\x5B\xED\x98\xDF\x94\xD8\xB3\x84\xCC\x8”;

由此可以得出在 原始输入的字符串 经过第二个函数变化后 要和这个数组一致;

再来看第一个函数

简单的转换下c代码

__int64 sub_4005B6()
{
  unsigned int v0; 
  __int64 result;
  signed int i; 
  char v3;

  for ( i = 0; i <= 14999; i += 3 )
  {
    v0 = byte_6010C0[i];
    v3 = byte_6010C0[i + 2];
    result = v0;
    switch ( v0 )
    {
      case 1u:
        result = byte_6010C0[i + 1];
        input[result]+=v3;
        break;

      case 2u:
        result = byte_6010C0[i + 1];
        input[result]-=v3;
        break;

      case 3u:
        result = byte_6010C0[i + 1];
        input[result]^=v3;
        break;

      case 4u:
        result = byte_6010C0[i + 1];
        input[result]*=v3;
        break;

      case 5u:
        result = byte_6010C0[i + 1];
        input[result]^=input[byte_6010C0[i+2]];
        break;
      default:
        continue;
    }
  }
  return result;
}

总结下这个函数
就是取 一个下标值
根据下标值找到输入字符串对应位置 然后把这个位置的数据 根据case的条件±*/异或
就是改变了输入字符串 最后的结果就是 这样
char dword_arr[]=”\xC4\x34\x22\xB1\xD3\x11\x97\x7\xDB\x37\xC4\x6\x1D\xFC\x5B\xED\x98\xDF\x94\xD8\xB3\x84\xCC\x8”;

byte_6010C0数组依然是直接读取文件就可以得到。

注意 在这函数里 的条件±*/都要反一下才是逆过去

而且
逆过去的时候 数组不再是从0开始
而是从最后那个开始
14999/3 最大的下标取到14997

所以最后这个函数可以变成

__int64 sub_4005B6(char* input,char *byte_6010C0)
{
	unsigned int v0;
	__int64 result;
	signed int i;
	char v3;

	for (i = 14997; i >=0; i -= 3)
	{
		v0 = byte_6010C0[i];
		v3 = byte_6010C0[i + 2];
		result = v0;
		switch (v0)
		{
		case 1u:
			result = byte_6010C0[i + 1];
			input[result] -= v3;
			break;

		case 2u:
			result = byte_6010C0[i + 1];
			input[result] += v3;
			break;

		case 3u:
			result = byte_6010C0[i + 1];
			input[result] ^= v3;
			break;

		case 4u:
			result = byte_6010C0[i + 1];
			input[result] /= v3;
			break;

		case 5u:
			result = byte_6010C0[i + 1];
			input[result] ^= input[byte_6010C0[i + 2]];
			break;
		default:
			continue;
		}
	}
	return result;
}

代入

char dword_arr[]=”\xC4\x34\x22\xB1\xD3\x11\x97\x7\xDB\x37\xC4\x6\x1D\xFC\x5B\xED\x98\xDF\x94\xD8\xB3\x84\xCC\x8”;

byte_6010C0数组

即可得到原始的input

解题代码

// ConsoleApplication9.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <iostream>
#include <windows.h>
using namespace std;


char dword_arr[] = "\xC4\x34\x22\xB1\xD3\x11\x97\x7\xDB\x37\xC4\x6\x1D\xFC\x5B\xED\x98\xDF\x94\xD8\xB3\x84\xCC\x8";


__int64 sub_4005B6(char* input,char *byte_6010C0)
{
	unsigned int v0;
	__int64 result;
	signed int i;
	char v3;

	for (i = 14997; i >=0; i -= 3)
	{
		v0 = byte_6010C0[i];
		v3 = byte_6010C0[i + 2];
		result = v0;
		switch (v0)
		{
		case 1u:
			result = byte_6010C0[i + 1];
			input[result] -= v3;
			break;

		case 2u:
			result = byte_6010C0[i + 1];
			input[result] += v3;
			break;

		case 3u:
			result = byte_6010C0[i + 1];
			input[result] ^= v3;
			break;

		case 4u:
			result = byte_6010C0[i + 1];
			input[result] /= v3;
			break;

		case 5u:
			result = byte_6010C0[i + 1];
			input[result] ^= input[byte_6010C0[i + 2]];
			break;
		default:
			continue;
		}
	}
	return result;
}

int main()
{

	HANDLE hFile = CreateFile(L"F:/WxyVM1", GENERIC_ALL, FILE_SHARE_READ,NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL,NULL);
	if (hFile==NULL) { cout << "打开文件出错" << endl; return 1; }
	char buf[0x10c0] = { 0 };
	DWORD bufLen = 0x10c0;
	DWORD RealReadLen = 0;
	bool res=ReadFile(hFile, buf, bufLen, &RealReadLen, NULL);
	if (!res) { cout << "读文件出错" << endl; return 1; }
	char byte_6010C0[15000] = { 0 };
	bufLen = 15000;
	res = ReadFile(hFile, byte_6010C0, bufLen, &RealReadLen, NULL);
	if (bufLen!=15000) { cout << "读文件出错" << endl; return 1;}

	sub_4005B6(dword_arr, byte_6010C0);

	cout << dword_arr << endl;

    return 0;
}
thread___________
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cgctf RE WxyVM1
qq_42192672的博客
12-08 448
之前沉迷各种实验,咕了真的有点久了……咕咕咕 自己分析虚拟机指令的能力一向是比较弱的,应该说主要就是基本没有练过,打算从简单开始练习 基本就是一个这样的一个ELF文件,拖进IDA分析 首先分析main函数 然后分析函数4005B6 流程基本就这样,三个一组,个脚本逆回去就好 脚本,数据特别多…… dword_601060 = [0xC4, 0x34, 0x22, 0x...
南邮CTF逆向题第四道WxyVM解题思路
iqiqiya的博客
12-24 4092
首先看下题目   ELF文件 直接载入64位IDA 进入main函数 F5查看C代码 分析main函数代码:    __int64 __fastcall main(__int64 a1, char **a2, char **a3)
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
vm 比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来, 后面那个hagem的题目中间有一个栈的结构,也是比较有感觉的虚拟机题目了 另外hgame已经结束:https://hgame.vidar.club/#/user/login?return=Challenge-List cg-ctf: https://cgctf.nuptsast.com/challenges#Re 题目文件:
vm类型题目(1) WxyVM1
lhk124的博客
09-24 289
先简单说一下 vm逆向题。vm是什么? 原本的指令用另一种方式实现。比如我看到哪个特征,我就去执行那部分的内容,而这部分的内容会对应一条指令。大致便是这样的意思。无限套娃。 先讲一道相对简单的题目 WxyVM1 根据 switch case到的值:选择运算方式(即对应一条指令) 进行运算。 ...
菜鸟学习C语言——数组地址与数组元素地址
zjq1042970687的博客
08-11 2011
定义一个结构体数组 typedef struct { int a; float b; }Test_T; Test_T c[3]; 那么c、&c、&c[0]有什么区别和联系呢? 数组名c代表数组第一个元素的指针,指向第一个元素(即&c[0]),数组中的其它元素可以通过c的位移得到,即c+i=&c[i]。所以c和&c[0]意义是一样的。 &c数值上等于整个数组的首地址,在数值上与&c[0]相等,含义上代表整个数组所占内存的大小,其进阶单位是
CG-ctf re 逆向基础学习
weixin_30314631的博客
03-11 446
Hello,RE! 下载程序后打开 把程序拖进ida 之后F5 查看到了代码 选中字符串点击R 可以得到 galfleW{emoc_oT_W_ERdlro}! emmmm 不是 倒过来 程序结束了 flag{Welcome_To_RE_World!} ReadAsm2 给出了一段c代码 int main(int argc, char co...
mybatis-plus快速逆向生成代码
03-07
0.解压后查看说明文档。 1.pom.xml中增加对应引入包 2.复制FastAutoGeneratorTest.java到自己的项目中 然后更改引入包路径 3.更改数据库源 4.更改生成代码路径 5.执行main方法
电晕:逆向工程SARS-CoV-2
01-31
我们正在对CAD格式进行逆向工程。 一次运行更像FPGA代码。 没有串行执行。 (什么是FPGA逆向工程工具?) :wrench: 进展 下载SARS-CoV-2基因组 是NIH遗传序列数据库,是所有公共可用DNA和RNA序列的带注释集合。 ...
mybatis-plus逆向工程
07-03
mybatis-plus逆向工程
springboot整合mybatis-plus逆向工程的实现
09-07
在本文中,我们将深入探讨如何在SpringBoot项目中整合MyBatis-Plus并利用其逆向工程功能,以实现高效代码生成,从而提高开发效率。首先,MyBatis-Plus是一个针对MyBatis的增强工具,它在不改变MyBatis原有逻辑的基础...
Cortex-M_逆向分析与安全.pdf
08-11
* 大量使用全局变量,逆向需要非线性思路 * 大量硬跳转,需要熟悉硬件架构 * 自定义软硬件结构,部分芯片不公开手册资料 三、堆栈溢出示例 堆栈溢出是一种常见的攻击方式,攻击者可以通过溢出攻击来控制PC指针,...
南京邮电大学网络攻防训练平台逆向第四题WxyVM
u014738665的博客
02-13 487
1、IDA静态分析 总结: 1、1:长度必须是0x18 1、2:v4必须是==1 1、3:循环比较InputBuff[X]==dword_601060[X]   2、分析sub_4005B6函数(VStartVM) 2、1:F5伪代码 总结: 这是一个典型的VM框架 扩展知识(参考加密与解密3): 虚拟机保护技术就是基于x86汇编系统的可执行代码转换为字节码指令系统的...
南邮ctf攻防平台RE第四题WxyVM1
qq_42133677的博客
11-26 285
记事本打开发现文件头是ELF,拖入IDA进行反编译,发现只有几个函数 查看main函数,发现输入以后调用sub_4005B6()函数,然后判断长度是否为24和字符串0x601060比较 再进一步看4005B6,发现是按照0x6010C0的14997个字节来处理,每3个字节为一组,每组的第一个字节为处理方式,通过switch来判断,包括加减乘异或等;第二个字节指定处理第几个字节;第三个字节则为处理数...
WP-南邮CTF逆向第四题 WxyVM1
z4ky的博客
11-08 623
WP-南邮CTF逆向第四题 WxyVM 用记事本打开后发现前面有elf,所以确认这个是一个elf文件. 打开IDA,载入WxyVM1,找到main函数,按F5,得到伪代码,并对伪代码进行分析 对sub_400586这个函数进行分析 观察这个函数,发现里面只有6010C0这个地址和604B80这个地址,并没有601060这个地址,说明这个函数是根据6010C0处的数据对用户输入的字符串进行重...
170707 逆向-南邮CTF逆向WxyVM1
whklhhhh的博客
07-08 2208
1625-5 王子昂 总结《2017年7月7日》 【连续第278天总结】 A. 南邮CTF逆向(4) B. 4: 记事本打开发现文件头是ELF,拖入IDA进行反编译,发现只有几个函数 查看main函数,发现输入以后调用sub_4005B6()函数,然后判断长度是否为24和字符串0x601060比较 再进一步看4005B6,发现是按照0x6010C0的14
nctf-WxyVM1-writeup
tu_siji的博客
05-07 727
记事本打开发现文件头是ELF,拖入IDA进行反编译查看main函数,发现输入以后调用sub_4005B6()函数,判断长度是否为24然后和字符串0x601060比较再进一步看4005B6,发现是按照0x6010C0的14997个字节来处理,每3个字节为一组,每组的第一个字节为处理方式,通过switch来判断;第二个字节指定处理第几个字节;第三个字节则为处理数 使用HEX将0x6010c0开始的14...
170818 逆向-南邮CTF(WxyVM2)
whklhhhh的博客
08-18 1795
1625-5 王子昂 总结《2017年8月18日》 【连续第320天总结】 A. 南邮CTF-WxyVM2 B. 上次没做完的正巧在52破解论坛上看到有人发问了,就摸过来再做做看 跟WxyVM1比较像,不过感觉这题相比VM来说更像花指令~ 首先看源码分析,先验证长度为25,然后进行了一大片的加减异或操作,最后与内存中的一个字符串进行比较 上次乍一看大片的加减异或操作不好处理,也没想到
南京邮电大学网络攻防平台逆向writeup之[WxyVM]
qq_31344951的博客
08-01 1857
#1 找到主函数,看上去很简单,把输入的字符串拿去一个函数作运算,然后拿字节和一个固定的dword对比 坑点1:动态调试的时候才找到,是拿byte和dword对比,这里卡了好久,终于找到拿出来对比的字符串了。 #2 进入sub_4005b6();这个就是加密函数,byte_6010C0 是一个类似hash表的东东,有1500字节长,为了方便读取截出来
V-rep and its Matlab interface
07-03
1. 场景对象:包括形状、关节、相机、光源、虚拟物(参考框架)、图形、路径/轨迹、接近传感器、力/扭矩传感器、视觉传感器、铣削工具和镜子等。这些对象构建了仿真的物理环境,模拟真实世界的物体和交互。 2. 计算...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值