南京邮电大学网络攻防平台逆向writeup之[WxyVM2]

最新推荐文章于 2020-08-11 13:07:49 发布
最新推荐文章于 2020-08-11 13:07:49 发布
阅读量1.1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31344951/article/details/76565753
版权

1#

先找到最后判断的地方,2.5万行啊,2.4万行无效运算,2400多有效运算,坑死人不偿命。


2#

复制出来吧,还好,变量名称里面带得有地址,input的字符串只有25个字节,也就694100-694117吧,大神最善良的地方就是,把所有无效计算的过程都是dword变量,有效计算的部分变量全是byte。用python截出来,再反序,保存为一个文件再利用,code3.txt 。

3#

逆运算的原理,就是把 + - 互换,如果用C语言来编写应该很简单吧,苦B的我没环境,我是用php来运算的,还要注意运算后的溢出,比如小于0,或者大于255.总之,身心疲惫。

给出逆运算的php源码。调试过程没删干净,比较乱,大家忍耐一下。代码中 code3.txt 就是上面得出来的。

<?php
$a=array(0xC0 ,0x85 ,0xF9 ,0x6C ,0xE2 ,0x14 ,0xBB ,0xE4  ,0x0D ,0x59 ,0x1C ,0x23 ,0x88 ,0x6E ,0x9B ,0xCA ,0xba ,0x5c ,0x37 ,0xFF ,0x48,0xd8  ,0x1f,0xab);
$b="abcdefghijklmn";

#echo $b[ss];
#die;
#echo "aaa\n";

$f=file_get_contents('code3.txt');

#echo count($f);

#var_dump($f);

$line=split("\n",$f);

#echo count($line)."\n";
#echo $line[1]."\n";

#echo count($a);

for($i=6897920;$i<6897920+24;$i++)
{
	eval('$byte_'.strtoupper(dechex($i))."=".$a[$i-6897920].";");
	echo '$byte_'.strtoupper(dechex($i)).'=';
	eval('echo dechex($byte_'.strtoupper(dechex($i)).');');
	echo "\n";
}
#echo('test $byte_694112 = '.$byte_694112."\n");
#die;
#eval('$byte_694111 ^= 0x30;');
#echo('test $byte_694111 = '.$byte_694111."\n");
#$tmp='++byte_694114;';
#echo substr($tmp,2);
#die;
#$byte_694109+=7;byte_694111 ^= 0x30u;
#echo('test $byte_694109 + 7 = '.$byte_694109."\n");

#$tmp='byte_694106 ^= 0x70;';


#$num=substr($tmp,strpos($tmp,"^=")+2);
#echo $num;
#die;

echo "\n初始化好了\n";
$i=0;
$j=0;
foreach($line as $value)
{
	#echo '$'.$value."\n";
	#echo 'counting : '.$i.' ';
	$i++;
	#echo substr($value,0,strpos($value,"+="))."\n";
	#echo strstr($value,"+=")."\n";
	/*
	if (strstr($value,'byte_694111'))
	{
		$j++;
		echo '*****$byte_694111 = '.$byte_694111;
		#if($byte_69410F<244)die;
		echo " source :";
		echo $value."\n";
	}
	*/
	
	if(strstr($value,"+="))
	{
		$tmpstr='$'.substr($value,0,strpos($value,"+="));
		$act="+=";
		$act2="-=";
		$num=substr($value,strpos($value,"+=")+2);
		#echo "doing ".$tmpstr.$act2.$num."\n";
		eval($tmpstr.$act2.$num);
		
		eval('if('.$tmpstr.'<0)'.$tmpstr.'+=256;');
		eval('if('.$tmpstr.'>255)'.$tmpstr.'-=256;');

	}
	elseif(strstr($value,'-='))
	{
		$tmpstr='$'.substr($value,0,strpos($value,'-='));
		$act="-=";
		$act2="+=";
		$num=substr($value,strpos($value,"-=")+2);
		#echo "doing ".$tmpstr.$act2.$num."\n";
		eval($tmpstr.$act2.$num);
		eval('if('.$tmpstr.'>255)'.$tmpstr.'-=256;');
		eval('if('.$tmpstr.'<0)'.$tmpstr.'+=256;');
	}
	elseif(strstr($value,"--"))
	{
		$tmpstr='$'.substr($value,2); #++byte_694114;
		$act="--";
		$act2="++";
		#$num=substr($value,strpos($value,"-=")+2);
		#echo "doing ".$act2.$tmpstr."\n";
		eval($act2.$tmpstr);
		
		
		$tmpstr = substr($tmpstr,0,strlen($tmpstr)-2);
		#echo 'if('.$tmpstr.'>255)'.$tmpstr.'-=256;';die;
		
		eval('if('.$tmpstr.'>255)'.$tmpstr.'-=256;');
	}
	elseif(strstr($value,"++"))
	{
		$tmpstr='$'.substr($value,2); #++byte_694114;
		$act="++";
		$act2="--";
		#$num=substr($value,strpos($value,"-=")+2);
		#echo "doing ".$act2.$tmpstr."\n";
		eval($act2.$tmpstr);
		$tmpstr = substr($tmpstr,0,strlen($tmpstr)-2);
		eval('if('.$tmpstr.'<0)'.$tmpstr.'+=256;');
	}
	elseif(strstr($value,'^='))
	{
		$tmpstr='$'.substr($value,0,strpos($value,"^="));
		$act="^=";
		$act2="^=";
		$num=substr($value,strpos($value,"^=")+2);
		#echo "doing ".$tmpstr.$act2.$num."\n";
		eval($tmpstr.$act2.$num);
		#eval('if('.$tmpstr.'>255)'.$tmpstr.'-=256;');
	}
	else
	
	die('something wrong! '.$value);
	/*
	if (strstr($value,'byte_694111'))
	{
		echo '---$byte_694111 = '.$byte_694111."\n";
		#die;
	}
	*/
}

for($i=6897920;$i<6897920+24;$i++)
{
	#echo '$byte_'.strtoupper(dechex($i)).'=';
	eval('echo chr($byte_'.strtoupper(dechex($i)).');');
	#echo ' | ';
	#eval('echo $byte_'.strtoupper(dechex($i)).';');
	#echo "\n";
}
echo "\n===============\n";echo 'j is '.$j."\n";
$a=10;
echo $a^10;
echo "\n";
echo $a^0xa;






巫师54
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
南邮ctf攻防平台RE第四题WxyVM1
计算机小白的博客
07-28 3253
今天做了南邮攻防平台RE第四题,链接:http://ctf.nuptsast.com/用Winhex打开以后可以看出来是ELF文件,所以用IDA打开,找到main函数,F5。 可以看出来,程序的意思就是:输入flag,经过sub_4005B6那个函数进行运算,然后长度必须为24,再与最终答案进行比较,检测是否正确。 接下来看那个运行的函数: 6010C0是一个长度为15000的数组,每
南京邮电大学攻防平台 逆向writeup
Aslani的博客
01-27 2259
南邮 逆向writeup看题目说使用IDA,用f5直接反编译可以得到源码int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[3]; // [sp+11h] [bp-7Fh]@2 signed int v5; // [sp+75h] [bp-1Bh]@1 signed int v6; //
南邮CTF逆向题第六道WxyV2解题思路
iqiqiya的博客
12-24 967
如题 看提示应该与第四道题WxyVM一样是ELF文件 那么我们直接上IDAx64 http://blog.csdn.net/xiangshangbashaonian/article/details/78883486  首先找到main函数 还是习惯性查看下可疑字符串 按下F5查看伪代码(中间有大段 我省略截图了) 这次就不一行一行分析了 大致
WP-南邮CTF逆向第六题 WxyVM2
z4ky的博客
11-08 584
WP-南邮CTF逆向第六题 WxyVM2 用记事本打开WxyVM2,发现是elf文件 用ida pro载入这个文件,找到main函数 这个地方有个红色的部分 ,意思是块内容太大,无法显示, 这里我们先不用管,过会查看伪代码之后就知道什么意思了,,, 按下F5查看伪代码,这个地方由于代码过于庞大,耐心等待了一会,终于显示出来了,对了,这个地方有的朋友可能由于代码段过大而没有办法查看伪代码,这个时...
南京邮电大学网络攻防平台逆向writeup之[maze]
qq_31344951的博客
07-31 983
#1 用IDA打开很容易找到入口位置发现,密码长度必须是24位,格式是nctf{**********},然后给s1截断了前5个字符,在字符串判断循环的时候长度减了1,if ( ++v3 >= strlen(&s1) - 1 ),也就是说,取{*****}之间的内容。   puts("Input flag:");   scanf("%s", &s1, 0LL);   if ( strle
山东省大学生网络安全技能大赛决赛Writeup.pdf
09-30
本文档总结了山东省大学生网络安全技能大赛决赛的Writeup,涵盖了Crypto0x00 RSA1、RSA2和仿射加密三个部分的知识点。 Crypto0x00 RSA1 在Crypto0x00 RSA1部分中,我们需要使用Python脚本或者OpenSSL来解出RSA加密...
攻防世界 supersqli writeup
12-14
发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能使用#,不知道为什么没有,最后发现是在查询...
新手CTF逆向题目.rar
07-21
新手CTF逆向题目,可以用作入门学习,内容全面。 包括CTF大赛题目及截图,详细Writeup解答过程, 逆向相关。(摘自52pojie资源区)
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
南京邮电大学 RE-WxyVM2
WocW的博客
09-10 809
把文件拖入IDA进行反编译。然后到main函数F5查看伪代码(IDA7.0版本不能查看伪代码,6.8版本可以) 代码非常好读懂,输入一个数然后处理,然后再与某个字符串对比,完全一样即为flag。 要对比的字符串存在dword_694060 dword为双字类型,即每32位为一个字符。又因为在参与运算时候为BYTE类型 所以只需要取第一个字节,共取25个形成处理后的flag字符串...
CTF逆向-简单虚拟机指令类题目分析
11-26
CTF逆向-简单虚拟机指令类题目分析CTF逆向-简单虚拟机指令类题目分析
南邮攻防平台综合题2脚本
07-11
南京邮电大学网络攻防平台综合题2脚本,可以直接跑出所需的数据。
南京邮电大学网络攻防平台逆向writeup之[WxyVM]
qq_31344951的博客
08-01 1869
#1 找到主函数,看上去很简单,把输入的字符串拿去一个函数作运算,然后拿字节和一个固定的dword对比 坑点1:动态调试的时候才找到,是拿byte和dword对比,这里卡了好久,终于找到拿出来对比的字符串了。 #2 进入sub_4005b6();这个就是加密函数,byte_6010C0 是一个类似hash表的东东,有1500字节长,为了方便读取截出来
某ctf平台逆向题目-算法-writeup
tu_siji的博客
03-20 2996
  逆向新手,最近做了D0g3平台的ctf,发现了比较好的算法题目  算法:OMG(1)  题目下载链接:https://pan.baidu.com/s/1nu8rtxR  用IDA反汇编得核心算法如下: 需要对flag进行爆破。特别需注意密码算法中i,j取值的变化关系C语言代码如下:运行即得flag。。。。D0g3{xxxxxxxxxxxx}...
菜鸟学习C语言——数组地址与数组元素地址
zjq1042970687的博客
08-11 2051
定义一个结构体数组 typedef struct { int a; float b; }Test_T; Test_T c[3]; 那么c、&c、&c[0]有什么区别和联系呢? 数组名c代表数组第一个元素的指针,指向第一个元素(即&c[0]),数组中的其它元素可以通过c的位移得到,即c+i=&c[i]。所以c和&c[0]意义是一样的。 &c数值上等于整个数组的首地址,在数值上与&c[0]相等,含义上代表整个数组所占内存的大小,其进阶单位是
逆向WxyVM1----给同学写的解题思路
thread
09-27 927
给同学写的,上传下当做笔记 两个关键点 第一个函数的作用是改变输入的字符串 第一个函数先放一放 我把改变后的输入字符串设为 输入2 以示和之前原本输入的字符串有区别 看下第二个点 遍历输入2的每一个字符 和dword的数组对比 每一个都要一样 于是提取下这个数组 ata:0000000000601060 dword_601060 dd 0FFFFFFC4h ; DAT...
cgctf RE WxyVM1
qq_42192672的博客
12-08 456
之前沉迷各种实验,咕了真的有点久了……咕咕咕 自己分析虚拟机指令的能力一向是比较弱的,应该说主要就是基本没有练过,打算从简单开始练习 基本就是一个这样的一个ELF文件,拖进IDA分析 首先分析main函数 然后分析函数4005B6 流程基本就这样,三个一组,写个脚本逆回去就好 脚本,数据特别多…… dword_601060 = [0xC4, 0x34, 0x22, 0x...
南京邮电大学网络攻防平台WriteUP——WEB(上)
Fly_鹏程万里
02-27 5715
前言        南京邮电大学网络攻防平台(http://ctf.nuptsast.com/)是一个集合了WEB、MISC、密码学、PWN、逆向的一个CTF训练平台,对于初次涉及ctf小伙伴来说是非常不错的一个训练平台,这篇博客主要为大家讲解一些在ctf中的解题思路。WEB部分1.签到题      点击传送门“题目地址”之后可以看到页面显示“key在哪里?”,此时你也许非常好奇,你正在找key,...
170818 逆向-南邮CTF(WxyVM2
whklhhhh的博客
08-18 1803
1625-5 王子昂 总结《2017年8月18日》 【连续第320天总结】 A. 南邮CTF-WxyVM2 B. 上次没做完的正巧在52破解论坛上看到有人发问了,就摸过来再做做看 跟WxyVM1比较像,不过感觉这题相比VM来说更像花指令~ 首先看源码分析,先验证长度为25,然后进行了一大片的加减异或操作,最后与内存中的一个字符串进行比较 上次乍一看大片的加减异或操作不好处理,也没想到
第二届强网杯网络安全挑战赛Writeup
"这篇资源是关于第二届强网杯全国网络安全挑战赛的Writeup,涵盖了多个关卡的解题策略和技巧。" 在本次网络安全挑战赛中,参赛者需要解决一系列网络安全问题,这些问题涉及到图像隐写术、密码学、程序逆向工程以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值