ADworld reverse wp - crazy

最新推荐文章于 2023-10-07 11:52:34 发布
最新推荐文章于 2023-10-07 11:52:34 发布
阅读量496 收藏
点赞数 1
分类专栏: 逆向工程 文章标签: reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/121285653
版权

前言

忙里偷闲做一道攻防世界的C++逆向, 最近刷了一遍pipixia师傅的blog, 感觉作为一个binaryer, reverse和pwn不应该割裂开来, 而且之前做了半年逆向, 发现不知不觉间代码能力提高了(最近写代码的时候才发现的), 估计能够读懂反编译的伪码对码力也有训练作用吧, 而且入坑安全1年了, 逐渐体会到逆向是一件很有趣的事情, 以前做复杂逆向的时候总是很急躁, 现在才知道搞技术, 最重要的还是耐心.

分析过程

直接拖进IDA64 (IDA32弹框提示ELFx86-64, 并且应该养成习惯IDA之前先查壳
看到main函数

int __cdecl main(int argc, const char **argv, const char **envp)
{
  __int64 v3; // rax
  __int64 v4; // rax
  __int64 v5; // rax
  __int64 v6; // rax
  __int64 v7; // rax
  __int64 v8; // rax
  __int64 v9; // rax
  __int64 v10; // rax
  __int64 v11; // rax
  __int64 v12; // rax
  __int64 v13; // rax
  __int64 v14; // rax
  __int64 v15; // rax
  __int64 v16; // rax
  char v18[32]; // [rsp+10h] [rbp-130h] BYREF
  char v19[32]; // [rsp+30h] [rbp-110h] BYREF
  char v20[32]; // [rsp+50h] [rbp-F0h] BYREF
  char v21[32]; // [rsp+70h] [rbp-D0h] BYREF
  char v22[32]; // [rsp+90h] [rbp-B0h] BYREF
  char v23[120]; // [rsp+B0h] [rbp-90h] BYREF
  unsigned __int64 v24; // [rsp+128h] [rbp-18h]

  v24 = __readfsqword(0x28u);
  std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::basic_string(v18, argv, envp);
  std::operator>><char>(&std::cin, v18);
  v3 = std::operator<<<std::char_traits<char>>(&std::cout, "-------------------------------------------");
  std::ostream::operator<<(v3, &std::endl<char,std::char_traits<char>>);
  v4 = std::operator<<<std::char_traits<char>>(&std::cout, "Quote from people's champ");
  std::ostream::operator<<(v4, &std::endl<char,std::char_traits<char>>);
  v5 = std::operator<<<std::char_traits<char>>(&std::cout, "-------------------------------------------");
  std::ostream::operator<<(v5, &std::endl<char,std::char_traits<char>>);
  v6 = std::operator<<<std::char_traits<char>>(
         &std::cout,
         "*My goal was never to be the loudest or the craziest. It was to be the most entertaining.");
  std::ostream::operator<<(v6, &std::endl<char,std::char_traits<char>>);
  v7 = std::operator<<<std::char_traits<char>>(&std::cout, "*Wrestling was like stand-up comedy for me.");
  std::ostream::operator<<(v7, &std::endl<char,std::char_traits<char>>);
  v8 = std::operator<<<std::char_traits<char>>(
         &std::cout,
         "*I like to use the hard times in the past to motivate me today.");
  std::ostream::operator<<(v8, &std::endl<char,std::char_traits<char>>);
  v9 = std::operator<<<std::char_traits<char>>(&std::cout, "-------------------------------------------");
  std::ostream::operator<<(v9, &std::endl<char,std::char_traits<char>>);
  HighTemplar::HighTemplar((DarkTemplar *)v23, (__int64)v18);
  v10 = std::operator<<<std::char_traits<char>>(&std::cout, "Checking....");
  std::ostream::operator<<(v10, &std::endl<char,std::char_traits<char>>);
  std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::basic_string(v19, v18);
  func1(v20, v19);
  func2(v21, v20);
  func3(v21, 0LL);
  std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::~basic_string(v21);
  std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::~basic_string(v20);
  std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::~basic_string(v19);
  HighTemplar::calculate((HighTemplar *)v23);
  if ( !(unsigned int)HighTemplar::getSerial((HighTemplar *)v23) )
  {
    v11 = std::operator<<<std::char_traits<char>>(&std::cout, "/");
    std::ostream::operator<<(v11, &std::endl<char,std::char_traits<char>>);
    v12 = std::operator<<<std::char_traits<char>>(&std::cout, "Do not be angry. Happy Hacking :)");
    std::ostream::operator<<(v12, &std::endl<char,std::char_traits<char>>);
    v13 = std::operator<<<std::char_traits<char>>(&std::cout, "/");
    std::ostream::operator<<(v13, &std::endl<char,std::char_traits<char>>);
    HighTemplar::getFlag[abi:cxx11](v22, v23);
    v14 = std::operator<<<std::char_traits<char>>(&std::cout, "flag{");
    v15 = std::operator<<<char>(v14, v22);
    v16 = std::operator<<<std::char_traits<char>>(v15, "}");
    std::ostream::operator<<(v16, &std::endl<char,std::char_traits<char>>);
    std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::~basic_string(v22);
  }
  HighTemplar::~HighTemplar((HighTemplar *)v23);
  std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::~basic_string(v18);
  return 0;
}

从flag字符串倒着分析, 有getSerial, calculate, HighTemplar等可能的关键函数, 然后定位到
std::operator>><char>(&std::cin, v18);知道v18是输入的字符串
HighTemplar::HighTemplar((DarkTemplar *)v23, (__int64)v18);这里处理了输入字符串

分析一下HighTemplar

unsigned __int64 __fastcall HighTemplar::HighTemplar(DarkTemplar *a1, __int64 a2)
{
  char v3; // [rsp+17h] [rbp-19h] BYREF
  unsigned __int64 v4; // [rsp+18h] [rbp-18h]

  v4 = __readfsqword(0x28u);
  DarkTemplar::DarkTemplar(a1);
  *(_QWORD *)a1 = &off_401EA0;
  *((_DWORD *)a1 + 3) = 0;
  std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::basic_string((char *)a1 + 16, a2);
  std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::basic_string((char *)a1 + 48, a2);
  std::allocator<char>::allocator(&v3);
  std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::basic_string(
    (char *)a1 + 80,
    "327a6c4304ad5938eaf0efb6cc3e53dc",
    &v3);
  std::allocator<char>::~allocator(&v3);
  return __readfsqword(0x28u) ^ v4;
}

猜测327a6c4304ad5938eaf0efb6cc3e53dc是一串关键字符串, 虽然直接看还不清楚这个函数的作用, 但是先往下分析
在这里插入图片描述
发现v23出现在了所有可能是关键函数的参数位置, 接着分析calculate

bool __fastcall HighTemplar::calculate(HighTemplar *this)
{
  __int64 v1; // rax
  _BYTE *v2; // rbx
  bool result; // al
  _BYTE *v4; // rbx
  int i; // [rsp+18h] [rbp-18h]
  int j; // [rsp+1Ch] [rbp-14h]

  if ( std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::length((char *)this + 16) != 32 )
  {
    v1 = std::operator<<<std::char_traits<char>>(&std::cout, "Too short or too long");
    std::ostream::operator<<(v1, &std::endl<char,std::char_traits<char>>);
    exit(-1);
  }
  for ( i = 0;
        i <= (unsigned __int64)std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::length((char *)this + 16);
        ++i )
  {
    v2 = (_BYTE *)std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::operator[](
                    (char *)this + 16,
                    i);
    *v2 = (*(_BYTE *)std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::operator[](
                       (char *)this + 16,
                       i) ^ 0x50)
        + 23;
  }
  for ( j = 0; ; ++j )
  {
    result = j <= (unsigned __int64)std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::length((char *)this + 16);
    if ( !result )
      break;
    v4 = (_BYTE *)std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::operator[](
                    (char *)this + 16,
                    j);
    *v4 = (*(_BYTE *)std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::operator[](
                       (char *)this + 16,
                       j) ^ 0x13)
        + 11;
  }
  return result;
}

这里伪码很丑, 不过大概就是一个if和两个for, 要求字符串长度==32, 然后对每个字符^0x50 + 23, 然后^0x13 + 11

然后看看getserial

__int64 __fastcall HighTemplar::getSerial(HighTemplar *this)
{
  char v1; // bl
  __int64 v2; // rax
  __int64 v3; // rax
  __int64 v4; // rax
  __int64 v5; // rax
  unsigned int i; // [rsp+1Ch] [rbp-14h]

  for ( i = 0;
        (int)i < (unsigned __int64)std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::length((char *)this + 16);
        ++i )
  {
    v1 = *(_BYTE *)std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::operator[](
                     (char *)this + 80,
                     (int)i);
    if ( v1 != *(_BYTE *)std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::operator[](
                           (char *)this + 16,
                           (int)i) )
    {
      v4 = std::operator<<<std::char_traits<char>>(&std::cout, "You did not pass ");
      v5 = std::ostream::operator<<(v4, i);
      std::ostream::operator<<(v5, &std::endl<char,std::char_traits<char>>);
      *((_DWORD *)this + 3) = 1;
      return *((unsigned int *)this + 3);
    }
    v2 = std::operator<<<std::char_traits<char>>(&std::cout, "Pass ");
    v3 = std::ostream::operator<<(v2, i);
    std::ostream::operator<<(v3, &std::endl<char,std::char_traits<char>>);
  }
  return *((unsigned int *)this + 3);
}

将上面的计算结果this + 16的字符串和this + 80的作比较

解题脚本

其实不需要分析得太清楚, 已经可以猜到程序的脉路了, 总体来说还是比较简单的
exp

serial = "327a6c4304ad5938eaf0efb6cc3e53dc"
flag = ""
for ch in serial:
    flag += chr((ord(ch) - 11 ^ 0x13) - 23 ^ 0x50)
    
print("flag{" + flag + "}")

总结

cpp的反编译伪码非常丑陋, 不过不需要在意一长串函数名, 直接看关键位置就行, 比如cin, cout等
逆向还是更偏向于分析, 解题脚本往往比pwn的简单不少
逆向更多是自顶向下的分析, 从宏观把握程序逻辑, 忽略繁琐的代码细节, 猜测一个思路然后验证, 以加快逆向速度
当然除非是打pwn, pwn的逆向分析是要抠清楚漏洞点的所有细节的
(说一堆大道理其实都莫得用, 多刷题, 干就完了

最近实在太多事, 忙完这段我会继续更新BUU-pwn的wp, 并且开个BUU-reverse的新坑叭
关于打比赛的事…明年再说, 真没一大段时间肝比赛, 只能碎片时间里刷刷题维持生计的样子(

fa1c4
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
赛题类型 Web、Crypto、PwnReverse、Misc 各是指什么意思?
Sumarua的博客
07-26 1万+
赛题类型 Web、Crypto、PwnReverse、Misc 各是指什么意思? 一般我们在参加一些”网络安全技能大赛“的时候,都会出现“Web、Crypto、PwnReverse 、Misc”这五种赛题类型,往往很多新手都不清楚各是什么意思?代表了哪些方向? 今天就简单的给大家说说,具体如下: Web(渗透测试) 一般是指web网站渗透、漏洞利用。 例如:命令注入、 SQL注入、代码审计、 Restful API、Owasp10、BurpSuite。 Crypto(密码学) 主要是针对一些密码学,例如
广西首届网络安全选拔赛PWNREVERSE、决赛题目
热门推荐
zrools的博客
02-03 1万+
逆向和溢出没太多研究(无flag的为未解出),这两类和决赛题目放一起以减少篇幅!溢出类(PWN) PWN 在黑客俚语中代表着,攻破,取得权限,在CTF中它代表着溢出类的题目。 高水平溢出 分值:500 附件:55ed7cb0866ec 靶机:192.168.43.84 小张由于电脑被入侵,下场很惨,于是专心学习溢出,只是没想到从网上经过别人指点找到这个东东,完全不知道是什么。当时小张就瞬间蒙逼了
CTF术语_Reverse&Pwn(持续更新)
F1ash000
08-18 3288
Reverse: OD ---- OllyDebug :具有可视化界面的 32 位汇编-分析调试器,动态调试 IDA ----IDA Pro:交互式反汇编器,静态反编译软件 OEP ---- Original Entry Point : 程序入口点 PUSHAD(压栈): 代表程序的入口点 POPAD (出栈) : 代表程序的出口点,与PUSHAD相对应,一般找到这个OEP就在附近...
对某次比赛里PWN的分析
1phan的博客
04-11 708
MD5: FC76A2EFBD7D07A89A2DD343B9328E26 SHA1: EDAA95DB7406E5076A2AA8B30BA6B3E7547CD7B4 CRC32: 1374F4F7 很久很久之前某次CTF的PWN。。。题目在附件。 首先分析.exe文件 前面可以看到程序创建了socket服务 黄色选中的call为‘程序功能
PWN学习笔记(1)
Jason_ZhouYetao的博客
07-16 2816
首先来说说pwn,这个水还是很深的,不过我学习pwn的原因是我觉得pwn是最接近黑客的东西,当然web也是我考虑的一个方向,但是pwn更加偏向于对代码这方面的知识,所以我也就选择了pwn这个方向。 0x1 首先pwn的最基本的东西就是c语言,一般的pwn题目都是以c代码来出的题目,所以学好c是做pwn的前提,之后还需要一定的Linux命令的基础和各种插件的使用(比如在溢出这块还是以gdb的pe...
ADworld reverse wp - debug
fa1c4的blog
06-05 96
.NET, 用dnspy反编译 找一圈, 找到提示u got it字符串的关键位置 说了是debug, 动调一下, …, flag就出来了 flag{967DDDFBCD32C1F53527C221D9E40A0B}
ADworld reverse wp - babymips
fa1c4的blog
06-11 145
*(&i + i + 4) ^= 32 - i; 其实是对v5数组进行操作. &i + 4是v5起始地址, 观察栈帧得知. 之后对比fdata的5个字节数据 再进入sub_4007F0进行检查, 分别处理奇偶两种情况 奇数: v1 = (a1[i] >> 2) | (a1[i] << 6); 偶数: v1 = (4 * a1[i]) | (a1[i] >> 6); a1[i] = v1 再和off_410D04的数据进行对比, 共0x1B = 27个..
ADworld reverse wp - Windows_Reverse1
fa1c4的blog
05-31 107
upx壳, 机脱手脱都可以, 这里机脱 经过加密和DDCTF{reverseMe}进行对比, 所以逆向加密函数, 这里伪代码看不出做了什么, 直接看汇编, 能判断ecx保存了一个变量, 所以相当于有两个参数使用, v1[v4]是调用a1数组的元素, 元素的值作为下表索引byte_402FF8数组, 保存到v1数组中, v1的值是由ecx寄存器传递过来的, 这里伪代码没有体现, 所以需要读汇编才能得知. 调用sub_401000()时操作ecx指向的数组前会执行若干条push指令, 考虑栈帧结构变.
ADworld reverse wp - Replace
fa1c4的blog
06-05 156
strlen(Buffer) <= 37, sub_401090第二个参数伪代码没有体现出来, 直接看汇编 edx是第二个参数a2, 通过main函数的汇编得知edx保存strlen(&Buffer) 所以可以判断strlen(&Buffer) == 35, 然后就是通过sub_401090的检测. 数据处理 逆向sub_401090函数, 不是对称的加密, 所以采用爆破找到flag byte_402150 = '2a49f69c38395cde96d6de96d6f...
Adworld2012互联网营销世界大会PPT下载
07-23
教程名称: Adworld2012互联网营销世界大会PPT下载【】APPS新媒体运营及营销探索-岳建雄-搜狐【】体育营销动起来-陈鄂-力美【】品牌广告推动移动营销创新-郭伟-安沃传媒【】基于受众的网络广告交易市场-王岳龙-传漾...
adworld-wargame:我对https://adworld.xctf.org.cntask上的pwn挑战的利用
02-13
在这个"adworld-wargame"挑战中,我们可能需要分析提供的Python代码,寻找可能导致任意代码执行或缓冲区溢出的漏洞。 Python作为一个高级解释型语言,通常被认为比C/C++等低级语言更安全,因为它具有自动内存管理...
【XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
Adworld2009互动营销年度盛典English介绍
09-18
Adworld2009互动营销年度盛典English介绍
【XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
dll注入失败原因总结
fa1c4的blog
03-15 6493
常见的几个原因 Windows Vista/ 7及之后的系统使用了会话隔离技术. 导致钩取API kernel32.CreateRemoteThread()失败, 可以尝试钩取ntdll.NtCreateThreadEx() 开启杀毒软件的进程保护功能导致注入失败. 注入的dll文件与目标文件格式不一致, 比如PE32注入PE32+, 或者PE32+注入PE32文件都会失败. ...
Winhex数据粘贴方法
fa1c4的blog
03-08 4840
Winhex选定一个起始地址 注意两种方式的区别, paste是将剪切板的内容插入文件, 会导致文件数据量增加. write是覆盖原数据, 维持数据量不变. 熟悉以后选择一个起始地址按快捷键即可 Ctrl + V 插入 Ctrl + B 修改 ...
热补丁原理
fa1c4的blog
03-15 1999
热补丁 普通代码修改技术是修改API起始地址的5个字节, 而热补丁是修改7个字节. 相比代码修改的API钩取, 采用热补丁能提高多线程系统的稳定性和性能. 原理和特征 二次跳转 不需要钩取函数进行脱钩/挂钩操作 ...
[论文分享] Where’s Crypto?
fa1c4的blog
07-05 1695
USENIX 2021的一篇二进制代码中密码原语识别的工作
BUUCTF reverse wp 96 - 100
最新发布
fa1c4的blog
10-07 1609
至此BUU前100个逆向题打完, 后续的WP可能只出有价值的题目, 并不再按顺序打。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值