ciscn-2022 东北赛区分区赛 RE-hana

最新推荐文章于 2022-12-03 22:51:28 发布
最新推荐文章于 2022-12-03 22:51:28 发布
阅读量572 收藏
点赞数
分类专栏: 逆向 文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34010404/article/details/125893052
版权

逆向太菜了,当时没逆出来,今天复现一下,虽然出了,但是是下断点断出来的…

脱壳

给了一个exe程序,MFC的图标。(但是是易语言写的,还加了壳…)
在这里插入图片描述
拖进IDA,
在这里插入图片描述
一开始有一长串脱壳的代码,一直往下拉,最后一条jmp 跳到原始入口点.
在这里插入图片描述
直接在此处下断点,此时的exe在内存中已经脱掉了壳,接下来把内存中的exe保存下来.
用lordPE看一下ImageSize,此处是0xe5000
在这里插入图片描述
用ida python把0x400000开始0xe5000个字节写到文件里面。

with open('dump.exe','wb') as file:
	file.write(idc.get_bytes(0x400000,0xe5000))

接着修复exe (因为文件中的exe和内存中的状态是不一样的,FileAligment和MemAligment不同),简单一点,直接改FileAligment和MemAligment为一样的值,写成0x1000.

在这里插入图片描述
接着把每个Section在文件中的偏移和大小改成和在内存中的一样 (也就是VirtualAddress 和 Virtual Size)
在这里插入图片描述
修改entry point 为: 0x45fc55 - 0x400000

接着修复导入表(内存中的导入表对应位置已经被换成了函数的地址,现在再还原为函数的名字):
在IDA里面hex dump 分析一下,脱壳后的 导入表和脱壳之前的一样,直接照着之前的导入表抄下来就行

在这里插入图片描述
这里我已经修改过了,没修改之前的ThunkValue 处是一个函数地址,修改之后就是函数名字的偏移。

然后拖进IDA ,发现提示
在这里插入图片描述
看一下导入表,为空。

最后发现是section 权限问题,直接都改成rwx,导入表识别成功 并成功运行!

在这里插入图片描述
在这里插入图片描述
(LordPE修改的时候一定要save…)

逆向:

(发现前面和MFC的代码差不多…e语言应该是在MFC上又封装了很多.)
在这里插入图片描述
单步调式跟到这里的时候后面会进入阻塞状态,多跟几次,到0x4010B0的地方.
(一开始代码不是这样的,需要修改一下函数类型)
在这里插入图片描述
(看到哪里有一个 == 38,猜测是比较输入的长度,这里应该就是关键的代码了.)
看一代码,发现看不懂,接着写一个易语言程序来对比一下。
在这里插入图片描述
在这里插入图片描述
上面的代码对应的这样的c语言代码.大概稍微了解之后继续看我门的程序.

注意观察变量的值,进入4015c0
在这里插入图片描述

单步跟到这里(别的地方看不懂,这里和我们输入的数据有关,重点看一下)
在这里插入图片描述
里面貌似开了一块内存
struct {
dowrd 1
dword len
char szText
}
最后返回地址
在这里插入图片描述
一般情况下之后将会用这个指针来加密数据,往后看一下,红色圈主的部分使用了这个指针。
在这里插入图片描述
其实这里我是下硬件断点找到的,(猜测后面会使用那个指针)
在这里插入图片描述
两个关键的函数,进去看一下类似rc4加密。最后加密之后又放到前面的那个结构体中返回

后面一定会将加密后的数据和某些数据做对比,直接下断点。
在这里插入图片描述
这个函数比较加密后的数据和exe里面某个位置的数据,看一下调用时的参数,就是这里的数据.刚好对应前面的那个结构体.
在这里插入图片描述

解密程序:

char arr[] =
{
	0x57, 0x33, 0x3B, 0x51, 0x0E, 0x90, 0x9A, 0xF4, 0x8A, 0xCA,
	0x72, 0x20, 0x09, 0x26, 0x59, 0x3C, 0xF1, 0x81, 0x28, 0x4B,
	0x88, 0xE3, 0x14, 0x87, 0x79, 0x21, 0x30, 0x62, 0xA6, 0xF5,
	0xEB, 0x7C, 0x74, 0x06, 0x86, 0x66, 0xE1, 0x1A, 0x9D, 0xA0,
	0xE5, 0x24, 0xF9, 0x99, 0x34, 0x29, 0x64, 0xB4, 0xB7, 0xBF,
	0x60, 0xE7, 0x4D, 0xEC, 0x77, 0x15, 0x19, 0x8B, 0xEF, 0x6E,
	0xA5, 0x55, 0x08, 0x89, 0x75, 0x7F, 0x1C, 0xCD, 0x2D, 0x0C,
	0xE0, 0x5C, 0xE6, 0xAE, 0x2E, 0x3D, 0xC6, 0x94, 0x5B, 0xBB,
	0x0D, 0xAC, 0xA3, 0xDF, 0xA8, 0x18, 0x67, 0x5F, 0x2C, 0xD8,
	0x71, 0x1F, 0x48, 0xC8, 0x6D, 0x69, 0x46, 0x2F, 0x83, 0x27,
	0x35, 0xA4, 0xE9, 0xB1, 0x16, 0xD5, 0x53, 0x52, 0x43, 0xD7,
	0x8C, 0xA9, 0xDD, 0xFE, 0x4F, 0x6B, 0x9F, 0xD3, 0xAF, 0x56,
	0xCF, 0x6F, 0x96, 0xD0, 0x3A, 0xDA, 0x84, 0x76, 0xF3, 0xE2,
	0xE8, 0xF2, 0x8E, 0xDC, 0xD1, 0x4C, 0xB5, 0x1D, 0x0B, 0x9B,
	0x05, 0x39, 0x2A, 0x03, 0x93, 0x49, 0x97, 0x68, 0xCB, 0xF0,
	0xED, 0x32, 0xF8, 0x92, 0xA7, 0xC5, 0xB0, 0xC7, 0xC9, 0xFB,
	0xA2, 0xAB, 0x38, 0xBC, 0xD9, 0xDE, 0x12, 0x63, 0x01, 0xCE,
	0x95, 0x2B, 0x44, 0xB6, 0xC1, 0x8D, 0xB8, 0x6C, 0xFD, 0x54,
	0xB3, 0xD6, 0x73, 0xCC, 0xD4, 0x23, 0x11, 0x85, 0xF7, 0x91,
	0x3E, 0x5D, 0x7B, 0xA1, 0x9C, 0x98, 0x13, 0x22, 0xAD, 0x80,
	0x02, 0x36, 0x58, 0xDB, 0xD2, 0x41, 0x42, 0x50, 0x25, 0x65,
	0xEE, 0x82, 0x00, 0xC2, 0xFF, 0xFC, 0xB2, 0x70, 0x1E, 0x04,
	0x5E, 0xE4, 0x47, 0xF6, 0x8F, 0xC0, 0x1B, 0x9E, 0xBA, 0x31,
	0x7A, 0x45, 0xBE, 0x4E, 0x5A, 0xC3, 0xEA, 0x4A, 0x6A, 0xC4,
	0x07, 0x0F, 0xFA, 0x10, 0x7D, 0x40, 0x78, 0x61, 0xBD, 0x0A,
	0x7E, 0x37, 0xB9, 0x17, 0x3F, 0xAA, 0x00, 0x00, 0x00, 0x00
};


void swap(char*p1,  char*p2){
	 char temp = *p1;
	*p1 = *p2;
	*p2 = temp;
}


char encoded_flag[] =
{	0x56, 0xEC,
	0xA0, 0xDC, 0x57, 0x07, 0xF4, 0xA3, 0xE9, 0x77, 0xBF, 0x93,
	0xBC, 0x86, 0x52, 0xA5, 0x14, 0x6A, 0xA5, 0xBD, 0xB5, 0xD2,
	0x7F, 0x0B, 0x9B, 0x67, 0x1D, 0x08, 0xEF, 0xC9, 0x32, 0x5D,
	0x43, 0xED, 0x1E, 0x01, 0x4B, 0x7B,0
};

unsigned __int8 __cdecl enc_flag(char *flag, int len, char *arr)
{
	int idx; // ebx
	unsigned __int8 result; // al
	char v6; // cl
	unsigned __int8 v7; // di
	char v8; // bp
	unsigned __int8 v9; // [esp+8h] [ebp-Ch]
	char *v10; // [esp+Ch] [ebp-8h]
	char *v11; // [esp+10h] [ebp-4h]
	unsigned __int8 arra; // [esp+20h] [ebp+Ch]

	idx = 0;
	result = arr[256];
	v6 = arr[257];
	if (len <= 0)
	{
		arr[256] = result;
		arr[257] = v6;
	}
	else
	{
		v7 = result;
		v8 = arr[257];
		do
		{
			arra = v7 + 1;
			v7 = arra;
			v11 = &arr[arra];
			v9 = v8 + *v11;
			v8 = v9;
			v10 = &arr[v9];
			swap(v11, v10);
			flag[idx++] ^= arr[(unsigned __int8)(*v11 + *v10)];
		} while (idx < len);
		result = v9;
		arr[256] = arra;
		arr[257] = v9;
	}
	return result;
}

int main()
{
	enc_flag(encoded_flag, 38, arr);

	return 0;
}

最后得到flag

Suspend.
关注
专栏目录
ciscn2021东北赛区分区赛
kingdring的博客
06-15 654
ciscn2021东北赛区分区赛 ++Spirit k1ling 感谢Dazz1e大佬陪我看了很久hh summary 3720pt,rank11 晋级名单还没出,不过大概率是前10进,正好卡掉了,就差一步到罗马,真的意难平… 但是想想自己菜成这样全靠gs带也就释然了一些 这东西就跟S赛一样,今年没了你就要咽下所有的不甘,然后更加努力,等着明年杀回来 ++Spirit绝不会止步于此 今年进第二轮之后改了个名,k某人想去ciscn决赛,去决赛之前不改名,不管哪年,flag立这了。 misc 签到 工具
2022 ciscn 东北赛区分区赛 部分 wp
qq_23321269的博客
06-19 6707
2022 ciscn 东北分区赛 部分wp
CISCN分区赛东北部分wp
Htt9999的博客
06-27 775
东北分区赛部分wp
[CISCN 2022 东北]听说这是一个二维码
qq_47875210的博客
12-03 747
复现过程如下: 得到密码:Sound from deep --> ,想到工具,拖到工具中,提示输入密码,密码为0和255,可以代表0或者1,所以写个代码,提取一下所有的ip,然后得到二进制字符串 运行后,得到,现在是2进制转图片了,这一步毕竟简单,实现代码如下: 运行效果: 可以看到这两个,比较像,使用在线网站:戳我打开!flag{c736863427be5671102c039d43f0c75b}
ciscn 2022东北分区赛pwn blue
z1r0的博客
07-02 814
开了沙盒 最简单的解法还是借助environ来控制ret地址,然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址,因为show功能只能使用一次。 这一题的漏洞点是一次性的uaf漏洞,在666功能下 我们首先先借助这一次性的uaf泄露出libc。还是填满tcache,只不过下一个进unsorted bin的时候利用666这个uaf功能。 接下来思考一下如何泄露出environ里面的值,show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露,将flags
SAP-HANA-Administration-with-SAP-HANA-Cockpit-en
最新发布
06-27
《SAP HANA 管理与SAP HANA Cockpit》 SAP HANA Cockpit是一款基于Web的管理工具,用于对SAP HANA系统进行管理和监控,以及日常维护。这款工具为SAP HANA数据库(资源)的管理和监控提供了工具,并通过SAP HANA...
ha200-sap-hana-administration-amp-operations-sap-hana-participant-handbook
05-26
Thishandbookisintendedtocomplementtheinstructor-ledpresentationofthis course,andserveasasourceofreference. Itisnotsuitableforself-study
sqlalchemy-hana:适用于SAP HANASQLAlchemy方言
05-15
它可以使用受支持的SAP HANA Python驱动程序hdbcli(从SAP HANA SPS 2开始受支持)或开源的纯Python客户端PyHDB。 请注意,sqlalchemy-hana不是官方的SAP产品,并且不受SAP支持。 先决条件 具有已安装的SAP HANA DB...
S4-HANA-新一代财务解决方案概览
03-03
S4-HANA-新一代财务解决方案概览(60页)
CISCN2022东北赛区复赛Writeup-MapleLeaves
Do1phln的博客
06-19 3293
Do1phln b477ery sfc9982 0HB密文中字母跨度在 G-K 间,不禁让人想往 A-F 平移,平移后即为且全部为可打印 ASCII 文本。 拖入本地离线 CyberChef 中先使用Base32,再使用Base85 IP method 解密得到 flag分析音频,无有效信息。加之题目体制侧重于文件方向,使用 010 Editor 打开音频文件,在尾部发现类似 Base64 的文本信息,经过两次解密后得到某个东西的密码。 初步考虑文件内含压缩包或者音频存在隐写信息。经多个工具尝试过后发现
2022CISCN东北复现
XINO
08-04 771
stegsolve查看发现lsb隐写,红蓝绿通道有加密字符串,这里用seteg一把梭应该也可以感觉像base64,解码pi ka chu解码。
ciscn2022 re-babycode复现
qq_34010404的博客
05-31 680
使用mruby生成字节码 里面的字节码自行google正向和逆向的c代码: 一些需要注意的地方: Ruby 的
BUUCTF-[CISCN2019 华东北赛区]Web2
AndyNoel的博客
05-13 509
BUUCTF-[CISCN2019 华东北赛区]Web2 看题 一个论坛,内容不错:) 可以投稿,点击投稿发现要注册,那就先注册登录。随便账号密码就行。 常规操作,扫一下站点,发现有admin.php,进行访问 思路 有session,可以确定一个思路,获取管理员的session得到权限,然后拿到flag 执行 去投稿,发现存在XSS漏洞,但是有一些过滤,''(''被转义成了"(",存在WAF,先转码,然后eval执行JS代码,并且需要一个window.location.href来自动触发刷新页面 使用
CISCN2021 西北赛区分区赛 Web xb_web_flask_trick
feng的博客
06-08 795
前言 6.5号去了兰州打了分区赛,4道Web出了web1和web4,web2和web3都不会。这题flask是web3,讲道理对我这种对flask不熟悉的弟弟来说还是挺难的,比赛的时候只有西电的一个队伍出了。今天晚上在学长的帮助下终于出了这道题,也是学到了很多的东西。 源码 import os from flask import Flask, request, abort, session app = Flask(__name__) app.config["SECRET_KEY"] = os.urand
ciscn 2022东北分区赛pwn bigduck
z1r0的博客
07-01 747
这个是2.33下的,2.33下有free_hook 和 malloc_hook。这题开启了沙盒,禁用了execve 所以考虑orw攻击方法。这里有一个小坑点,2.33下通过unsorted bin泄露的时候,main_arena那里的低字节是\x00,所以直接show的话会show不出来。在show前利用edit将低字节改为\x01即可。最后算libc的时候 - 1即可。两种攻击思路,第一种借助environ泄露出stack然后改edit的ret为orw即可,第二种劫持hook为万能gadget(直接拿2
ciscn2021 西北分区赛部分pwn
mishixiaodai的博客
06-07 277
xb_pwn_easy 分析发现是道整数溢出的题,unsigned int8最大数为255,当输入的数字超出255时就会发生溢出。但当时做题我将v4输为0,也可以造成溢出,原因是read的第三个参数v4-1=-1,又read的第三个参数类型是size_t,当输入负值时,会将其转换为无符号数。 利用整数溢出漏洞,可以覆盖age、email、phone,可以将email覆盖为函数的got地址,这样就可以获得函数的地址并且得到libc的基地址。 修改puts函数的got表。一开始我将phone覆盖为puts_
ciscn 华中赛区分区赛 awd pwn2
yongbaoii的博客
07-15 479
libc 2.27 record 结构还是比较清晰的。 申请了一个大小为0x110的chunk。前0x10是mark,后0x100是msg。 在最后八个字节那里,维护了一个单链表。 scrape 也就是删除,但是在删除链表尾的时候有uaf。 browser 就是输出,上面花里胡哨的也没啥用,然后有个格式化字符串漏洞。 rewrite 可以重新写一下。 backdoor 也是在做一个输出。 漏洞有俩,一个格式化字符串,一个uaf。 uaf利用半天利用不出来,格式化字符串倒是简单。 exp from p.
2021 ciscn 华中赛区分区赛 pwn note
yongbaoii的博客
09-02 406
libc 2.31 保护是都拉上的。 刚开始有个花指令,通过一定的调整,再反汇编,就得到了正确的结果。 可以看到除了必要的初始化setbuf之外还将4050的地方清空了。 后面我们会看到4050就是存放地址的地方。 add 看一下content的输入 很明显的off by one。 整体结构还是比较清晰的,最多申请三个chunk。 free 清理的很干净。 show show也是正常泄露。 很明显的off by one,我们的常规思路也就是overlap或者unlink。 因为这里泄露不了基地址,所以我
2022 ciscn初赛 online_crt
l11III1111的博客
05-30 589
online_crt 题目给出附件先看app.py 给出了3个路由/getcrt是生成证书的路径暂时没看出有啥,然后就是createlink调用popen运行了c_rehash,看了一下是perl脚本,上网搜一下发现CVE-2022-1292,没有exp但是漏洞描述是当用户可控文件名时的命令注入,所以现在目标为控制文件名 再看到/proxy路由由用户构造报文,可以crlf,附件中还给了goserver看看源码 可以看到/admin/rename可以控制文件名称Request.URL.RawPath需要我
"数字化财务解决方案创新-借助SAPS4HANA
借助SAPS4HANA-打造数字化财务 SAPS4HANA是SAP公司开发的一种企业资源规划(ERP)软件,它能够帮助企业实现数字化财务管理。通过借助SAPS4HANA,企业可以提高财务管理的效率和准确性,实现业务流程的自动化和优化。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Suspend.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值