XCTF-Reverse-ExerciseArea-011-writeup

最新推荐文章于 2023-11-09 08:33:28 发布
最新推荐文章于 2023-11-09 08:33:28 发布
阅读量4.1k 收藏
点赞数
分类专栏: ctf 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35056292/article/details/99080927
版权

0x00 介绍

本题是xctf攻防世界中Reverse的新手第十一题。题目来源:CSAW CTF 2014

给了一个二进制文件csaw2013reversing2.exe,需要对该二进制文件进行逆向分析,找到flag

实验环境:IDA Pro 7.0,ollydbg

本题考查的是反调试,IsDebuggerPresent函数int 3中断

0x01 解题过程

1.1 文件分析

windows下的可执行文件,32位


root@kali:~/hzy/ctf-learning# file csaw2013reversing2.exe 
csaw2013reversing2.exe: PE32 executable (console) Intel 80386, for MS Windows
root@kali:~/hzy/ctf-learning#

1.2 逆向分析

  1. 在windows下运行该文件,发现是一坨乱码, = =||

在这里插入图片描述

  1. 能知道的就只有Flag中止重试忽略四个字符串,在这里我先在IDA和Ollydbg里搜索字符串Flag,找到引用它的地方。[ebp-0xC]是乱码字符串的起始地址

并且在IDA中可以发现基本块0x40108C ⇒ 0x401094处,调用了数据段ds(Data Segment)的IsDebuggerPresent函数,后面判断了返回值是否为0。因此,猜测这是检查程序是否在调试的,可以看到,调试和不在调试,程序执行流是往不同的方向进行跳转的。


.text:0040108C                 call    ds:IsDebuggerPresent
.text:00401092                 test    eax, eax
.text:00401094                 jz      short loc_4010B9
  1. 一开始我先修改了IsDebuggerPresent函数的返回值,将其改为0,发现显示的还是乱码;然后我发现基本块0x4010A5 ⇒ 0x4010B7是没有入口的,因此在修改了函数返回值的基础上又修改了.text:00401094 jz short loc_4010B9的跳转地址,跳转到基本块0x4010A5 ⇒ 0x4010B7

push    2               ; uType
push    offset Caption  ; "Flag"
push    [ebp+lpMem]     ; lpText
push    0               ; hWnd
call    ds:MessageBoxA
jmp     short loc_4010CD

发现还是乱码……

  1. 最后决定在ollydbg中测试运行调试的分支会有什么结果

在这里插入图片描述

可以看到基本块0x401096 ⇒ 0x4010A3中


.text:00401096 loc_401096:                             ; CODE XREF: _main+50↑j
.text:00401096                 inc     ecx
.text:00401097                 inc     ecx
.text:00401098                 inc     ecx
.text:00401099                 inc     ecx
.text:0040109A                 int     3               ; Trap to Debugger
.text:0040109B                 mov     edx, [ebp+lpMem]
.text:0040109E                 call    sub_401000
.text:004010A3                 jmp     short loc_4010EF

有个int 3中断,为调试断点指令。然后将字符串起始地址赋值给了edx寄存器,调用了函数sub_401000。最后直接跳转到进程结束的函数调用

在ollydbg中调试,可以看到当执行完调用函数sub_401000以后,edx寄存器中的乱码内容被解密出来了,拿到flag。。并且可以看到该函数sub_401000是解密用的函数

在这里插入图片描述

flag为:flag{reversing_is_not_that_hard!}

ps: 如果还要显示在messagebox中的话,就在ollydbg中,把下面指令中的跳转地址0x003D10EF修改为003D10B9即可


003D10A3    JMP SHORT 003D10EF
y4ung
关注
专栏目录
CTF刷题之旅】XCTF嘉年华体验赛逆向题re2的writeup
iqiqiya的博客
10-22 1405
这道题采用动静结合的方法尝试了一下 动态调试的时候想加快进度  跳过sleep()  遇到那两个jle跳转   直接修改SF标志位为0来修改执行流程  可以看到 左侧箭头会变成虚线 对了   第三个jle在sub_400C9A()中 main()函数如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { uns...
XCTF 逆向进阶区Windows_Reverse1——WriteUp
qq_43547885的博客
02-20 1094
题目链接: Windows_Reverse1 答题过程 脱壳 首先将程序拖入 Exeinfo PE 中查看相关信息: 发现程序有upx壳, 使用upx -d将壳脱去: 脱壳显示成功, 但奇怪的是程序一运行就闪退. 先不讨论该问题, 最后再来研究. IDA PRO 分析程序 用 IDA PRO 打开该程序, 直接查看反编译代码, 发现程序逻辑非常清晰:int __cdecl main(int...
XCTF-Reverse-ExerciseArea-012-writeup
y4ung
09-14 484
0x00 介绍 本题是xctf攻防世界中Reverse的新手第十二题。题目来源:NJUPT CTF 2017 题目描述:菜鸡想要走出菜狗设计的迷宫 这题是一道迷宫类型的题目,可以参考CTF-Wiki里的迷宫问题 0x01 解题过程 Linux下的可执行文件 $ file bdb2c015b0fd4f74bc4c3e5a6e54bcf4 bdb2c015b0fd4f74bc4c3e5a6e54bcf4: ELF 64-bit LSB executable, x86-64, version 1 (SYSV),
XCTF REVERSE csaw2013reversing2
qq_41743240的博客
04-13 270
把程序拖入 ida 发现可疑地方 , 默认这个 if 不成立 , 跳转到下面代码直接输出 flag, 即乱码 所以必须经过 sub_401000 函数进行解码 查看汇编 loc_401096 这里一个 int3 断点 , 而 loc_4010B9 为输出弹窗 所以解题思路为让程序跳转到 loc_401096 进行解码 , 把 int3 改为 nop(0x90), 再跳到 loc_4010B9 进...
xctf csaw2013reversing2
weixin_43600412的博客
10-27 421
先运行此程序: 窗口只认识一个 flag,除此都是乱码,初步猜测乱码内容是flag的密码,我们可以通过查找字符串flag来找到窗口输出函数,进一步确定乱码的信息。 接下来载入ida进行分析: 找到main函数,进行伪代码分析: 1.看到第16行代码,输出flag,lpMem中保存着flag值。 2.第8行代码,为lpMen申请内存空间。 3.第9行代码,为lpMem赋值。其中&unk_40...
re学习(34)攻防世界-csaw2013reversing2(修改汇编顺序)
m0_66039322的博客
08-17 859
所以我们把这个跳转也给nop掉,继续F8,执行完一个MessageBoxA(弹框)函数后,发现程序此时处于Running状态,弹出一个什么也没有的框,其实这是另外一个弹框函数,真正输出flag的弹框函数是后面那个,在我们之前那个ida的修改之后的汇编图也可以发现,确实是有一个没有被调用的弹框函数,所以我们之前可以那个nop掉的跳转改为跳转到下面那个弹框函数,但既然说了是nop大法,就nop到底。由于运行之后的是乱码,所以可以猜测生成flag的函数没有执行,所以需要跳到生成flag的函数执行,但是前面的。
XCTF-RE】新手练习区-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
guess-xsctf
07-28
- *1* [xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number](https://blog.csdn.net/l8947943/article/details/124064262)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...
红队系列-网络安全知识锦囊(持续更新)
最新发布
aming小老弟
11-09 1007
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
攻防世界逆向入门题之csaw2013reversing2
沐一 · 林 的博客
08-17 785
攻防世界逆向入门题之csaw2013reversing2 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向入门题的csaw2013reversing2 首先把下载的附件扔如exeinfope中查看信息: win32无壳,那么既然是windows的直接双击运行一下看看: 弹了个框,结合题目所说的: 听说运行就能拿到Flag,不过菜鸡运行的结果不知道为什么是乱码 那么这个就是乱码的flag了,乱码有好多种,base64加密等等这些,我们一个个排除,先扔入IDA中查看伪代码。要先看C或C++伪代码再分析反汇编
[攻防世界]csaw2013reversing2
逆向萌新的博客
06-05 356
放入查壳软件中查壳,发现是32位无壳的软件,运行一下程序,看看有什么样的输出,得到的是乱码。 所以可能是里面的运算有问题,进入ida中进行查看,进入main函数,看汇编代码可能存在问题,进入反编译。 看到了,flag应该是在lpMen里面,但是返回去看汇编 按照逻辑图来看。 没有走flag的那里的逻辑,所以我们静态调试可能就会很费劲,所以用OD进行调试,在OD中查找flag,直接跳转过去。 这里是有需要修改的地方,看逻辑位置,在图片中标记出来。 按照正常的逻辑,这里flag的运算会被跳过,那么把跳转和
csaw2013reversing2
XFox_的博客
10-24 199
csaw2013reversing2 IDA分析写脚本 OD调试 IDA修改汇编代码 IDA分析写脚本 方法一:写脚本运行得到flag 查看main函数 hHeap = HeapCreate(0x40000u, 0, 0); lpMem = (CHAR *)HeapAlloc(hHeap, 8u, SourceSize + 1); memcpy_s(lpMem, SourceSize, &unk_409B10, SourceSize); //memcpy_s是memory cop
攻防世界reverse新手区整理
Lenard404的博客
07-29 571
小白终于过了新手区TUT insanity 查壳 打开IDA用万能的F5查看main函数 有效信息不足,再用万能的shift+F12查看字符串 得到flag: 9447{This_is_a_flag} pthon-trade pyc文件不能用IDA反编译,所以利用在线反编译工具。 在线反编译(python反编译 - 在线工具 (tool.lu)) #!/usr/bin/env python # visit https://tool.lu/pyc/ for more information impor
re学习笔记(27)攻防世界-re-csaw2013reversing2
逆向随笔
01-19 821
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:攻防世界-re-csaw2013reversing2 题目下载:点击下载 既然运行就能拿到flag,就直接载入OD动态调试吧 F8一点点单步向下,来找到确切弹窗的位置 发现执行到这里的时候出现了弹窗,在这个位置下断点,重新载入 然后F9直接运行到此地址,F7进入call 然后F8单步,来到这里,jnz跳转未实现,je跳...
【逆向学习笔记1】攻防世界新手逆向题
weixin_45927195的博客
03-03 1741
1.Hello,CTF 拿到文件先运行一下。发现不管输入什么都是wrong,同时程序循环输出“please input your serial:”。需要找到一个正确答案。 用ida(32位)打开文件进行分析,大概流程是输入的字符串转换后若与v13相同,则success。其中关键的转换函数sprintf,指的是字符串格式化命令,主要功能是把格式化的v4写入v8中。 点开其参数asc_408044...
使用OD调试服务
wangtiankuo的博客
07-03 4280
使用OD调试服务(服务程序为EXE文件)1.       先注册服务。在\HKEY_LOCAL_MACHINE\SYSTE\CurrentControlSet\services下新建项,在该项下面新建如下值,注意这些值的类型。 Description:服务的描述DisplayName:服务显示的名字ImagePath       服务程序所...
攻防世界逆向-hello CTF
Tracey_YAN的博客
09-07 647
攻防世界逆向-hello CTF 无聊的exe文件,不过main函数很清晰,没有被隐藏 想尝试将奇怪的一串数字化为字符串而得到flag,未果,转换完还是这样子的 那么我们只能悲催的继续分析伪代码,看不懂就硬看 memcpy(&v22, "437261636b4d654a757374466f7246756e", 0x20u); v23 = *(_WORD *)"6e"; v24 = a437261636b4d65[34]; while ( 1 ) {memset(&v19,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值