2021 祥云杯 RE dizzy WP

最新推荐文章于 2021-10-07 13:14:11 发布
最新推荐文章于 2021-10-07 13:14:11 发布
阅读量378 收藏
点赞数
分类专栏: ctf 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35740100/article/details/119967923
版权

这道题 其实是一道模拟题 作者估计也没想到 被hexRay背刺了 大概思想是模拟了 加 减 异或三种运算 可惜模拟的子片段能被hexRay识别并分析,导致把maxFunSize参数上限调高后,ida直接把运算式生成了:

byte_43841C[6] += byte_43841C[3];
byte_43841C[10] -= byte_43841C[27];
byte_43841C[10] += byte_43841C[6];
byte_43841C[14] += byte_43841C[3];
byte_43841C[28] ^= byte_43841C[24];
byte_43841C[30] += 33;
byte_43841C[12] += 33;
byte_43841C[24] ^= byte_43841C[21];
byte_43841C[22] += 33;
byte_43841C[25] += byte_43841C[10];
byte_43841C[4] += byte_43841C[6];
byte_43841C[12] += 33;
byte_43841C[17] += byte_43841C[0];
byte_43841C[20] += byte_43841C[17];

这就导致解该题 只需要复制出去,反转运算符即可
弱弱吐槽一句(其实作者的模拟汇编片段还是有若干变种的,无奈hexRay太过强大,不愧是价值几万刀的插件)

这里我用两种常见思路解决该题

angr

第一反应肯定是angr,你这不是有几千个运算吗,让angr跑就是了,中间有一个check,跟结果无关,直接hook,pass. 结尾check正确与否的用相同字符个数是不是32,不能直接用angr,会路径爆炸,所以也hook掉,编写我们的模拟check,还有程序开了alsr,让angr在固定位置加载:

import angr
import claripy
import sys

def main(argv):
  path_to_binary = argv[1]
  project = angr.Project(path_to_binary,main_opts={'base_addr':0x400000})
  start_address = 0x4011C3
  initial_state = project.factory.blank_state(addr = start_address)

  userin = claripy.BVS('userin',256)
  userin_address = 0x43841C
  initial_state.memory.store(userin_address,userin)

  @project.hook(0x0043306F,length=0x004330C0-0x0043306F)
  def skip_puts(state):
    pass

  check_equals_called_address = 0x00434130
  instruction_to_skip_length = 0x004341FD - 0x00434130
  @project.hook(check_equals_called_address, length=instruction_to_skip_length)
  def skip_check_equals_(state):
    user_input_buffer_address = 0x43841c
    user_input_buffer_length = 0x20

    user_input_string = state.memory.load(
      user_input_buffer_address, 
      user_input_buffer_length
    )
    
    v5buff = [0x27, 0x3C, 0xE3, 0xFC, 0x2E, 0x41, 0x07, 0x5E, 0x62, 0xCF, 0xE8, 0xF2, 0x92, 0x80, 0xE2, 0x36, 0xB4, 0xB2, 0x67, 0x77, 0x0F, 0xF6, 0x0D, 0xB6, 0xED, 0x1C, 0x65, 0x8A, 0x07, 0x53, 0xA6, 0x66]

    check_against_string = bytes(v5buff)
    print(user_input_string)
    state.regs.eip = claripy.If(
      user_input_string == check_against_string, 
      claripy.BVV(0x004341FD, 32), 
      claripy.BVV(0x0043420D, 32)
    )
  

  simulation = project.factory.simgr(initial_state)

  simulation.explore(find=0x00434202, avoid=0x00434212)

  if simulation.found:
    solution_state = simulation.found[0]
    solution = solution_state.solver.eval(userin, cast_to=bytes).decode('utf-8')
    print (solution)

if __name__ == '__main__':
  main(sys.argv)

不过很可惜 作者很聪明,加了大量的异或运算,导致生成的式子Z3跑不出来 angr貌似处理异或时不是很聪明,可能退化为枚举了

capstone

思路是,用capstone 反汇编程序,提取其中的子函数片段, 然后匹配我们分析的几种pattern, 模拟逆向运算过程


import capstone

simulate_stack = []

with open('Dizzy.exe','rb') as f:
    buff = f.read()

CODE = buff[0x1c3+0x400:0x3206f+0x400] + buff[0x320c0+0x400:0x33130+0x400] + b'#'

pos = 0

md = capstone.Cs(capstone.CS_ARCH_X86,capstone.CS_MODE_64)
md.detail = True

def parserDouble():
    global pos
    code = CODE[pos:pos+46]
    index = 0
    imm1 = 0
    imm2 = 0
    op = ''
    #print(code)
    for i in md.disasm(code, 0): 
        #print("0x%x:\t%s\t%s" %(i.address, i.mnemonic, i.op_str))
        if(i.insn_name() == 'shl' and i.size == 2):
            pos -= 1
        if(index == 1):
            if(i.insn_name() == 'shl'):
                imm1 = 2 ** i.operands[1].imm
            else:
                imm1 = i.operands[2].imm
        if(index == 3):
            if(i.insn_name() == 'shl'):              
                imm2 = 2 ** i.operands[1].imm
            else:
                imm2 = i.operands[2].imm
        if(index == 6):
            op = i.insn_name()
        index = index + 1
    return (0,imm1,imm2,op)

def parserSingle():
    global pos
    code = CODE[pos:pos+32]
    index = 0
    imm1 = 0
    imm2 = 0
    op = ''
    for i in md.disasm(code, 0):
        if(i.insn_name() == 'shl' and i.size == 2):
            pos -= 1
        #print("0x%x:\t%s\t%s" %(i.address, i.mnemonic, i.op_str))  
        if(index == 1):
            if(i.insn_name() == 'shl'):  
                imm1 = 2 ** i.operands[1].imm
            else:
                imm1 = i.operands[2].imm
        if(index == 3):
            imm2 = i.operands[1].imm
            op = i.insn_name()
        index = index + 1
    return (1,imm1,imm2,op)

def check_pattern():
    global pos
    code = CODE[pos:pos + 18]
    index = 0
    for i in md.disasm(code,0):
        if(index == 2):
            if(i.insn_name() == 'movzx'):
                return 'single'
            else:
                return 'double'
        index = index + 1

while True:
    if( CODE[pos] != ord('#') and check_pattern() == 'double'):
        res =  parserDouble()
        #print(res)
        pos += 46
        simulate_stack.append(res)

    if(CODE[pos] != ord('#') and check_pattern() == 'single'):
        res = parserSingle()
        #print(res)
        pos += 32
        simulate_stack.append(res)

    if(CODE[pos] == ord('#')):
        break

cipher = [0x27, 0x3C, 0xE3, 0xFC, 0x2E, 0x41, 0x07, 0x5E, 0x62, 0xCF, 0xE8, 0xF2, 0x92, 0x80, 0xE2, 0x36, 0xB4, 0xB2, 0x67, 0x77, 0x0F, 0xF6, 0x0D, 0xB6, 0xED, 0x1C, 0x65, 0x8A, 0x07, 0x53, 0xA6, 0x66]


# f = open('temper.txt','w')
# target_write = []

while(len(simulate_stack) != 0):
    pattern,imm1,imm2,op = simulate_stack.pop()

    # target_write.append('{} {} {} {}\n'.format(pattern,imm1,imm2,op))

    if pattern == 0:
        if op == 'add':
            cipher[imm1] -= cipher[imm2]
        if op == 'sub':
            cipher[imm1] += cipher[imm2]
        if op == 'xor':
            cipher[imm1] ^= cipher[imm2]
    if pattern == 1:
        if op == 'add':
            cipher[imm1] -= imm2
        if op == 'sub':
            cipher[imm1] += imm2
        if op == 'xor':
            cipher[imm1] ^= imm2

# f.writelines(target_write)
flag = ''
for ch in cipher:
    flag += chr(ch%256)
print(flag)

结果:

[Running] python -u “c:\Users\fwk\Desktop\solve_capstone.py”
flag{Try_R3vers1ng_W1th_ScR!pt!}
[Done] exited with code=0 in 0.66 seconds

取模是为了模拟char数据类型
也可以将代码注释去掉,生成一个中间操作文件,再用c语言读取模拟操作:

0 16 20 add

0 0 5 add

1 21 54 sub

0 22 31 sub

0 29 25 add

0 18 14 xor

C语言解析执行如下:

#include <stdio.h>
#include <string.h>
unsigned char cipher[] = {0x27, 0x3C, 0xE3, 0xFC, 0x2E, 0x41, 0x07, 0x5E, 0x62, 0xCF, 0xE8, 0xF2, 0x92, 0x80, 0xE2, 0x36, 0xB4, 0xB2, 0x67, 0x77, 0x0F, 0xF6, 0x0D, 0xB6, 0xED, 0x1C, 0x65, 0x8A, 0x07, 0x53, 0xA6, 0x66};
int main()
{
    int pattern;
    int imm1;
    int imm2;
    char op[64];
    FILE* fp = fopen("temper.txt","r");
    while(fscanf(fp,"%d %d %d %s",&pattern,&imm1,&imm2,op)!=EOF)
    {
        if (pattern == 0)
        {
            if (!strcmp(op,"add"))
                cipher[imm1] -= cipher[imm2];
            if (!strcmp(op,"sub"))
                cipher[imm1] += cipher[imm2];
            if (!strcmp(op,"xor"))
                cipher[imm1] ^= cipher[imm2];
        }
        else
        {
            if (!strcmp(op,"add"))
                cipher[imm1] -= imm2;
            if (!strcmp(op,"sub"))
                cipher[imm1] += imm2;
            if (!strcmp(op,"xor"))
                cipher[imm1] ^= imm2;
        }

    }
    printf("%s",cipher);
    return 0;
}

结果:

[Running] cd “c:\Users\fwk\Desktop” && g++ final_calc.cpp -o final_calc && "c:\Users\fwk\Desktop"final_calc
flag{Try_R3vers1ng_W1th_ScR!pt!}�.@
[Done] exited with code=0 in 0.236 seconds

人工分析出的pattern:

0x004011C3 -- 0x0043306F [)          
0x004330C0  -- 00434130  [)

0x400
0x1c3 -- 0x 3206f 
0x 320c0 -- 0x 33130        
1:

buff[a] += buff[b]
.text:004011C3                 mov     eax, 1
.text:004011C8                 imul    ecx, eax, 6
.text:004011CB                 mov     edx, 1
.text:004011D0                 imul    eax, edx, 3
.text:004011D3                 movzx   edx, byte_43841C[eax]
.text:004011DA                 movzx   eax, byte_43841C[ecx]
.text:004011E1                 add     eax, edx
.text:004011E3                 mov     ecx, 1
.text:004011E8                 imul    edx, ecx, 6
.text:004011EB                 mov     byte_43841C[edx], al

2:
buff[a] -= buff[b]
.text:004011F1                 mov     eax, 1
.text:004011F6                 imul    ecx, eax, 0Ah
.text:004011F9                 mov     edx, 1
.text:004011FE                 imul    eax, edx, 1Bh
.text:00401201                 movzx   edx, byte_43841C[eax]
.text:00401208                 movzx   eax, byte_43841C[ecx]
.text:0040120F                 sub     eax, edx
.text:00401211                 mov     ecx, 1
.text:00401216                 imul    edx, ecx, 0Ah
.text:00401219                 mov     byte_43841C[edx], al

3:
buff[a] ^= buff[b]
.text:0040127B                 mov     eax, 1
.text:00401280                 imul    ecx, eax, 1Ch
.text:00401283                 mov     edx, 1
.text:00401288                 imul    eax, edx, 18h
.text:0040128B                 movzx   edx, byte_43841C[eax]
.text:00401292                 movzx   eax, byte_43841C[ecx]
.text:00401299                 xor     eax, edx
.text:0040129B                 mov     ecx, 1
.text:004012A0                 imul    edx, ecx, 1Ch
.text:004012A3                 mov     byte_43841C[edx], al

4:
buff[a] += imm
.text:004012A9                 mov     eax, 1
.text:004012AE                 imul    ecx, eax, 1Eh
.text:004012B1                 movzx   edx, byte_43841C[ecx]
.text:004012B8                 add     edx, 21h ; '!'
.text:004012BB                 mov     eax, 1
.text:004012C0                 imul    ecx, eax, 1Eh
.text:004012C3                 mov     byte_43841C[ecx], dl


第9 :0x0F


.text:00401365 B8 01 00 00 00                          mov     eax, 1
.text:0040136A C1 E0 02                                shl     eax, 2
.text:0040136D B9 01 00 00 00                          mov     ecx, 1
.text:00401372 6B D1 06                                imul    edx, ecx, 6
.text:00401375 0F B6 8A 1C 84 43 00                    movzx   ecx, byte_43841C[edx]
.text:0040137C 0F B6 90 1C 84 43 00                    movzx   edx, byte_43841C[eax]
.text:00401383 03 D1                                   add     edx, ecx
.text:00401385 B8 01 00 00 00                          mov     eax, 1
.text:0040138A C1 E0 02                                shl     eax, 2
.text:0040138D 88 90 1C 84 43 00                       mov     byte_43841C[eax], dl
AlwaysBetter
关注
专栏目录
WP-2021祥云
ce666666的博客
01-16 691
前言 好多审计题,懒狗的我,自愧不如。赛后借助各位师傅的wp进行复现,不会的题目赛后加强学习知识点,盲看没什么用。 链接 复现平台:https://buuoj.cn/ 参考大佬博客:https://www.anquanke.com/post/id/251221 WEB ezyii 这题就是网上有的yii链子,1day好像。利用这个https://xz.aliyun.com/t/9948#toc-6直接拿。  代码 <?php namespace Codeception\Extension{ u
2021祥云Rev_Dizzy
weixin_46287316的博客
08-23 345
Rev_Dizzy 首先查看文件信息,为32位程序 F5反汇编失败: 没有办法f5,接下来只能从汇编角度分析代码结构 分析代码结构 通过运行可以知道程序首先会让用户输入flag,通过查找字符串定位到程序接收输入的地方 根据代码可以判断出byte_43841C为程序存储输入的位置(后面许多对byte_43841C的操作也印证了这一点),先将其改名为input方便后续识别。 在根据输入提示找到输入的存储位置后,继续通过查看字符串找到flag判断的位置 通过这里分析出判断是否成功的标准是input[ecx
2021祥云 CTF pwn解 wp
qq_39948058的博客
08-26 1240
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =
[祥云2021Wp]
qq_42906381的博客
08-24 429
MISC新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语
2021祥云部分wp
m0_51357657的博客
08-24 914
祥云2021 目前只做了两道题(没办法 tcl。。。 MISC-鸣雏恋 下载下来是个word,打开只有一句话 不太对劲,放到010里看一看发现文件头50 4B 03 04 经典压缩包了,文件后缀改成zip,解压 得到一个txt和加密压缩包,文件打开感觉什么都没有。。。 但仔细看,第二行可显示字符没有190,所以是零宽度字符隐写 vim 一下,果然 放到在线网站上解一下 压缩包解完有129488张图片,两种图片代表01,转成二进制 二进制转换成ASCII码之后,发现是个base64转png 接下
Dizzy Quest Editor-开源
04-27
DQE-是一个创建冒险或RPG 2D游戏的程序,就像“ DIZZY”系列一样。 它功能强大且易于使用的游戏编辑器。 支持俄语和英语。
dizzy:网络和USB协议模糊测试工具包
04-29
dizzy是一个模糊测试框架,用python编写,并且能够通过很多输出选项进行全状态和无状态模糊测试。 用法 $dizzy_cmd version 2.0 running on Linux usage: dizzy_cmd [-h] [-s START_AT] [-d SEC] [-l] [-o OPTIONS] ...
评审门户::dizzy:starhacks评审门户
02-15
:dizzy: starhacks评审门户 对于后端 确保您已安装 cd backend go build go run main.go 对于前端 确保您已安装React cd frontend yarn start // Starts the development server. 其他命令 yarn build // Bundles ...
remod:chmod为人类! :dizzy:
04-29
改装 chmod为人类! 如果UNIX八进制权限使您失望,那么此工具将为您提供帮助。 人类从来没有想过要在头脑中做些算术。 安装 npm i -g remod-cli 用法 您可以使用以下命令查看和交互编辑文件的权限: ...
ganymede::dizzy:注重内容,可部署的Ghost主题
05-23
:dizzy: 木卫三 Ganymede是一个以内容为中心,可部署的主题,它是为我的个人。 主题基于 。 改进之处 更好的字体和阅读体验 重复元素更好的结构 清理未使用和不必要的元素 元数据显示在帖子列表中 通过悬停预...
2020祥云 CTFNu1L.pdf
03-15
2020祥云 CTF WP 高清PDF版
[祥云2021]几道简单题的wp
Huamang的博客
08-22 4374
ezyii https://xz.aliyun.com/t/9948 找yii链子打,开局就给了反序列化,看了一下是文章里面的第四条链子 exp <?php namespace Codeception\Extension{ use Faker\DefaultGenerator; use GuzzleHttp\Psr7\AppendStream; class RunProcess{ protected $output; private $proc
祥云2021 Web简单题wp
feng的博客
08-23 610
前言 千言万语汇成一句:我真是太菜了。事实证明只会个php在卷成这样的ctf比赛里面只能挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打。 不会Java和js直接下线,只能卑微的做最简单题
2021祥云web 部分wp
fmyyy1的博客
08-23 810
ezyii 说是最新的链子,题目把文件都筛选好了让我们找。写一下我的思路 看到RunProcess类 <?php namespace Codeception\Extension; class RunProcess { protected $output; protected $config = ['sleep' => 0]; protected static $events = []; private $processes = []; publ
(祥云)reverse-re1
qq_44370676的博客
11-25 481
大纲一.解题过程二.解题脚本 一.解题过程 Exeinfo查壳: Linux 64位elf,未加壳,复制到虚拟机里运行一下: 随便输入一串字符串,直接退出,猜测应该是输入flag然后加密后比对的套路,开始ida分析: 输入字符串存储到v4中,不过这里注意的是v4,v5到v10全都用来存储输入字符串了,v10应该是最后一个字符,if条件的意思是保证输入是flag{xxxx},(f的ascii码是102, l的ascii码是108,以此类推 )即flag{xxx}中间的类容就是v9,长度为32。Sub_5
2021 祥云 pwn note
yongbaoii的博客
08-30 354
保护全开 功能1 可以申请chunk,然后会给chunk地址。 功能2 功能2有一个scanf的任意写。 功能3是一个输出。 利用的就是scanf的任意写。 我们知道scanf会把我们的输入的字符串当成第一个参数,如果还有需要,会先从五个寄存器去找,然后再去找栈中的数据,那我们也去看一下寄存器或者栈上的数据有没有可以利用的。 偏移8的地方显然有一个_IO_2_1_stdout_地址,所以我们可以把他当作参数做一个任意写,劫持_IO_FILE然后泄露libc,再来一次把malloc_hook地址写上去,
【pwn】2021 祥云 (部分)
woodwhale的博客
10-07 4245
【pwn】2021 祥云 (部分) 前言 国庆的最后几天,一直在补题,发现祥云那个时候一道堆题都不会,直接开始补题。 补题过程中,发现自己还是太菜了,对着师傅们的wp都有些不明白.jpg 1、note 这应该是祥云里最简单的题目了QAQ。但是之前没有学过IO,参考一位师傅写的这篇博客,pwn题堆利用的一些姿势 – IO_FILE 漏洞点在于scanf的格式化字符串,可以任意位置写。发现stack中有_IO_2_1_stdout_那么,我们写入p64(0xfbad1800) + p64(0)*3来泄露
祥云-re复现 (未完待续)
qq_37439229的博客
11-23 691
周末祥云没打,主要是自己想摸了。。(就是这么直白)还有就是nctf举办,我出题,我到比赛那天还没出完。。。(太咕了。。) 比赛后就想来复现这比赛,看解题人数,感觉满难的,应该很有质量,就跟着null的wp复现吧,一天复现一题 re1 动态调试,发现对flag的每一位进行相同的操作,慢慢看太多了,因此可以gdb脚本爆破, null的脚本写错了把。。程序开了pie,第一句就不对。。。而且while也没让程序重新启动,这里给出我写的 pwndbg> define f1 Type commands for
(祥云)reverse-apk1
qq_44370676的博客
11-25 874
这道题是个典型的输入flag再加密比对的题,运行就不截图了。 大纲一.解题过程找到check函数地址分析check函数字符串初步比对输入16进制字符串两两一组转化成byte流RC4加密DES加密字符串循环移位二.解题脚本三.RegisterNatives方法四.RC4算法五.DES算法 一.解题过程 找到check函数地址 先用apkscan查壳,未加壳。那就直接上jeb,关键部分如下图所示: 加密部分为check函数,check函数在so里,该去分析下so了,这道题有2个so, arm64-v8a为64位
怎么用c++判断眩晕数
最新发布
04-03
假设眩晕数储存在一个名为“dizzy”的变量中,可以使用if语句来判断眩晕数的值。 例如,如果眩晕数大于等于3,则可以输出“角色已经晕倒”: ```c if(dizzy >= 3){ printf("角色已经晕倒"); } ``` 如果眩晕数...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值