ciscn-easygo-go语言逆向分析

最新推荐文章于 2024-05-16 12:25:50 发布
最新推荐文章于 2024-05-16 12:25:50 发布
阅读量3.1k 收藏 4
点赞数 2
分类专栏: CTF-RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39268483/article/details/89426154
版权

是一个64位程序,拿到题目放入IDA中分析,一堆函数没找到主函数。题目提示又是gogogo就想到了最近常听到的go语言。查了一下资料知道找不到main函数的go语言程序,是无符号的。为了方便分析使用脚本IDAGolangHelper-master去符号信息还原。
ALT+F7引用这个脚本,出现如下界面,前面两个检测版本,检测出为1.8 or 1.9 or 1.10
选择一下下面的版本,把剩余三个按钮全点一遍之后 点ok以后就能将各个函数分析出来,并且能找到主函数。
在这里插入图片描述
来到主函数

__int64 __fastcall main_main(__int64 a1, __int64 a2)
{
  __int64 v2; // r8
  __int64 v3; // r9
  __int64 v4; // r8
  __int64 v5; // r9
  __int64 v6; // rdx
  __int64 v7; // rcx
  __int64 v8; // r8
  __int64 v9; // r9
  __int128 v10; // ST00_16
  __int64 v11; // ST18_8
  int v12; // er8
  __int64 v13; // r8
  __int64 v14; // r9
  __int64 result; // rax
  const __m128i *v16; // rdx
  __int64 v17; // r8
  __int64 v18; // r9
  char v19; // ST18_1
  __int64 v20; // rdx
  __int64 v21; // r8
  __int64 v22; // r9
  __int64 v23; // [rsp+8h] [rbp-F8h]
  char v24; // [rsp+58h] [rbp-A8h]
  char v25; // [rsp+80h] [rbp-80h]
  const __m128i *v26; // [rsp+98h] [rbp-68h]
  __int64 v27; // [rsp+A0h] [rbp-60h]
  __int128 v28; // [rsp+A8h] [rbp-58h]
  __int128 v29; // [rsp+B8h] [rbp-48h]
  __int128 v30; // [rsp+C8h] [rbp-38h]
  __int128 v31; // [rsp+D8h] [rbp-28h]
  __int128 v32; // [rsp+E8h] [rbp-18h]

  if ( (unsigned __int64)&v25 <= *(_QWORD *)(__readfsqword(0xFFFFFFF8) + 16) )
    runtime_morestack_noctxt(a1, a2);
  runtime_newobject(a1, a2);
  v27 = v23;
  *(_QWORD *)&v32 = &unk_4A6D00;
  *((_QWORD *)&v32 + 1) = &off_4E1130;
  fmt_Fprintln(a1, a2, (__int64)&v32, (__int64)&unk_4A6D00, v2, v3, (__int64)&off_4E28A0, qword_572B18);
  *(_QWORD *)&v31 = &unk_4A3E80;
  *((_QWORD *)&v31 + 1) = v27;
  fmt_Fscanf(
    a1,
    a2,
    (__int64)&off_4E2880,
    (__int64)&v31,
    v4,
    v5,
    (__int64)&off_4E2880,
    qword_572B10,
    (__int64)&unk_4C8569,
    2LL);
  runtime_stringtoslicebyte(a1, a2, v6, v7, v8, v9);
  *(_QWORD *)&v10 = &v24;
  *((_QWORD *)&v10 + 1) = v11;
  runtime_slicebytetostring(a1, a2, v11, 1, v12, v10);
  encoding_base64__ptr_Encoding_DecodeString(a1, a2, 1LL, (__int64)&v31, v13, v14, qword_572B00, (__int64)&v31);
  v26 = (const __m128i *)1;
  MEMORY[0x19](a1);
  runtime_convTstring(a1, a2, v20);
  *(_QWORD *)&v30 = &unk_4A6D00;
  *((_QWORD *)&v30 + 1) = 1LL;
  fmt_Fprintln(a1, a2, (__int64)&off_4E28A0, (__int64)&unk_4A6D00, v21, v22, (__int64)&off_4E28A0, qword_572B18);
  v16 = v26;
  if ( *(__int128 **)(v27 + 8) == &v31
    && (runtime_memequal(
          a1,
          a2,
          (__int64)v26,
          *(_QWORD *)v27,
          v17,
          v18,
          v26,
          *(const __m128i **)v27,
          (unsigned __int64)&v31,
          1),
        v19) )
  {
    *(_QWORD *)&v29 = &unk_4A6D00;
    *((_QWORD *)&v29 + 1) = &off_4E1140;
    result = fmt_Fprintln(a1, a2, (__int64)v16, (__int64)&off_4E28A0, v17, v18, (__int64)&off_4E28A0, qword_572B18);
  }
  else
  {
    *(_QWORD *)&v28 = &unk_4A6D00;
    *((_QWORD *)&v28 + 1) = &off_4E1150;
    result = fmt_Fprintln(a1, a2, (__int64)v16, (__int64)&off_4E28A0, v17, v18, (__int64)&off_4E28A0, qword_572B18);
  }
  return result;
}

能看到一些scanf函数printf还有base64加密函数之类的,但是有一个重要的判断。在这个判断处下断点进行动态调试。输入一串测试字符1234567890
运行至判断处

cmp [rax+8],rbx

是比较输入长度和0x2A的值说明输入长度要为42,输入42个字符串重新调试。跳转成功继续运行出现,应该是比较进入这个函数

call    runtime_memequal

里面有个比较

cmp rsi rdi
jz      short loc_40240E

看下rsi和rdi地址里的值
rsi即为存放的flag,rdi为输入的字符。

playmak3r
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
go语言反汇编linux,Go语言逆向去符号信息还原
weixin_35851553的博客
05-13 1588
一、实例在国内很多朋友都觉得golang的逆向分析很难,其实不然,和其他编程语言相比,go语言的函数太多。但是如果go语言不去符号话,则觉得和.net差不多难度(还是未混淆的)。本文就是要解决golang逆向过程中所遇到去符号化问题。图1是没有去掉符号信息的反汇编,可以看到GOLANG运行时的各函数名 , 第二张图是去掉符号信息的反汇编,GOLANG运行时的函数名都没了(样本准备,最好是在l...
go语言反汇编linux,Go语言函数的底层实现
weixin_31688167的博客
05-13 330
基于堆栈式的程序执行模型决定了函数是语言的一个核心元素。分析Go函数的内部实现,对理解整个程序的执行模型有很大的好处。研究底层实现有两种办法,一种是看语言编译器源码,分析其对函数的各个特性的处理逻辑,另一种是反汇编,将可执行程序反汇编出来。本节使用反汇编这种短、平、快的方法。首先介绍Go语言的函数调用规约,接着介绍Go语言使用的汇编语言的基本概念,然后通过反汇编技术来剖析Go的函数某些特性的底层实...
Go最新Bread:一款功能强大的BIOS逆向工程和高级调试工具_bios 逆向,2024年最新高级Golang开发面试解答之线程篇
最新发布
2401_84924864的博客
05-16 465
【代码】Go最新Bread:一款功能强大的BIOS逆向工程和高级调试工具_bios 逆向,2024年最新高级Golang开发面试解答之线程篇。
go 初级逆向分析(一)
yongbaoii的博客
04-09 3209
Go 语言是一个比较新的强类型静态语言,2009 年由 Google 发布,在 2012 年才发
go 初级逆向分析(二)
yongbaoii的博客
04-09 791
我们尝试编写一些go的程序并逆向
go语言反汇编linux,[翻译]GO语言逆向教程
weixin_34608787的博客
05-13 380
#traverse_functions.pydefis_simple_wrapper(addr):ifGetMnem(addr)=='xor'andGetOpnd(addr,0)=='edx'andGetOpnd(addr,1)=='edx':addr=FindCode(addr,SEARCH_DOWN)ifGetMnem(addr)=='jmp'and...
easygo-vs:VCS-VUE客户端
04-29
易事easygo视频客户端构建设置# install dependenciesnpm install# serve with hot reload at localhost:8080npm run dev# build for production with minificationnpm run build 有关工作原理的详细说明,请参阅。
去也匆匆「EasyGo」-crx插件
03-23
创建自定义网址重定向规则。 使用webRequest重定向内容。 您可以设置哪些快捷方式重定向到哪些URL。 是否使用正则表达式替换。 支持HTTPS。 支持语言:English
easygo
03-15
去也匆匆 用于构建go应用的工具。
Easy GO2-crx插件
04-04
语言:English 搜索票号 使用此工具,您可以轻松地在OTRS和JIRA V3.3中搜索您的票证号码-现在可以使用CurrentUser打开票证。 V3.4-为故障单类型添加了“跟踪”。 V3.5-“任务类型已更新。v3.6-“ orginalEstimate”...
Easy Go game-开源
04-26
该软件包包含EasyGo游戏的代码,EasyGo是go原始游戏的修改版。 该软件包提供了一个简单的API,以便用户可以编码和测试他们自己的播放器。 因此,一个人不仅可以玩游戏,还可以为自己的播放器编程。
gotools:Ghidra插件可帮助反转Golang二进制文件
04-30
前往Ghidra的外挂程式 插件可帮助使用Ghidra逆转Golang二进制文件。 这是一个非常早期的阶段,目前仅处理linux / x86_64二进制文件。 安装 适用于您的Ghidra版本的版本 将ZIP复制到$GHIDRA_DIR/Extensions/Ghidra/ 启动Ghidra,依次选择“ File > Install Extensions ,然后选中gotools旁边的框 重新启动Ghidra 用法 导入时,选择语言x86:LE:64:golang:default 特征 恢复功能名称 恢复参数数量和返回类型 开发者 代码格式为 clang-format -i -style=Google src/main/java/gotools/*.java 参考
go语言 代码整理
01-11
go语言代码整理,很好很全,是很好的学习资料,共享给大家!
IDAGolangHelper-master.zip
06-08
Go语言反编译IDA上的python脚本 Set of IDA Pro scripts for parsing GoLang types information stored in compiled binary This is update for https://gitlab.com/zaytsevgu/GoUtils2.0 Differences: Add support for go1.8 and go1.9, go1.10 (well actually it seems no difference from go1.9) Automatically add user-defined types to IDA. (Can be checked in Shift+f9 view) Add some not very advanced string recognition. You can press Shift+S to process current function https://2016.zeronights.ru/wp-content/uploads/2016/12/GO_Zaytsev.pdf - My presentation about Golang reversing
某颜色软件加解密函数逆向分析【初尝go语言逆向
头铁逆向的旅程
01-20 2584
加解密函数逆向分析go语言逆向、脱机执行
Go 语言,如何做逆向类型推导?
金融级分布式架构
02-14 485
文|朱德江(GitHub ID:doujiang24)MOSN 项目核心开发者蚂蚁集团技术专家专注于云原生网关研发的相关工作。本文2241字 阅读8分钟PART. 1引言在上回的文章《Go 内存泄漏,pprof 够用了么?》中说到,从一个 core 文件生成内存引用关系火焰图时,虽然可以从 core 文件中读到所有的内存对象,但是并不知道它们的类型信息。这是因为 Go 作为静态类型语言,在...
区块链开发(三):区块链工程逆向:golang源码类关系解析查看
qq_30383511的博客
09-06 950
系统:centOS7, 内核:4.18,工程:fabric1.1,提前设置好开发环境变量 1、goland IDE安装plantUML插件:     工具栏File--&gt;settings--&gt;plugins, 到该界面下方点击Browse Repositories,搜plantUML,直接安装;     安装依赖插件:搜Action Tracker,点击直接安装,重启goland...
【golang】反编译小笔记
zhengwish的专栏
02-07 2677
go build -gcflags=all="-N -l" main.go go tool objdump -s "main.main" main.exe (go tool objdump -s Domain.exe)
golang反编译_【Golang】脱胎换骨的defer(一)
weixin_30682635的博客
12-27 5605
Go语言的defer是一个很方便的机制,能够把某些函数调用推迟到当前函数返回前才实际执行。我们可以很方便的用defer关闭一个打开的文件、释放一个Redis连接,或者解锁一个Mutex。而且Go语言在设计上保证,即使发生panic,所有的defer调用也能够被执行。不过多个defer函数是按照定义顺序倒序执行的。 我们在公众号有一篇文章:【Golang】脱胎换骨的defer​mp.weixin.q...
easygo微信小程序
07-10
对于EasyGo微信小程序,它是一款提供出行服务的应用程序,可以帮助用户方便地查询、预订和支付各类交通工具,例如打车、租车、公交、地铁等。用户可以通过EasyGo小程序在微信中直接使用这些出行服务,无需下载额外的应用程序。它提供了实时的交通信息、价格比较、行程规划以及用户评价等功能,使用户能够更便捷地选择和使用出行服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值