二进制专项之babyRE

最新推荐文章于 2023-08-02 18:50:52 发布
最新推荐文章于 2023-08-02 18:50:52 发布
阅读量222 收藏 1
点赞数 1
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41853048/article/details/131047688
版权

昨天没弄出来,有反调试和异常,一直找不到主要加密区域

文件类型

64位exe文件,缺少两个常见dll文件,直接百度下载即可,注意为64位的不然还是会显示0xc000000d报错

算法分析

在这里插入图片描述
可以看出来函数直接通过程序传参,这样一来,调试的时候就没法直接给参数了,当然也可以直接改对应的参数区域值,但当时改了半天都没改到地方,索性直接改了Rip执行位置
接着加载了一个名字叫cod的资源主要加密函数就parameter传参的两个地方,StartAddress发现是比较函数,所以重点进入v17这个地方的函数很好所以寄了
在这里插入图片描述

看师傅们的wp后加密流程为:

  • 载入资源
  • sub_7ff6e4731087中进行解密,但是。。有个反调试操作,老6,直接看是看不到的需要交叉引用才能看到,但问题是怎么被调用执行的呢,回调?还是钩子?亦或异常?不对,一直有一个checkmycode的函数在对一个地址进行写入,但是也没有出现调用的情况,很奇怪,但可以猜测到确实执行并进行了写入
  • 执行解密的函数
  • 完成比较
cod

可以用http://www.dayanzai.me/resource-hacker.html这个工具提取出对应的资源模块,然后在外部进行解密,然后将解密的段用这个工具直接替换
在这里插入图片描述
通过查看模块加载结构确定函数位置,在最后一个段,不用看结构应该也能猜到,然后反编译发现有花指令出现
出现了三种类型的:
在这里插入图片描述

在函数内部又构建了一个无意义的函数,导致调用失败全部nop掉
在这里插入图片描述
进入下条指令,也没有用,nop掉
在这里插入图片描述
加一的位置被jmp指令占据,而且上面两条跳转等于一定会发生跳转,也要nop掉

弄完后发现是32位程序的由于ida8.0开始判定的程序是64位所以不能完成反编译(ida8版本64位和32位合在一起,但感觉处理某些异常感觉不如idapro)于是将资源随便找了个32位程序加载进去,得到反编译,这里用的idapro
在这里插入图片描述
更改完对应花指令后虽然还是显示堆栈不平衡,但是可以直接被反编译,相反,ida free就不行,反编译完成后得到三个函数,为了更直观我们甚至可以直接将ret nop掉,很神奇,完全不管堆栈平衡了吗

RC4变种

在这里插入图片描述
可以得到一个酷似RC4加密的函数,因为标识符0x100,对应256,但是虽然只赋值了四个,一般来说密钥也确实是四个,但他使用密钥的时候是按字节进行的a67为计数,所以现在密钥,密文(原程序验证区域)都有了,改一下RC4加密算法就好了

wp

import base64


def rc4_main(key, message):
    print("RC4解密主函数调用成功")
    print('\n')
    s_box = rc4_init_sbox(key)
    crypt = rc4_excrypt(message, s_box)
    return crypt


def rc4_init_sbox(key):
    s_box = list(range(256))
    # print("原来的 s 盒:" % s_box)
    print('\n')
    j = 0
    for i in range(256):
        j = (j*2 + s_box[i] + key[i % len(key)]) % 256
        s_box[i], s_box[j] = s_box[j], s_box[i]
    # print("混乱后的 s 盒:%s"% s_box)
    print('\n')
    return s_box


def rc4_excrypt(plain, box):
    print("调用解密程序成功。")
    print('\n')
    print(plain)
    res = []
    i = j = n=0
    for s in plain:
        s -=n%0xd
        i = (i + j) % 256
        j = (j + box[i]) % 256
        box[i], box[j] = box[j], box[i]
        t = (box[i] + box[j]+j) % 256
        k = box[t]
        res.append(chr((s&0xff) ^ k))
        n+=1
    print("res用于解密字符串,解密后是:%res" % res)
    print('\n')
    cipher = "".join(res)
    print("解密后的字符串是:%s" % cipher)
    print('\n')
    print("解密后的输出(没经过任何编码):")
    print('\n')
    return cipher


# key ="Nu1Lctf233"    #密钥
key = [0x5d, 0x42, 0x62, 0x29, 0x03, 0x36, 0x47, 0x41, 0x15, 0x36]

s = [0xF7, 0x2E, 0x34, 0xF0, 0x72, 0xCF, 0x5E, 0x0A, 0xBB, 0xEC, 0xB1, 0x2B, 0x70, 0x88, 0x88, 0xED,
     0x46, 0x38, 0xDB, 0xDA, 0x6C, 0xBD, 0xD4, 0x06, 0x77, 0xF2, 0xCF, 0x56, 0x88, 0xC6, 0x31, 0xD2,
     0xB7, 0x5A, 0xC1, 0x42, 0xB0, 0xF4, 0x48, 0x37, 0xF5, 0x2C, 0xF5, 0x58]

rc4_main(key, s)

改变:
对i,j,s运算多添加了一些东西,密钥也由原来长度增加至10

DASCTF{03446c2c-dff7-11ed-9285-54e1ad98d649}

WowOnWall
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
网鼎杯-第三场-逆向-babyre
08-27
2018年8月27日网鼎杯第三场逆向题-babyre
[QCTF2018]babyre
qq_37439229的博客
05-07 562
一道一般般的题。。。 打开ida,调试到这里 发现长度为0x20,于是输入“ABCDEFGHIJKLMNOPQRSTUVWXYZ[]^-`” 第一个函数 打乱我的输入顺序,第二个函数从第三个数开始,每四个为一组分别加一些数,第三个函数从第9个开始,每四个一组进行一些位运算 写出脚步 flag=[0xda,0xd8,0x3d,0x4c,0xe3,0x63,0x97,0x3d,0xc1,0x91,...
[SUCTF2018]babyre
m0_46296905的博客
05-05 768
题目:[SUCTF2018]babyre C++写的64位bin文件 查找字符串定位到主函数 __int64 sub_140012460() { char *v0; // rdi __int64 i; // rcx char v3[48]; // [rsp+0h] [rbp-20h] BYREF char v4[32]; // [rsp+30h] [rbp+10h] char v5[184]; // [rsp+50h] [rbp+30h] BYREF char v6[60]; //
[SCTF2019]babyre
m0_46296905的博客
04-16 1454
exeinfope打开发现是64位无壳程序 ida64打开,搜索关键字符串 进入目标字符串的汇编窗口 我们发现无法F5,发现了几处反ida调试,总结有两种类别: 下面是第一种,我们直接把jb和jnb这两行改成nop。 下面是第二种, 所有都改完之后,从main开头到retn选中按p申明成一个新函数,就可以F5了 反汇编代码如下: __int64 __fastcall main(int a1, char **a2, char **a3) { __int64 result; // rax uns
xctf BABYRE
weixin_45701079的博客
10-10 517
xctf BABYRE 第一次做smc类型题目,利用idapython把源代码补全 首先确保idapro里有python插件(一般都有的),打开文件 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i &
Labview 16进制转换为二进制
09-30
适用于在通讯时可以用到的实例,16进制转换为二进制,已经测试OK.
计算机基础之二进制课件.ppt
11-19
计算机基础之二进制课件.ppt
Binary Viewer二进制文件读取软件
07-10
Binary Viewer二进制文件读取软件,可读取二进制的语音数据,图像数据,从而分析音频或者图像存储的二进制信息
查看二进制文件的常用软件
04-18
查看二进制文件的常用软件
bes二进制数据查看器
最新发布
03-19
bes二进制数据查看器
xctf攻防世界 REVERSE 高手进阶区 BABYRE
l8947943的博客
04-13 1750
0x01. 进入环境,下载附件 给出的babyRE后缀文件,不懂是什么玩意,按照常规流程进行操作吧 0x02. 问题分析 使用IDA打开,找到main函数,F5反编译,得到代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h]
XCTF BABYRE
lhk124的博客
08-04 338
用exeinfo查出是个elf文件,把后缀去了丢linux系统里 看汇编代码和F5(在judge函数里) 直接写脚本 运行至运算结束部分,直接查看寄存器。 """ 正向思路: 1.判断长度 2.逐位与i进行异或运算 逆向思路: 1.逐位异或回去 """ str_list =[0x66, 0x6D, 0x63, 0x64, 0x7F, 0x6B, 0x37, 0x64, 0x3B, 0x56, 0x60, 0x3B, 0x6E, 0x70] flag = list.
[SUCTF2018]babyre [ACTF新生赛2020]fungame
寻梦&之璐
06-02 790
文章目录[SUCTF2018]babyre惯用思维常人思维GAMEOVER[ACTF新生赛2020]fungame [SUCTF2018]babyre 惯用思维 首先呢,是个bin文件,需要用binwalk把文件提取出来。 binwalk -e [SUCTF2018\]babyre.bin 是一个xml文件,我打开后除了正常结构就是乱码。。。 然后就没法分析了。。。xml不能放在ida里面分析。。 常人思维 查看一下文件类型,居然是64位的exe程序,任何东西都保持怀疑的态度。。笑死人。。。。
攻防世界逆向高手题的BABYRE
沐一 · 林 的博客
08-21 2472
攻防世界逆向高手题之BABYRE 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的BABYRE
DASCTF 2023六月挑战赛 二进制专项 easynote
z1r0的博客
06-05 324
uaf,堆溢出,2.23。
[Reverse]BABYRE(idapython解题)
qq_24481913的博客
12-24 268
脚本内容就是每一位数字对0xC也就是12进行异或,我们这里需要使用到的是 PatchByte 函数.(我个人的理解 PatchByte函数就是将后面的值赋值给前面的地址)这一段对judge函数进行了处理,那我们思路就来了我们只需要按照这个方式将judge数组里面的东西处理了之后再按c分析代码就可以出来judge函数了。循环的内容是将上面字符串循环13次恰好等于[rbp+var_13]的长度,也就是进行处理字符串。我们点击下面的run运行之后会发现judge的值已经被我们改变了。
[SCTF2019]babyre 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-15 5865
buuctf-[SCTF2019]babyre 题解
XCTF-BABYRE,XCTF-simple-check-100
weixin_61154173的博客
12-19 232
xctf-BABYRE,simple-check-100,这不是数组吗,为什么是函数?由于前面对judge数组进行异或后,这些数据可以定义为一个新的函数,并且是本题的关键函数。通过对其他wp参考可以通过快捷键“shift+f2”使用IDApython对judge数组进行操作让他的数据在IDA中更改。当然也可以通过远程调试,让judge先自己进行完异或操作然后直接生成函数查看。对操作后的judge数组按c变为汇编代码,在按p变为函数,就可以查看内容了。跟进judge再把他变为函数,查看代码也是可以的。
re学习(26)攻防世界-re-BABYRE(IDA无法分析出函数-代码混淆)
m0_66039322的博客
08-02 324
栈帧是函数在执行时在栈上所创建的一块内存区域,用于存储局部变量,函数参数,返回地址等信息。在函数调用过程中,‘rbp‘用于维护栈帧的指针,以便在函数执行结束后能够恢复调用者的上下文。在函数调用过程中,通常会先将返回地址和其他寄存器的值(如’rbx‘,'rdi','rsi','rdx'等)压入栈中,然后将’rbp‘的值压入栈中。一般应对策略:使用按键U,告诉IDA,这是一个数据(通常是一个字节就够了),然后在下一个位置,点击C告诉IDA又可以开始按照代码来解释。
c语言二进制二进制
10-31
C语言中可以通过位运算符将十进制数转换为二进制数。具体实现方法如下: 1. 定义一个整型变量num,存储需要转换的十进制数。 2. 定义一个字符数组bin,用于存储转换后的二进制数。 3. 使用位运算符将num转换为二进制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值