第4天:RoarCTF-Polyre学习

最新推荐文章于 2023-03-09 21:40:38 发布
最新推荐文章于 2023-03-09 21:40:38 发布
阅读量782 收藏 2
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41858371/article/details/102881572
版权

之前看到过一次平坦化的题,不是很复杂,就纯分析,这次这个实在太狠了。所以学习了一下脚本的使用。

https://github.com/cq674350529/deflat

这个angr安装可能会踩很多坑,我已经忘了怎么踩得了,就不过多讲解了,自行安装。

然后使用defalt.py进行去除平坦化,

成功去除后,代码看着舒服多了。

但是会发现有很多永远为真的跳转,迷惑人的,叫虚假控制流,无效指令直接Patch掉。学习一下这个去除虚假控制流的脚本吧。

#coding:utf-8

def patch_nop(start,end):
    for i in range(start,end):
        PatchByte(i, 0x90)		#修改指定地址处的指令  0x90是最简单的1字节nop

def next_instr(addr):
    return addr+ItemSize(addr)		#ItemSize获取指令或数据长度,这个函数的作用就是去往下一条指令
    
st = 0x0000000000401117
end = 0x0000000000402144

addr = st
while(addr<end):
    next = next_instr(addr)
    if "ds:dword_603054" in GetDisasm(addr):	#GetDisasm(addr)得到addr的反汇编语句
        while(True):
            addr = next
            next = next_instr(addr)
            if "jnz" in GetDisasm(addr):
                dest = GetOperandValue(addr, 0)		#得到操作数,就是指令后的数
                PatchByte(addr, 0xe9)
                PatchByte(addr+5, 0x90) 
                offset = dest - (addr + 5)
                PatchDword(addr + 1, offset)
                print("patch bcf: 0x%x"%addr)
                addr = next
                break
    else:
        addr = next

还是要好好学习IDApython啊,

这样代码看着就更舒服了。

然后程序算法也不难,但是比赛的时候不会写脚本,没跑出来,我哭了。。。。

思路:

观察代码逻辑,首先获取输入,然后把回车用\0替换。

接下来一段代码需要仔细识别。取输入每八个字节作为一个Qword,然后比较他的正负。注意这里其实是取最高位,正的话最高位为0,负最高位为1.

然后先左移1位,如果为负(最高位为1)则异或常量,否则继续。

如此循环64次。

据说是CRC64加密,我压根不知道。。。。

[CRC RevEng](https://sourceforge.net/projects/reveng/),它可以用来计算CRC的逆。

CRC算法这里不讲解,因为俺也不会23333333

看一个解题脚本吧,因为自己没写出来,太菜了。。。

s = ['96','62','53','43','6D','F2','8F','BC','16','EE','30','05','78','00','01','52','EC','08','5F','93','EA','B5','C0','4D','50','F4','53','D8','AF','90','2B','34','81','36','2C','AA','BC','0E','25','8B','E4','8A','C6','A2','81','9F','75','55']
flag = ''
a = 0
for i in range(6):
    s1 = '0x' + s[a+7] + s[a+6] + s[a+5] + s[a+4] + s[a+3] + s[a+2] + s[a+1] + s[a]
    s2 = int(s1, 16)
    s4 = s2
    for j in range(64):
        s3 = int(hex(s4), 16)
        s3 = s3 & 1
        if s3 == 0:
            s4 = s4 >> 1
        else:
            s4 = s4 ^ int('0xB0004B7679FA26B3', 16)
            s4 = s4 >> 1
            s4 |= 0x8000000000000000
    print(hex(s4)[2:])
    flag += hex(s4)[2:]
    a += 8

解释一下 s3 & 1和 s4 |= 0x8000000000000000 吧,因为我写脚本卡到这里了。

当16进制数大于 0x8000000000000000会溢出。

源代码是这样

如果有符号16进制数小于0就说明它的二进制第一位是1,所以左移一位时就会溢出,而源代码在小于0时(溢出时),会和0xB0004B7679FA26B3异或,异或后肯定是奇数,因为左移一位后的二进制数的最后一位是0,而0xB0004B7679FA26B3的二进制数最后一位为1所以必定是奇数。所以我们的脚本就可以根据最后一位的奇偶性判断是否需要异或。如果有溢出,在右移一位后加上0x8000000000000000才能得到原来的数。大家可以手动计算一下。

最后的flag需要每8个倒序。

 

 

 

S1lenc3
关注
专栏目录
buuctf [RoarCTF2019]polyre
liuxiaohuai_的博客
03-04 1694
刷的这个题是关于平坦化和虚假控制流程的题目。第一次见到所以写篇wp记录一下。 1.处理文件 1.1 控制流平坦化 将文件直接拖入ida64中,查看main函数的控制流程图(CFG) 得到的代码是一个多重循环,我们需要对代码进行控制流平坦化。 可以参考:https://security.tencent.com/index.php/blog/msg/112 deflat.py脚本 https://pan.baidu.com/s/1Tuw2ITns1bI05nWfTpwNag提取码:u2g0 使用时需要注意
CTF逆向-[RoarCTF2019]polyre-WP_控制流扁平化去混淆idcpy去指令
serfend's blog
03-24 4539
CTF逆向-[RoarCTF2019]polyre-WP_控制流扁平化去混淆idcpy去指令 来源:BUUCTF在线评测/ 内容:无 附件:百度网盘 请输入提取码 提取码:nyty 答案:flag{6ff29390-6c20-4c56-ba70-a95758e3d1f8} 总体思路 使用deflat.py对程序扁平化处理。 使用ida的python idc工具对多余指令去除。 检查算法发现是crc64,按其流程逆运算 详细步骤 检查文件信息 打开程序发现控..
2019 RoarCTF--polyre
Hk_Mayfly的博客
10-22 588
测试文件:https://www.wocloud.com.cn/webclient/share/sindex.action?id=i9K_Br6TgE4ImHzH9IwB7mKcRy5TUdZ8U6_uiWwxDovNjPaT6IJAgRhtvqTOsW3w 1.准备 获取信息 64位文件 2.文件处理 2.1 控制流平坦化 IDA打开后可以看到 ...
[RoarCTF2019]polyre
m0_46296905的博客
04-17 703
一、难点: • 控制流平坦化; 【相关资料请参考[利用符号执行去除控制流平坦化](https://security.tencent.com/index.php/blog/msg/112)】 • 用idapython去除虚假控制流程; • CRC算法; 二、具体步骤: 1.控制流去平坦化: 装好angr,使用脚本deflat.py去除控制流平坦化,deflat.py所在目录下打开cmd命令行输入 python deflat.py attachment.exe 0x400620 #python版本 +
buu-[RoarCTF2019]polyre(控制流平坦化,虚假控制流程)
weixin_52369224的博客
01-16 3009
这题一开始拿到人看麻了(不会),写篇wp记录新题型 这么一大大大串的函数图,是经过OLLVM 的控制流平坦化混肴. 控制流平坦化(Control Flow Flattening)的基本思想主要是通过一个主分发器来控制程序基本块的执行流程,例如下图是正常的执行流程: 经过控制流平坦化后的执行流程就如下图: 混淆代码块之间的逻辑,将其之前的逻辑混肴成switch嵌套循环,增加分析难度。 下面我们需要使用 angr符号执行去除控制流平坦化 环境ubuntu20.4defalt.py脚本..
BUUCTF-[RoarCTF2019]polyre
weixin_61154173的博客
03-09 594
控制流平坦化,然后代码流程:第一个for循环没用,从第二个看外循环6次,内循环64次,把flag看为8个字节一组,然后如果是非负数就乘2(相当左移),如果是负数就乘2(相当左移)在异或一个数。简单来说,OLLVM会添加一个用于控制跳转的状态变量和分发器:当一个真实块执行完成后,会把状态变量的值进行更新,回到分发器进行检查,再根据状态变量的值跳转到下一个真实块执行;提取码u2g0,下载完后注意:deflat.py文件中的sys.path.append()后的地址是你下载的am_graph.py的地址,
RoarCTF2019部分Writeup
Sea_Sand息禅
11-29 883
Easy Calc 页面源码线索中得到calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"'...
Buuctf-Reverse(逆向) [RoarCTF2019]Polyre && SangFor(深育杯)-Reverse(逆向) XOR_Exercise Write up
weixin_50166464的博客
11-30 832
前言:看完这篇需要些耐心,可能会遇到很多报错什么,多查就能解决,题目只是个形式,每题带给我们的是其中的知识点,题目做不出来没关系,学习到平坦化控制流或是能写idapython都是自己的收获。 文章参考: [RoarCTF2019]polyre_m0_46296905的博客-CSDN博客 [RoarCTF2019]Polyre | bypass ollvm - 暖暖草果 - 博客园 https://www.cnblogs.com/Mayflynymph/p/11718845.html#3.%E4%BB
[RoarCTF2019]babyRSA----------威尔逊定理
weixin_44110537的博客
07-11 1013
加密脚本 import sympy import random def myGetPrime(): A= getPrime(513) print(A) B=A-random.randint(1e3,1e5) print(B) return sympy.nextPrime((B!)%A) p=myGetPrime() #A1=218569634524616304373482784341914340000660767504190274938524635134698652
[.NET] 超难控制流混淆UnpackMe
11-12
[.NET] 超难控制流混淆UnpackMe[.NET] 超难控制流混淆UnpackMe
2020 SCTF 部分WriteUp
Hk_Mayfly的博客
07-06 1525
signin 准备 signin.exe:https://wwa.lanzous.com/inIQdec11zi 程序分析 可以判断出,这个程序实际上是由Python打包成的可执行文件,且在运行这个程序时,在同目录下产生了一个tmp.dll文件,猜测是程序调用某些函数的接口。 反编译 使用archive_viewer.py反编译为字节码文件 python archive_v...
2021-09-09
silencediors的博客
09-09 115
博客断更!!!! 最近遇到了很多事,发现自己还没有到与人分享、与人为师的阶段。目前还是在一个很初级的学习阶段,文章不能流畅的写出来不写也罢。 青山不改,绿水长流,学有所成,再做分享 ...
第十届极客大挑战——复现未解决的web和RE
A_dmin的博客
12-06 1230
第十届极客大挑战——复现未解决的web和RE 第十届极客大挑战——复现未解决的web和RE web - 性感黄阿姨,在线聊 web - Eval evil code web - 服务端检测系统 web - 你有特洛伊么 web - 你读懂潇文清的网站了吗 RE - 阅兵你认真看了嘛? RE - python1
RoarCTF2019web题-easy_java writeup
silencediors的博客
10-16 6659
RoarCTF2019web题-easy_java 作为团队最强的web选手(就我一个),这次的比赛也没时间打,把简单的题放一下,前面要说下,做web宁可把题目想简单,也不要想复杂,因为现在的web题出题人越来越厉害(gou)(怀念以前查看源码就得flag的时代),出题的把握可能也没那么好,思维多次引导的话就可能走岔路,就像这题我开始一直在想反序列化和upload流上传的事,甚至是tomcat那个...
RoarCTF2019-misc-黄金六年wp
weixin_42730900的博客
10-14 4836
小菜鸟一枚,跟着大佬划了划水,记录一下自己学到的东西 题目内容就是一个MP4文件 先拖进winhex里看一下 在最后发现一串base64码 用notepad++解码 可以看到里面有RAR 将这个文件另存为rar文件 果然需要密码 密码肯定藏在MP4给的线索中了 使用ffmpeg将MP4文件分离 分出几百帧图像,一张一张的查看发现有四张图片上有模糊的二维码 扫描二维码得到四传字符 拼接...
[RoarCTF 2019]Easy Calc
热门推荐
沐目的博客
10-18 1万+
1.知识点 1.1PHP的字符串解析特性 这是别人对PHP字符串解析漏洞的理解, 我们知道PHP将查询字符串(在URL或正文中)转换为内部$_GET或的关联数组$_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id...
秒懂poly定理
syh_486_007的专栏
07-29 3558
秒懂poly定理相信不少人在复习组合数学的时候,最头疼的东西之一就是那些转来转去的正多面体了,尤其是到了八面、十二面、二十面甚至足球的时候,空间想象能力受到了极大挑战。本人也不例外,为了搞通这个东西花了好长一段时间。本着期末考试之前攒人品的原则,下面概述一下我通过复习总结出来的一套对付此类问题的理论。可以保证,你只需跟着我这篇日志进行复习,30分钟即可搞通所有的正多面体转动群。在全篇开始之前需要郑重
IDApython学习记录
weixin_30917213的博客
05-28 80
1.异或解密 Byte是以字节为单位进行解密,也可以有Dword,Word,在最后你可是使用MakeCode转化为代码,不过我这里是数据,就不用这句代码了。 def XorBytes(start,length):   for i in range(0,length): byte_value = Byte(start+i) byte_value...
RoarCTF2019---黄金6年
qq_42250840的博客
02-24 1691
题目内容是一个MP4 扔进winhex 发现base64码 notepad++解码 保存为Rar文件 压缩包需要密码,只能在视频中找了 binwalk分离无果,扔进pr一帧一帧看呗。。。 中间有个坑。。。最后一张二维码背景是黑的根本找不到!!!(做题的时候根本没找到,还是根据黄金6年的梗猜出来的内容。。。后来看大神题解才知道在哪) 所以建议找这种二维码改一下视频曲线,找到的码就和我上面...
[roarctf 2019]easy java
最新发布
03-16
首先,我们需要找到一个可利用的类,这里我们可以使用`CommonsCollections4`这个类库,它包含了很多可利用的类,比如`InvokerTransformer`、`ConstantTransformer`等等。 然后,我们需要构造一个恶意的序列化数据,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值