Google CTF 2021 Reversing CPP
googlectf
谷歌举行的CTF,今天上午8点结束
本场比赛过题人数第二多的题目,别问我为啥过题人数最多的Filestore我没解出来,问就是不会写交互脚本导致时间不够
题目描述如下:
感觉题目描述没啥意义,确实用不上
下载后只有一个cpp.c文件
发现里面是宏编程
// Copyright 2021 Google LLC
//
// Licensed under the Apache License, Version 2.0 (the "License");
// you may not use this file except in compliance with the License.
// You may obtain a copy of the License at
//
// https://www.apache.org/licenses/LICENSE-2.0
//
// Unless required by applicable law or agreed to in writing, software
// distributed under the License is distributed on an "AS IS" BASIS,
// WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
// See the License for the specific language governing permissions and
// limitations under the License.
#if __INCLUDE_LEVEL__ == 0
// Please type the flag:
#define FLAG_0 CHAR_C
#define FLAG_1 CHAR_T
#define FLAG_2 CHAR_F
#define FLAG_3 CHAR_LBRACE
#define FLAG_4 CHAR_w
#define FLAG_5 CHAR_r
#define FLAG_6 CHAR_i
#define FLAG_7 CHAR_t
#define FLAG_8 CHAR_e
#define FLAG_9 CHAR_UNDERSCORE
#define FLAG_10 CHAR_f
#define FLAG_11 CHAR_l
#define FLAG_12 CHAR_a
#define FLAG_13 CHAR_g
#define FLAG_14 CHAR_UNDERSCORE
#define FLAG_15 CHAR_h
#define FLAG_16 CHAR_e
#define FLAG_17 CHAR_r
#define FLAG_18 CHAR_e
#define FLAG_19 CHAR_UNDERSCORE
#define FLAG_20 CHAR_p
#define FLAG_21 CHAR_l
#define FLAG_22 CHAR_e
#define FLAG_23 CHAR_a
#define FLAG_24 CHAR_s
#define FLAG_25 CHAR_e
#define FLAG_26 CHAR_RBRACE
// No need to change anything below this line
#define CHAR_a 97
#define CHAR_b 98
#define CHAR_c 99
#define CHAR_d 100
#define CHAR_e 101
#define CHAR_f 102
#define CHAR_g 103
#define CHAR_h 104
#define CHAR_i 105
#define CHAR_j 106
#define CHAR_k 107
#define CHAR_l 108
#define CHAR_m 109
#define CHAR_n 110
#define CHAR_o 111
#define CHAR_p 112
#define CHAR_q 113
#define CHAR_r 114
#define CHAR_s 115
#define CHAR_t 116
#define CHAR_u 117
#define CHAR_v 118
#define CHAR_w 119
#define CHAR_x 120
#define CHAR_y 121
#define CHAR_z 122
#define CHAR_A 65
#define CHAR_B 66
#define CHAR_C 67
#define CHAR_D 68
#define CHAR_E 69
#define CHAR_F 70
#define CHAR_G 71
#define CHAR_H 72
#define CHAR_I 73
#define CHAR_J 74
#define CHAR_K 75
#define CHAR_L 76
#define CHAR_M 77
#define CHAR_N 78
#define CHAR_O 79
#define CHAR_P 80
#define CHAR_Q 81
#define CHAR_R 82
#define CHAR_S 83
#define CHAR_T 84
#define CHAR_U 85
#define CHAR_V 86
#define CHAR_W 87
#define CHAR_X 88
#define CHAR_Y 89
#define CHAR_Z 90
#define CHAR_0 48
#define CHAR_1 49
#define CHAR_2 50
#define CHAR_3 51
#define CHAR_4 52
#define CHAR_5 53
#define CHAR_6 54
#define CHAR_7 55
#define CHAR_8 56
#define CHAR_9 57
#define CHAR_LBRACE 123
#define CHAR_RBRACE 125
#define CHAR_UNDERSCORE 95
#warning "Please wait a few seconds while your flag is validated."
#define S 0
#define ROM_00000000_0 1
类似这样的,定义了flag的值并使用宏进行运算,尝试运行发现出错,也就是flag正确才能出运行到main函数
先用python处理好缩进
链接:https://pan.baidu.com/s/1dwSViPCw8AkbkfoGmy0a9A
提取码:c1p7
–来自百度网盘超级会员V5的分享
以下为可以在编译时打印宏的值的语句
#define PRINT_MACRO_HELPER(x) #x
#define PRINT_MACRO(x) #x"="PRINT_MACRO_HELPER(x)
#pragma message(PRINT_MACRO(__INCLUDE_LEVEL__))
#pragma message(PRINT_MACRO(S))
尝试使用fuzz test模糊测试判断程序控制流,但是并没有什么效果,按道理修改FLAG的值应该会造成程序控制流的改变,则编译打印内容应该会改变,但是并没有出现这种情况
通过fuzz判断只要能绕过#error "INVALID_FLAG"就是flag,推测为使用递归进行检测flag是否正确,并加入了防编译时间或者编译信息攻击的机制,也就是判断最后S是否为-1就结束整个flag的判断过程
flag长度为27,过检测块的次数为108,为27的4倍数,估计为一轮校验flag的一位
分支跳转语句只有8个,其他大量的S块都是顺序执行,可能这是突破口
分析宏编程过程,发现四个校验S块连续执行,完美
涉及flag相关的S的分支块是34,35,45,50
初步判断整体程序为递归+双层for循环,递归可以忽略不计,因为到达13层后直接进行flag全部判断,判断结束后直接退栈
发现I寄存器始终保持递增,经过分析得到I为外层for循环的i,这也是为什么之前fuzz时没有变化的原因
flag的取值点位在34,剩下几个都是辅助计算,不进行flag正确与否判别程序首先从S=34按flag编号为0-26的顺序,在每个循环中读取flag的值到A寄存器中,而在S块25中每次读入到B寄存器中的B的初始值是确定的
确定S块5的R值一定为0
寄存器O,N,M中的值是斐波那契数列,是确定的
小循环的过程也是确定的
只要解析完最后两个特殊运算符号的含义,就可以写简化的逆向脚本了
手绘的程序流程图如下
圈叉是异或,圈加是无符号加法,圈点是或运算,解析完成,开始设计新的解密脚本
每一轮中,只有Q和flag中某一位的值不确定,最后一轮结束后Q的值为0,所以可以倒flag序爆破求解flag。根据程序,P最后的值可以直接算出,反向解密的时候根据程序我们需要把P减去一个临时的A寄存器的值,我们只需要在程序中提前存储好这个值,在下次解密时让P减去就可以了。递归编写解密脚本
链接:https://pan.baidu.com/s/1xR0j3WltX52_h5ZzLXtrDA
提取码:q5ue
–来自百度网盘超级会员V5的分享
328
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
