算法分析：看雪CTF2019的一道逆向题目

教IT的无语强

已于 2024-01-09 15:44:56 修改

阅读量992

点赞数

文章标签：算法

于 2023-08-27 11:30:00 首次发布

本文链接：https://blog.csdn.net/qq_44005305/article/details/132509714

版权

1.查看程序的基本运行逻辑

出现一个窗口，有一个提示标签password、一个输入框，一个验证按钮

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-na52G22U-1693020836967)(https://image.3001.net/images/20220324/1648107062_623c1e36c687b10c90b46.png!small)]

当再输入框内输入一些字符按下验证按钮后出现错误提示信息框

其运行逻辑大概可视为下图

2.查壳初探

MFC封装vc写的没壳

3.使用IDA Pro进行静态分析

①拖入程序，先打开函数调用情况窗口（方便函数跟踪）

②shift+F12查看引用字符

看到了刚才错误的提示字符“错了”，还有嫌疑字符“pass!”，那我们找到pass字符所在的位置查看引用情况

③查看引用，找到引用函数

发现pass!字符的引用的函数是sub_401770,跟进去

跟进来看到的信息可以直接判断sub_401770这个函数就是输入提示我们输入的password是正确的函数

④跟踪函数调用情况，直至找到最终调用者

（1）做一个小提示：在ida中我们看到的函数都是一个以sub_函数地址值来命名这个函数，不便于我们分析，所以我们只用将光标放在函数名字上按下n键就可以更改为我们便于理解和记住的名字（不可以用中文）

先将sub_401770改名为Tip_Success,通过函数调用表点击Caller字符函数名就会跳转Instruction字段函数的对应的调用者

（2）跟进发现sub_4017F0函数中有关键逻辑

将Str1与"KanXueCTF2019JustForhappy"作对比，如果相等则执行了提示成功的函数Tip_Success，那我们可以直接推测Str1就是Flag最后的变换值

（3）查找伪代码中的关于Str1的逻辑语句

单机Str1看到了Str1是一个字符型数组局部变量，大小为28，经历了一个while中的计算

代码中涉及了v4和a1,v4可以看到是一个初始化值为0的整型变量，a1则是一个该函数的形参，那说明此时我们要重点寻找a1.

分析循环体

while ( *(_DWORD *)(a1 + 4 * v4) < 62 && *(_DWORD *)(a1 + 4 * v4) >= 0 )

{

Str1[v4] = aAbcdefghiabcde[*(_DWORD *)(a1 + 4 * v4)];

++v4;

}

第二步我提到过Str1变量已经可以确定是Flag最后的变换值

查看循环体内，其意思便是只要a1 + 4 v4这个地址里面的内容小于62并且大于等于0则将a1 + 4

v4地址的值作为aAbcdefghiabcde数组的下标，然后将对应的aAbcdefghiabcde数组内容赋值给Str1

那么我们去查看一下aAbcdefghiabcde数组的元素是什么？算击aAbcdefghiabcde数组名字查看内容

原来就是一串字符

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zkxPL4di-1693020836979)(https://image.3001.net/images/20220324/1648107066_623c1e3a4d6fbd3182527.png!small)]

此时分析到这里基本这个函数就分析完了，我们如果要继续分析则必须先找出a1到底是什么？

继续通过函数调用表找到sub_4017F0（我们改名为Check_Encryption）函数的调用者

跟进来以后看到了Check_Encryption函数中的形参就是此时函数sub_401890中的一个整型数组v5的首地址（该数组大小为26）

那我们此时就重点跟踪v5的值了

红框框住的就是一些mfc组件的代码，不用管，可以看到，v5的变化初始化和变化来自于Str数组，

那么Str又是什么呢，仔细看从上往下第一个箭头指向的地方GetBuffer函数，这个函数会返回一个缓冲区指针，Str来接收了，说明Str很有可能就是我们输入的password所在的地址，再往GetBuffer下看一行遍看到了一个if语句

判断Str长度是否为0，也就是判断是否空，空的话就执行了return语句，不为空的话就进行了一系列关于v5和Str的计算，那么此时可以直接肯定Str就是我们输入的字符所在地址

通过代码又可以看出我们输入的password存到Str后进行了一系列if判断后计算赋值给了v5,而v5的值又作为了Check_Encryption函数的唯一实参

if ( strlen(Str) )

{

for ( i = 0; Str[i]; ++i )

{

if ( Str[i] > 57 || Str[i] < 48 )

{

if ( Str[i] > 122 || Str[i] < 97 )

{

if ( Str[i] > 90 || Str[i] < 65 )

sub_4017B0();

else

v5[i] = Str[i] - 29;

}

else

{

v5[i] = Str[i] - 87;

}

else

{

v5[i] = Str[i] - 48;

}

result = Check_Encryption((int)v5);

}

else

{

result = CWnd::MessageBoxA(v8, “请输入pass!”, 0, 0);

}

（4）梳理大概逻辑

5）我们按照从头到尾的顺序来分析这个程序

既然我们知道了我们输入的password是被Str指向（可以理解为Str是个字符数组存了我们输入的password），那么我们试试是否可以从sub_401890这个函数推出Str

阅读代码，可以得到Str[i]在此时可以有三种情况，所以此时我们不可以确定Str的唯一性，也就是我们不可以在这里得到Str（我们输入的）具体是多少，只能得到范围，那么就继续分析后面一步，跟进Check_Encryption函数

（6）分析Check_Encryption关键代码

v4 = 0;

v3 = 0;

while ( *(_DWORD *)(a1 + 4 * v4) < 62 && *(_DWORD *)(a1 + 4 * v4) >= 0 )

{

Str1[v4] = aAbcdefghiabcde[*(_DWORD *)(a1 + 4 * v4)];

++v4;

}

阅读代码可知，(_DWORD )(a1 + 4 *

v4)的作用便是遍历上一个函数v5的每一个元素，若每一个元素满足小于62并且大于0的话则将v5对应的每一个元素作为aAbcdefghiabcde数组的下角标，将对应的aAbcdefghiabcde元素赋值给Str1，之前提过Str1是最后的Flag变换结果

while ( *(_DWORD *)(a1 + 4 * v4) < 62 && *(_DWORD *)(a1 + 4 * v4) >= 0 )

{

Str1[v4] = aAbcdefghiabcde[*(_DWORD *)(a1 + 4 * v4)];

++v4;

}

Str1[v4] = 0;

if ( !strcmp(Str1, “KanXueCTF2019JustForhappy”) )

result = Tip_Success();

else

result = sub_4017B0();

作者设计，如果最后的Flag遍结果等于“KanXueCTF2019JustForhappy”则提示成功，那由上我们就可以写脚本得到v5的值

char encryption[] = “KanXueCTF2019JustForhappy”;

char text[] =
“abcdefghiABCDEFGHIJKLMNjklmn0123456789opqrstuvwxyzOPQRSTUVWXYZ”;

for (int i = 0; i <= strlen(encryption); i++)

{

for (int j = 0; j <= strlen(text); j++)

{

if (encryption[i] == text[j])

{

//printf(“%d–”, j);

v5[i] = j;

}

此时我们既然得到了v5的值那么就可以去分析上一个函数sub_401890得到Str(我们输入的password)了

for ( i = 0; Str[i]; ++i )

{

if ( Str[i] > 57 || Str[i] < 48 )

{

if ( Str[i] > 122 || Str[i] < 97 )

{

if ( Str[i] > 90 || Str[i] < 65 )

sub_4017B0();

else

v5[i] = Str[i] - 29;

}

else

{

v5[i] = Str[i] - 87;

}

else

{

v5[i] = Str[i] - 48;

}

这个循环结构就是判断Strp[i]是否在一个规定的范围，通过Str[i]所属的范围来进行加密或者推=退出程序，因为v5是Str[i]-常数得到的，那么我们就可以用v5+常数来判断Str[i]的范围以及确却数值了，反推代码如下，input数组就是Str(用户输入)

for (int i = 0; i <= 26; i++)

{

if (48 <= (v5[i] + 48) && (v5[i] + 48) <= 57)

{

input[i] = v5[i]+48;

}

if (97 <= (v5[i] + 87) && (v5[i] + 87) <= 122)

{

input[i] = v5[i]+87;

}

if (65 <= (v5[i] + 29) && (v5[i] + 29) <= 90)

{

input[i] = v5[i] + 29;

}

最后写出第一轮和第二轮的解密代码，即可得到flag

#include

int main()

{

int input[26] = { 1 };

int v5[26] = {1};

int Str[26] = { 1 };

char encryption[] = “KanXueCTF2019JustForhappy”;

char text[] =
“abcdefghiABCDEFGHIJKLMNjklmn0123456789opqrstuvwxyzOPQRSTUVWXYZ”;

for (int i = 0; i <= strlen(encryption); i++)

{

for (int j = 0; j <= strlen(text); j++)

{

if (encryption[i] == text[j])

{

//printf(“%d–”, j);

v5[i] = j;

}

for (int i = 0; i <= 26; i++)

{

if (48 <= (v5[i] + 48) && (v5[i] + 48) <= 57)

{

input[i] = v5[i]+48;

}

if (97 <= (v5[i] + 87) && (v5[i] + 87) <= 122)

{

input[i] = v5[i]+87;

}

if (65 <= (v5[i] + 29) && (v5[i] + 29) <= 90)

{

input[i] = v5[i] + 29;

}

for (int i = 0; i < 26; i++)

{

printf(“%c”,input[i]);

}

return 0;

-", j);

v5[i] = j;

}

for (int i = 0; i <= 26; i++)

{

if (48 <= (v5[i] + 48) && (v5[i] + 48) <= 57)

{

input[i] = v5[i]+48;

}

if (97 <= (v5[i] + 87) && (v5[i] + 87) <= 122)

{

input[i] = v5[i]+87;

}

if (65 <= (v5[i] + 29) && (v5[i] + 29) <= 90)

{

input[i] = v5[i] + 29;

}

for (int i = 0; i < 26; i++)

{

printf(“%c”,input[i]);

}

return 0;

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S8ni40VI-1693020836986)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20230809162658551.png)]

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qSFUwCvJ-1693020836987)(C:\Users\Administrator\Desktop\网安思维导图\享学首创年薪40W+网络安全工程师青铜到王者技术成长路线V4.0.png)]

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7GBgPiqZ-1693020836988)(C:\Users\Administrator\Desktop\网安资料截图\视频课件.jpeg)]

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！