GKCTF EzMachine

最新推荐文章于 2021-05-24 06:52:54 发布
最新推荐文章于 2021-05-24 06:52:54 发布
阅读量218 收藏
点赞数
分类专栏: ctf逆向学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45965620/article/details/115129747
版权

运行一下程序
在这里插入图片描述

检测程序,32位无壳,直接用IDA打开
在这里插入图片描述
字符串窗口没找到有用的字符串,改用x32dbg动调,搜索ascii字符串找到关键字符串
在这里插入图片描述
在这里插入图片描述

根据当前地址在IDA中找到对应的函数sub_4E10E0
在这里插入图片描述
可以看到一个switch结构,题目名称明显表示这是个vm题,一开始猜测这就是dispatcher,后来发现并不是,在x32dbg中动调发现,程序在case3也就是输出“plz input”字符串后,跳到了地址为4E1594处,一开始我把这部分声明成一个新函数,但是反编译出来的c代码根本没法读,只好动调这部分汇编代码

经多次调试后发现,这里才是这个vm的真正的dispatcher,程序以dword_525BD8为计数器,取出byte_5249A0数组中对应位序的值作为byte_5248F0的位序,而byte_5248F0我们查看之后发现是一个一串标号,对应byte_5248F4中的函数,之后把这两个数组统称为调度表
在这里插入图片描述
输入函数也在里面(第17个函数),程序从case3出来之后,dispatcher第一个调用的就是输入函数,此时计数器dword_525BD8为6,调度表中的函数大部分是执行了之后会使计数器自增3,个别几个会有跳转,然后继续动调,得出程序一些关键变量
首先程序里有一个数组,调度器调用的每个函数基本都在使用这四个变量,
在这里插入图片描述

然后是最开始的switch结构里决定switch分支的变量dword_525BCC和输入存储的位置。
在这里插入图片描述

然后给出动调出来的函数执行顺序即对应的功能(这里变量名字因为调试时候基址不一样所以名称有些不同)

这是自己动调的时候写的一些笔记

第一部分:判断输入长度是否正确
sub_111000   //535BC4=0x11
sub_111300   //535BCC=535BDC-535BC4(0x11)  ;判断长度是否正确
sub_111340   //跳转,535BD8=0x1B

第二部分:判断输入的字符是大写字母还是小写字母还是下划线,对应不同的执行流程
由于输入字符有17位,所以这部分会执行17次

sub_111000   //535BD4=0
sub_111000   //535BDC=0x11
sub_111300   //535BCC=535BDC(0x11)-535BD4(0)
sub_111340   //+3
sub_1114B0   //从输入中取出一个值送入535BDC中
sub_111000   //535BC4=0x61(输入?)
sub_111300   //535BCC=535BDC(0x61)-535BC4(0x61)=0
sub_1113D0   //535BD8+3
(这里开始分支,输入为'_'时)
sub_111000   //535BC4=0x41
sub_111300   //535BCC=535BDC('_'(0x5F))-535BC4(0x41)
sub_1113D0   //+3
sub_111000   //535BC4=0x5A
sub_111300   //535BCC=535BDC(0x5F)-535BC4(0x5A)=5
sub_1113A0   //535BD8=0x69
sub_111000   //535BC4=0x10
sub_111270   //535BDC(0x5F)和535BC4(0x10)做了一次除法,
             //535BDC保存结果(5),535BC4保存余数(F)
sub_111030   //入栈535BDC的结果
sub_111030   //入栈535BC4的结果
sub_111000   //535BC4=1
sub_1111D0   //535BD4(0)+535BC4(1)
sub_1112E0
(分支,输入为大写字母时)
111000   //535BC4=4B
1112B0   //输入^0x4B
111000   //535BC4=1
111200   //输入-=1
sub_111000   //535BC4=0x10
sub_111270   //535BDC(0x27)和535BC4(0x10)做了一次除法,
             //535BDC保存结果,535BC4保存余数
sub_111030   //535BC8++(初始值为零),将535BC4(7)的值存到一个新的变量[535BAC+1]中
sub_111030   //将535BDC(2)的值存到[535BAC+2]中
sub_111000   //535BC4=1
sub_1111D0   //535BD4(0)+535BC4(1)
sub_1112E0
 (输入为小写字母时)
 sub_111000   //535BC4=0x7A
sub_111300   //535BCC=535BDC(0x61)-535BC4(0x7A)=-19(十进制)
sub_1113A0   //+3
sub_111000   //535BC4=0x47

sub_1112B0    //输入异或?    "a"^0x47=0x26
sub_111000    //535BC4=1
sub_1111D0    //??           dword_535BDC(0x26)+535BC4(1)
sub_1112E0

0x69段
sub_111000   //535BC4=0x10
sub_111270   //535BDC(0x27)和535BC4(0x10)做了一次除法,
             //535BDC保存结果,535BC4保存余数
sub_111030   //535BC8++(初始值为零),将535BC4(7)的值存到一个新的变量[535BAC+1]中
sub_111030   //将535BDC(2)的值存到[535BAC+2]中
sub_111000   //535BC4=1
sub_1111D0   //535BD4(0)+535BC4(1)
sub_1112E0   //跳转

第三部分  将正确输入的结果压入栈dword_535BAC中
sub_4E1070
 
第四部分
判断输入生成的栈数据是否正确,也是一位一位比较
sub_111000    //535BD4=1
sub_111470    //535BD0初始化为0,将加密后的输入(535BAC+1(7))送入535BC4
sub_1110A0    //将密文最后一位(535BAC+0x44(2))送入535BDC  (535BC8=0x44?)
sub_111300    //535BCC=535BDC(2)-535BC4(7)
sub_111370    //535BD8=10E(判断函数?)正确+3   输入错误:535BCC=1
sub_111000    //535BC4=0x22
sub_111300    //535BCC=535BD4(1)-0x22
sub_111340    //+3
sub_111000    //535BC4=1
sub_1111D0    //535BD4(1)+=535BC4(1)
sub_1112E0

总结一下就是程序会将输入的每个字符做一定的处理,然后压入栈中
大写字母: 先异或0x4B,再自减1,和0x10做除法后将商和余数压入栈中
小写字母:先异或0x47,再自增1,和0x10做除法后将商和余数压入栈中
其他字符:直接和0x10做除法后将商和余数压入栈中

正确的堆栈结果可以动调出来,也可以自己写脚本,得到的数据为
7, 13, 0, 5, 1, 12, 1, 0, 0, 13, 5, 15, 0, 9, 5, 15, 3, 0, 2, 5, 3, 3, 1, 7, 7, 11, 2, 1, 2, 7, 2, 12, 2, 2(左边为栈底)

知道这些就可以写逆向脚本了

code = [7, 13, 0, 5, 1, 12, 1, 0, 0, 13, 5, 15, 0, 9, 5, 15, 3, 0, 2, 5, 3, 3, 1, 7, 7, 11, 2, 1, 2, 7, 2, 12, 2, 2]

flag=""
i=0
print(len(code))
while(i<34):
    m = code[i]*0x10+code[i+1]
    if(m==95 or m==123 or m==125):
        flag+=chr(m)
    else:
        t=m
        t-=1
        t^=0x47
        if(t<97):
            t = m
            t += 1
            t ^= 0x4B
        flag+=chr(t)
    i+=2
print(flag[::-1])

最后的结果为flag{Such_A_EZVM}

qq_45965620
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu [GKCTF2020]EzMachine wp
苗_的博客
09-10 789
今天终于沉下心看了一道vm逆向题了...wp我尽量写的详细一点qaq Part1 先拖进ida看一下,发现找不到什么关键函数,搜索字符串也搜不出什么。静态不大行我们就动调试试。 第一种 调试发现程序跳转到0x9B1595,和0x009B1594这一步对比发现0x009B1594会跑飞,所以初步判定它是混淆指令,到ida里把它nop掉。 其实nop掉的目的就是把0x9B1595这里创建函数然后反汇编,这样会更好分析一点。 直接nop肯定是不行的,会破坏掉0x9B1595这里的代码,要先ida动
EzMachine和DbgIsFun--GKCTF
re1wn
06-20 6078
GKCTF RE
GameplayKit的GKStateMachine用法与实例
布袋的世界
10-11 555
玩家进入GameScene场景中 -&gt; 通过GKStateMachine进入到指定的游戏状态GKState 在GameScene场景中 -&gt; 根据不同的逻辑调用GKStateMachine -&gt; 在各个不同的游戏状态GKState之间进行切换 源码如下: 一、GameScene.swft import SpriteKit import GameplayKit class Ga...
APK 安装过程
yusufolu9的专栏
12-24 258
GKCTF 2020 re
qq_37439229的博客
05-25 527
周末打了两场比赛 bjd GK,bjd我打自闭了,赛中只做出了两道题,赛后又才又做出一道。。。不得不说按道理我四道题都看懂了,知道方法怎么做,可是我不会写脚本啊。。。得加强python的编程能力了。。。 来说说GKCTF,(虽然还是只做出了3道题。。。。啥时能做到ak啊!!!!) checkin 密码HelloWorld,之后砖块游戏好了 Chelly’s identity 老二次元了。。。。 方法:动态调试,比较简单 a = [0x2,0x3,0x5,0x7,0xb,0xd,0x11,0x13
GKCTF2020.zip
07-20
GKCTF2020 逆向 pwn等赛题,除web题外均有
葫芦侠一键签到网页版工具
05-16
功能介绍: +收集50+可签到板块 包含大量隐藏板块 +支持一键签到及托管签到 +支持托管记录查询 ...+支持自定义广告位、首页公告等. +支持自定义接口地址 +......安装教程:上传压缩包至根目录解压即可 ...
re每日一题(20200530)(补)
Prowes5的博客
06-01 324
re每日一题(20200530)(补) GKCTF2020 0x03 EzMachine 载入IDA,main函数不能F5,需要将0x1591的后三个字节nop int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int i; // [esp+10h] [ebp-8h] sub_6014F0(); while ( 1 ) { LABEL_2: for ( i = 0; ; i
2020 GKCTF
Hk_Mayfly的博客
05-30 563
Misc Pokémon 有点脑洞题,flag就在103国道那 flag{PokEmon_14_CutE} Crypto 小学生的密码学 e(x)=11x+6(mod26) 密文:welcylk 仿射密码,a=11,b=6 再base64就行 flag{c29yY2VyeQ==} babycrypto 2019强网杯challenge 2原题,RSA解密,...
codeMachine代码生成器
12-24
codeMachine代码生成器,里面包含freemarker的基本语法。
BUU CTF web(四)
0xdawn的博客
05-11 5158
[HarekazeCTF2019]encode_and_encode <?php error_reporting(0); if (isset($_GET['source'])) { show_source(__FILE__); exit(); } function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper '(php|file|glob
(微信开发)PHP curl模拟登陆教务系统查询成绩查询课表实现微信查成绩差课表功能
热门推荐
xiaoxiaobai2015的专栏
02-07 78万+
最近微信开发特别火,刚学会helloword的我也去玩了一下。做了一个微信端查成绩、查课表、查考试安排,图书借阅情况,一键续借的微信公众账号。做了几天,从只会echo到这个公众账号完成,遇到了不少问题,也学到了不少东西。现在写出来算是总结吧。也给需要的同学一个参考的例子。下面以中南民族大学教务系统为例。      一.原理        模拟登陆的原理是这样的,当我们登陆教务系统的时候,我们把学号
[GKCTF2020]EZ三剑客 记录
SopRomeo的博客
07-18 962
EzWeb 发个url发现一直卡在那里 发现有个secret 进去之后弹出linux 查询网卡信息的内容 给出了服务器ip,记录下ip地址 我们访问下ip 结果弹出两,不难发现是个SSRF SSRF漏洞利用讲解 根据上面文章,我们利用file协议读取下index.php 那试试扫端口 个人喜欢写脚本,不喜欢用bp,用bp也可以(这里还需要扫内网主机) 从1-255爆破ip最后一段即可 发现是11 然后扫端口 在网上找了个脚本扫端口 脚本作者链接 这个脚本和nmap好像都跑不出来… 用bp
Android 4.0 Android.mk 复制apk的方法
weixin_34402090的博客
02-07 235
升级到Android 4.0。 原来我们在3.2 版本下面编译的程序有些不能编译通过。特别是 复制apk,复制动态库的Android.mk 文件,经过研究。现解决方法如下。 错误信息:The following variables have been changed: PRODUCT_COPY_FILES. Stop. 解决办法:下面几个例子共参考。分别是复制APK...
2020-GKCTF-Reverse
m0_51713041的博客
05-24 447
2020-GKCTF Check_1n 思路一: 查找字符串之后,点击"密码错误"发现了关键,上方的一个strcmp函数,发现了密码: ‘HelloWorld’ 我们直接运行一下,然后输入密码开机,之后移动到"flag",结果给了base64编码的Why don’t you try the magic brick game 然后我们玩打砖块游戏,死了之后就出flag 思路二: 查找字符串的时候发现: 2i9Q8AtFJTfL3ahU2XGuemEqZJ2ensozjg1EjPJwCHy4RY1Nyvn
高端商务活动策划商业计划书PPT模板
07-12
【作品名称】:高端商务活动策划商业计划书PPT模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
工作述职报告PPT模板
最新发布
07-12
【作品名称】:工作述职报告PPT模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
工作报告季度计划工作总结PPT模板
07-12
【作品名称】:工作报告季度计划工作总结PPT模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
2021gkctf checkin
02-29
2021gkctf checkin 是一个CTF(Capture The Flag)比赛,是由GKSEC团队举办的。CTF比赛是一种网络安全竞赛,旨在测试参赛者在网络安全领域的技能和知识。 在2021gkctf checkin中,参赛者需要完成一系列的网络安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值