XCTF-Windows_Reverse1

最新推荐文章于 2021-08-26 20:18:54 发布
最新推荐文章于 2021-08-26 20:18:54 发布
阅读量209 收藏 1
点赞数 2
分类专栏: CTF-RE练习 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52974719/article/details/118164150
版权

XCTF-Windows_Reverse1

1、查壳

查出upx壳,老套路了,本想直接一波esp把壳子脱掉,结果出现内存访问失败的错误,呜呜,爬去upx -d

2、ida静态分析

在这里插入图片描述比较简洁,输入v6,调用函数sub_401000处理v6,最后判断v4的结果,芜湖,看似v4和v6毫无关系,其实细看调用401000函数前的汇编便能找到v4与v6间的联系
在这里插入图片描述
注意到初始时v4和v6在栈内的位置便可以知道,eax中存放的是v6,ecx中存放的是v4,借助寄存器来实现参数传递,ida就分析不出来v4和v6的联系了。
在这里插入图片描述进入401000函数,有些小细节 v4(临时变量),是地址v6和v4的差值 也就是400 ,分析可知:

v1[v4] == *(v1+v4) == *(ebp-804+400) == *(ebp-404)

出现了,也就是这也是在遍历v6数组,可知最后v1*即v4的值为一个字符串[v6的ascii码],所以只需拿到这个byte_402FF8字符串就ok了

3、提取索引字符串

1、提取的两种方式:一种在ida中巧妙分析
在这里插入图片描述
观察到改字符串从偏移量0x2FF80x3018到最后0,计算这两个地址的差值得到32,32我的天,一开是没想到,后来看师傅wp知道,前32的ASCII码对应的字符都是不可打印字符,而v6是我们的输入,所以根本不可能有前32位,而后面的字符串我们知道了,相当于字符串我们都知道了,写脚本就ok。

a='7E 7D 7C 7B 7A 79 78 77 76 75 74 73 72 71 70 6F 6E 6D 6C 6B 6A 69 68 67 66 65 64 63 62 61 60 5F 5E 5D 5C 5B 5A 59 58 57 56 55 54 53 52 51 50 4F 4E 4D 4C 4B 4A 49 48 47 46 45 44 43 42 41 40 3F 3E 3D 3C 3B 3A 39 38 37 36 35 34 33 32 31 30 2F 2E 2D 2C 2B 2A 29 28 27 26 25 24 23 22 21'
a=a.split(' ')
for i in range(len(a)):
    a[i]=int('0x'+a[i],16)
v4='DDCTF{reverseME}'
for i in v4:
    for j in range(len(a)):
        if a[j]==ord(i):
            print(chr(j+32),end='')#加32是因为前面32位虽然不可打印,但也在表中做下标
            break

2、OD动调找字符串,所有字符串都能提出来
虽然脱壳失败,但是我们用esp定律定位真正的程序还是挺简单的。

先单步,在esp数据窗口前四个字节下内存访问断点,之后运行,之后单步步入大跳,进入大跳内可以中文搜索引擎搜索一下,定位主要内容的位置。
在这里插入图片描述在这里插入图片描述通过第一张图的eax=0x31;dl串的地址为eax+0x122FF8,可知首地址为0x122FF8,而0x6D正好为第50个,即下标索引的49,其实eax为啥为0x31呢,因为在前面输入的时候输入123,而1的ASCII正好为49即0x31,这样也能看到是一个索引操作,索引后存到dl中之后dl赋值给ecx,即v4。我们已经知道最后变换过的v4了,而表也知道了,所以可以只需要逆向出v6就ok。

a='00 00 00 00 00 00 00 00 BC 7D 32 6D 43 82 CD 92 FF FF FF FF FF FF FF FF FE FF FF FF 01 00 00 00 7E 7D 7C 7B 7A 79 78 77 76 75 74 73 72 71 70 6F 6E 6D 6C 6B 6A 69 68 67 66 65 64 63 62 61 60 5F 5E 5D 5C 5B 5A 59 58 57 56 55 54 53 52 51 50 4F 4E 4D 4C 4B 4A 49 48 47 46 45 44 43 42 41 40 3F 3E 3D 3C 3B 3A 39 38 37 36 35 34 33 32 31 30 2F 2E 2D 2C 2B 2A 29 28 27 26 25 24 23 22 21 20 00 01 00 00 00 00 1B 08 01 60 26 08 01'
a=a.split(' ')
for i in range(len(a)):
    a[i]=int('0x'+a[i],16)
#print(a)
v4='DDCTF{reverseME}'
v=[]
for i in v4:
    for j in range(len(a)):
         if a[j]==ord(i) and j>32:
             print(chr(j),end='')  #这才是真正的flag

注意,如果是把所有表提出来,如过是在前32位内找到的不能要,因为v6是可打印的,必须ASCII码大于32!!!

对于脱壳后产生的问题,师傅们可以参考下这个师傅的链接:链接: 传送门

完结线:re弟弟的做题笔记,有时可能会带点稀奇古怪的思路,如有问题还望师傅们指正,专栏内容会随着比赛记录而不断更新哦。爬~

Lu1u~
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF Windows_Reverse1
weixin_44164182的博客
02-11 166
主函数中接收输入后,调用sub_401000后进行判断,即sub_401000执行了关键逻辑,根据用户输入生成待判断的字符串。调用时分别使用堆栈和寄存器传入了两个main函数堆栈的地址,分别是输入字符串地址(堆栈)和执行sub_401000后生成的字符串的保存地址(寄存器ecx)。 生成的字符串来自template_string,并以某种方式按照用户输入进行索引生成,其中template_string如下 生成字符串的索引为 template_string[ptr_output[v4]] v4=raw.
XCTF 逆向进阶区Windows_Reverse1——WriteUp
qq_43547885的博客
02-20 1047
题目链接: Windows_Reverse1 答题过程 脱壳 首先将程序拖入 Exeinfo PE 中查看相关信息: 发现程序有upx壳, 使用upx -d将壳脱去: 脱壳显示成功, 但奇怪的是程序一运行就闪退. 先不讨论该问题, 最后再来研究. IDA PRO 分析程序 用 IDA PRO 打开该程序, 直接查看反编译代码, 发现程序逻辑非常清晰:int __cdecl main(int...
xctf windows_reverse1
weixin_45701079的博客
10-24 351
xctf windows_reverse1 日常水一波 这道题是有加壳的(upx),用010分析就知道了 脱壳之后找到动态调试不行,经大佬讲解,发现win7之后加入了ALSR,然后这个文件不支持ALSR,所以动态调试不行,只能用ida打开 乍一看,v4和v6没有任何关系,但是查看汇编 把v4的地址放入了ecx,然后看调用的函数 v1的保存值就是ecx,所以思路就出来了。v1的值就是main函数的v4的值 然后通过地址相减(仔细看上图会发现是个负数),然后地址的差值作为另一个的索引,这里用了溢出,然后找到
攻防世界WP-reverse-Reversing-XCTF 3rd-GCTF-2017-hackme
wallacegen的博客
04-15 324
其他的不说了,查看伪代码 __int64 sub_400F8E() { char v1[136]; // [rsp+10h] [rbp-B0h] int v2; // [rsp+98h] [rbp-28h] char v3; // [rsp+9Fh] [rbp-21h] int v4; // [rsp+A0h] [rbp-20h] unsigned __int8 v5; // ...
攻防世界逆向高手题之Windows_Reverse1
沐一 · 林 的博客
08-26 900
攻防世界逆向高手题之Windows_Reverse1 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的Windows_Reverse1 下载附件,照例扔入exeinfope中查看信息: UPX壳,32位windows中,扔入我的kali中先用命令upx -d 文件名 脱壳先: 双击运行不了,查看不了起始信息,看了资料说: UPX的壳,手动脱壳或者脱壳机脱壳,但发现脱完壳的程序在win7下打不开,即使是显示没壳(这里后来查到win7包括以上版本开启了ASLR(地址随机化),winxp就没有,如
XCTF-HW-pipeline附件
11-09
附件
xctf.rar_HTML5自适应
09-19
实现html5全屏滚动效果的源码,全屏平滑滚动,自适应浏览器
XCTF-RE】新手练习区-no-strings-attached-解压密码:十三陵陈飞宇.rar
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/qffkcv
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
软件集成工具(mysql+redis+nacos+consul)
02-02
************************ ** 集成工具使用文档 ** ************************ 启动程序项目会依赖各种服务,给服务器造成一定消耗 本地部署服务,也需要启动虚拟机、运行命令、等繁琐操作 基于该目的,将集成一款具有多组环境,且易于部署的集成包 运行平台:windows mysql/5.7.9 redis/3.2 nacos/1.1.4 consul/1.9.1 说明: 1 各个项目可以独立运行bat,且具有自定义性 2 _run.bat用于一键启动服务
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar...
XCTF Windows_Reverse2
lhk124的博客
07-24 479
1.查壳,脱壳。 壳:aspack 可以手工脱壳或者用工具 1.取值范围和长度的判断(如图) 2.sub_401240:可以通过减去的值判断出:最后的值的取值范围是0-15,所以判定为转换为16进制 3.sub_401240里的sub_401000函数:base64的加解密的魔改 所以,程序的正向逻辑是: 输入,判断长度是否为偶数,是否在'0'->'9' 'A'->'F'之间 在sub_401240转换为16进制 在sub_401000里进行base64魔改加密,最终结果为...
xctf(ddctf) Windows_Reverse2 脱壳
JackBoy的博客
01-12 827
1.星期天闲着没事做做这个 od直接开trace 然后写个脚本化简下文件 import re def isdigit(a): try: int(a,10) return 1 except Exception as e: try: int(a,16) return 1 except Exception as e1: return 0 f1=open(...
aiohttp-3.8.3-cp37-cp37m-musllinux_1_1_i686.whl
06-18
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
copy-sct.sql
06-18
copy-sct.sql
基于STM32的PWM成型控制系统为逆变器产生控制脉冲
06-18
在所考虑的逆变器中,通过比较两个模拟信号来形成变频键的控制信号。这些信号被馈送到比较器的不同输入端,当比较器同相输入端的信号值大于反相输入端的信号值时,在比较器的输出端形成逻辑“1”,否则为“0”。定时器用于使用基于调试板的微控制器生成控制信号。 计时器说明 图例.1 - 计时器说明 到达计数输入的每个时钟脉冲都会使CNT计数寄存器中的值改变1。在双向计数模式下,定时器首先从 0 计数到极限值,然后向下计数到 0。计数限制由写入 ARR 寄存器的值确定。该值本身使用以下公式计算: ARR 值 图2 - 自动重新加载寄存器的值 如果计数寄存器CNT中的值与任何定时器通道的捕获/比较寄存器(CCR)中写入的值一致,则该通道输出的逻辑状态将被切换,这类似于使用比较器形成PWM信号。在计时器的计数周期内,每个通道上有两个这样的开关。CCR 寄存器中的值随计数周期的变化而变化,以代码的形式再现,实际上是正弦参考信号。正弦信号的重新计算和CCR寄存器的值更新可以在中断例程中完成。 罪恶公式 图3 - Sin 公式 生成的程序代码被上传到调试板,以测试生成信号的正确操作。该图显示了
protobuf-3.19.5-cp36-cp36m-macosx_10_9_x86_64.whl
最新发布
06-18
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
pure_color xctf
07-16
### 回答1: pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值