[NCTF 2018]wcyvm

最新推荐文章于 2023-11-03 12:43:56 发布
最新推荐文章于 2023-11-03 12:43:56 发布
阅读量113 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61208431/article/details/132591192
版权
本文描述了一个初学者在尝试解决一道涉及虚拟机逆向工程的题目时的经历,包括参考前人代码、遇到的问题和解决过程,最终解密flag。
摘要由CSDN通过智能技术生成

虚拟机题目,到现在还没做过,依据前人的智慧学习一波。

有前人用angr跑出来了,试了下还真行,绷。

网上疑似搜到了源码NCTF2018/Reverse/wcyvm/wcyvm.c at master · NJUPT-coding-gay/NCTF2018 (github.com)

参照着写

虚拟机的函数长这样

有点折磨

照着前人写了一波,加了些自己的理解,干出死循环了。

悲。

发现原因了,把i+2写成了opcode[i+2],还是没理解透。

乱掉了,决定不做了

决定再做做。

发现做这题时得把类型转换隐藏掉,看着头疼。

#include<stdio.h>
unsigned int opcode[100] = {
    0x00000008, 0x00000001, 0x00000000, 0x00000008, 0x00000003, 0x00000046, 0x0000000E, 0x00000015,
    0x0000000A, 0x00000001, 0x00000009, 0x00000002, 0x0000000B, 0x0000000A, 0x00000001, 0x0000000A,
    0x00000002, 0x00000009, 0x00000001, 0x00000011, 0x00000001, 0x0000000D, 0x00000001, 0x00000003,
    0x0000000F, 0x00000008, 0x00000008, 0x00000001, 0x00000000, 0x00000008, 0x00000003, 0x00000047,
    0x0000000E, 0x00000046, 0x0000000A, 0x00000001, 0x0000001A, 0x00000002, 0x00000006, 0x0000001D,
    0x00000001, 0x00000004, 0x00000014, 0x00000002, 0x00000001, 0x00000019, 0x00000001, 0x00000002,
    0x0000001B, 0x00000001, 0x00000001, 0x0000001D, 0x00000001, 0x0000006E, 0x00000013, 0x00000001,
    0x00000063, 0x00000015, 0x00000001, 0x00000074, 0x00000013, 0x00000001, 0x00000066, 0x0000001C,
    0x00000002, 0x00000001, 0x00000009, 0x00000001, 0x00000011, 0x00000001, 0x0000000D, 0x00000001,
    0x00000003, 0x0000000F, 0x00000022, 0x00000064, 0x00000000, 0x00000000, 0x00000000, 0x00000000,
    0x00000000, 0x00000000, 0x00000000, 0x00000000, 0x00000000, 0x00000000, 0x00000000, 0x00000000,
    0x00000000, 0x00000000, 0x00000000, 0x00000000, 0x00000000, 0x00000000, 0x00000000, 0x00000000,
    0x00000000, 0x00000000, 0x00000000, 0x00000000
};
int main()
{
    int v1=0;
    for (int i = 0;i < 75;)
    {
        if (opcode[i] == 8)
        {
            printf("%d mov R%d %d\n", i , opcode[i + 1] - 1, opcode[i + 2]);
            i += 3;
            continue;
        }
        if (opcode[i] == 9)
        {
            printf("%d pop R%d\n", i , opcode[i + 1] - 1);
            i += 2;
            continue;
        }
        if (opcode[i] == 0xA)
        {
            printf("%d push R%d\n", i , opcode[i + 1] - 1);
            i += 2;
        }
        if (opcode[i] == 0xB)
        {
            printf("%d R0=getchar()\n", i );
            i += 1;
            continue;
        }
        if (opcode[i] == 0xC)
        {
            printf("%d R0=putchar()\n", i );
            i += 1;
            continue;
        }
        if (opcode[i] == 0xD)
        {
            printf("%d if R%d==R%d v1=128\n", i ,opcode[i+2]-1,opcode[i+1]-1);
            printf("   if R%d>R%d  v1=64\n", opcode[i + 2] - 1, opcode[i + 1] - 1);
            printf("   if R%d<R%d  v1=32\n", opcode[i + 2] - 1, opcode[i + 1] - 1);
            i += 3;
            continue;
        }
        if (opcode[i] == 0xE)
        {
            printf("%d jmp %d\n", i , opcode[i + 1]);
            i += 2;
            continue;
        }
        if (opcode[i] == 0xF)
        {
            printf("%d if v1&0x80!=0 jmp %d\n", i , i+2);
            printf("   else jmp %d\n", opcode[i + 1]);
            i += 2;
            continue;
        }
        if (opcode[i] == 0x10)
        {
            printf("%d if v1&0x80!=0 jmp %d\n", i , opcode[i + 1]);
            printf("   else jmp %d\n", i+2);
            i += 2;
            continue;
        }
        if (opcode[i] == 0x11)
        {
            printf("%d inc R%d\n", i , opcode[i + 1] - 1);
            i += 2;
            continue;
        }
        if (opcode[i] == 0x12)
        {
            printf("%d dec R%d\n", i , opcode[i + 1] - 1);
            i += 2;
            continue;
        }
        if (opcode[i] == 0x13)
        {
            printf("%d add R%d %d\n", i , opcode[i + 1] - 1,opcode[i+2]);
            i += 3;
            continue;
        }
        if (opcode[i] == 0x14)
        {
            printf("%d sub R%d R%d\n", i , opcode[i + 1] - 1, opcode[i + 2]-1);
            i += 3;
            continue;
        }
        if (opcode[i] == 0x15)
        {
            printf("%d xor R%d %d\n", i , opcode[i + 1] - 1, opcode[i + 2]);
            i += 3;
            continue;
        }
        if (opcode[i] == 0x16)
        {
            printf("%d and R%d R%d\n", i , opcode[i + 1] - 1, opcode[i + 2]-1);
            i += 3;
            continue;
        }
        if (opcode[i] == 0x17)
        {
            printf("%d or R%d R%d\n", i , opcode[i + 1] - 1, opcode[i + 2] - 1);
            i += 3;
            continue;
        }
        if (opcode[i] == 0x19)
        {
            printf("%d mov R%d R%d\n", i , opcode[i + 1] - 1, opcode[i + 2] - 1);
            i += 3;
            continue;
        }
        if (opcode[i] == 0x1A)
        {
            printf("%d lea R%d [R%d]\n", i , opcode[i + 1] - 1, opcode[i + 2] - 1);
            i += 3;
            continue;
        }
        if (opcode[i] == 0x1B)
        {
            printf("%d mov R%d [R%d]\n", i , opcode[i + 1] - 1, opcode[i + 2] - 1);
            i += 3;
            continue;
        }
        if (opcode[i] == 0x1C)
        {
            printf("%d mov [R%d] R%d\n", i , opcode[i + 1] - 1, opcode[i + 2] - 1);
            i += 3;
            continue;
        }
        if (opcode[i] == 0x1D)
        {
            printf("%d mul R%d %d\n", i , opcode[i + 1] - 1, opcode[i + 2]);
            i += 3;
            continue;
        }



    }
}

运行结果

0 mov R0 0
3 mov R2 70
6 jmp 21
8 push R0
10 pop R1
12 R0=getchar()
13 push R0
15 push R1
17 pop R0
19 inc R0
21 if R2==R0 v1=128
   if R2>R0  v1=64
   if R2<R0  v1=32
24 if v1&0x80!=0 jmp 26
   else jmp 8
26 mov R0 0
29 mov R2 71
32 jmp 70
34 push R0
36 lea R1 [R5]
39 mul R0 4
42 sub R1 R0
45 mov R0 R1
48 mov R0 [R0]
51 mul R0 110
54 add R0 99
57 xor R0 116
60 add R0 102
63 mov [R1] R0
66 pop R0
68 inc R0
70 if R2==R0 v1=128
   if R2>R0  v1=64
   if R2<R0  v1=32
73 if v1&0x80!=0 jmp 75
   else jmp 34

36行有个R5,对应的应该是栈底。

flag=[0x000036D3, 0x00002AFF, 0x00002ACB, 0x00002B95, 0x00002B95, 0x00002B95, 0x0000169F, 0x0000186D, 0x000018D7, 0x00001611, 0x000018D7, 0x00002B95, 0x00002C23, 0x00002CA9, 0x00001611, 0x00001611, 0x000018D7, 0x00002AFF, 0x00001849, 0x000018FB, 0x00002ACB, 0x00002A71, 0x00001735, 0x000018D7, 0x00001611, 0x00002ACB, 0x000015DD, 0x000018D7, 0x00002C23, 0x0000169F, 0x000015DD, 0x00002B95, 0x0000169F, 0x0000156B, 0x0000186D, 0x00002AFF, 0x00001611, 0x00001611, 0x000015DD, 0x00002AFF, 0x00002C23, 0x00002ACB, 0x000015DD, 0x000015DD, 0x0000186D, 0x00001849, 0x00002B95, 0x0000156B, 0x00001735, 0x000018FB, 0x000018FB, 0x00002A71, 0x00002AFF, 0x00001735, 0x00002C23, 0x000015DD, 0x000018D7, 0x00002A71, 0x000018D7, 0x000018D7, 0x00002C23, 0x00002AFF, 0x0000156B, 0x00002C23, 0x0000169F, 0x000035AF, 0x00002CA9, 0x000032B5, 0x00002AFF, 0x00003039]
for i in range(len(flag)-1,-1,-1):
    flag[i]=(((flag[i]-102)^116)-99)//110
    print(chr(flag[i]),end='')
#nctf{3e1ce77b70e4cb9941d6800aec022c813d03e70a274ba96c722fed72783dddac}

遭不住。

SMALLFOOLGGER
关注
2018NCTF 部分writeup
qq_42863361的博客
11-27 1069
我才不写WP Our 16bit wars ==Difficulty: Easy== 逆向第一步,学好汇编,16位的也要学 // 64位系统运行需要DosBox ==Author: acdxvfsvd== 读十六位汇编
NCTF2018RE部分题WP(some boxes、Our 16bit wars、签到)
siphre
11-26 948
签到 64位 PE文件,x64dbg动态调试到flag打印处,寄存器窗口可以看到flag明文。   ASM16bitre(Our 16bit wars) 16位汇编,一开始装了dosbox准备动态调试,后来发现直接IDA静态分析也能解。 看了16位汇编的一些语法参考文章:   Int 指令 https://blog.csdn.net/SysProgram/article...
[NCTF 2018]wcyvm re 复现
m0_75098930的博客
04-04 226
极其简单的入口,结合题目,直接找vm代码就行了 ,在400DB7中。我觉得这道题对我来说,主要是指令比较多,构建了大概30个指令,像简单的mov,xor还好,像什么jmp,jne我掌握不是很好,只能对着大佬的wp复现了。64位elf,无壳,由于本人电脑硬盘爆了,没有虚拟机的空间了,等硬盘运到再动调吧,找个简单的vm静态分析。纯ctf小白,求大佬指点。读取自己分析出的汇编指令,逻辑是,先输入字符串,记为flag,加密逻辑是。指令存在6021C0中,注意类型的大小 ,简单整理一下。这里我顺序搞反了,逆序为。
VM虚拟机逆向 --- [NCTF 2018]wcyvm 复现
最新发布
Sciurdae的博客
11-03 679
第四题了,搞定,算是独立完成比较多的一题,虽然在还原汇编的时候还是很多问题。
CTF-RE-WcyVM
SuperGate的博客
12-14 923
题源:nctf2018 逆向+虚拟机鬼畜题,对萌新来说是非常好的一道虚拟机入门题 如果缺少虚拟机相关知识先看一下这篇文章:https://www.52pojie.cn/forum.php?mod=viewthread&amp;tid=713219 首先我们用LINUX执行这个文件,提示要我们输入字符,随便输几个之后输入文本结束符号。我们发现程序没办法继续运行下去了。于是扔进ida开始调试。...
[NCTF 2018]Easy_Audit
m0_70819573的博客
04-09 233
_SERVER:PHP的内置变量,是一个数组,其中QUERT_STRING是指问号之后的所有字符串,其不会对参数进行url解码,可以采用url编码绕过。$_REQUEST:PHP的内置变量,是一个数组,保存传递的参数,它的特性是如果get,post一起传参,则会优先post传参,可以由此进行变量覆盖。第三层:substr在原有参数长度不足时返回false,md5在处理数组时也会返回false.第四层:从尾部匹配字符串且不等于该字符串。第五层:data://伪协议写入数据绕过。
NCTF 2018 部分题目 WP(1)
单核CPU的小朋友的博客
11-25 3万+
WEB-签到题:直接看cookie就好了,直接拿到flag RE-后门后门后门: 下载一个64位的.exe程序,ida直接打开,观察main函数,发现函数hereisyourflag(void),发现数组变量flagenc,转成char型。 直接拿到flag。 3.PWN-sendflag: IDA打开,很明显溢出了。 直接发送六个a拿到flag。 4.MISC-CalcNow: NC连...
nctf 2018 web复现-手工sql注入
weidaxueshen1的博客
11-28 329
http://ctfgame.acdxvfsvd.net:20001/index.php?id=1'%a0union%a0select%a0database(),(select%a0SCHEMA_NAME%a0from%a0information_schema.SCHEMATA%a0limit%a02,1),3||'1数据库名 http://ctfgame.acdxvfsvd.net:20001...
[NCTF 2018]签到题
10-06
[NCTF 2018]签到题是一个网页签到题目。根据提供的引用内容,我们可以通过查看网页的源代码来找到flag值。但是经过检查,我们发现没有找到flag值。另外,引用中提到了可以通过观察cookie来获取flag,但具体的方法...
NCTF-Writeup
Yukikaze_cxy
05-30 1696
南京邮电大学网络攻防训练平台https://cgctf.nuptsast.com以下按本人做题的顺序排序剩余题目待补完。。。【Web】1.签到题nctf{flag_admiaanaaaaaaaaaaa}网页源码2.单身二十年nctf{yougotit_script_now}由于页面自动跳转,使用工具查看search_key.php页面源码即可3.SQL注入1nctf{ni_ye_hui_sql?}...
NCTF2018 Easy_Audit的writeup
weixin_30436891的博客
11-30 282
题目直接给出来代码 这题考几个点: 1.$_REQUEST的变量覆盖 2.编码绕过 3.PHP数组特性 4.正则绕过 5.file_get_contents函数 首先一步步把题目分析一遍 if($_REQUEST){ foreach ($_REQUEST as $key => $value) { if(preg_match('/[a-...
NCTF 2018部分WP(3)
单核CPU的小朋友的博客
11-27 3万+
WEB-基本操作 这道题是郁离歌学姐出的,基本操作。一进去就是一个PHPMyAdmin的页面。直接右击查看网页源代码。 这道题本身也好像是在想方设法的告诉我们这个MYSQL的版本是4.8.1。 一个一个尝试账号密码==猜了半天最后还是某位大佬告诉我这个账号密码都是guest。。。 然后就开始尝试PHPMyadmin的本地文件包含漏洞,希望能够找到flag文件。 首先要知道在URL编码中%3f是用...
NCTF2018web-wp
wuerror的博客
01-24 562
签到题: 访问indexphp,页面301跳转,在cookie里找到flag 待续
2018 南邮 NCTF writeup(部分)更新中---
欢迎光临
11-27 2441
2018 南邮 NCTF writeup 周六的打南邮的比赛,做了一道签到题,接着是一道SQL注入,想了一上午,最终还是没有做出来,怪自己喜欢用sqlmap,加上自己做的sql注入题目少 签到题 点击链接直接跳转到百度了,用burpsoup重放一遍就OK了 滴!晨跑打卡 通过用burpsoup的sql fuzz测试了一下 发现注释了 空格 # - * 将注释全都过滤了,只能用单引号闭合 绕过...
NCTF 南京邮电大学网络攻防平台 writeup(web部分)持续更新
Taowood的博客
07-22 8113
题目来源,南京邮电大学网络攻防训练平台 http://ctf.nuptzj.cn/   一、签到题 迷雾与真相就隔着一个F12,得flag ctf{flag_admiaanaaaaaaaaaaa}   二、md5 collision 题目描述如下 源码 &lt;?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5...
QCTF2018 Misc - X-man-Keyword writeup
xuchen16的博客
07-17 1578
转载自:http://www.cnblogs.com/semishigure/p/9318258.html 一张图片,上 Stegsolve ,发现图片开头 lsb 里有些东西。 用 lsb 解密脚本 , 可以得到: PVSF{vVckHejqBOVX9C1c13GFfkHJrjIQeMwf} 根据题目提示,尝试了一下,发现是 Nihilist 密码 。 简单说一下原理 原...
nctf-web-2
电风
03-31 2291
1….签到2 http://teamxlc.sinaapp.com/web1/02298884f0724c04293b4d8c0178615e/index.php 提示:请输入口令zhimakaimen 截包把zhimakaime改成zhimakaimen即可 2…..md5 collision源码<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a'
NCTF-2018-PWN之假的真PWN的writeup
热门推荐
单核CPU的小朋友的博客
11-17 3万+
首先按照题目要求下载文件。很容易通过该源代码看出危险函数gets会覆盖结构体的地址。 这里题目要求我们使用nc命令。但是很明显我们需要通过16进制数来进行攻击,而\X在nc中会被转换成实体,所以我们并不能通过NC来进行攻击。这也是我之前在做这类PWN题的时候所遇到的问题。 现在先放出题目地址,https://nctf.x1c.club/challenges#Pwn python脚本 我们可以通过...
2018湖湘杯writeup
lycnjupt的专栏
11-19 3582
  题目名MISC Disk 解题思路、相关代码和Flag截图: 010Editor下查看,flag is not here分析a.d.s后二进制,提取出来,发现 01100110 01101100 01100001 01100111 01   11101100 11010001 00010001 01001101 01   11110011 00010110 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值