国赛ciscn2024-初赛-re1-asm_re(还有4题明天上)

已于 2024-05-20 00:47:25 修改
阅读量305 收藏 8
点赞数 5
分类专栏: 比赛WP 文章标签: ciscn2024 国赛 逆向 汇编 arn
于 2024-05-20 00:45:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65474192/article/details/139051356
版权
  • 别的题明天在上,整理一下

0.精简版

第一题肯定签到,发现居然是ARM汇编代码,认真看是不可能的,看提示是XOR,那么一股CTF的味道就出来了!!
直接手动定位到ARM的异或汇编代码!–》EOR
但是定位到了两个一模一样的加密操作,就只分析一个:

MOV             W10, #0x50 ; 'P'     //mov     r10d, 0x50  ; 将 0x50 加载到 r10d
MUL             W8, W8, W10          //imul    eax, eax, r10d  ; eax = eax * r10d
ADD             W8, W8, #0x14        //add     eax, 0x14  ; eax = eax + 0x14
MOV             W10, #0x4D ; 'M'     //mov     r10d, 0x4D  ; 将 0x4D 加载到 r10d
EOR             W8, W8, W10          //xor     eax, r10d  ; eax = eax ^ r10d
ADD             W8, W8, #0x1E        //add     eax, 0x1E  ; eax = eax + 0x1E

大概率就是加密算法了,数据就特别明显了,直接挂上而且是小端序的,用chatgpt转一下:

unk_100003F10 DCB 0xD7  
DCB 0x1F
DCB    0
DCB    0
DCB 0xB7
DCB 0x21 ; !
DCB    0
...
DCB 0x20
DCB    0
DCB    0
DCB 0xC7
DCB 0x11
DCB    0
DCB    0
DCB 0x47 ; G

直接搓脚本,一把梭:

data = [215, 31, 0, 0, 183, 33, 0, 0, 71, 30, 0, 0, 39, 32, 0, 0, 231, 38, 0, 0, 
        215, 16, 0, 0, 39, 17, 0, 0, 7, 32, 0, 0, 199, 17, 0, 0, 71, 30, 0, 0, 
        23, 16, 0, 0, 23, 16, 0, 0, 247, 17, 0, 0, 7, 32, 0, 0, 55, 16, 0, 0, 
        7, 17, 0, 0, 23, 31, 0, 0, 215, 16, 0, 0, 23, 16, 0, 0, 23, 16, 0, 0, 
        103, 31, 0, 0, 23, 16, 0, 0, 199, 17, 0, 0, 199, 17, 0, 0, 23, 16, 0, 0, 
        215, 31, 0, 0, 23, 31, 0, 0, 7, 17, 0, 0, 71, 15, 0, 0, 39, 17, 0, 0, 
        55, 16, 0, 0, 71, 30, 0, 0, 55, 16, 0, 0, 215, 31, 0, 0, 7, 17, 0, 0, 
        215, 31, 0, 0, 7, 17, 0, 0, 135, 39, 0, 0]

def convert_to_hex_string(data_list):
    hex_string = ''.join(f'{byte:02X}' for byte in reversed(data_list))
    return hex_string

def hex_to_int_list(hex_str):
    int_list = [int(hex_str[i:i+8], 16) for i in range(0, len(hex_str), 8)]
    return int_list

def decode_integers_to_string(int_list):
    int_list = int_list[::-1]
    decoded_string = ''.join(chr(((value - 0x1e) ^ 0x4d) // 0x50) for value in int_list)
    return decoded_string

hex_str = convert_to_hex_string(data)
integers = hex_to_int_list(hex_str)
result_string = decode_integers_to_string(integers)

print(result_string)

成功得出flag :flag{67e9a228e45b622c2992fb5174a4f5f5}

0.详细版

0.观察文件

打开文件发现居然是IDA汇编界面的文本文件:

百度一搜发现居然是ARM架构的汇编QAQ,没学过只学过X86架构的,只能去问问chatgpt,现学现卖了!!!

1.头铁开始分析

手动百度+chatgpt-》分析汇编:

  1. 这里应该是进行赋值操作,还计算了一下长度
STP             X28, X27, [SP,#-0x10+var_10]!
STP             X29, X30, [SP,#0x10+var_s0]
ADD             X29, SP, #0x10
SUB             SP, SP, #0x100
ADRP            X8, #___stack_chk_guard_ptr@PAGE
LDR             X8, [X8,#___stack_chk_guard_ptr@PAGEOFF]
LDR             X8, [X8]
STUR            X8, [X29,#var_18]
STUR            WZR, [X29,#var_B4]
ADRL            X8, aFlagXxxxxxxxxx     ; "flag{xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx}"
STUR            X8, [X29,#var_C0]
SUB             X0, X29, #-__dst        ; __dst
ADRL            X1, unk_100003F10       ; __src
MOV             X2, #0x98               ; __n
BL              _memcpy           复制函数, memcpy(__n,__src,__dst)

LDUR            X0, [X29,#var_C0]       ; __s
BL              _strlen           计算长度,strlen
  1. 这里进行了一些位运算和加法操作不知道作用
MOV             X8, X0
STUR            W8, [X29,#var_C4]
LDUR            W8, [X29,#var_C4]
ADD             W8, W8, #1
MOV             X9, SP
STUR            X9, [X29,#var_D0]
LSL             X9, X8, #2           这里是位移运算
ADD             X9, X9, #0xF         这里是加法运算
AND             X9, X9, #0xFFFFFFFFFFFFFFF0   这里是and运算
SUB             X10, X29, #-var_8
STUR            X9, [X10,#-0x100]
ADRP            X16, #___chkstk_darwin_ptr@PAGE
LDR             X16, [X16,#___chkstk_darwin_ptr@PAGEOFF]
BLR             X16
  1. 几乎看不懂,只能丢给chatgpt了,这里貌似进行了比较关键的运算
  • 将立即数0x50 (‘P’)加载到W10寄存器,乘以W10寄存器的数据
  • 加上0x14
  • 立即数0x4D,与W10寄存器的数据进行按位异或
LDUR            X9, [X29,#var_100]  // 从[X29-0x100]地址加载64位数据到X9寄存器
LDUR            X8, [X29,#var_C0]   // 从[X29-0xC0]地址加载64位数据到X8寄存器
LDURSW          X10, [X29,#var_DC]  // 从[X29-0xDC]地址加载32位带符号扩展的数据到X10寄存器
LDRSB           W8, [X8,X10]        // 从[X8 + X10]地址加载8位带符号扩展的数据到W8寄存器
STUR            W8, [X29,#var_E0]   // 将W8寄存器的32位数据存储到[X29-0xE0]地址
LDUR            W8, [X29,#var_E0]   // 从[X29-0xE0]地址加载32位数据到W8寄存器
MOV             W10, #0x50          // 将立即数0x50 ('P')加载到W10寄存器
MUL             W8, W8, W10         // 将W8寄存器的数据乘以W10寄存器的数据,结果存储在W8寄存器
ADD             W8, W8, #0x14       // 将W8寄存器的数据加上0x14,结果存储在W8寄存器
MOV             W10, #0x4D          // 将立即数0x4D ('M')加载到W10寄存器
EOR             W8, W8, W10         // 将W8寄存器的数据与W10寄存器的数据进行按位异或,结果存储在W8寄存器
ADD             W8, W8, #0x1E       // 将W8寄存器的数据加上0x1E,结果存储在W8寄存器
STUR            W8, [X29,#var_E4]   // 将W8寄存器的32位数据存储到[X29-0xE4]地址
LDUR            W8, [X29,#var_E4]   // 从[X29-0xE4]地址加载32位数据到W8寄存器
LDURSW          X10, [X29,#var_DC]  // 从[X29-0xDC]地址加载32位带符号扩展的数据到X10寄存器
STR             W8, [X9,X10,LSL#2]  // 将W8寄存器的数据存储到[X9 + (X10 << 2)]地址
B               loc_100003CC0       // 跳转到loc_100003CC0
  1. 这里很不理解居然有和上面的汇编算法一模一样QAQ
loc_100003D00                           // 代码标签,用于跳转
LDUR            X9, [X29,#var_100]     // 从[X29-0x100]地址加载64位数据到X9寄存器
LDUR            X8, [X29,#var_C0]      // 从[X29-0xC0]地址加载64位数据到X8寄存器
LDURSW          X10, [X29,#var_E8]     // 从[X29-0xE8]地址加载32位带符号扩展的数据到X10寄存器
LDRSB           W8, [X8,X10]           // 从[X8 + X10]地址加载8位带符号扩展的数据到W8寄存器
STUR            W8, [X29,#var_EC]      // 将W8寄存器的32位数据存储到[X29-0xEC]地址
LDUR            W8, [X29,#var_EC]      // 从[X29-0xEC]地址加载32位数据到W8寄存器
MOV             W10, #0x50             // 将立即数0x50 ('P')加载到W10寄存器
MUL             W8, W8, W10            // 将W8寄存器的数据乘以W10寄存器的数据,结果存储在W8寄存器
ADD             W8, W8, #0x14          // 将W8寄存器的数据加上0x14,结果存储在W8寄存器
MOV             W10, #0x4D             // 将立即数0x4D ('M')加载到W10寄存器
EOR             W8, W8, W10            // 将W8寄存器的数据与W10寄存器的数据进行按位异或,结果存储在W8寄存器
ADD             W8, W8, #0x1E          // 将W8寄存器的数据加上0x1E,结果存储在W8寄存器
STUR            W8, [X29,#var_F0]      // 将W8寄存器的32位数据存储到[X29-0xF0]地址
LDUR            W8, [X29,#var_F0]      // 从[X29-0xF0]地址加载32位数据到W8寄存器
LDURSW          X10, [X29,#var_E8]     // 从[X29-0xE8]地址加载32位带符号扩展的数据到X10寄存器
STR             W8, [X9,X10,LSL#2]     // 将W8寄存器的数据存储到[X9 + (X10 << 2)]地址
B               loc_100003D44           // 跳转到loc_100003D44
  1. 分析到这里就彻底无语了,根本无从下手,疯狂的盯着文本看,居然发现有提示字符串!!!
aFlagXxxxxxxxxx DCB "flag{xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx}",0
                                        ; DATA XREF: _main+24↑o
asc_100003EAB DCB 0xA,0                 ; DATA XREF: _main:loc_100003D54↑o
aTheResultArray DCB "The result array matches the expected array.",0xA,0
                                        ; DATA XREF: _main:loc_100003DE0↑o
aTheResultArray_0 DCB "The result array does not match the expected array.",0xA,0
                                        ; DATA XREF: _main:loc_100003DF0↑o
; __cstring ends

找到关键字符串!!!根据字符串就可以知道哪里是判断flag的汇编位置了,继续一步步的看就好了!

2.找到提示字符串,找到判断flag的汇编代码!!


继续往上翻大概率就会有加密算法了,前面分析的代码里那个有异或运算的代码最有可能,先尝试一下!

下面就是找目标数据进行测试了!
翻了整个文本文件发现这段数据最有规律,直接拿来试试!!!

003F10                               AREA __const, DATA, READONLY
003F10                               ; ORG 0x100003F10
003F10 D7                            unk_100003F10 DCB 0xD7                  ; DATA XREF: _main+34↑o
003F11 1F                            DCB 0x1F
003F12 00                            DCB    0
003F13 00                            DCB    0
003F14 B7                            DCB 0xB7
003F15 21                            DCB 0x21 ; !
003F16 00                            DCB    0
003F17 00                            DCB    0
003F18 47                            DCB 0x47 ; G
003F19 1E                            DCB 0x1E
003F1A 00                            DCB    0
003F1B 00                            DCB    0
003F1C 27                            DCB 0x27 ; '
003F1D 20                            DCB 0x20
003F1E 00                            DCB    0
003F1F 00                            DCB    0
...
3.猜测成功真的是的,逆运算后解出个”f"

直接开始手搓脚本,chatgpt大法好!:

source_data = [0xd7 ,0x1f ,0x0 ,0x0 ,0xb7 ,0x21 ,0x0 ,0x0 ,0x47 ,0x1e ,0x0 ,0x0 ,0x27 ,0x20 ,0x0 ,0x0 ,0xe7 ,0x26 ,0x0 ,0x0 ,0xd7 ,0x10 ,0x0 ,0x0 ,0x27 ,0x11 ,0x0 ,0x0 ,0x7 ,0x20 ,0x0 ,0x0 ,0xc7 ,0x11 ,0x0 ,0x0 ,0x47 ,0x1e ,0x0 ,0x0 ,0x17 ,0x10 ,0x0 ,0x0 ,0x17 ,0x10 ,0x0 ,0x0 ,0xf7 ,0x11 ,0x0 ,0x0 ,0x7 ,0x20 ,0x0 ,0x0 ,0x37 ,0x10 ,0x0 ,0x0 ,0x7 ,0x11 ,0x0 ,0x0 ,0x17 ,0x1f ,0x0 ,0x0 ,0xd7 ,0x10 ,0x0 ,0x0 ,0x17 ,0x10 ,0x0 ,0x0 ,0x17 ,0x10 ,0x0 ,0x0 ,0x67 ,0x1f ,0x0 ,0x0 ,0x17 ,0x10 ,0x0 ,0x0 ,0xc7 ,0x11 ,0x0 ,0x0 ,0xc7 ,0x11 ,0x0 ,0x0 ,0x17 ,0x10 ,0x0 ,0x0 ,0xd7 ,0x1f ,0x0 ,0x0 ,0x17 ,0x1f ,0x0 ,0x0 ,0x7 ,0x11 ,0x0 ,0x0 ,0x47 ,0xf ,0x0 ,0x0 ,0x27 ,0x11 ,0x0 ,0x0 ,0x37 ,0x10 ,0x0 ,0x0 ,0x47 ,0x1e ,0x0 ,0x0 ,0x37 ,0x10 ,0x0 ,0x0 ,0xd7 ,0x1f ,0x0 ,0x0 ,0x7 ,0x11 ,0x0 ,0x0 ,0xd7 ,0x1f ,0x0 ,0x0 ,0x7 ,0x11 ,0x0 ,0x0 ,0x87 ,0x27 ,0x0 ,0x0]

# 将数组按小端序转换成十六进制字符串
hex_string = ''.join(f'{value:02X}' for value in source_data[::-1])

# 将十六进制字符串转换为整数列表
integers = [int(hex_string[i:i+8], 16) for i in range(0, len(hex_string), 8)]

# 反转整数列表
reversed_integers = integers[::-1]

# 解码并打印结果
for number in reversed_integers:
    character = chr(((number - 0x1E) ^ 0x4D) // 0x50)
    print(character, end="")
#flag是flag{67e9a228e45b622c2992fb5174a4f5f5}
Brinmon
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
全国大学生信息安全竞赛(CISCN)-reverse-复现(部分)
ookami6497的博客
06-06 993
CISCN
CISCN——2024——re——asm_re
最新发布
Nike_name的博客
05-20 262
机器码
2020 ciscn 东北分区赛 re
Air_cat的博客
09-19 413
唉,居然没师傅出re,悲伤 此考点在于抓取或解密出迷宫,这里我用的原函数进行生成,改改几个定义就可以输出迷宫了: #include<stdio.h> #include<string.h> #include<windows.h> #include<string.h> #include<tchar.h> #include<stdint.h > //#+OXJ xnB1 QWT4 9cnW cGFB ZOjn yfZo ZV1m 7+/
ciscn 2018 部分writeup
StriveBen的博客
05-07 3879
ciscn 2018 部分writeup flag in your hand 这是一道js解密的目: 发现checkToken函数数里返回的s===”FAKE-TOKEN”,使用这个字符串却得到wrong,而且ic后面被更改了: 跟踪bm函数: 这里charCodeAt() 方法可返回指定位置的字符的 Unicode 编码; 在ck函数里,ic的值又被更改了,所以要想...
2018年全国大学生信息安全竞赛 CISCN Writeup
热门推荐
aptx4869_li的博客
06-07 1万+
逆向:RE:目文件:链接:点击打开链接 密码:hyzy这当时做的时候陷入了出人的陷阱,上来找到了“关键部分”就开始逆,但是遇到了很多问,因为有很多函数,而且篇幅都不小,而且每个函数还要调用其他一大堆函数,这就大大增加了工作量,后面实在看不下去了,就放弃了。后面找到一些大佬的writeup看了看,原来是思路的问:总结一下:逆向一般工作量不会大到让你逆不了,一下锁定了十七八个函数肯定是有...
j2re1.4.2_04.rar_j2re_j2re-1_4_2_04_j2re1_j2re1.4_j2re1.4.2_04
09-23
这是用JAVA实现几个重要的算法,,里面有源代码
云计算-稀土RE1RE2Fe合金体系的热力学计算及其凝固组织研究.pdf
07-06
云计算-稀土RE1RE2Fe合金体系的热力学计算及其凝固组织研究 本文研究了稀土RE1RE2Fe合金体系的热力学计算及其凝固组织研究,旨在降低材料成本,缓解稀土资源供求问。研究发现,高丰度稀土Nd-Fe-B合金的磁性能随...
【XCTF-RE】新手练习区-re1.exe
08-03
目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
re1-e7e4ad1a.rar
07-28
霹雳火
ctf逆向——re1-附件资源
03-02
ctf逆向——re1-附件资源
2021CISCN RE WP
qq_45739995的博客
05-17 364
逆向质量太高了,菜鸡比赛只做出来两个。 其他的会在赛后继续复现出来。 持续更新中… glass jeb打开主函数发现调用了native层 ida打开 输入长度39位 第一个函数跟进发现调用了rc4 第二个函数用v7对flag加密(数组移位+异或) 第三个直接对flag加密(三位一组进行加密处理+异或) 大体思路:根据已有的字符串,首先逆掉第三个函数 得到用rc4数组加密后的 然后求出rc4的数组 最后在第二个函数里进行异或拿到flag (变量名用的有点乱) #include<stdio.h&
2021年CISCN初赛re
寻梦&之璐
05-23 6272
文章目录baby.bc.bc转换为可执行程序fill_number(__int64)input)docheck(input, input):z3约束 baby.bc .bc转换为可执行程序 第一次拿到.bc的文件 查了一下,LLVM IR bitcode,二进制文件。想办法转换成.s,然后再转成可执行文件。(windows里面无法转成elf,最后编译成elf时,需要在linux里面进行 fill_number(__int64)input) docheck(input, input):z3约束 ..
2021CISCN-Re-gift
m0_51713041的博客
06-20 216
gift 拿到目之后查壳发现是go语言编写的程序 运行发现会打印出flag的前面几个字节 CISCN{4b445b324 拖入IDA进行调试,发现那几个函数(main_CISCN6666666,main_CISCN66666666,main_CISCN6666666666)都执行很慢,查看发现调用了sleep函数 写个IDAPython脚本将其patch掉 for i in range(0x000000000054A265,0x000000000054A272): ida_bytes.patch
2018 CISCN reverse
weixin_30735745的博客
05-10 106
2018 CISCN reverse 这比赛的时候没做出来,主要是心态崩了看不下去。。赛后看了下网上的wp发现不难,是自己想复杂了。这里将我的思路和exp放出来,希望大家一起交流学习。 main函数 它首先是check了输入的前六个字符是否与“CISCN{”匹配,接着使用strtok函数将字符串以“_”分割为三部分,然后分别对这三部分check。 sub_4012DE函数 关键部分如下 将...
CISCN RE 部分wp
lucky_boyQAQ的博客
05-19 242
CISCN re 部分wp glass jeb打开,发现加密过程在so文件里面 ida看so文件 查看自己的加密函数 解密1 unsigned char flag[39]={ 0xA3, 0x1A, 0xE3, 0x69, 0x2F, 0xBB, 0x1A, 0x84, 0x65, 0xC2, 0xAD, 0xAD, 0x9E, 0x96, 0x05, 0x02, 0x1F, 0x8E, 0x36, 0x4F, 0xE1, 0xEB, 0xAF, 0xF0, 0xEA, 0xC4,
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为目会比较温柔,但是最后只做出了一道pwn,本来还有两道pwn是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn出了一道arm 64位结构的,其余都是正常的linux下pwn,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
2021全国大学生信息安全竞赛初赛部分WP
weixin_45844670的博客
05-17 3951
第一阶段 Misc tiny traffic 分析pcap包,能发现几个可疑的请求——/flag_wrapper、/test、/secret,分别把它们传输的文件提取出来,得到三个压缩包,通过flag.gzip的内容可以确认这个IP就是我们要分析的IP 再使用Peazip分别提取secret和test的压缩包,能发现传输的格式规范 syntax = "proto3"; message PBResponse { int32 code = 1; int64 flag_part_convert_to_h
CISCN 华北赛区 Day1 Web2
kid的博客
06-14 2560
CISCN 华北赛区 Day1 Web2 前言 关注大佬的博客看到大佬又做了一道有意思的还提供了环境,这里来体验下。 一看这个网站就很有意思…最近黑kunkun的可真多,前面0708那个漏洞github搜exp,下下来一运行 ,输出你打篮球真的很像CXK…过分…你打篮球才像CXK,你们全家打篮球都像CXK! 复现环境:https://github.com/CTFTraining/CISCN...
q*(-(-2*pne/re1 - 4*rc*vne/re1**2)*(pne*rc/re1 + rc**2*vne/re1**2 + 1)*exp(-2*pne*rc/re1 - 2*rc**2*vne/re1**2) - (pne/re1 + 2*rc*vne/re1**2)*exp(-2*pne*rc/re1 - 2*rc**2*vne/re1**2))/rc - q*(-(pne*rc/re1 + rc**2*vne/re1**2 + 1)*exp(-2*pne*rc/re1 - 2*rc**2*vne/re1**2) + 1)/rc**2,将该表达式中的指数用pow表示
07-11
q * (-(-2 * pne / re1 - 4 * rc * vne / pow(re1, 2)) * (pne * rc / re1 + pow(rc, 2) * vne / pow(re1, 2) + 1) * exp(-2 * pne * rc / re1 - 2 * pow(rc, 2) * vne / pow(re1, 2)) - (pne / re1 + 2 * rc * vne / pow(re1, 2)) * exp(-2 * pne * rc / re1 - 2 * pow(rc, 2) * vne / pow(re1, 2))) / rc - q * (-(pne * rc / re1 + pow(rc, 2) * vne / pow(re1, 2) + 1) * exp(-2 * pne * rc / re1 - 2 * pow(rc, 2) * vne / pow(re1, 2)) + 1) / pow(rc, 2)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值