Windows_Reverse1

最新推荐文章于 2022-12-27 15:42:10 发布
最新推荐文章于 2022-12-27 15:42:10 发布
阅读量694 收藏 1
点赞数
分类专栏: 程序逆向之美 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shipsail/article/details/106208598
版权

目录

0x0 题目涉及知识点

  1. 简单脱壳
  2. 指针运算
  3. 位移量
  4. 字符串查询

0x1 查壳脱壳

在这里插入图片描述
在这里插入图片描述
使用 UPX 工具脱壳

0x2 反汇编分析

在这里插入图片描述
初步了解程序执行流程,sub_401000(&v6) 为加密过程,&v4中存放了flag。

  char v4; // [esp+4h] [ebp-804h]
  char v5; // [esp+5h] [ebp-803h]
  char v6; // [esp+404h] [ebp-404h]
  char Dst; // [esp+405h] [ebp-403h]
  v6 = 0;
  memset(&Dst, 0, 0x3FFu);
  v4 = 0;
  memset(&v5, 0, 0x3FFu);

这两句有一些特殊,是以Dst和V5的地址为数组首地址,创建0x3FF大小缓冲区用于存放数据。
在这里插入图片描述
可视化分析流程,得到 you have got it 逆向就完成。

中间部分是我们需要逆向分析的算法,算法中有一个向上的跳转作为循环
在这里插入图片描述

scanf("%s", &v6);
sub_401000(&v6);

输入字符串,并将地址传入 sub_401000()

unsigned int __cdecl sub_401000(const char *a1)
{
  _BYTE *v1; // ecx
  unsigned int v2; // edi
  unsigned int result; // eax
  int v4; // ebx

  v2 = 0;
  result = strlen(a1);
  if ( result )
  {
    v4 = a1 - v1;
    do
    {
      *v1 = byte_402FF8[(char)v1[v4]];
      ++v2;
      ++v1;
      result = strlen(a1);
    }
    while ( v2 < result );
  }
  return result;
}

以上为IDA反汇编结果,因为涉及到指针的计算,直接从反汇编代码中无法理解 v1 v4 的作用,所以打开OD进行动态调试。
在这里插入图片描述
通过调试发现,v4的值是定值 sub ebx,ecx ⇒ ebx = 0x400
在这里插入图片描述
循环中,eax中存放一个byte的数据,来自ds:[ebx + ecx]
发现 ebx(0x400) + 0xecx ecx每次都自增1,这正好是我们输入字符串的地址。

总结过程:
遍历输入的字符串,获取每个字符转为整数A,在常数数组获取下标为A的字符放入*V1中,每次V1指针都自增1
在这里插入图片描述
在这里插入图片描述
发现通过OD无法直接访问到0x402FF8数据,但是访问 eax + 0x402FF8可以访问到数据,可以看出是一个字符串,所以直接在IDA中查看String,发现真正的地址为0x00403018,存在0x20的位移
在这里插入图片描述
通过IDA获取加密字符串

.data:00403018	00000060	C	~}|{zyxwvutsrqponmlkjihgfedcba`_^]\\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>=<;:9876543210/.-,+*)('&%$#\"!

在这里插入图片描述
通过以上分析,重写反汇编代码,让自己可以直接调试这个算法。

#include<iostream>
#include<string>
using namespace std;
string byte_402FF8 = "~}|{zyxwvutsrqponmlkjihgfedcba`_^]\\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>=<;:9876543210/.-,+*)('&%$#\"! ";
unsigned int  sub_401000(string inputArray)
{
    char v1[100] = {0}; // result
    
    unsigned int cnt = 0;
    unsigned int inputLen = inputArray.length();
    cnt = 0;
    do
    {
        v1[cnt] = byte_402FF8[(char)inputArray[cnt] - 0x20];
        ++cnt; 
    }
    while ( cnt < inputLen );
    v1[cnt] = '\0';
    cout <<v1;
    return inputLen;
}

int main(){
    sub_401000("123456");
}

在这里插入图片描述
最后运算结果与字符串DDCTF{reverseME} 比较是否相等

0x3 写脚本

我们要做的就是将字符串 DDCTF{reverseME} 重新映射到输入

#include<iostream>
#include<string>
using namespace std;
string byte_402FF8 = "~}|{zyxwvutsrqponmlkjihgfedcba`_^]\\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>=<;:9876543210/.-,+*)('&%$#\"! ";
unsigned int  sub_401000(string inputArray)
{
    char v1[100] = {0}; // result
    
    unsigned int cnt = 0;
    unsigned int inputLen = inputArray.length();
    cnt = 0;
    do
    {
        v1[cnt] = byte_402FF8[(char)inputArray[cnt] - 0x20];
        ++cnt; 
    }
    while ( cnt < inputLen );
    v1[cnt] = '\0';
    cout <<v1;
    return inputLen;
}

int find_index(char s){
    for(int i=0;i<byte_402FF8.length();i++){
        if(s == byte_402FF8[i]) return i;
    }
    cout <<"error"<<endl;
    return -1;
}

string reverse(string result){
    char input[100];
    int i;
    for(i = 0; i < result.length() ;i++){
        int index = find_index(result[i]);
        input[i] = (char)index + 0x20;
    }
    input[i] = '\0';
    return string(input);
}

int main(){
    string flag = reverse("DDCTF{reverseME}");
    cout << endl << "flag{" << flag << "}" << endl;
    sub_401000(flag);
}

在这里插入图片描述
拿到flag
在这里插入图片描述
花了好长时间哇,中途去上数据库网课了哈哈。

TiggerRun
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF Windows_Reverse1
weixin_44164182的博客
02-11 169
主函数中接收输入后,调用sub_401000后进行判断,即sub_401000执行了关键逻辑,根据用户输入生成待判断的字符串。调用时分别使用堆栈和寄存器传入了两个main函数堆栈的地址,分别是输入字符串地址(堆栈)和执行sub_401000后生成的字符串的保存地址(寄存器ecx)。 生成的字符串来自template_string,并以某种方式按照用户输入进行索引生成,其中template_string如下 生成字符串的索引为 template_string[ptr_output[v4]] v4=raw.
攻防世界逆向高手题之Windows_Reverse1
沐一 · 林 的博客
08-26 916
攻防世界逆向高手题之Windows_Reverse1 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的Windows_Reverse1 下载附件,照例扔入exeinfope中查看信息: UPX壳,32位windows中,扔入我的kali中先用命令upx -d 文件名 脱壳先: 双击运行不了,查看不了起始信息,看了资料说: UPX的壳,手动脱壳或者脱壳机脱壳,但发现脱完壳的程序在win7下打不开,即使是显示没壳(这里后来查到win7包括以上版本开启了ASLR(地址随机化),winxp就没有,如
day01 攻防世界Window_Reverse1
weixin_46625454的博客
05-25 322
攻防世界Window_Reverse1 1.发现是upx壳,使用手工脱壳 2.可以发现pushad,这是加壳前的表现,先保存现场,可以看见被push进去栈中的全部寄存,我们只要对这些数据下硬件访问断点,就可以发现这些数据什么时候被恢复。 3.可见popad指令,恢复现场,准备运行主程序 4.跳到程序主入口,dump下来,修复iat表,这个程序就能脱掉upx壳 修复IAT 5.我们可以看见我们输入的内容是v6,传给sub_401000函数,一开始我很很好奇,为啥这个函数传v4,如何传出来,为啥
swin-transformer代码详解
tiehanhanzainal的博客
05-30 3166
上图为swin_transformer 的主体框架结构,模型采取层次化的设计,一共包含4个Stage,每个stage都会缩小输入特征图的分辨率,像CNN一样逐层扩大感受野。 patch partition 首先是patch partition结构,该模块的作用是对输入的原始图片通过conv2d进行裁剪为patch_size*patch_size大小的块(不是window_size),设定输出通道来确定嵌入向量的大小。最后将H,W维度展开,并移动到第一维度。代码如下: cla...
baby_reverse.zip
09-24
1. baby_reverse.exe - 这是一个可执行文件,通常在Windows操作系统上运行。根据文件名,它可能是与"baby_reverse"相关的程序,可能是解决某个问题或挑战的工具。可能是编程题目中的反转功能实现,例如字符串、数组...
win32_reverse_shell:用c ++编写的反向shell,支持DNS名称解析,因此您可以将其与NGROK或任何您使用的东西一起使用
02-12
win32_reverse_shell 用C ++编写的反向Shell支持DNS名称解析,因此您可以将其与NGROK或任何您使用的东西一起使用显然,includes.h是我通常用于每个项目的常规包含文件。 如果您需要减轻二进制文件的大小,请随意删除...
rldepacker_1.5_reverseengineering_dePacker_Unpack_
10-04
OEP(Original Entry Point)是指未打包程序的原始入口点,它是PE文件(Windows可执行文件格式)执行流程的起点。在打包过程中,OEP可能会被改变,因此找到正确的OEP对于正确解包和执行程序至关重要。rl!Depacker的...
OVERVIEW – Windows API_s and Internals _ Reverse Engineering.pdf
最新发布
10-06
网络安全渗透测试
reverse1题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-27 1091
buuctf-reverse1题解
攻防世界 Windows_Reverse1
P_Bloomberg的博客
08-09 437
准备 环境:Windows10 工具:ExeinfoPE、upx、IDA、x32dbg、010Editor 开始 附件是.exe文件,使用ExeinfoPE查看文件信息 能看出来此文件被upx加了壳。 使用upx脱壳 将脱壳后的文件放入IDA静态分析 main函数: int __cdecl main(int argc, const char **argv, const char **envp) { char v4; // [esp+4h] [ebp-804h] BYREF char v5[102
逆向-reverse1_final
VRMEI的博客
04-18 1698
很简单的一道逆向题目。 用PEid打开查看一下 发现加了一个UPX 不过不要紧 搜索字符串就完事了:) 拉进OD。 直接搜索的话肯定是什么都没有的 所以我们一直F8 直到出现提示字符为止(其中有些循环比较杂乱 可以直接用F4跳过) 好了,停到这里了。 这时候搜索一下ASCII码 有发现了。。 点开00281102 You've got it!! ...
Windows_Reverse1 攻防世界
re1wn
04-13 1973
Windows_Reverse1 攻防世界
XCTF 逆向进阶区Windows_Reverse1——WriteUp
qq_43547885的博客
02-20 1056
题目链接: Windows_Reverse1 答题过程 脱壳 首先将程序拖入 Exeinfo PE 中查看相关信息: 发现程序有upx壳, 使用upx -d将壳脱去: 脱壳显示成功, 但奇怪的是程序一运行就闪退. 先不讨论该问题, 最后再来研究. IDA PRO 分析程序 用 IDA PRO 打开该程序, 直接查看反编译代码, 发现程序逻辑非常清晰:int __cdecl main(int...
攻防世界Windows_Reverse1
gonna2011的博客
04-21 152
题目附件打开后发现是个exe文件,先查壳,发现一个UPX壳直接命令去壳,这里我改了一下文件名 之后在查壳就没有了直接用ida打开,找main函数,追踪到sub-401000、byte-402FF8 开始以为是base64,发现不是,是ASCII码,shift+e找到a1 上脚本 最后包上flag{} ...
xctf windows_reverse1
weixin_45701079的博客
10-24 353
xctf windows_reverse1 日常水一波 这道题是有加壳的(upx),用010分析就知道了 脱壳之后找到动态调试不行,经大佬讲解,发现win7之后加入了ALSR,然后这个文件不支持ALSR,所以动态调试不行,只能用ida打开 乍一看,v4和v6没有任何关系,但是查看汇编 把v4的地址放入了ecx,然后看调用的函数 v1的保存值就是ecx,所以思路就出来了。v1的值就是main函数的v4的值 然后通过地址相减(仔细看上图会发现是个负数),然后地址的差值作为另一个的索引,这里用了溢出,然后找到
Windows_Reverse2 攻防世界
re1wn
04-03 1157
Windows_Reverse2 攻防世界
DDCTF2019reverse1_final逆向教程
weixin_42306891的博客
04-18 483
0x1,首先查壳: 是个常见的压缩壳,用手动脱壳即可。 0x2,OD调试程序: 1,最重要的是跳到函数加密的位置,根据这个压缩壳的特点,知道前面是一直的循环,让你找不到程序入口的位置,这里只使用F4跳到鼠标位置就好: 一步步到向下到想要的位置 这个位置是调用的位置,我们F7,进入看看; 2,在一步步走 再次调用位置; 3,其实我们已经知道程序入口,手动脱壳 ...
如何利用exploit/windows/rcp/cve_2019_0708_bluekeep_rce 与 windows_reverse_tcp payload攻击windows xp靶机。
05-25
8. 输入以下命令,设置 payload 为 windows/reverse_tcp: ``` set PAYLOAD windows/reverse_tcp ``` 9. 输入以下命令,设置本地监听的 IP 地址: ``` set LHOST <本地IP> ``` 10. 输入以下命令,设置本地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值