【GACTF】EasyRe WriteUp

最新推荐文章于 2024-08-01 14:09:47 发布
最新推荐文章于 2024-08-01 14:09:47 发布
阅读量635 收藏 1
点赞数 1
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tqydyqt/article/details/108312602
版权
本文详细介绍了在GACTF比赛中遇到的一个动态patch的逆向工程问题。通过使用IDA和GDB,作者揭示了一个虚拟机的初始化过程和复杂的opcode分析。通过对opcode的深入理解和脚本辅助,成功解密了flag的生成逻辑,最终得出flag为GACTF{c7ack_m3_sh3ll_smc_vm_0k?}。
摘要由CSDN通过智能技术生成

IDA打开直接能看到main函数



可以看到,在执行sub_8048838前,调用了前一个函数,对它进行动态patch(直接点进去sub_8048838会发现是无意义代码)
这个动态patch代码的算法有点复杂,直接gdb下断点然后dump memory ./dmp 0x8048838 0x8048de0,然后用WinHex把dump出来的替换掉原本的,IDA重新打开patch后的,就可以了

可以看出来,这是一个虚拟机,main函数里有对其进行初始化的函数

同样在main函数中我们可以找到opcode的位置

用IDAPython导出一下,得到

分析opcode真的难受。。。我简单分析了一下(你看不懂没关系,我自己写的通常只有我看得懂QAQ)

我们可以看到,以opcode-161作为分界线,前面的是对我们一开始输入的%lld进行各种变换和各种比较,不对就退出,对的话,又会对dA0、dA4、dA8、dAC赋值
后面开始,就是逐位对我们输入的flag进行异或,然后和一个数比较,异或的数是前面提到的被赋值的4个地址的数之一
根据flag的格式是GACTF{xxx},而前4次比较直接把4个数都用过一遍了,于是可以直接逆推这4个数,所以opcode-161之前的可以完全不用管了
写个脚本,提取opcode里面的数据,生成了下面的代码

int main()
{
	cout << char(11 + 256 ^ 332);
	cout << char(122 ^ 59);
	cout << char(149 ^ 214);
	cout << char(6 + 256 ^ 338);
	cout << char(125 ^ 59);
	cout << char(173 ^ 214);
	cout << char(47 + 256 ^ 332);
	cout << char(101 + 256 ^ 338);
	cout << char(45 + 256 ^ 332);
	cout << char(47 + 256 ^ 332);
	cout << char(57 + 256 ^ 338);
	cout << char(13 + 256 ^ 338);
	cout << char(187 ^ 214);
	cout << char(8 ^ 59);
	cout << char(13 + 256 ^ 338);
	cout << char(63 + 256 ^ 332);
	cout << char(58 + 256 ^ 338);
	cout << char(97 + 256 ^ 338);
	cout << char(87 ^ 59);
	cout << char(32 + 256 ^ 332);
	cout << char(13 + 256 ^ 338);
	cout << char(63 + 256 ^ 332);
	cout << char(63 + 256 ^ 338);
	cout << char(181 ^ 214);
	cout << char(19 + 256 ^ 332);
	cout << char(160 ^ 214);
	cout << char(33 + 256 ^ 332);
	cout << char(13 + 256 ^ 338);
	cout << char(11 ^ 59);
	cout << char(57 + 256 ^ 338);
	cout << char(115 + 256 ^ 332);
	cout << char(70 ^ 59);
}

跑出来即可

GACTF{c7ack_m3_sh3ll_smc_vm_0k?}

古月浪子
关注
GACTF trihistory writeup
汗的博客
09-01 531
知识点 docker各种命令使用&git使用、回滚&vim的.swp文件 题目描述 triple history docker pull impakho/trihistory:latest Write up 预备知识 在开始正式解题前,最好能知道docker各种命令使用&git使用 信息收集&正式解题 首先拉取镜像 docker pull impakho/trihistory:latest docker run impakho/trihistory:latest docke
BUUCTF Reverse [ACTF新生赛2020]easyre WriteUp
PlumpBoy的博客
09-11 504
easyre-WP 打开后先查查有无壳,发现是UPX加密 kali直接脱壳,命令为upx -d easyre.exe 脱完壳直接放入IDA查看反汇编代码 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[12]; // [esp+12h] [ebp-2Eh] BYREF _DWORD v5[3]; // [esp+1Eh] [ebp-22h] _BYTE v6[5]; // [esp+2Ah]
GACTF】Checkin WriteUp
古月浪子的博客
08-31 421
运行程序后隔了半秒才出现输入flag的提示,且用IDA搜索字符串搜索不到出现过的字符串。 用OD附加后F9,直接退出,索性慢慢F8跟,一直到跟入sub_404920函数中 发现与文件读写有关,继续OD跟踪,一直到标黄处 可以在栈窗口中看到被写入的文件的路径 程序被断在了这里,文件应该不可能被清理,资源管理器打开看看 直接在src目录里有一个Checkin.rb源代码 require 'openssl' require 'base64' def aes_encrypt(key,encry
buuctf [ACTF新生赛2020]easyre
最新发布
shdbehdvd的博客
08-01 367
新手上路学习过程。
GACTF crymisc writeup
汗的博客
09-02 724
题目描述 8.25 is Chinese Valentine’s Day.Yesterday my brother told me he was refused by a beautiful girl.He was sooooooooooooo sad and bursted into tears. 链接:https://pan.baidu.com/s/1EZzhnAa5Q4OD8y-YEAcjzQ 提取码:866h https://drive.google.com/drive/folders/1gDfMB
EasyRE WriteUp
Tigger.run 独立开发者 热爱逆向工程
05-16 1074
运行 运行提示输入,回车后即退出 查壳
GACTF easyre复现
苗_的博客
09-17 180
简单说一下函数逻辑: 首先输入38位char型数据过后进行三层加密encode_one, encode_two, encode_three,然后对比在程序里面存放的数据,如果相同则通过,否则就不通过 encode_one:base64编码(啊...这里源码看了好久...算是看到第二层输出并且看了个源码大概然后蒙出来的,换个表就容易懵...base64源码之前看的有点囫囵吞枣,单看源码还有点懵,主要是移位感觉没太学好的样子,最近再仔细学一下写篇博客) encode_two:每13个一...
GACTF oldmodem writeup
汗的博客
09-01 1553
题目描述 old modem (bell 202) China: https://pan.baidu.com/s/184Trg9M94uVSekGycaAR_w (密码:5mp2) Overseas: https://drive.google.com/drive/folders/1T94OrcveHAZTmTCwaVCojLXYlJc3lL3f?usp=sharing Writeup 首先,modem是调制解调器(猫)的意思,Google发现bell 202是一种标准,完成这些信息收集后,正式开始 下载文件
2021国赛CISCN 初赛 部分RE writeup
weixin_45803474的博客
09-14 411
glass 题目名称:glass 题目描述:Reverse sign in,flag形式为"CISCN{XXXXX}" 首先查看apk 界面如下 用AndroidKiller打开,反编译成java源码 这里只是声明了一下checkflag函数 要去native-lib里找 分析\glass\Project\lib\armeabi-v7a中的libnative-lib.so IDA打开 怀疑是RC4加密 参考 https://www.cnblogs.com/SunsetR/p/12247041.html
ByteCTF2021 Crypto - easyxor writeup
风好衣轻
10-21 828
easyxor shift函数是个常见的移位异或操作,convert是对一个数字使用不同的key和mask进行4次移位异或,这个函数在已知key的情况下是可逆的。 encrypt函数是对明文块进行两种模式(CBC和OFB)的块加密,块长度为8,对于每一块的加密使用的就是上面的convert函数。 首先通过密文的长度可以得知一共被分成了6块;前3块明文使用OFB模式,后三块明文使用CBC模式;keys是一个长度为4的列表,列表中每个值的范围是(-32, 32),64464^4644爆破也是可以接受的。 读完题
ROIS_BCTF2017_Re_writeup
JasaLee的博客
04-19 1246
pingpong 刚刚过去的BCTF-2017有一道Mobile逆向题,下面放出我的解题思路 题目链接: https://pan.baidu.com/s/1boUKogv 密码: 9b52 拿到题目用JEB打开 得到两个比较有用的函数 public void onClick(View arg7) { if(MainActivity.this.tt % 2 == 1
GACTF复现 Easyre wp
苗_的博客
09-13 181
改栈指针(alt+k),f5反编译主函数:
2019新生杯 re writeup
Kni9hT's Blog
11-18 340
0x00 esayRE 本来re第一题叫easyRE很常见…结果你放了道esayRE… 没事,先运行,发现没什么东西,准备放OD跑,结果运行不了???这第一题就加壳??? emmm,后面发现丢进IDA,万能f5。 得到一串字符:ZmxhZ3tSM19XMXRoX2I0c2U2NF8xc19zMW1wbGVfMG4zfQ== 一看,base64加密的,在线base64解密之后: flag{R3_W...
2018 第十一届全国大学生信息安全竞赛 逆向RE writeup
anastasia0204的专栏
05-04 7266
题目:看似一个check,check都通过之后success解题:逆向思路-----逆着写算法,发现第三块的md5没有解,解出第三块flag内容需要其他后门,pass爆破-----发现flag123块的长度不定只知道是0-16,这样爆破是不可行的,passother way solve 第三块flag在check3 中check通过之后会写flag文件,看起来是个道道,,,写flag文件需要的参数...
GACTF2020 —— EasyRe Writeup
qq_43547885的博客
01-27 328
一道挺好的虚拟机加密+ SMC 的题 SMC 自解密部分 没有反调,因此分别在解密后把代码 dump 出来即可,这里使用 IDAPython 来读取内存数据def get_data(start_addr, end_addr): data = [] for ea in range(start_addr, end_addr): c = idc.Byte(ea) data.append(c) return data def unpack(): .
掘安杯 4_re_easy writeup
qq_43445167的博客
04-19 260
此题呢 官方给的writeup就是直接看出rc4 解密 完事。 但在大佬的指点下,还有另一种写法,还可以联系linux的gdb的使用 首先 按此博文装上gdb的插件:https://blog.csdn.net/qq_38783875/article/details/80382294 拿到题winhex查的magic number是ELF 毫不犹豫 拖入IDA 找到main函数发现结构十分的简单...
BUUCTF_[ACTF新生赛2020]easyre
weixin_46009088的博客
11-05 2211
[ACTF新生赛2020]easyre 给IDA坑了,学到了学到了! 用IDA打开,有壳: 是exe文件,直接脱壳: 找到main函数: int __cdecl main(int argc, const char **argv, const char **envp) { char v4; // [esp+12h] [ebp-2Eh] char v5; // [esp+13h] [ebp-2Dh] char v6; // [esp+14h] [ebp-2Ch] char v7; // .
[WUSTCTF2020] funnyre wp
liuxiaohuai_的博客
04-03 602
下载附件。无壳,直接ida64打开。发现没有main()函数。感觉应该是用了混淆。 从上往下查看汇编代码发现了main()函数的位置。 继续向下看。 上图红圈里的jz和jnz一看就有毛病!红框中没有标红的地方也是一样。 这里的代码应该都是像这样的格式。先声明地址,然后一个xor语句,一个add语句,一个cmp语句,一个jnz语句,最后再来一个xor语句。 把上面红框中的语句改成这种格式,直接nop掉这些多余的语句。下面大概还有4,5处这样的地方。 弄完这么的清爽! 到最后这里有个判断语句。对比v7和unk_
GACTF2020 checkin
lhk124的博客
09-08 273
题目虽然是签到题。但是我刚开始不知道该如何入手。 查看字符串,没有发现有用的内容。 有人会习惯性查看import table 应该学习。 除了有详细的地方需要动态调试之外,当静态看不出什么时,应该先动态调试起来。 动态调试时f8开始走,跑飞时f7进入。抽丝剥茧。不是无脑f8 f7。要注意使用的api 函数等等。 GetCommandLineA :检索当前进程的命令行字符串(即获取内容的api) CreateProcessA:创建新进程 在我OD载入并运行时出现了这情况。在ocr88A.tmp\s
iscc2015官方writeup
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值