2018网鼎杯Give_a_try WP

最新推荐文章于 2024-07-12 18:02:43 发布
最新推荐文章于 2024-07-12 18:02:43 发布
阅读量720 收藏 1
点赞数 1
分类专栏: CTF Reverse 文章标签: 信息安全 编程语言 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011642058/article/details/106578820
版权

0x0

记录一次某Crackme的分析过程,大致分为算法和反调试两部分。

0x1

[测试环境]win10 64

[使用工具]OllydbgIDA

0x2 算法部分

应该是将反调试部分写在前面的,但是由于这个CM的算法部分相对与反调试部分的意义较小,所以先写在前面,重点写在后面。以下都是在过了反调试的情况下的分析。

将程序拖入IDA后 shift+F12打开字符串窗口

在这里插入图片描述

可以看到作者给我们的提示

pizza:0040210A 0000001D C The flag begins with “flag{”

告知了flag开头的格式

还有验证提示的字符串
在这里插入图片描述

通过交叉引用可以定位到关键代码段

在这里插入图片描述

F5可以将汇编代码转换为伪代码

在这里插入图片描述

整体算法比较简单,其中涉及到了随机数,在这里我们可以猜测他是一个伪随机数,不然我们是无法逆向出他原来的结果的,当随机种子相同时,rand()函数的返回值也相同。

还有可以确定的一点是要解出这题需要通过枚举来得到答案,因为他进行了很多次取余,原数值已经逆向不出来了。

至此,静态分析到这大致已经结束了。我们需要得知 在这里插入图片描述在这里插入图片描述 中的值才能进行代码编写。

打开OD进行动态调试,来到关键位置后下个断点输入一串假码(长度满足42位)后断下。

在这里插入图片描述

F8单步往下

在这里插入图片描述

ds:[0040406C]=31333359 p.s:如果没有过反调试这里的值会不一样,就解不出

edi=00000976

在这里插入图片描述

每个字符加密后的对应的是内存中的四个字节,所以我们需要复制4*42=162个字节。

至此所需的数据已经有了,下面是代码编写,与0x31333359异或的是原flag各字符之和,这我们无从得知,所以需要通过枚举来得到。

已知条件:flag的第一位是‘f’ 加密后的值是 0x63B25AF1

为图方便原加密算法我直接引用他的会汇编代码,没有转化成C语言形式

如果直接复制IDA的伪代码会发现,少做了一次取余emmmm。挺坑的。

代码如下

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

原flag各字符之和为e64,

Flag为flag{wh3r3_th3r3_i5_@w111-th3r3_i5@_w4y}

在这里插入图片描述

0x3 反调试

反调试在这个程序中比较关键,如果没有过掉反调试,就得不到与flag各字符之和异或的那个正确的值,也就无法解出题目。

不过我开始没有发现,还是解出来了,全仰仗大佬写的sharpOD的插件

在这里插入图片描述

能过掉很多反调试。

从IDA的函数窗口可以看到三个可疑函数,

在这里插入图片描述

前面两个是系统API用来检测调试状态,后面的是TLS的回调函数

TLS全称线程局部存储(Thread Local Storage,TLS),它先于程序入口点(OEP)执行就行了。

我们可以可以用PE工具在数据表中找到它。

在这里插入图片描述

查看TLS表,它占了24个字节

在这里插入图片描述

32位中TLs结构体如下:

typedef struct _IMAGE_TLS_DIRECTORY32 {

DWORD StartAddressOfRawData; /* tls节区的起始地址 */

DWORD EndAddressOfRawData; /* tls节区的最终地址 */

DWORD AddressOfIndex; /* tls节区的索引 */

DWORD AddressOfCallBacks; /* 指向回调函数的指针 */

DWORD SizeOfZeroFill;

DWORD Characteristics;

} IMAGE_TLS_DIRECTORY32;

第4项为TLS回调函数指针数组,在这个程序中为00404032

在OD中可以看到

在这里插入图片描述

第一个回调函数地址为:00402000 跟IDA上是一样的

OD载入程序在该地址下断点,重载程序就会断下。

在这里插入图片描述

代码加了花指令,无法正常阅读,IDA的F5功能也是失效的,

00402006 E8 00000000 call 0040200B

0040200B 810424 17000000 add dword ptr [esp], 0x17

00402012 C3 retn

看下这三句指令,call到了0040200B,也就是call的下一行位置,此时栈顶的值应该为call的下一行也就是0040200B 然后加0x17就是0x402022 然后ret 这三句代码的实际效果就是jmp 402022也就是说 在0040200B-402021这之间的指令都是没用的,那么我们就可以把它直接nop掉,经过调试发现,后面还有许多类似的花指令,其机器码格式都是E8 01 00 00 00 ?? ?? ?? ?? ?? C3

,那么可以写一个OD脚本来除去这些花指令。

在这里插入图片描述

去除花指令后另存为能正常运行,直接转到IDA看伪代码

在这里插入图片描述
作者在这里动态的将第二个回调函数地址写入,如果我们用OD调试,ReturnLength就为0xFFFFFFFF也就是-1,那么第二个TLS的回调函数将不会被执行,进而在算法中需要的地址40406C也就不会被赋值。

来到第二个回调函数,看下40406C如何被赋值

在这里插入图片描述
经过这个函数,地址40406C就为0x31333359了。然后整个分析到这里就结束了。

0x2 总结

在分析这个程序的时候我们会发现IDA的F5功能并不是很准确,有时会成为解题的阻碍,比如,在IDA显示的算法伪代码中少做了一次取余,如果不去看汇编代码就发现不了,所以看下程序本身的汇编代码还是挺重要的。

非著名不专业Re选手
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GIVE_A_TRY.exe 逆向(NCK逆向初级第9,10,11课作业)
hambaga的博客
09-16 1310
这个程序好像是一道CTF的题,对我这样的新手来说难度很大,解题过程中遇到了不少坑,还学到了新的反调试技巧。下面我将记录下我逆向这个程序的过程。 一、去花指令,过反调试,分析TLS回调函数功能 这个程序用到了TLS反调试技术,很遗憾,我用的编程达人OD和X64DBG都有反反调试插件,直接把TLS过了,所以我刚开始甚至没意识到反调试的存在。 然而,如果您使用无插件的OD,那么您运行该程序可能会崩溃,又或者即使输入了正确密钥,程序也会提示密钥错误,这是因为,程序会检测当前是否正在被调试,然后会根据这个判断结果修
网鼎杯一个CrackMe give_a_try.exe
让川神先表演的博客
10-11 565
转载请注明出处。https://rhirufxmbcyj.gitlab.io 从看雪一篇帖子上看到的这个程序,没什么难度,就是比较绕。拿下来试一试。 程序:https://rhirufxmbcyj.gitlab.io/files/give_a_try.rar 准备工作 首先,打开程序看一看这是个什么类型的程序,是个name+password类型还是serial类型,心理也好有个底,这个程序只...
[网鼎杯 2018]Fakebook -wp
freerats的博客
06-27 384
打开容器,发现页面里有注册页面和登入页面 任意注册一个用户名,进行登入 在blog处发现有xss,一开始研究了半天,然后卡住了,参考别人的wp才发现这道题跟xss没有半毛钱关系。。。 view.php?no=1 在这里是有注入点的 加个引号报错还会爆出绝对路径 发现union被过滤,但/**/union/**/可以绕过 列名 然后查看一下字段 查询到data发现这里面是以序列化的形式储存的 这道题的最关键还是是通过目录扫描发现有robots.txt,进而发现/user.php.bak 其实还可以跑出有f.
[网鼎杯 2018]Comment
SopRomeo的博客
05-03 2655
这题目太顶了 进去随便发个贴,出现登录 已经提示用户名和密码了,弱密码登录(得自己去爆破) zhangwei666即可 没啥思路,扫下目录试试,kali的dirb扫到.git泄露 githacker得到源码 看到这我懵了 看了web, ...
[网鼎杯 2018]Fakebook 1
weixin_46196627的博客
06-11 200
[网鼎杯 2018]Fakebook1 注册发现view.php?no=1 尝试基本的sql语句发现可行,但是存在过滤,union select 可为union/**/select使用 获取回显点。 查询user 发现root权限 在之前用dirsearch扫过备份文件,扫出: 访问robots.txt,存有文件,一个类 在这引入一个load_file函数 load_file函数只有在满足两个条件的情况下才可以使用:1、文件权限:chmod a+x pathtofile2、文件大小:必须小于max
stim.rar_Stim for ECU_ecu_give8pf
09-21
在本话题中,"stim.rar_Stim for ECU_ecu_give8pf" 提到的 "Stim" 可能是指ECU仿真器,这是一种专门用于调试ECU的工具。下面我们将深入探讨ECU仿真器及其在ECU开发过程中的应用。 ECU仿真器,全称为电子控制单元...
101259352MSK_GMSK.zip_GIVE_gmsk
07-13
标题中的“101259352MSK_GMSK.zip_GIVE_gmsk”似乎是一个文件名,其中“GMSK”是“ Gaussian Minimum Shift Keying”的缩写,这是一种调制技术,常用于无线通信系统。描述中提到的“hello please give me matlab ...
3970984GMSK_matlab.rar_GIVE_matlabsigexpand
07-15
hello please give me matlab codes
sjf.rar_GIVE_sjf_zsjf24x0
09-22
"sjf.rar_GIVE_sjf_zsjf24x0"这个压缩包文件似乎包含了用于Linux系统移植到S3C2410处理器上的工具,这对于那些需要在基于这款处理器的开发板上运行Linux的人来说是非常宝贵的资源。 首先,S3C2410是一款由Samsung...
OFDM-multipath-fading-channel-model.rar_GIVE_The Spectrum_raylig
07-14
this code give a matlab model for simulation the time varing channels with rayligh fading and soppler types spectrum for ofdm signals.
CTF逆向基础----花指令总结
一位非著名不专业的Re选手
03-13 9278
什么是花指令? 花指令实质就是一串垃圾指令,它与程序本身的功能无关,并不影响程序本身的逻辑。在软件保护中,花指令被作为一种手段来增加静态分析的难度,花指令也可以被用在病毒或木马上,通过加入花指令改变程序的特征码,躲避杀软的扫描,从而达到免杀的目的,本文将介绍一些常见的花指令的形式,花指令一般被分为两类,被执行的和不会被执行的。 不会被执行的花指令 花指令虽然被插入到了正常代码的中间,但是并不意味着它一定会得到执行,这类花指令通常形式为在代码中出现了类似数据的代码,或者IDA反汇编后为jmupout(xxxx
180822 逆向-网鼎杯(2-1)
whklhhhh的博客
08-22 2211
Reverse martricks main函数中接收输入以后将input和一个字符串异或一下存入savedregs中 这里7*(i_23/7)+i_23%7这种写法实际上还是i_23,只不过表示成了第x行y列的形式(7个元素/行) 两个数组分别存放在了savedregs-192和savedregs-128中 下面两层嵌套循环,中间进行了一个累加的运算 关键是箭头所指向的积的累...
第二届网鼎杯(第一场:青龙组)web WriteUp
a3320315的博客
05-11 1861
学校战队总排名52,web和pwn各拿了一个一血,只能说师傅太强了,不过后来的排名有点起飞,最后半小时,直接从前十名飞出去了~~ filejava 这道题主要考察的是java的xxe漏洞,这个题目总共有两个功能,上传和下载功能,有上传和下载,我们就想到两个漏洞点,是否有任意文件上传或者任意文件下载? 经过测试确实有任意文件下载,但是任意文件上传确不存在,但是却能够为我们提供路径~~ 任意文件下载 但是我们不知道web的路径怎么办?我们还有文件上传的报错~~ 文件上传 我们可以看到报错处直接给了web的
CTF 【每日一题20160618】简单xss示例
hhhparty的博客
06-18 7473
继续黑客游戏 第五关 复杂的文字游戏 点一下have a try 下面一行后那个回车 并有弹出消息框 分析:这是要考XSS,右侧还提示“会用错误控制台么?”,这个是提示用chrome的console(按F12调用)。 首先看一下源码,发现里面有一段手写脚本(编码风格一般较差的那种),似乎是网页程序员留下的: 他们说输入的地方就是攻击的开始
实验吧CTF密码学部分题目总结
热门推荐
攀登
03-11 1万+
1.变异凯撒  http://www.shiyanbar.com/ctf/2038题目是    加密密文:afZ_r9VYfScOeO_UL^RWUc    格式:flag{ }  拿凯撒解密,栅栏解密一通乱试,并没有发现什么收获。后来看了大牛的博客才发现前四位Z_的ASCII码为97 102 90 95,题目说flag的格式为flag{} 前四位对应的ASCII码为102 108 97 103。...
函数模板与类模板
程序员_小兵
07-12 1540
/交换int数据a = b;b = temp;//交换char数据a = b;b = temp;//问题:如果我要交换double类型数据,那么还需要些一个double类型数据交换的函数//繁琐,写的函数越多,当交换逻辑发生变化的时候,所有的函数都需要修改,无形当中增加了代码的维护难度//如果能把类型作为参数传递进来就好了,传递int就是Int类型交换,传递char就是char类型交换//我们有一种技术,可以实现类型的参数化---函数模板。
36. Adam 算法详解
qq_41238579的博客
07-10 951
Adam(Adaptive Moment Estimation)是一种结合动量法和自适应学习率的优化算法,自2014年提出以来,迅速成为深度学习中最流行和常用的优化算法之一。Adam算法的核心思想是利用梯度的一阶动量和二阶动量来动态调整学习率,既保持了动量法的优点,又结合了RMSProp的自适应学习率特性。
2024C++信息素养大赛-算法创意实践挑战_复赛真题(广东省)题目+参考答案和详细解析
最新发布
m0_74586426的博客
07-12 649
2024C++信息素养大赛-算法创意实践挑战_复赛真题(广东省)题目+参考答案和详细解析
【排序 - 堆排序】
2302_80393814的博客
07-10 524
堆排序利用堆这种数据结构的特性,通过构建最大堆和不断调整堆的过程来实现排序。它的时间复杂度稳定在 O(n log n),并且适用于大数据量的排序需求。通过本文,我们深入了解了堆排序的原理和实现方式,并通过C语言代码展示了如何实现堆排序算法。对于理解高效排序算法算法设计有着重要的帮助。
from work11_3 import Employee import unittest class Give_raiseTest(unittest.TestCase): def setup(self): self.ep_1=Employee('张','一',5000) def test_give_default_raise(self): ep_1_raise=self.ep_1.give_raise() self.asserEqual(ep_1_raise,10000) def test_give_custom_raise(self): ep1_raise=self.ep_1.give_raise(7000) self.asserEqual(ep_1_raise,10000) unittest.main()
05-24
这段代码有几个小问题: 1. `setup` 方法应该是 `setUp`,这是由于 `unittest` 框架对于特定的方法名称有要求。 2. 在第二个测试用例中,断言语句应该是 `self.assertEqual(ep1_raise,12000)`,因为自定义加薪金额为 7000,所以总工资应该是 12000。 修改后的代码如下: ```python from work11_3 import Employee import unittest class Give_raiseTest(unittest.TestCase): def setUp(self): self.ep_1 = Employee('张', '一', 5000) def test_give_default_raise(self): ep_1_raise = self.ep_1.give_raise() self.assertEqual(ep_1_raise, 10000) def test_give_custom_raise(self): ep_1_raise = self.ep_1.give_raise(7000) self.assertEqual(ep_1_raise, 12000) unittest.main() ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值