参考博客
buu-[RoarCTF2019]polyre(控制流平坦化,虚假控制流程)-CSDN博客
[RoarCTF2019]Polyre | bypass ollvm - 暖暖草果 - 博客园 (cnblogs.com)
buu-[RoarCTF2019]polyre(控制流平坦化,虚假控制流程)-CSDN博客
进来第一时间看见这个
我还以为是angr
跑了大半年,什么都没跑出来
后面发现这是控制流平坦化(没接触过)
https://github.com/cq674350529/deflat
这里去下载整个文件
放在unbuntu里面
python3 deflat.py -f ./polyre --addr 0x400620
命令行执行
中间等个一两分钟
就得到了这个文件
IDA打开
比之前好多了
这个有很多都是假
就是说根本不会运行
我们用IDA python简化(我不会,网上抄的脚本)
st = 0x0000000000400620 #main开始
end = 0x0000000000402144 #main结束
def patch_nop(start,end):
for i in range(start,end):
ida_bytes.patch_byte(i, 0x90) #修改指定地址处的指令 0x90是最简单的1字节nop
def next_instr(addr):
return addr+idc.get_item_size(addr) #获取指令或数据长度,这个函数的作用就是去往下一条指令
addr = st
while(addr<end):
next = next_instr(addr)
if "ds:dword_603054" in GetDisasm(addr): #GetDisasm(addr)得到addr的反汇编语句
while(True):
addr = next
next = next_instr(addr)
if "jnz" in GetDisasm(addr):
dest = idc.get_operand_value(addr, 0) #得到操作数,就是指令后的数
ida_bytes.patch_byte(addr, 0xe9) #0xe9 jmp后面的四个字节是偏移
ida_bytes.patch_byte(addr+5, 0x90) #nop第五个字节
offset = dest - (addr + 5) #调整为正确的偏移地址 也就是相对偏移地址 - 当前指令后的地址
ida_bytes.patch_dword(addr + 1, offset) #把地址赋值给jmp后
print("patch bcf: 0x%x"%addr)
addr = next
break
else:
addr = next怎么理解这个脚本,我感觉还是要等到再次遇见这种题,对比一下
运行后就可以得到一个正常的代码
我还是不会
(
)
wp说这是CRC32
ok,有借口了
保存一下脚本就算了吧
secret = [0xBC8FF26D43536296, 0x520100780530EE16, 0x4DC0B5EA935F08EC,
0x342B90AFD853F450, 0x8B250EBCAA2C3681, 0x55759F81A2C68AE4]
key = 0xB0004B7679FA26B3
flag = ""
# 产生CRC32查表法所用的表
for s in secret:
for i in range(64):
sign = s & 1 # 数乘以二,必为偶数,再异或上奇数,得奇数 所以最后一位为1的数还原前为负。
if sign == 1:
s ^= key
s //= 2
# 防止负值除2,溢出为正值
if sign == 1:
s |= 0x8000000000000000 # 让数回到负数
j = 0
while j < 8:
flag += chr(s & 0xFF) # &0xff可以将高的24位置为0,低8位保持原样。
s >>= 8
j += 1
print(flag)
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
