[GWCTF 2019]babyvm writeup

最新推荐文章于 2024-05-12 00:30:58 发布
最新推荐文章于 2024-05-12 00:30:58 发布
阅读量158 收藏
点赞数
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42100211/article/details/127461355
版权

这道题是vm的题目。有两种方法做这道题目。本文可能需要配合其它wp来看。本文亮点在于angr解法,和更详细的指令翻译。

方法一:angr

本题有假flag,有两个strcmp函数(sub_F00和sub_F83),一真一假。一个自然的思路是到真实strcmp函数下断点,但没有断下来。实际上,真实strcmp并不会执行。这让我有些意外,我原以为这两个strcmp都会执行。
指令序列存储于unk_202060,开始标志是F5(用户输入和长度检查),结束标志是F4。如果细心一些会发现,第一个F4之后不远,出现了第二个F5。这是真实的字符串处理函数。
因此,如果想用angr来解决这个问题,或者只是想动态调试一下,需要patch两处。第一处是eip(也就是a1+16)初始化,要让eip初始化为第二个F5的位置,也就是unk_202180。patch时使用常数偏移即可,lea rdx,[0x202180]。这样用户输入的字符串才会被真正的字符串处理函数处理。第二处是main函数中对假strcmp(也就是sub_F83)的调用,应当改为sub_F00。patch之后可以直接用angr解出真flag。

方法二:正道

正道需要翻译指令序列。假的字符串处理函数是每一位与0x18异或。真的字符串处理函数则较为复杂,使用了多种处理方法,并且位与位之间存在耦合。

假的字符串处理函数,可以以一次写为基本单位进行分块。此处只展示了前三块,之后的处理逻辑是相同的。

//init state: r0=0, r1=18
0xF5, read

0xF1, 0xE1, 0x00, 0x00, 0x00, 0x00 r0=userinput[0]
0xF2 xor r0,r1
0xF1, 0xE4, 0x20, 0x00, 0x00, 0x00 userinput[32]=r0

0xF1, 0xE1, 0x01, 0x00, 0x00, 0x00 r0=userinput[1]  
0xF2, xor r0,r1
0xF1, 0xE4, 0x21, 0x00, 0x00, 0x00, userinput[33]=r1

0xF1, 0xE1, 0x02, 0x00, 0x00, 0x00, r0=userinput[2]
0xF2, xor r0,r1
0xF1, 0xE4, 0x22, 0x00, 0x00, 0x00, userinput[34]=r0

0xF4

真的字符串处理函数如下,可以看出0~5、6~8、13~19使用了三种处理方法(分别是相邻位异或、线性组合、交换),而9~12则并未处理。

0xF5, read

0xF1, 0xE1, 0x00, 0x00, 0x00, 0x00, r0=userinput[0]
0xF1, 0xE2, 0x01, 0x00, 0x00, 0x00, r1=userinput[1]
0xF2, xor r0,r1
0xF1, 0xE4, 0x00, 0x00, 0x00, 0x00, userinput[0]=r0

0xF1, 0xE1, 0x01, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x02, 0x00, 0x00, 0x00,
0xF2,
0xF1, 0xE4, 0x01, 0x00, 0x00, 0x00,

0xF1, 0xE1, 0x02, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x03, 0x00, 0x00, 0x00,
0xF2,
0xF1, 0xE4, 0x02, 0x00, 0x00, 0x00,

0xF1, 0xE1, 0x03, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x04, 0x00, 0x00, 0x00,
0xF2,
0xF1, 0xE4, 0x03, 0x00, 0x00, 0x00,

0xF1, 0xE1, 0x04, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x05, 0x00, 0x00, 0x00,
0xF2,
0xF1, 0xE4, 0x04, 0x00, 0x00, 0x00,

0xF1, 0xE1, 0x05, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x06, 0x00, 0x00, 0x00,
0xF2,
0xF1, 0xE4, 0x05, 0x00, 0x00, 0x00,

0xF1, 0xE1, 0x06, 0x00, 0x00, 0x00, r0=userinput[6]
0xF1, 0xE2, 0x07, 0x00, 0x00, 0x00, r1=userinput[7]
0xF1, 0xE3, 0x08, 0x00, 0x00, 0x00, r2=userinput[8]
0xF1, 0xE5, 0x0C, 0x00, 0x00, 0x00, r3=userinput[12]
0xF6, r0=r2+2*r1+3*r0
0xF7, r0=r0*r3
0xF1, 0xE4, 0x06, 0x00, 0x00, 0x00, userinput[6]=r0

0xF1, 0xE1, 0x07, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x08, 0x00, 0x00, 0x00,
0xF1, 0xE3, 0x09, 0x00, 0x00, 0x00,
0xF1, 0xE5, 0x0C, 0x00, 0x00, 0x00,
0xF6,
0xF7,
0xF1, 0xE4, 0x07, 0x00, 0x00, 0x00,

0xF1, 0xE1, 0x08, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x09, 0x00, 0x00, 0x00,
0xF1, 0xE3, 0x0A, 0x00, 0x00, 0x00,
0xF1, 0xE5, 0x0C, 0x00, 0x00, 0x00,
0xF6,
0xF7,
0xF1, 0xE4, 0x08, 0x00, 0x00, 0x00,

0xF1, 0xE1, 0x0D, 0x00, 0x00, 0x00, r0=userinput[13]
0xF1, 0xE2, 0x13, 0x00, 0x00, 0x00, r1=userinput[19]
0xF8, r0,r1=r1,r0
0xF1, 0xE4, 0x0D, 0x00, 0x00, 0x00, userinput[13]=r0
0xF1, 0xE7, 0x13, 0x00, 0x00, 0x00, userinput[19]=r1

0xF1, 0xE1, 0x0E, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x12, 0x00, 0x00, 0x00,
0xF8,
0xF1, 0xE4, 0x0E, 0x00, 0x00, 0x00,
0xF1, 0xE7, 0x12, 0x00, 0x00, 0x00,

0xF1, 0xE1, 0x0F, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x11, 0x00, 0x00, 0x00,
0xF8,
0xF1, 0xE4, 0x0F, 0x00, 0x00, 0x00,
0xF1, 0xE7, 0x11, 0x00, 0x00, 0x00,

0xF4
rookie19_HUST
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
babyvm wp
12-21
大佬给的练习题,应该是根据广外2019比赛babyvm改的,自己也是第一次接触vm的ctf题,很简单,记录下。 题目下载地址: 链接:https://pan.baidu.com/s/1fWfikdoviwZ2PnkCi2p2zA 提取码:4gbf 0x0 函数分析 载入IDA,F5查看主函数 有三个函数,进一步查看 sub_400839 此函数为VM的初始化过程,6010A0为vm操作码的内容,0xf1代表sub_400738函数,0xf2代表sub_4006B6函数,0xf5代表sub_4006F4函数 unk_6010A0内容(截取部分) sub_400738(0xf1) 分析
[GWCTF 2019]babyvm
weixin_52369224的博客
02-10 1392
系统学习vm虚拟机逆向 64位vm的题目 找到主函数 分析sub_CD1函数: sub_B5F代表mov操作,其中 0xE1,0xE2...代表不同的寄存器。 sub_A64是一个异或操作xor。 sub_AC5是一个读取操作并判断他的长度是否等于21 sub_956是空操作nop。 sub_A08 两个数相乘操作mul sub_8F0是一个交换操作swap sub_99c线性运算 该函数是对6010A0操作码内容的执行,一直到0x...
[GW-CTF2019] babyvm
0.2°的博客
09-09 342
- [目录] 分析 脚本 总结 GW CTF2019 babyvm 复现 得到一个文件 先exeinfope 64位elf文件 打开后找到main函数 第一个是初始化,第二个是退出,第三个检查flag(但是分析完会发现这个是假的) init进去后 分析完后 分析完后根据自己理解分析出他的指令集 |0xF1|MOV | |0xF2|XOR–| |0xF4|NOP | |0xF5|read_str | |0xF7|computing–| |0xF6 |mul | |0xF8|swap | p
BUUCTF-[GWCTF 2019]babyvm
weixin_61154173的博客
04-09 871
vm简单逆向,switch不同,赋值给的对象不同,所以可以看做是不同寄存器,所以0xE1->eax,0xE2->ebx,0xE3->ecx,0xE5->edx。这种简单vm逆向搞了快半辈子了,看别人wp也看的迷迷糊糊的,可能是受一个python虚拟机题的影响,第一次见vm,简单记录一下~发现是一堆数据,根据对vm的简单了解,这些应该是操作码,继续看函数其他的部分,应该是操作码及其对应的操作指令。是个异或操作,看异或对象可知,xor eax,ebx。乘的操作,看操作对象是 mul eax,edx。
GXYCTF2019&GWCTF2019——Writeup
Lethe's Blog
03-03 3210
GXYCTF Ping Ping Ping 进入题目后,提示了 /?ip=,于是加上参数 ?ip=1试试看,发现是执行了ping命令: 然后尝试: ?ip=;ls 发现成功执行了命令,但是当读取 flag.php 时,发现过了空格,尝试下面两种绕过方式 ${IFS} $IFS$9 使用第二个$IFS$9代替空格成功绕过,执行 ?ip=;cat$IFS$9flag.php,发现 flag...
BUUCTF Reverse [GWCTF 2019]pyre WriteUp
PlumpBoy的博客
09-11 244
pyre-WP 首先发现是pyc文件,使用在线工具进行反编译,得到源码 #!/usr/bin/env python # visit http://tool.lu/pyc/ for more information print "Welcome to Re World!" print "Your input1 is your flag~" l = len(input1) for i in range(l): num = ((input1[i] + i) % 128 + 128) % 128 c
[GWCTF 2019]我有一个数据库 wp
m0_55185160的博客
04-23 4306
得到了/phpmyadmin/路径,加上题目是我有一个数据库,于是想到应该本题就是和phpmyadmin数据库有关 我们可以看到phpmyadmin的版本为4.8.1,搜索后发现这个版本的phpmyadmin存在漏洞CVE-2018-12613,下面我们复现一下漏洞。 首先分析一下源码: index.php 关于target的部分 $target_blacklist = array ( 'imp..
NCTF2019-官方writeup
郁离歌丶的博客
05-08 2177
NCTF2019-官方writeup
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup
2019美亚杯writeup
03-26
2019美亚杯writeup
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
2019ISCC writeup(相对简单)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大赛必刷题
2019dxs.docx
09-24
2019年全国大学生信息安全竞赛重邮writeup,写的很详细,需要的来取。
[GWCTF 2019]babyvm 详解 (vm逆向 IDA结构体)
sirrior的博客
11-27 856
这是笔者做的第一道vm题,虽然相较于同类题题面很简单,但是在过程中收获了很多。
其他的 框架安全:Apache Shiro 漏洞序列.(CVE-2016-2807)
最新发布
网络安全领域___专研者.
05-12 397
Apache Shiro 是一个强大且易用的Java安全框架,它为应用程序提供了身份验证、授权、加密和会话管理等常见的安全功能。漏洞大多会发生在登录处,返回包里包含remeberMe=deleteMe字段。
Gartner发布应对动荡、复杂和模糊世界的威胁形势指南:当前需要应对的12种不稳定性、不确定性、复杂和模糊的安全威胁
lurenjia404的博客
05-07 1420
当今世界是动荡(Volatile)、复杂(Complex)和模糊(Ambiguous)的,随着组织追求数字化转型以及犯罪分子不断发展技术,由此产生的安全威胁也是波动性、不确定性、复杂性和模糊性的,安全和风险管理领导者必须完善策略以应对 VUCA 世界中的威胁。
【联通官网及APP注册/登录安全分析报告】
weixin_46641057的博客
05-09 515
联通作为通信行业的老大哥, 采用的老一代的图形验证码已经落伍了, 用户体验差,还容易被破解App 端虽然采用了360加固, 但懂技术的都知道, 客户端无论如何都有可能被逆向,靠加固是否无法保证安全的,脱壳后的算法就如同皇帝的新装,暴露在黑客面前。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。
SGP.22-V.3.1-安全3
liudong200618的博客
05-08 815
在加载BPP时,此功能用于替换现有的BSP会话密钥(S-ENC和S-MAC),用一组新的会话密钥(通常是PPK-ENC和PPK-CMAC,如第2.5节所述)。3. **使用新密钥集**:一旦功能成功执行,eUICC将使用这组新的密钥集来解密和进行MAC(消息认证码)验证后续的BSP有效载荷块数据。2. **替换会话密钥**:如果新密钥的长度验证通过,eUICC将用新的密钥集替换当前的会话密钥。- **密钥类型保持不变**:新密钥集的类型与它们替换的会话密钥类型相同。
iscc2015官方writeup
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值