2018.7.26学习笔记

最新推荐文章于 2022-09-07 18:30:00 发布
最新推荐文章于 2022-09-07 18:30:00 发布
阅读量179 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42297538/article/details/81213713
版权

二进制逆向题目解析

where are your flag
我们先用ida打开这个文件,我们把文件拖进ida(ida有64位和32位的,我们要先确定文件用哪一个),打开文件后,出现的是汇编代码为流程图浏览模式,
流程图浏览模式
使用Shift+12调出字符串表,再根据这些字符串,查看引用的地方,
这里写图片描述
我们找到我们想要找到的字符串,点进去:仔细观察这些字符串,我们会发现有一串字符串是“where are you flag”,这就是我们要的结果,点进去:
这里写图片描述
在上图中我们可以看到我们点进去的有我们要的“where are you flag”,在后面的箭头处点击,出来代码流程图:
这里写图片描述
再用F5找到反编译界面,找到代码:
这里写图片描述
其实还有一种方法,我们不论是什么语言,都有一个主函数,所以我们可以直接在左侧的函数列表里查看main函数,找到main函数,点进去,也可以找到上述界面:
这里写图片描述
进去反编译后的代码页面后,我们会看到这样一串代码:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  if ( argc <= 1 )
  {
    puts("where is your flag?");
  }
  else if ( (unsigned int)test((__int64)argv[1]) )
  {
    puts("you got it!");
  }
  else
  {
    puts("try again!");
  }
  return 0;
}

对于这串代码,我们可以分析一下:
如果 (unsigned int)test((__int64)argv[1]),则输出“you got it!”你的flag正确,否则,“try again!”再试一次,是错误的,
那么test是什么呢,我们点进去看一下,会看到另一串代码:

_BOOL8 __fastcall test(__int64 a1)
{
  signed int i; // [rsp+1Ch] [rbp-24h]
  __int64 s2; // [rsp+20h] [rbp-20h]
  __int64 v4; // [rsp+28h] [rbp-18h]
  __int16 v5; // [rsp+30h] [rbp-10h]
  char v6; // [rsp+32h] [rbp-Eh]
  unsigned __int64 v7; // [rsp+38h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  s2 = 4118914718243424768LL;
  v4 = 4112445312588908291LL;
  v5 = 5391;
  v6 = 27;
  if ( strlen((const char *)a1) != 19 )
    return 0LL;
  for ( i = 0; i <= 18; ++i )
    *((_BYTE *)&s2 + i) ^= 0x66u;
  return !memcmp((const void *)a1, &s2, 5uLL)
      && *(_BYTE *)(a1 + 18) == v6
      && *(_BYTE *)(a1 + 7) == *(_BYTE *)(a1 + 10)
      && *(_BYTE *)(a1 + 10) == *(_BYTE *)(a1 + 13)
      && *(char *)(a1 + 13) == SHIBYTE(s2) - 49
      && !memcmp((const void *)(a1 + 5), (char *)&v4 + 5, 2uLL)
      && !memcmp((const void *)(a1 + 8), &v5, 2uLL)
      && !memcmp((const void *)(a1 + 11), (char *)&s2 + 5, 2uLL)
      && !memcmp((const void *)(a1 + 14), &v4, 4uLL);
}

我们继续来分析这串代码:
代码刚开始定义了a1,即是上一串代码中的argv[1],看下面的代码可知,一直使用a1和其他比较,所以a1使我们要找的flag,我们来看这一串:

if ( strlen((const char *)a1) != 19 )
    return 0LL

如果a1的长度不等于19,返回值是0,所以a1的长度一定为十九,(LL是longlong类型的字面值常量)
链接:C语言strlen()函数用法
我们再往下看这串代码:

 for ( i = 0; i <= 18; ++i )
    *((_BYTE *)&s2 + i) ^= 0x66u;

这是一个循环,s2中的所有元素与0x66进行异或,得到的结果再返回给s2,我们由循环的次数得知,这个循环进行了19次,但是,我们再看s2的值,s2=4118914718243424768,右击把s2转化为十六进制数,s2=0x3929531D01070A00,我们可知s2中就只有八个元素,即:s2=[0x00,0x0a,0x07,0x01,0x1d,0x53,0x29,0x39],那么为什么循环了十九次呢?我们再看在s2下面还定义了v4,v5,v6,我们点一下查看一下地址,发现s2,v4,v5,v6地址是在一起的,
-0000000000000020
-0000000000000018
-0000000000000010
-000000000000000E
在下面又把a1和s2、v4、v5、v6放在一起比较,所以我们可知这里的十九次循环应该是把v4、v5、v6放在s2里了,,把v4、v5、v6转化为十六进制数:v4=0x391257391F150703,v5=0x150F,v6=0x1B,又由下面的代码知,a1要与s2、v4、v5、v6放在一起比较,a1是flag,所以要把s2化作字符
所以我们可以用Python写代码为:

flag=[0]*19
s2=[0x00,0x0a,0x07,0x01,0x1d,0x53,0x29,0x39,0x03,0x07,0x15,0x1f,0x39,0x57,0x12,0x39,0x0f,0x15,0x1b]

for i in range(19):
    s2[i]=chr(s2[i]^0x66)

链接:python 初始化一个定长的数组
链接:python chr()
继续向下看代码:

return !memcmp((const void *)a1, &s2, 5uLL)
      && *(_BYTE *)(a1 + 18) == v6
      && *(_BYTE *)(a1 + 7) == *(_BYTE *)(a1 + 10)
      && *(_BYTE *)(a1 + 10) == *(_BYTE *)(a1 + 13)
      && *(char *)(a1 + 13) == SHIBYTE(s2) - 49

“return !memcmp((const void *)a1, &s2, 5uLL)”的意思是:把a1的前五项与s2的前五项相比较,如果相等返回0,因为我们要让它返回1,前面又有一个“!”符号,所以我们要令a1和s2的前五项相等,写出python函数:

flag[0:5]=s2[0:5]

链接:C 库函数 - memcmp()
(_BYTE )(a1 + 18) == v6”这一句是说,a1[18]=v6,由我们在上面写的python脚本知,我们可写python:

flag[18]=s2[18]

“&& (_BYTE )(a1 + 7) == (_BYTE )(a1 + 10), && (_BYTE )(a1 + 10) == (_BYTE )(a1 + 13),&& (char )(a1 + 13) == SHIBYTE(s2) - 49”我们再来看这一串代码,它的意思是a[7]=a[10],而a[10]=a[13],那么a[13]等于s2的最后一位的ascii值减去49,然后再取这个ascii值所对应的字符,所以我们可以写python脚本:

flag[13]=chr(ord(s2[7])-49)
flag[10]=flag[13]
flag[7]=flag[10]

链接:python ord()函数
再看下面的代码:

&& !memcmp((const void *)(a1 + 5), (char *)&v4 + 5, 2uLL)
      && !memcmp((const void *)(a1 + 8), &v5, 2uLL)
      && !memcmp((const void *)(a1 + 11), (char *)&s2 + 5, 2uLL)
      && !memcmp((const void *)(a1 + 14), &v4, 4uLL);

这串代码和上面的一样,所以我们可知,a1的第6,7项和v4的第6,7项相等,a1的第9,10项和v5里的两项相等,a1的第12,13两项和s2的第6,7两项相等,而a1的第15,16,17,18四项和v4的前四项相等,所以我们写python脚本:

flag[5]=s2[8+5]
flag[6]=s2[8+5+1]
flag[8]=s2[16]
flag[9]=s2[17]
flag[11]=s2[5]
flag[12]=s2[6]
flag[14:18]=s2[8:12]

但是我们这里定义的a1(即flag)是列表,我们要把它转化为字符串:

a=""
for i in range(len(s2)):

    a+=flag[i]

所以,总结来看,我们的得到的python脚本是:

flag=[0]*19
s2=[0x00,0x0a,0x07,0x01,0x1d,0x53,0x29,0x39,0x03,0x07,0x15,0x1f,0x39,0x57,0x12,0x39,0x0f,0x15,0x1b]
for i in range(19):
    s2[i]=chr(s2[i]^0x66)
print (ord(s2[7]))
flag[0:5]=s2[0:5]
flag[18]=s2[18]
flag[13]=chr(ord(s2[7])-49)
flag[10]=flag[13]
flag[7]=flag[10]
flag[5]=s2[8+5]
flag[6]=s2[8+5+1]
flag[8]=s2[16]
flag[9]=s2[17]
flag[11]=s2[5]
flag[12]=s2[6]
flag[14:18]=s2[8:12]
a=""
for i in range(len(s2)):

    a+=flag[i]
print (a)

运行后的结果:
flag{1t.is.5O.easy}

小爱0514
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF Reverse reverse2 WriteUp
PlumpBoy的博客
09-10 162
reverse_2 拖入HxD中看见ELF,linux平台的程序,但是懒得开虚拟机了,顺手搜索了一下,看见了一个很像flag的字符串,结果提交试了下,错误的,那么应该是程序对这个字符串做了一些操作。 拖入IDA v8 = __readfsqword(0x28u); pid = fork(); if ( pid ) { waitpid(pid, &stat_loc, 0); } else { for ( i = 0; i <= strlen(&f
逆向做题记录2023 4.3-4.9
m0_73718199的博客
04-09 913
在某些编程语言或者汇编语言中,使用 dup 语句可以重复生成一定数量的相同元素,可以用来快速生成一定数量的数组或者缓冲区。在计算机编程中,8 dup(0) 表示申请 8 个字节(或者 8 个元素)的连续内存空间,并将该空间的值初始化为 0。该函数的参数为指向 FILE 结构的指针,指示要关闭的文件。fopen() 是一个 C 标准库函数,用于打开一个文件并返回一个指向该文件的指针。函数将写入任何挂起的缓冲区数据,释放与文件流相关的所有缓冲区,并关闭该文件。是 C 标准库中的一个函数,用于关闭打开的文件。
[ctfbub.pwn] 练习 16-
weixin_52640415的博客
09-07 504
ctfhub pwn练习
逆向入门--攻防世界进阶Re题解
crispr的博客
08-09 4002
前言 摸鱼选手表示最近鱼儿很多。。。好吧我摊牌了,最近忙着考驾照,真折磨人啊,赶紧补一补入门的逆向,不然白给了要。本次准备写两个Re的题解,都是来自攻防世界的进阶 正言 re1-100 自从上次入门后,现在做题的顺序基本摸清了,并且现在的题还没有出现啥花指令这些恶心内容,先把文件放到exeinfope中查看文件属性: 64位的ELF文件,直接拖到IDApro来看吧: // TAGS: ['file'] int __cdecl __noreturn main(int argc, const char **a
三个pwn题
weixin_52640415的博客
06-28 1651
shortcut :格式化字符串漏洞写溢出 lucky_guy:alloca负值覆盖ret babynote:libc-2.31禁用exec写 ORW free_hook->sigreturnframe-> setcontex+61->orw
《控制论和科学方法论》2018学习笔记.doc
11-18
7. 共轭控制:共轭控制是指系统在多个变量之间的控制和调整的过程。这是控制论中一个重要的概念,因为它可以帮助我们理解系统的行为和变化。 8. 负反馈调节:负反馈调节是指系统对外部环境的负面反馈和调整的过程。...
机器学习复习笔记1
08-08
考试时间:2018.12.27 7:00 PM-9:00 PM考试地点:A1-302 A1-304第一章Basic Concept机器学习基础(3)Linear
EduSoho网校系统 V8.2.25
06-12
8.2.26(2018-4-27) 优化:直播大小班课的切换机制 修复:课程文件标签显示问题 8.2.25(2018-4-19) 优化:教师拖堂时学生也可进入直播间听课 修复:某些情况下 App 无法下载缓存视频的问题 修复:某些情况...
python-notebook:Python学习笔记
02-07
Python学习笔记 官方文件 非官方资讯 线上课程 学习中: Udemy- Udemy- Udemy- 已服用: Udemy- 书籍 已购入: 2019-03-29:碁峰.Al Sweigart H&C-Python骇客密码|加密,解密与破解实例应用( ) 2018-...
es6-notes:ES6+ 学习笔记 https
05-07
ES下一个学习笔记 数字 大批 目的 功能 班级 象征 放 地图 正则表达式 代理人 反映 承诺 发电机 迭代器 模块 ES2016(ES7) Array.prototype.includes() 求幂运算符 ES2017(ES8) 细绳 目的 异步等待 尾随...
Chunk Extend and Overlapping(HITCON Trainging lab13)
九层台
08-13 600
数据结构 unsigned __int64 create_heap() { _QWORD *v0; // rbx signed int i; // [rsp+4h] [rbp-2Ch] size_t size; // [rsp+8h] [rbp-28h] char buf; // [rsp+10h] [rbp-20h] unsigned __int64 v5; // [r...
string [XCTF-PWN]CTF writeup系列7(超详细分析)
重新启程
12-20 3925
题目地址:string 先看看题目情况 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 167e00a26ef44e1f888b3ede29d88e38 [*] '/ctf/work/python/167e00a26ef44e1f888b3ede29d88e38' Arch: amd64-64-little RE...
Mary_Morton(xctf)
weixin_43868725的博客
06-12 373
程序保护和流程 保护: 流程: main() 如果输入1会进入 这个函数有一个栈溢出漏洞。 如果输入2会进入 这个函数有一个格式化字符串漏洞。 还有一个cat_flag的函数 0x1 利用过程 首先这个程序开启了canary,所以直接栈溢出会报错。但是我们知道v2变量中存放的是canary值(v2在函数开始时就被**__readfsqword(0x28u)赋值,函数结束前与__readfsqword(0x28u)**进行比较),如果我们能通过格式化字符串漏洞将v2的值泄露出来就可以利用栈溢出漏洞
01--AFCTF-re3(MD5)
Eira_H的博客
07-08 697
解题过程 先脱壳,然后拖进64位IDA,定位到主函数F5查看伪C代码,代码如下: __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 result; // rax unsigned __int64 v4; // kr08_8 char *v5; // ST18_8 char *v6; // ...
[*CTF 2022 pwn] examination
weixin_52640415的博客
04-17 550
抽空参加个比赛,水平有限只作了一道题,但还是要记录一下,毕竟好多人还0解呢。学渣的逆袭。 英文写的是ret2shool 这个跟ret2XXX的没关系。 代码长了读程序就麻烦,慢慢读把函数功能整理如下(叫法随个人理解,英文看单词不认识): 教师菜单 增加学生:增加一个学生结构,管理块chunk :0x28含指向成绩单:stud{ptr_s,0,0,0,0} 成绩单chunk:0x18含学生评级,成绩,评价指针,评价长度 s{int idx,int score, ptr_prv,int x,int pr
从格式化字符串泄露canary到栈溢出
SsMing的博客
01-11 4264
以ASIS-CTF-Finals-2017 Mary_Morton为例 checksec查看,开了NX保护,还有canary IDA打开 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { const char *v3; // rdi int v4; // [rsp+24h] [rbp-Ch] ...
troia_server [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列27(未完待续)
重新启程
12-30 1097
题目地址:troia_server 这个题目是攻防世界PWN题目的倒数第二题,不好意思,我并没有完成,这里只是先把我的阶段性的实验总结了一下,看看对大家是否有帮助。 如果需要ida的反编译的文件,可以留下您的邮箱,我们可以共同探讨,一起解决! 先看看题目: 照例检查一下保护机制: [*] '/ctf/work/python/troia_server/a751aa63945b4edcb6...
BUUCTF逆向的一些wp(3)
qq_62188797的博客
06-15 256
目录java逆向解密[GXYCTF2019]luck_guy刮开有奖[BJDCTF2020]JustRE 简单注册器java的class文件,用jd-gui打开,是一个简单的程序 没什么可以说的,会一点java再查一查不懂的函数就行,写了个python脚本 flag{This_is_the_flag_!}查壳,64位elf无壳,放进IDA先看看Strings window,发现字符串"OK, it's flag:",跟进根据交叉引用进入get_flag()函数 从case1了解到flag是f1
一次不用脚本的pwn解题
蚁景网安学院
03-03 729
0x01:前言我们在 ctf 中 ,更多的是在 web方向中会 使用到 linux 中的/proc 目录,这里将对它进行一次介绍与学习,并且最后再举一次pwn中 运用到它的一次实例记录....
pycharm2018.3.7中文插件
最新发布
04-02
在PyCharm 2018.3.7中,你可以通过以下步骤来安装中文插件: 1. 打开PyCharm,点击菜单栏的"File"(文件)选项。 2. 在下拉菜单中选择"Settings"(设置)。 3. 在弹出的窗口中,选择"Plugins"(插件)选项。 4. 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值