攻防世界 easyvm

已于 2022-12-07 09:55:21 修改
阅读量471 收藏
点赞数
文章标签: c语言
于 2022-12-06 20:54:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43798872/article/details/128210111
版权

攻防世界 easyvm

拿到程序后使用exeinfo查看信息,得知是64位程序,使用ida查看

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SNHB4owC-1670331016838)(C:\Users\HP\AppData\Roaming\Typora\typora-user-images\image-20221206202956922.png)]

首先是判断输入的flag长度,长度为32

其次是调用(**v3)(v3, ary1, ary2, s) 返回值为1则代表验证通过

而至于v3是什么,首先查看sub_400C1E(v3);函数

__int64 __fastcall sub_400C1E(__int64 a1)
{
  __int64 result; // rax

  *a1 = off_4010A8;		//存放指令集地址
  *(a1 + 8) = 0LL;
  *(a1 + 16) = 0;
  *(a1 + 17) = 0;
  *(a1 + 18) = 0;
  *(a1 + 20) = 0;
  *(a1 + 24) = 0LL;
  result = a1;
  *(a1 + 32) = 0LL;
  return result;
}

**v3则代表off_4010A8 也就是函数sub_400806,继续跟进函数sub_400806

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GrMnboQY-1670331016839)(C:\Users\HP\AppData\Roaming\Typora\typora-user-images\image-20221206203405725.png)]

在这里插入图片描述

因此就可以将主函数中的函数调用翻译出来sub_400806(v3, ary1, ary2, s)

a1[24] = a3的地址 a1[32] = 输入s的地址

在这里插入图片描述

注意**(a1+8)和*(*a1+8)的区别

而后就是逐个跟进函数,分析各个函数具体作用

ary1指的是a2  --- 0xA0,0XA1.......,0XAF数组
ary2指的是a3  ----0xF4, 0x0A, 0xF7,....0x7C数组

a1[8]=&ary1[9]   a1[24]=&ary2[0]	
ary1[9]=0xA9:  *(a1 + 16) = *(*(a1 + 32) + *(a1 + 18));			 
	a1[16]=flag[0];
	a1[8]=a1[8]-6; ---ary1[3]

ary1[3]=0xA3;  *(a1 + 32)
	a1[16] = a1[16] - a1[18]; 
	a1[8]=a1[8]+2; ---ary1[5]

ary[5]=0xA5:
	a1[17]=a1[17]^a1[16];
	a1[8]++;       ary1[6];

ary1[6]=0xA6:
	 *(a1 + 16) = -51;
	a1[8]-2;	   ary1[4];

ary1[4]:0xA4
	a1[16]=a1[16]^a1[17];	
	a1[8]+7        ary1[11];

ary1[11]=0xAB   a1[16]==ary2[a1[18]]
ary1[7]   *(a1 + 17) = *(a1 + 16);   保存结果参与下一轮异或运算
ary1[14]	a1[20]!=0, return 0LL;   进行判断
			else -》ary1[2] a1[18]++;
ary1[13]   *(a1 + 20) = *(a1 + 18) > 0x1Fu //判断是否越界
ary1[15] 前者判断是否越界,否则(a1[20]!=1)继续回滚程序
ary1[9] ............................ 循环进行

写出脚本

#include<stdio.h>

int main()
{	
	char flag[]="";
	int ary2[] =
	{
	  0xF4, 0x0A, 0xF7, 0x64, 0x99, 0x78, 0x9E, 0x7D, 0xEA, 0x7B, 
	  0x9E, 0x7B, 0x9F, 0x7E, 0xEB, 0x71, 0xE8, 0x00, 0xE8, 0x07, 
	  0x98, 0x19, 0xF4, 0x25, 0xF3, 0x21, 0xA4, 0x2F, 0xF4, 0x2F, 
	  0xA6, 0x7C
	};
	int m=0;
	int n=0;
	for(int i=0;i<32;i++)
	{
		m=(ary2[i]^(-51)^n)+i;
		n=ary2[i];
		printf("%c",m);
	/*
	  a1[16]=input[a1[18];   
      a1[16]-=a1[18];			  	 
      a1[17]=a1[16] ^ a1[17];	 
      a1[16]=-51;			
      a1[16]=a1[16]^a1[17];
      a1[17]=a1[16];
	*/	
	}

UNCTF{942a4115be2359ffd675fa6338ba23b6}

或守
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
攻防世界-MISC-EASY_EVM
苏生要努力
03-09 1238
查了一下WP,Bytecode 被修改过使其无法反编译,需要修复或者直接看opcode。这是一个以太坊智能合约(EVM)虚拟机的 Bytecode,那么考察的就是EVM逆向。运行后得到flag:flag{An_E4sy_EVM_y0u_sO1ve_it!那么这实际上是一个求解同余方程组的数论问题。
easyVM v0.2
07-11
easyVM是一个简单的虚拟机。<br>0.1版本只支持8086指令集和一些简单的I/O设备,只支持英文文本显示方式。<br>0.2版本主要是在0.1版基础上加了一小部分32位指令(push eax等),使得easyVM可以运行MS-DOS 6.22自带的大部分程序。<br>
攻防世界 easy_Maze
Bsecure的博客
05-04 1102
easy_Maze 这道题还是挺好玩的. 由题目我们能知道是关于迷宫的题. 下载下来是elf文件, 查壳后无壳, 在linux下运行看看大概流程. 载入IDA, 先分析了接受我们输入的字符的函数. 知道在外面一层的主函数是先生成一个每行7个元素的数组. 然后通过我们输入的字符按控制在矩阵迷宫中走向, 最后按照规定的到达一个目的地. 接下来就是找生成那个矩阵了. 通过上面的49...
攻防世界easyfmt
needlebulb的博客
06-12 272
主要思路为猜对后利用格式化字符串漏洞改写exit的got地址变成main函数过checkIn函数判断后的地址,这样就可以让程序反复执行且跳过猜数环节,然后格式化泄露puts的got地址,找到libc偏移,得到system地址,第三次循环改写printf的got变为system地址,第四次循环read时写入/bin/sh,完成getshell...
分析easyVM 未完成)
weixin_34198797的博客
10-01 123
E:\test\easyVM_Small_指令解析,cpu虚拟设备虚拟,比如display, DMA, floppy, harddisk, keyboard, PIC, printer, RTC, timer,serial程序flow, 架构低调发布easyVM 0.2版简介:====================easyVM是一个简单的虚拟机。0.1版本只支持8086指令集和一些简单的I/O设...
2021 羊城杯 EasyVM
abelxu
09-14 757
正好学习一下vm的题目怎么分析 1.简单分析 主函数 1.初始化标准输入输出和错误 2.设置VMcontext 3.xxtea自解密dispatch代码 4.进入dispatch执行 2.解决smc问题 在自解密结束位置下断点,并将内容dump下来. dump脚本 start = 0x80487A8 for idx in range(0x1000): if idx%16 == 0: print("") print(hex(get_wide_byte(start+idx)),end=',
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项】是一道网络安全领域中的挑战,属于攻防世界的Misc类问题。Misc( Miscellaneous)通常指的是涉及多种技术、需要综合运用知识的题目,这道题目的核心在于理解和处理压缩文件,特别是涉及到...
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
easyVM_v0.2
02-26
easyVM是一个简单的虚拟机。0.1版本只支持8086指令集和一些简单的I/O设备,只支持英文文本显示方式。0.2版本主要是在0.1版基础上加了一小部分32位指令(push eax等),使得easyVM可以运行MS-DOS 6.22自带的大部分程序。
攻防世界Check杂项
11-20
攻防世界Check杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127952250
2019UNCTF easyvm
weixin_43884935的博客
03-14 1073
虚拟机逆向入门----2019UNCTF easyvm 自己也是个萌新,难得做了一道虚拟机逆向的题目,还是想分享出来 看题目知道这是一个虚拟机逆向题目,运行一下知道这是匹配字符串 之后用IDA64进行分析,主函数的逻辑还是比较清楚的。 先给s上的96字节置0,再给v3分配40字节空间。调用sub_400C1E初始化v3上的内容。用s接收32字符,如果不是32长度就失败,如果是,则调用 v3函数指...
攻防世界easy_misc
m0_62840741的博客
09-23 580
攻防世界easy_misc
vmpwn一&高校战役Easyvm复现
qq_39948058的博客
08-27 276
高校战役Easyvm 前言:本人tcl,刚接触vm不久,这个看了别人的wp感觉难度还可以,决定自己复现一下大佬勿喷哈 此题思路:就是依靠任意地址写来打freehook,然后再一把唆onegadget可以system也可以!! int __cdecl main(int argc, const char argv, const char **envp) { void *buf; // ST2C_4 _DWORD *ptr; // [esp+18h] [ebp-18h] int v5; // [esp+AC
VM pwn入门
weixin_44145820的博客
06-07 2056
VM pwn貌似是最近火起来的一类PWN题。最近打的好几场比赛都出现了VM pwn的题目,正好在BUU上面遇到一道2019年的OGeek中出现的VM pwn题,感觉应该会比较简单,另外听说高校战役里的EasyVM也是偏简单的VM pwn题。本文就主要对这两道题目进行分析。 [OGeek2019 Final]OVM 程序分析 作为VM pwn的第一步就是需要搞清楚指令的格式,操作码和操作数 本题使用的是定长指令,一共32bits,每一个占8bits,但除了操作码能利用完8bits之外,寄存器只占4bits,
攻防世界 misc 高手进阶 easy_misc
qq_47875210的博客
08-29 1119
做这一步为了方便,我们使用pyshark这个库解析时候,不会出现刚才打开。打开链接,发现需要密码,盲猜png图片被改了高度。首先是一个压缩包,需要密码,进行密码爆破得到密码。分析了一下数据包后,很明显的是延迟注入。为了解决这种情况,先点OK,按快捷键。,选中第二个,然后点保存为。不会解决的,参考我的。...
[XCTF-Reverse] 83 2019_UNCTF_easyvm
weixin_52640415的博客
03-28 467
到了后边就都不会了,只有这个VM还可以磨磨 主程序非常短,输入32个字节然后就去比较了 signed __int64 __fastcall main(__int64 a1, char **a2, char **a3) { unsigned int (__fastcall ***v3)(_QWORD, void *, void *, char *); // rbx char s; // [rsp+10h] [rbp-80h] int v6; // [rsp+70h] [rbp-20h]
C/C++ json库
最新发布
mayue_web的博客
07-19 1008
问题:JSON是否需要包含换行符,如何处理? JSON转义、\r \n \r\n json中含有换行符’\r’,’\n’的处理 https://www.cnblogs.com/chuanfengzhang/p/12189176.html json的中换行符的处理 https://blog.csdn.net/kof820/article/details/40779165 JSON需要转义的字符 https://blog.csdn.net/u012916291/article/details/70742044
攻防世界 easyphp
09-11
EasyPHP是一个用于Windows操作系统的开发环境,它集成了Apache服务器、MySQL数据库和PHP解释器,使得搭建和管理网站变得更加简单。在EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞、密码学等。参与者需要通过解决这些挑战来学习和提高自己的网络安全技能。同时,攻防世界也提供了一些教程和文章,帮助新手入门并引导他们深入理解攻击和防御的原理。 对于初学者来说,攻防世界的easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得更加方便。通过解决平台上的题目和挑战,初学者可以逐渐熟悉常见的安全漏洞和攻击技术,并学会如何进行相应的防御措施。 希望以上信息对你有所帮助!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值