buu [GKCTF2020]EzMachine wp

最新推荐文章于 2021-05-24 06:52:54 发布
最新推荐文章于 2021-05-24 06:52:54 发布
阅读量837 收藏 2
点赞数 1
分类专栏: # RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43876357/article/details/108488762
版权

今天终于沉下心看了一道vm逆向题了...wp我尽量写的详细一点qaq

Part1

先拖进ida看一下,发现找不到什么关键函数,搜索字符串也搜不出什么。静态不大行我们就动调试试。

第一种

调试发现程序跳转到0x9B1595,和0x009B1594这一步对比发现0x009B1594会跑飞,所以初步判定它是混淆指令,到ida里把它nop掉。

其实nop掉的目的就是把0x9B1595这里创建函数然后反汇编,这样会更好分析一点。

直接nop肯定是不行的,会破坏掉0x9B1595这里的代码,要先ida动调然后专门修改0x9B1594这里的汇编。(我是这样一个思路)但是我的ida在local windows debugger的时候总是会崩溃,根本调不出...然后我就放弃了....

其实这一步做不做都可以的,在0x9B1595这里创建一个函数,然后反汇编会得到这样的结果,就是更直接的找到byte_4449A0也就是opcode...(不过搞不出的话看汇编慢慢摸索也行的啦,毕竟opcode很长,还是蛮好找的....比如下面的方法qaq)

第二种

当我们调试的时候发现主函数在0x009B15E5这里,

在这里打下断点发现,每次走到这里跳转的函数都不太一样,有0x009B1300,0x009B1000等等,所以我们可以初步判断这个虚拟机是有指令集的,然后我们去ida里(地址选择0x009B1300,到下一级调用)就可以发现一串字节码byte_4449A2。

指令集:(off_4448F4)

off_4448F4处保存各个opcode对应函数的地址,
byte_4449A0处为虚拟机代码起始地址,
dword_445BD8为ip(pc),
off_4427FC处保存有四个寄存器的地址,

dword_445BAC为栈的起始地址,
dword_445BC8为esp;

然后就是复现这些指令集,知道每一个是做什么的。进到每一个指令集f5观察具体的逻辑结构。

Part2

0 nop

1 mov

2 push

3 ??(pushr)

4 pop

5 caseprint(puts.cpp)

6 add

7 sub

8 mul

9 div

10 xor

11 jmp

12 subcmp

13 je

14 jne

15 jg(大于则转移)

16 jl(小于则转移)

17 input(gets.cpp)

18 ??(clr)

19 LoadStack //

20 LoadString //

0xFF quit / end

(有些逻辑差不多的就不贴代码上来了,??是我也不太清楚的,//是不算太理解的)
(温馨提示:如果f5看不懂可以动调看看逻辑)

以上就是我们分析的指令集了,然后写一个脚本将难懂的字节码换成刚刚分析出的伪汇编:
(内附详细注释)

#字节码
code =[
  0x01, 0x03, 0x03, 0x05, 0x00, 0x00, 0x11, 0x00, 0x00, 0x01, 
  0x01, 0x11, 0x0C, 0x00, 0x01, 0x0D, 0x0A, 0x00, 0x01, 0x03, 
  0x01, 0x05, 0x00, 0x00, 0xFF, 0x00, 0x00, 0x01, 0x02, 0x00, 
  0x01, 0x00, 0x11, 0x0C, 0x00, 0x02, 0x0D, 0x2B, 0x00, 0x14, 
  0x00, 0x02, 0x01, 0x01, 0x61, 0x0C, 0x00, 0x01, 0x10, 0x1A, 
  0x00, 0x01, 0x01, 0x7A, 0x0C, 0x00, 0x01, 0x0F, 0x1A, 0x00, 
  0x01, 0x01, 0x47, 0x0A, 0x00, 0x01, 0x01, 0x01, 0x01, 0x06, 
  0x00, 0x01, 0x0B, 0x24, 0x00, 0x01, 0x01, 0x41, 0x0C, 0x00, 
  0x01, 0x10, 0x24, 0x00, 0x01, 0x01, 0x5A, 0x0C, 0x00, 0x01, 
  0x0F, 0x24, 0x00, 0x01, 0x01, 0x4B, 0x0A, 0x00, 0x01, 0x01, 
  0x01, 0x01, 0x07, 0x00, 0x01, 0x01, 0x01, 0x10, 0x09, 0x00, 
  0x01, 0x03, 0x01, 0x00, 0x03, 0x00, 0x00, 0x01, 0x01, 0x01, 
  0x06, 0x02, 0x01, 0x0B, 0x0B, 0x00, 0x02, 0x07, 0x00, 0x02, 
  0x0D, 0x00, 0x02, 0x00, 0x00, 0x02, 0x05, 0x00, 0x02, 0x01, 
  0x00, 0x02, 0x0C, 0x00, 0x02, 0x01, 0x00, 0x02, 0x00, 0x00, 
  0x02, 0x00, 0x00, 0x02, 0x0D, 0x00, 0x02, 0x05, 0x00, 0x02, 
  0x0F, 0x00, 0x02, 0x00, 0x00, 0x02, 0x09, 0x00, 0x02, 0x05, 
  0x00, 0x02, 0x0F, 0x00, 0x02, 0x03, 0x00, 0x02, 0x00, 0x00, 
  0x02, 0x02, 0x00, 0x02, 0x05, 0x00, 0x02, 0x03, 0x00, 0x02, 
  0x03, 0x00, 0x02, 0x01, 0x00, 0x02, 0x07, 0x00, 0x02, 0x07, 
  0x00, 0x02, 0x0B, 0x00, 0x02, 0x02, 0x00, 0x02, 0x01, 0x00, 
  0x02, 0x02, 0x00, 0x02, 0x07, 0x00, 0x02, 0x02, 0x00, 0x02, 
  0x0C, 0x00, 0x02, 0x02, 0x00, 0x02, 0x02, 0x00, 0x01, 0x02, 
  0x01, 0x13, 0x01, 0x02, 0x04, 0x00, 0x00, 0x0C, 0x00, 0x01, 
  0x0E, 0x5B, 0x00, 0x01, 0x01, 0x22, 0x0C, 0x02, 0x01, 0x0D, 
  0x59, 0x00, 0x01, 0x01, 0x01, 0x06, 0x02, 0x01, 0x0B, 0x4E, 
  0x00, 0x01, 0x03, 0x00, 0x05, 0x00, 0x00, 0xFF, 0x00, 0x00, 
  0x01, 0x03, 0x01, 0x05, 0x00, 0x00, 0xFF, 0x00, 0x00, 0x00
]
#指令集
opcodekey = {0:'pcadd',1:'mov',2:'push',3:'?',4:'pop',5:'caseprint',6:'add',7:'sub1',8:'mul',9:'div',10:'xor',11:'jmp',12:'subcmp',13:'jedx4',14:'jnedx4',15:'jedx4orlow',16:'jedx4orhight',17:'input',18:'?2',19:'LoadStack',20:'LoadString',0xFF:'end'}

#B为字节码的下标
B=0
#C为每一行的序号
C=1
print(str(C)+": ",end="")
#字节码三个一组,每三个的第一个是指令,后两个为操作数
#i为字节码的遍历
for i in code:
   #print(hex(i)+" ",end="")
    if B==0:
        #print(i)
        op=opcodekey[i]
        #opcodekey【每三个的第一个字节码】所对应的指令
        print(op,end=' ')
    else:
        print(i,end=" ")
    B=B+1
    #每三个转下一行,也就是下一个汇编
    if B==3:
        B=0
        C=C+1
        print()
        print(str(C)+": ",end="")

Part3

输出的伪汇编:
(详细注释,#是已经理解的,//是还不算太懂的)

1: mov 3 3 
2: caseprint 0 0 
3: input 0 0            #输入flag
4: mov 1 17             #将17放进寄存器【1】中
5: subcmp 0 1           #比较flag长度是否为17  
6: jedx4 10 0           #跳转至10:执行  
7: mov 3 1 
8: caseprint 0 0        #不等于17则报错且退出 
9: end 0 0 
10: mov 2 0 
11: mov 0 17 
12: subcmp 0 2 
13: jedx4 43 0          #压栈操作(转到43:)
14: LoadString 0 2 
15: mov 1 97            #将ASCII97('a')放入寄存器【1】
16: subcmp 0 1          #寄存器【0】与'a'比较   
17: jedx4orhight 26 0   #如果小于则jmp26:
18: mov 1 122           #将ASCII122('z')放入寄存器【1】
19: subcmp 0 1 
20: jedx4orlow 26 0     #如果大于则jmp26:
21: mov 1 71            #如果输入在'a'-'z'  将71存入寄存器【1】
22: xor 0 1             #将输入[i] ^ 71
23: mov 1 1             
24: add 0 1             # +1 
25: jmp 36 0            #跳转到36:
#以上为小写字符第一次加密,异或71然后+1

26: mov 1 65            #将ASCII65('A')放入寄存器【1】
27: subcmp 0 1          #判断是否为大写字符
28: jedx4orhight 36 0   #小于则跳转36:
29: mov 1 90            #将ASCII97('Z')放入寄存器【1】
30: subcmp 0 1          #判断是否为大写字符  
31: jedx4orlow 36 0     #大于则跳转36:
32: mov 1 75            #如果是'A'-'Z'  将75存入寄存器【1】
33: xor 0 1             #将输入[i] ^ 75
34: mov 1 1 
35: sub1 0 1            # -1
#以上为大写字符第一次加密,异或75然后-1

36: mov 1 16            #将16存入寄存器【1】中
37: div 0 1             #将处理好的输入 /16
38: ?push2 1 0          //       
39: ?push2 0 0          //这两步是将个位和十位分别放入堆栈2
40: mov 1 1 
41: add 2 1             //ebx【2】负责计数并且指向二号堆栈顶
42: jmp 11 0 

#压栈操作
43: push 7 0 
44: push 13 0 
45: push 0 0 
46: push 5 0 
47: push 1 0 
48: push 12 0 
49: push 1 0 
50: push 0 0 
51: push 0 0 
52: push 13 0 
53: push 5 0 
54: push 15 0 
55: push 0 0 
56: push 9 0 
57: push 5 0 
58: push 15 0 
59: push 3 0 
60: push 0 0 
61: push 2 0 
62: push 5 0 
63: push 3 0 
64: push 3 0 
65: push 1 0 
66: push 7 0 
67: push 7 0 
68: push 11 0 
69: push 2 0 
70: push 1 0 
71: push 2 0 
72: push 7 0 
73: push 2 0 
74: push 12 0 
75: push 2 0 
76: push 2 0             #flag加密后的代码

77: mov 2 1 
78: LoadStack 1 2        //加载堆栈 一次弹出两个数值 放入eax与ebx
79: pop 0 0 
80: subcmp 0 1           #【0】寄存器与【1】寄存器不相等  则跳转
81: jnedx4 91 0          //此处为关键判断,判断失败则跳出循环
82: mov 1 34             #将34存入寄存器【1】
83: subcmp 2 1           //控制跳转,观察ebx2是否已经弹出34个值  
84: jedx4 89 0           //如果是则跳转成功,不是则继续循环
85: mov 1 1              //eax1 = 1
86: add 2 1              //ebx2 + 1
87: jmp 78 0             #jump循环
88: mov 3 0 
89: caseprint 0 0 
90: end 0 0 
91: mov 3 1 
92: caseprint 0 0 
93: end 0 0 
94: pcadd

整个程序的逻辑大概是这样的:(开了两个栈)
首先判断你输入的是不是17位,不是直接跳转报错,是的话进行判断。
如果是小写字母,那就xor71+1,最后除以16,将商和余数压栈。(即十位和个位)
如果是大写字母,那就xor75-1,最后除以16,将商和余数压栈。(即十位和个位)
其余的直接除16压栈。
然后压入对照数据,最后弹栈比较。

Final exp

上最终脚本(内附详细注释):

array = [0x7,0xd,0x0,0x5,0x1,0xc,0x1,0x0,0x0,0xd,0x5,0xf,0x0,0x9,0x5,0xf,0x3,0x0,0x2,0x5,0x3,0x3,0x1,0x7,0x7,0xb,0x2,0x1,0x2,0x7,0x2,0xc,0x2,0x2,]
#注意是压栈,先进后出,所以要[::-1]
array = array[::-1] 
#先输出的是个位然后是十位,两个一组
for i in range(0, len(array), 2): 
    c = array[i] + array[i+1]*16 
    tmp = (c-1) ^ 71 
    #如果是小写字母
    if tmp >= ord('a') and tmp <= ord('z'): 
        print(chr(tmp), end = "") 
        continue 
    tmp = (c+1) ^ 75 
    如果是大写字母
    if tmp >= ord('A') and tmp <= ord('Z'): 
        print(chr(tmp), end = "") 
        continue
    #都不是 
    print(chr(c), end = "")

GET FLAG

最后拿到flag!

43v3rY0unG
关注
专栏目录
buu [GKCTF2020]小学生的密码学
ao52426055的博客
11-26 420
查看题目 仿射密码的代码实现 破解代码 #include <iostream> #include<math.h> #include<string.h> using namespace std; //模的取逆 int dx, y, q; void extend_Eulid(int aa, int bb) { if (bb == 0) { dx = 1; y = 0; q = aa; } else { extend_Eulid(bb, aa % bb);
【学习笔记 21】 buu [GKCTF2020]老八小超市儿
weixin_43553654的博客
06-24 558
0x00 知识点 web安全渗透,后渗透提权 ps:想要看我之前的文章请点击如下链接 点我点我 00x1 解题思路 一看题目就是一道有味道的ctf题,打开一看发现是个(粉粉嫩的)网站shopxocms的网站,百度搜索对应的网站漏洞,说是后台有地方可以利用压缩包getshell,尝试一下发现是admin.php就能打开对应的后台登录界面,并且知道了初始登录用户名admin,密码shopox,直接登录后台 登陆进去后在应用中心->应用商店->主题的第一个默认主题,下载下来 用其中任意一个压缩包,用
EzMachine和DbgIsFun--GKCTF
re1wn
06-20 6126
GKCTF RE
GKCTF EzMachine
qq_45965620的博客
03-23 232
运行一下程序 检测程序,32位无壳,直接用IDA打开 字符串窗口没找到有用的字符串,改用x32dbg动调,搜索ascii字符串找到关键字符串 根据当前地址在IDA中找到对应的函数sub_4E10E0 可以看到一个switch结构,题目名称明显表示这是个vm题,一开始猜测这就是dispatcher,后来发现并不是,在x32dbg中动调发现,程序在case3也就是输出“plz input”字符串后,跳到了地址为4E1594处,一开始我把这部分声明成一个新函数,但是反编译出来的c代码根本没法读,只好动调
2020 GKCTF
Hk_Mayfly的博客
05-30 585
Misc Pokémon 有点脑洞题,flag就在103国道那 flag{PokEmon_14_CutE} Crypto 小学生的密码学 e(x)=11x+6(mod26) 密文:welcylk 仿射密码,a=11,b=6 再base64就行 flag{c29yY2VyeQ==} babycrypto 2019强网杯challenge 2原题,RSA解密,...
GKCTF 2020 re
qq_37439229的博客
05-25 580
周末打了两场比赛 bjd GK,bjd我打自闭了,赛中只做出了两道题,赛后又才又做出一道。。。不得不说按道理我四道题都看懂了,知道方法怎么做,可是我不会写脚本啊。。。得加强python的编程能力了。。。 来说说GKCTF,(虽然还是只做出了3道题。。。。啥时能做到ak啊!!!!) checkin 密码HelloWorld,之后砖块游戏好了 Chelly’s identity 老二次元了。。。。 方法:动态调试,比较简单 a = [0x2,0x3,0x5,0x7,0xb,0xd,0x11,0x13
[GKCTF2020]EZ三剑客-EzNode
feng的博客
02-16 994
前言 之前buu上刷到这题的时候,感觉是个前端的题,就绕过没看了。今天在某平台做红包题遇到了基本上考点一样的题目,在学长的指引下又把这题给做了一下,总的来说还算比较友好,因为我不会前端我也大致能看懂这题是啥意思。 WP 进入环境是个计算器,看一下源代码: const express = require('express'); const bodyParser = require('body-parser'); const saferEval = require('safer-eval'); // 2019
【学习笔记 32】 buu [GKCTF2020]cve版签到
weixin_43553654的博客
07-30 376
0x00 知识点 cve-2020-7066利用 0x01 知识点详解 cve-2020-7066怎么利用? 答:在低于7.2.29的PHP版本7.2.x,低于7.3.16的7.3.x和低于7.4.4的7.4.x中,将get_headers()与用户提供的URL一起使用时,如果URL包含零(\ 0)字符,则 URL将被静默地截断。 这可能会导致某些软件对get_headers()的目标做出错误的假设,并可能将某些信息发送到错误的服务器。 这里配上cve连接https://bugs.php.net/bu
【学习笔记 22】 buu [GKCTF2020]CheckIN
weixin_43553654的博客
06-25 598
0x00 知识点 任意文件写入漏洞,部分过滤的绕过 0x01 解题过程 打开一看,代码审计 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $th
BUU-CTF——WP(MISC[1~20])
hahaha233330的博客
09-11 1190
好久没更新了,手生得很,重新练起来! 这次挑战BUU,贴一下网址:BUU-CTF 一大堆在线工具:MD5 Url、base64、哈希/散列 凯撒、维吉尼亚、猪圈、摩斯 Cryptp 1、MD5 直接用在线工具解密即可得到flag。 ...
wpjam-插件合集-2019-11-30.zip
02-01
wordpress插件,wpjam-插件合集-2019-11-30 wordpress插件,wpjam-插件合集-2019-11-30 wordpress插件,wpjam-插件合集-2019-11-30 wordpress插件,wpjam-插件合集-2019-11-30
[GKCTF2020]EZ三剑客 记录
SopRomeo的博客
07-18 987
EzWeb 发个url发现一直卡在那里 发现有个secret 进去之后弹出linux 查询网卡信息的内容 给出了服务器ip,记录下ip地址 我们访问下ip 结果弹出两,不难发现是个SSRF SSRF漏洞利用讲解 根据上面文章,我们利用file协议读取下index.php 那试试扫端口 个人喜欢写脚本,不喜欢用bp,用bp也可以(这里还需要扫内网主机) 从1-255爆破ip最后一段即可 发现是11 然后扫端口 在网上找了个脚本扫端口 脚本作者链接 这个脚本和nmap好像都跑不出来… 用bp
[GKCTF2020]EZ三剑客-EzWeb(SSRF)
qq_45521281的博客
06-03 4658
查看源码发现提示: 在url里访问一下: 得到一串ifconfig的结果,整理一下的: eth0 Link encap:Ethernet HWaddr 02:42:ad:62:04:0a inet addr:173.96.119.10 Bcast:173.98.4.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1450 Metric:1 RX pac.
2020-GKCTF-Reverse
m0_51713041的博客
05-24 486
2020-GKCTF Check_1n 思路一: 查找字符串之后,点击"密码错误"发现了关键,上方的一个strcmp函数,发现了密码: ‘HelloWorld’ 我们直接运行一下,然后输入密码开机,之后移动到"flag",结果给了base64编码的Why don’t you try the magic brick game 然后我们玩打砖块游戏,死了之后就出flag 思路二: 查找字符串的时候发现: 2i9Q8AtFJTfL3ahU2XGuemEqZJ2ensozjg1EjPJwCHy4RY1Nyvn
BUUCTF:[GKCTF2020]Harley Quinn
末初的CSDN博客
11-13 465
https://buuoj.cn/challenges#[GKCTF2020]Harley%20Quinn Heathens末尾存在DTMF码(电话拨号码) 将这一段截取出来,使用工具dtmf2num识别 #22283334447777338866# 对照即可得到 #ctfisfun# 题目压缩包上有提示:FreeFileCamouflage FreeFileCamouflage 是一款将重要文档以 AES 加密算法存放到 JPG 格式的图片中的工具 下载地址:http://www.my
部分WP-GKCTF2020
~airrudder~
05-24 6251
本篇内容 MISC: [GKCTF2020]签到 [GKCTF2020]Pokémon [GKCTF2020]问卷调查 [GKCTF2020]code obfuscation Crypto: [GKCTF2020]小学生的密码学 [GKCTF2020]汉字的秘密 [GKCTF2020]babycrypto Web: [GKCTF2020]CheckIN [GKCTF2020]老八小超市儿 Reverse: [GKCTF2020]Check_1n 上一篇 | 目录 | 下一篇 [GKC.
re每日一题(20200530)(补)
Prowes5的博客
06-01 339
re每日一题(20200530)(补) GKCTF2020 0x03 EzMachine 载入IDA,main函数不能F5,需要将0x1591的后三个字节nop int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int i; // [esp+10h] [ebp-8h] sub_6014F0(); while ( 1 ) { LABEL_2: for ( i = 0; ; i
WPFDataGrid序列号
一个小暖贼的随手记录博客
07-29 824
WPFDataGrid序列号 主要是给DataGrid响应LoadingRow事件 XAML代码: <DataGrid Grid.Row="1" x:Name="ZhangHaoXinXiGuanLi" LoadingRow="DataGrid_LoadingRow"> <DataGridTemplateColumn Width="55" Header="序号"> <DataGridTemplateColumn.CellTemplate>
轻松进行WPF界面开发,Visual Studio 2019主题和新的默认主题
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
06-04 1516
下载DevExpress v20.1完整版DevExpress v20.1汉化资源获取 通过DevExpress WPF Controls,您能创建有着强大互动功能的XAML基础应用程序,这些应用程序专注于当代客户的需求和构建未来新一代支持触摸的解决方案。 借助Visual Studio 2019,Microsoft刷新其应用程序外观,DevExpress v20.1 WPF控件将帮助您在应用程序中复制此外观。 全新的Visual Studio 2019主题 以下版本将三个新的Visual Stu.
buu cipher
最新发布
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值