buuctf_reverse:新年快乐

最新推荐文章于 2024-04-07 13:05:09 发布
最新推荐文章于 2024-04-07 13:05:09 发布
阅读量268 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46133275/article/details/132787541
版权
本文详细描述了解决新年快乐exe文件的过程,涉及壳技术(包括压缩壳和加密壳)、ESP堆栈平衡原理以及如何使用硬件断点追踪程序执行。作者通过OllyICE和IDA工具分析,揭示了脱壳和找到程序入口点的方法。
摘要由CSDN通过智能技术生成

文章目录

前言

本文主要说明新年快乐的解题过程和相关思路

新年快乐

将下载得到的新年快乐.exe放到exeinfoPE中查看,发现其加了UPX的壳

在这里插入图片描述

那么这里尝试手动脱壳,将exe拖入OllyICE中,发现其停留在了0040E2F0的位置,对应的汇编指令是pushad,那么这里我就根据esp堆栈平衡来寻找OEP

在这里插入图片描述

按快捷键F7前进一步,发现此时只有ESP和EIP的内容有变化

在这里插入图片描述

这里就选中ESP的内容0060FF58,右键选择数据窗口中跟随

在这里插入图片描述
接着在左下角的数据窗口中可以看见首行的地址为0060FF58,选中任意的内容,右键设置一个硬件访问断点

在这里插入图片描述

可以在菜单栏的调试中查看已设置的硬件断点

在这里插入图片描述

接着按快捷键F9直接去到硬件断点的位置,可以看到停在了004E486,对应的汇编代码为lea eax, dword ptr [esp-80],并且发现上一条汇编指令为popad

在这里插入图片描述

那么根据ESP堆栈平衡,大概可以猜出OEP的地址为下面第一条JMP指令所指定的地址,即00401280,那么就在其上一行设置一个断点(快捷键F2),并按F9运行到断点处

在这里插入图片描述

再F7往下运行,跳到00401280,并且使用OllyDump插件进行程序入口点的修改,点击Dump转储为一个PE文件

在这里插入图片描述

将转储的文件中IDA打开,找到main函数,发现是字符串比较,那么flag的值应该就是flag{HappyNewYear!}

在这里插入图片描述

相关知识点

1.壳

壳可以理解为对原始的软件所加的一层包装,大致可以将其分为两类:压缩壳加密壳
压缩壳:对原始软件进行了压缩,在添加压缩壳后软件的体积会减小,在软件运行的时候再进行解压
加密壳:对原始软件进行了加密,能够起到保护的作用,在软件运行的时候再进行解密
无论是哪种壳,在运行时都是先运行壳相关的代码,将原始软件解压缩或者解密后,再跳到软件的入口点执行

2.ESP堆栈平衡原理

我对于ESP堆栈平衡原理的理解是,在程序运行时,对于某个函数的调用,对应汇编指令为call,在调用前需要将函数的返回地址先压入栈中,此时ESP会改变,那么当这个函数执行完成,即将返回的时候,对应的汇编指令为ret,会返回到函数调用前所压入的那个返回地址,此时ESP也会改变,并且其值与函数调用前的值相同,这个就称作ESP堆栈平衡
那么加壳程序的运行应该也是类似,在程序装载在内存后,壳相关代码运行前,寄存器会有一些初始值,那么在壳代码进行解压缩或者解密的时候,可能会改变某些寄存器的值,那么这时就需要用到PUSHAD,其作用是按照 EAX、ECX、EDX、EBX、ESP(执行 PUSHAD 之前的值)、EBP、ESI 和 EDI 的顺序,将所有 32 位通用寄存器压入堆栈,那么在PUSHAD后,ESP的值会改变,而与之对应的POPAD就是将上述寄存器的值弹出堆栈,ESP也会改变,并且与PUSHAD之前的值相同。所以,在看见POPAD指令的时候,说明壳相关代码应该是执行完成了,那距离原程序的入口就不远了。

3.硬件断点

硬件断点分为硬件访问断点、硬件写入断点、硬件执行断点,主要使用调试寄存器
其中DR0-DR3 负责存储硬件断点的内存地址,所以最多只能同时使用 4 个硬件断点
那么在本题中,我设置硬件断点的位置为0060FF58,由于栈空间是往低地址增长的,当回到0060FF58这个地址的时候,一般都是壳相关代码执行完准备执行原程序代码的时候。在执行POPAD前,ESP的值为0060FF58,执行POPAD的时候会修改ESP的值,会访问0060FF58这个地址,所以最终停在了POPAD命令的下一行

Ba22ett
关注
BUUCTF 逆向工程(reverse)之新年快乐
weixin_44632787的博客
08-19 742
用IDA打开,发现就只有两个函数。所以猜测加了壳 这里我用的是kali自带的upx进行脱壳 再重新用IDA打开,进入到主函数 int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax char Str2; // [esp+12h] [ebp-3Ah] char Str1[2]; // [esp+20h] [ebp-2Ch] char v6; // [esp+22h] [ebp
BUUCTF Reverse(内涵的软件,新年快乐)
m0_59464025的博客
02-27 569
内涵的软件: 1.把exe文件丢入exeinfoPE,判断为 32位可执行文件 Not packed :未加壳 2.双击运行得到提示 3.使用32-bit IDA分析该exe文件 4.老规矩F12查看Strings window找到与flag相关代码的String双击跟进 没必要与我选择的相同,这里附近的String都能最终跟到同一段伪代码 5.随意选择一处跟进 6.此处F5查看伪代码 7.分析理解伪代码,不难猜测v5为flag提交后发现失败,提交flag{49d3c9..
BUUCTF——Reverse——新年快乐
计算机硕士的博客
12-25 780
BUUCTF——Reverse——新年快乐,详细解题步骤。
BUUCTF逆向wp 新年快乐
2302_81740139的博客
01-25 971
本题中str1与str2为字符串,strlen(str2)为字符串2的长度。本题利用strlen函数先获取字符串2的长度,将其作为参数传递给strncmp函数,如果两个字符串前面的strlen。第二步 将目标程序拖入UPX,完成脱壳,之后即可将程序拖入ida(脱完壳后会有一个.bak的文件,那个不是我们的目标程序,删除即可。第一步 将程序拖到exeinfo中,发现为32位的。注意不能直接将程序拖到ida,因为该程序有外壳UPX。或(&str2)数值相等即输出this is true flag!
【逆向 | CTF】BUUCTF 新年快乐
weixin_46301214的博客
02-22 687
重点来了:四个步骤,先dump下来,然后修复IAT,再获取函数,再转存到脱壳的程序上,那么函数名称就被修复了。看代码就知道输入的是Str1变量比较Str2变量,那flag就是第9行了,过于简单,完事。坑点:如果只是dump下来,你会发现扔进IDA没法玩,没有函数名称,你都不知道是干嘛的。坑点来了:很多OD都是不正常的,还有半正常的OD,只有原版OD是正常的。吾爱破解OD是不正常的,x64dbg半正常,英文原版OD是很正常的。拿到软件,丢进IDA发现有点问题,只有两个函数,发现不对劲。esp定律,手动脱壳
BUUCTF---新年快乐reverse
最新发布
2201_75556700的博客
04-07 459
6.shift+fn+f12查找flag(如果没有出现搜索框,再试试ctrl+f)看到了几串字符,加上题目提示说要注意留意字符串,将下面几个字符串拿去提交。8.发现flag{HappyNewYear!1.题目描述:下载一个压缩包,里面有个exe文件。2.用PE查壳(有个32位的UPX壳)5.将新的exe文件放在IDA中分析。4.脱壳完后,生成新的exe。
buuctf——reverse的wp(1)
qq_62188797的博客
05-09 558
buuctf一些简单的逆向题的wp
reverse-BUUCTF
song_10的博客
08-26 1377
1、easyre ida中搜索字符串即可得到flag: 2、helloword 拿到是apk文件,jeb中打开,即可得到flag 3、reverse1 elf文件,IDA中打开,搜索字符串 定位到判断函数: 查看伪代码: __int64 sub_1400118C0() { char *v0; // rdi signed __int64 i; // rcx ...
BUUCTF逆向前八题
01-24
5. 新年快乐: 首先识别出这是32位程序,可能带有UPX壳。使用UPX脱壳后,通过IDA的字符串窗口和C语言转换,找到"HappyNewYear!"作为flag。 6. Xor: 这道题涉及到异或操作,我们需要理解异或的特性来解题。通过IDA...
BUUCTF Reverse(reverse2, 内涵的软件, 新年快乐)
weixin_43456810的博客
12-16 786
BUUCTF Reverse(reverse2, 内涵的软件, 新年快乐) reverse2 这道题本质上其实和reverse1一样,也是字符的替换,将文件用IDA打开后,也是可以直接看到flag信息的,但是同样的,那也不是最终的flag,分析可得是将r和i都换为了1,即可得最终flag。详细的分析过程可以从上一篇reverse1里看,思路可以说是一模一样的 内涵的软件 这道题其实也是一般的思路,先用exeinfoPE看一下文件信息,判断是多少位,然后用相应的IDA打开即可看到flag信息,这道题不要多想,
Buuctf-Reverse-新年快乐 题解&思路总结
m0_62239233的博客
05-03 1920
Buuctf-Reverse-新年快乐 题解&思路总结
BUUCTF,,re新年快乐
weixin_45948183的博客
05-22 478
还是相同的步骤,先到PE里面查一下壳 是一个upx的壳,,,upx有专门的脱壳工具,,然后放到脱壳工具里面脱壳就可以到ida里面运行了,也可以在OD里面手动脱壳,, 1、万能脱壳工具脱壳 然后到ida看一下主函数的伪代码 一个比较的函数,,,输入与V4相等就可以拿到flag 然后上面 ,,,v4是HappyNewYear!,,直接拿到flag就是flag{HappyNewYear!} 最主要的还是脱壳 ...
新年快乐ctf_2013年新年快乐
cukengwei3786的博客
08-05 301
新年快乐ctfHappy New Year 2013 Today – New Year’s Eve Day. And we would like to congratulate all of our readers to this wonderful event. Thank you for being with us from the beginning, feel free to visit ...
BUUCTF 新年快乐(xdbg手动脱壳)
weixin_46287316的博客
11-14 3106
(博客仅个人理解,如有错误欢迎指正) -------壳的概述: 壳主要有压缩壳和加密壳两种:加壳软件在运行时运行外壳代码,对程序进行解压操作或解密操作,所以对于比较简单的壳,一般思路就是在运行完外壳操作后,找到源程序入口(即OEP–original entry pointer)将源程序通过工具dump出来为一个exe文件,然后再进行一些修复操作,比如说重建输入表。 BUUCTF新年快乐: 1.下载附件将exe文件拖入查壳软件进行分析,发现加了upx壳: 在不脱壳的情况下拖入ida进行分析的结果如图:函数明
BUUCTF中的“新年快乐
在Web和Reverse坑里游泳中。。。。
12-23 1395
今天看了一下日期,距过年还有28天,正好今天做的题目也叫新年快乐,就提前给大家拜个早年,祝大家早年幸福。
buuctf——新年快乐
yhfgs的博客
05-22 1156
1.下载得到一个exe文件,丢到DIE查壳,发现是upx加壳。 2.去壳。 3.将去壳后的文件丢到IDA中,找到main函数,无敌f5。 4.代码的意思大概是输入flag,判断flag和str2中的字符串是否相同,相同flag正确,否则不对,而str2前面直接就有“HappyNewYear!“。 5.get flag flag{HappyNewYear!} ...
buuctf 新年快乐 ESP定律脱壳
qq_37073764的博客
04-02 358
查壳,发现是upx壳。 我们可以直接使用脱壳机,这里使用ESP定律手动脱壳。 打开IDA,发现根本分析不了: 把程序拖入x32dbg,点击选项->首选项: 至少选择这两个断点,否则不知道停在哪个地方。 第一行就是pushad。 按F7,进入到下一行,然后发现ESP已经变了。 右击ESP的数字,点击在转储中跟随, 右击第一行,选择断点,“硬件,存取”,双字。 然后按F9继续运行。 已经到了popad的位置。 继续调试或者根据经验可以发现,00401280就是OEP。 点击插件->Sc
BUCCTF 新年快乐和xor
王学辉的博客
01-29 655
新年快乐 用老办法发现少了点东西 仔细观察发现新年快乐.exe上面加了upx壳 脱壳可以使用ollydbg和kali自带的upx进行手动脱壳(这里使用kali) 进入upx后输入upx -d 12.exe(将新年快乐.exe改名为12.exe) 在桌面得到脱了壳的文件 使用ida32位打开 进行反编译发现flag为{HappyNewYear!} xor 通过exeinfo查看发现是64位的,使用ida64位打开 查看main函数 找到与flag有...
新年快乐,2008
Matt的技术专栏
01-01 631
2008年1月1日。又是一年新的开始,在此祝愿我的朋友们新年快乐,在新的一年身体健康,事业顺利,财源广进。
翻译一下这段代码,并在每一行代码后进行注释 long keyled_ioctl(struct file *file, unsigned int cmd, unsigned long arg) { unsigned int regVal; switch(cmd) { case LED1_REVERSE: regVal = ioread32(gpj2dat); regVal ^= (0x1<<0); iowrite32(regVal, gpj2dat); break; case LED2_REVERSE: regVal = ioread32(gpj2dat); regVal ^= (0x1<<1); iowrite32(regVal, gpj2dat); break; case LED3_REVERSE: regVal = ioread32(gpj2dat); regVal |= 0x0f; iowrite32(regVal, gpj2dat); break; case LED4_REVERSE: regVal = ioread32(gpj2dat); regVal &= 0xf0; iowrite32(regVal, gpj2dat); break; } return 0; }
06-09
这段代码是一个 Linux 驱动程序中的函数,用于控制嵌入式系统中的 LED 灯的亮灭。以下是代码注释: ```c // 函数名:keyled_ioctl // 参数:file - 文件指针,cmd - 控制命令,arg - 参数 long keyled_ioctl(struct file *file, unsigned int cmd, unsigned long arg) { unsigned int regVal; // 定义一个无符号整型变量 regVal switch(cmd) { // 根据控制命令进行不同的操作 case LED1_REVERSE: // 如果控制命令为 LED1_REVERSE regVal = ioread32(gpj2dat); // 从 gpj2dat 寄存器中读取当前值 regVal ^= (0x1<<0); // 对第 0 位进行异或操作,即将 LED1 灯的状态取反 iowrite32(regVal, gpj2dat); // 将新的值写入 gpj2dat 寄存器中 break; case LED2_REVERSE: // 如果控制命令为 LED2_REVERSE regVal = ioread32(gpj2dat); // 从 gpj2dat 寄存器中读取当前值 regVal ^= (0x1<<1); // 对第 1 位进行异或操作,即将 LED2 灯的状态取反 iowrite32(regVal, gpj2dat); // 将新的值写入 gpj2dat 寄存器中 break; case LED3_REVERSE: // 如果控制命令为 LED3_REVERSE regVal = ioread32(gpj2dat); // 从 gpj2dat 寄存器中读取当前值 regVal |= 0x0f; // 将低四位设置为全 1,即将 LED3、4 灯都点亮 iowrite32(regVal, gpj2dat); // 将新的值写入 gpj2dat 寄存器中 break; case LED4_REVERSE: // 如果控制命令为 LED4_REVERSE regVal = ioread32(gpj2dat); // 从 gpj2dat 寄存器中读取当前值 regVal &= 0xf0; // 将低四位设置为全 0,即将 LED1、2 灯都熄灭 iowrite32(regVal, gpj2dat); // 将新的值写入 gpj2dat 寄存器中 break; } return 0; // 返回操作结果 } ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值