[GWCTF 2019]babyvm

已于 2022-02-10 21:25:25 修改
阅读量1.3k 收藏 2
点赞数
分类专栏: 逆向 文章标签: 安全
于 2022-02-10 21:23:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52369224/article/details/122868268
版权

系统学习vm虚拟机逆向

64位vm的题目

找到主函数

分析sub_CD1函数:

sub_B5F代表mov操作,其中 0xE1,0xE2...代表不同的寄存器。

 

sub_A64是一个异或操作xor。

sub_AC5是一个读取操作并判断他的长度是否等于21

 

sub_956是空操作nop。

 

sub_A08 两个数相乘操作mul

 

sub_8F0是一个交换操作swap

sub_99c线性运算

 

该函数是对6010A0操作码内容的执行,一直到0xf4结束

下面我们对操作码进行虚拟化指令分析 

opcode=[  0xF5, 0xF1, 0xE1, 0x00, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4,
  0x20, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x01, 0x00, 0x00, 0x00,
  0xF2, 0xF1, 0xE4, 0x21, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x02,
  0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x22, 0x00, 0x00, 0x00,
  0xF1, 0xE1, 0x03, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x23,
  0x00, 0x00, 0x00, 0xF1, 0xE1, 0x04, 0x00, 0x00, 0x00, 0xF2,
  0xF1, 0xE4, 0x24, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x05, 0x00,
  0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x25, 0x00, 0x00, 0x00, 0xF1,
  0xE1, 0x06, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x26, 0x00,
  0x00, 0x00, 0xF1, 0xE1, 0x07, 0x00, 0x00, 0x00, 0xF2, 0xF1,
  0xE4, 0x27, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x08, 0x00, 0x00,
  0x00, 0xF2, 0xF1, 0xE4, 0x28, 0x00, 0x00, 0x00, 0xF1, 0xE1,
  0x09, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x29, 0x00, 0x00,
  0x00, 0xF1, 0xE1, 0x0A, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4,
  0x2A, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0B, 0x00, 0x00, 0x00,
  0xF2, 0xF1, 0xE4, 0x2B, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0C,
  0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x2C, 0x00, 0x00, 0x00,
  0xF1, 0xE1, 0x0D, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x2D,
  0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0E, 0x00, 0x00, 0x00, 0xF2,
  0xF1, 0xE4, 0x2E, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0F, 0x00,
  0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x2F, 0x00, 0x00, 0x00, 0xF1,
  0xE1, 0x10, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x30, 0x00,
  0x00, 0x00, 0xF1, 0xE1, 0x11, 0x00, 0x00, 0x00, 0xF2, 0xF1,
  0xE4, 0x31, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x12, 0x00, 0x00,
  0x00, 0xF2, 0xF1, 0xE4, 0x32, 0x00, 0x00, 0x00, 0xF1, 0xE1,
  0x13, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x33, 0x00, 0x00,
  0x00, 0xF4, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0xF5, 0xF1,
  0xE1, 0x00, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x01, 0x00, 0x00,
  0x00, 0xF2, 0xF1, 0xE4, 0x00, 0x00, 0x00, 0x00, 0xF1, 0xE1,
  0x01, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x02, 0x00, 0x00, 0x00,
  0xF2, 0xF1, 0xE4, 0x01, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x02,
  0x00, 0x00, 0x00, 0xF1, 0xE2, 0x03, 0x00, 0x00, 0x00, 0xF2,
  0xF1, 0xE4, 0x02, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x03, 0x00,
  0x00, 0x00, 0xF1, 0xE2, 0x04, 0x00, 0x00, 0x00, 0xF2, 0xF1,
  0xE4, 0x03, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x04, 0x00, 0x00,
  0x00, 0xF1, 0xE2, 0x05, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4,
  0x04, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x05, 0x00, 0x00, 0x00,
  0xF1, 0xE2, 0x06, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x05,
  0x00, 0x00, 0x00, 0xF1, 0xE1, 0x06, 0x00, 0x00, 0x00, 0xF1,
  0xE2, 0x07, 0x00, 0x00, 0x00, 0xF1, 0xE3, 0x08, 0x00, 0x00,
  0x00, 0xF1, 0xE5, 0x0C, 0x00, 0x00, 0x00, 0xF6, 0xF7, 0xF1,
  0xE4, 0x06, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x07, 0x00, 0x00,
  0x00, 0xF1, 0xE2, 0x08, 0x00, 0x00, 0x00, 0xF1, 0xE3, 0x09,
  0x00, 0x00, 0x00, 0xF1, 0xE5, 0x0C, 0x00, 0x00, 0x00, 0xF6,
  0xF7, 0xF1, 0xE4, 0x07, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x08,
  0x00, 0x00, 0x00, 0xF1, 0xE2, 0x09, 0x00, 0x00, 0x00, 0xF1,
  0xE3, 0x0A, 0x00, 0x00, 0x00, 0xF1, 0xE5, 0x0C, 0x00, 0x00,
  0x00, 0xF6, 0xF7, 0xF1, 0xE4, 0x08, 0x00, 0x00, 0x00, 0xF1,
  0xE1, 0x0D, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x13, 0x00, 0x00,
  0x00, 0xF8, 0xF1, 0xE4, 0x0D, 0x00, 0x00, 0x00, 0xF1, 0xE7,
  0x13, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0E, 0x00, 0x00, 0x00,
  0xF1, 0xE2, 0x12, 0x00, 0x00, 0x00, 0xF8, 0xF1, 0xE4, 0x0E,
  0x00, 0x00, 0x00, 0xF1, 0xE7, 0x12, 0x00, 0x00, 0x00, 0xF1,
  0xE1, 0x0F, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x11, 0x00, 0x00,
  0x00, 0xF8, 0xF1, 0xE4, 0x0F, 0x00, 0x00, 0x00, 0xF1, 0xE7,
  0x11, 0x00, 0x00, 0x00, 0xF]
reg = {0xe1:'eax',0xe2:'ebx',0xe3:'ecx',0xe5:'edx'}
operation = {0xf1:'mov',0xf2:'xor',0xf5:'read',0xf4:'nop',0xf7:'add',0xf8:'swap',0xf6:'mul'}
i = 0
for j in range(len(opcode)):
    if(opcode[i] == 0xF1 ):
        print('mov ',end='')
        if (opcode[i+1] == 0xe1):
            print('eax ' + 'flag[' + str(opcode[i + 2]) + ']')
        elif(opcode[i+1] == 0xe2):
            print('ebx '+'flag['+str(opcode[i+2])+']')
        elif(opcode[i+1] == 0xe3):
            print('ecx ','flag['+str(opcode[i+2])+']')
        elif(opcode[i+1] == 0xe4):
            print('flag['+str(opcode[i+2])+'] '+'eax')
        elif(opcode[i+1] == 0xe5):
            print('edx '+'flag['+str(opcode[i+2])+']')
        elif(opcode[i+1] == 0xe7):
            print('flag['+str(opcode[i+2])+'] '+'ebx')
        i+=6
    elif(opcode[i] == 0xf2):
        print('xor eax ecx')
        i+=1
    elif(opcode[i] == 0xf5):
        print('read')
        i+=1
    elif(opcode[i] == 0xf4):
        print('nop')
        i+=1
    elif(opcode[i] == 0xf7):
        print('eax=eax*ecx')
        i+=1
    elif(opcode[i] == 0xf8):
        print('swap eax ebx')
        i+=1
    elif(opcode[i] == 0xf6):
        print('mul eax=ecx+2*ebx+3*eax')
        i+=1
    else:
        i+=1

 得到,注意我们得到两段代码。

read
mov eax flag[0]
xor eax ecx
mov flag[32] eax
mov eax flag[1]
xor eax ecx
mov flag[33] eax
mov eax flag[2]
xor eax ecx
mov flag[34] eax
mov eax flag[3]
xor eax ecx
mov flag[35] eax
mov eax flag[4]
xor eax ecx
mov flag[36] eax
mov eax flag[5]
xor eax ecx
mov flag[37] eax
mov eax flag[6]
xor eax ecx
mov flag[38] eax
mov eax flag[7]
xor eax ecx
mov flag[39] eax
mov eax flag[8]
xor eax ecx
mov flag[40] eax
mov eax flag[9]
xor eax ecx
mov flag[41] eax
mov eax flag[10]
xor eax ecx
mov flag[42] eax
mov eax flag[11]
xor eax ecx
mov flag[43] eax
mov eax flag[12]
xor eax ecx
mov flag[44] eax
mov eax flag[13]
xor eax ecx
mov flag[45] eax
mov eax flag[14]
xor eax ecx
mov flag[46] eax
mov eax flag[15]
xor eax ecx
mov flag[47] eax
mov eax flag[16]
xor eax ecx
mov flag[48] eax
mov eax flag[17]
xor eax ecx
mov flag[49] eax
mov eax flag[18]
xor eax ecx
mov flag[50] eax
mov eax flag[19]
xor eax ecx
mov flag[51] eax
nop
read
mov eax flag[0]
mov ebx flag[1]
xor eax ecx
mov flag[0] eax
mov eax flag[1]
mov ebx flag[2]
xor eax ecx
mov flag[1] eax
mov eax flag[2]
mov ebx flag[3]
xor eax ecx
mov flag[2] eax
mov eax flag[3]
mov ebx flag[4]
xor eax ecx
mov flag[3] eax
mov eax flag[4]
mov ebx flag[5]
xor eax ecx
mov flag[4] eax
mov eax flag[5]
mov ebx flag[6]
xor eax ecx
mov flag[5] eax
mov eax flag[6]
mov ebx flag[7]
mov ecx  flag[8]
mov edx flag[12]
mul eax=ecx+2*ebx+3*eax
eax=eax*ecx
mov flag[6] eax
mov eax flag[7]
mov ebx flag[8]
mov ecx  flag[9]
mov edx flag[12]
mul eax=ecx+2*ebx+3*eax
eax=eax*ecx
mov flag[7] eax
mov eax flag[8]
mov ebx flag[9]
mov ecx  flag[10]
mov edx flag[12]
mul eax=ecx+2*ebx+3*eax
eax=eax*ecx
mov flag[8] eax
mov eax flag[13]
mov ebx flag[19]
swap eax ebx
mov flag[13] eax
mov flag[19] ebx
mov eax flag[14]
mov ebx flag[18]
swap eax ebx
mov flag[14] eax
mov flag[18] ebx
mov eax flag[15]
mov ebx flag[17]
swap eax ebx
mov flag[15] eax
mov flag[17] ebx

 我们用sub_F83的check函数会得到假的flag:

This_is_not_flag_233

查看qword_2022A8的交叉引用,找到真正的check函数,再结合第二段写脚本

from z3 import *
import re

flag = '69 45 2A 37 09 17 C5 0B 5C 72 33 76 33 21 74 31 5F 33 73 72'.split(' ')
flag = [int(_, 16) for _ in flag]

# 置换
flag[15], flag[17] = flag[17], flag[15]
flag[14], flag[18] = flag[18], flag[14]
flag[19], flag[13] = flag[13], flag[19]

# z3
a6, a7, a8 = BitVecs('a6 a7 a8', 8)
s = Solver()
s.add(flag[6] == (a8 + 2 * a7 + 3 * a6) * flag[12])
s.add(flag[7] == (flag[9]  + 2 * a8 + 3 * a7) * flag[12])
s.add(flag[8] == (flag[10] + 2 * flag[9] + 3 * a8) * flag[12])
if s.check() == sat:
    m = s.model()
    for i in m:
        index = int(re.search(r'\d+', str(i)).group())
        flag[index] = m[i].as_long()

# 异或
for i in range(5, -1, -1):
    flag[i] ^= flag[i + 1]

print(''.join([chr(_) for _ in flag]))

得到flag

flag{Y0u_hav3_r3v3rs3_1t!}

参考[GWCTF 2019]babyvm  

babyvm-vm逆向

[GW-CTF2019] babyvm

1ens
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DES加密、DES解密、AES加密、AES解密
06-26
个人例子,VS2013,DES加密、DES解密,AES加密,AES解密,
BUUCTF reverse题解汇总
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-31 7169
BUUCTF平台刷题过程中做的一些逆向题解的总结归类
CTF逆向-[安洵杯 2019]game-使用deflat对主要混淆脱混淆后常规逻辑判断
serfend's blog
05-17 1332
CTF逆向-[安洵杯 2019]game-使用deflat对主要混淆脱混淆后常规逻辑判断 来源:https://buuoj.cn/ 内容:无 附件: https://pan.baidu.com/s/1qq_64SNIRnnTTCNqNIKOiw?pwd=1iz9 提取码:1iz9 答案:KDEEIFGKIJ@AFGEJAEF@FDKADFGIJFA@FDE@JG@J 总体思路 判断和输入相关的函数,然后对这些函数使用deflat.py对程序扁平化处理。 反向编写脚本得到答案 详细步骤 检查文件信息
[GW-CTF2019babyvm
0.2°的博客
09-09 341
- [目录] 分析 脚本 总结 GW CTF2019 babyvm 复现 得到一个文件 先exeinfope 64位elf文件 打开后找到main函数 第一个是初始化,第二个是退出,第三个检查flag(但是分析完会发现这个是假的) init进去后 分析完后 分析完后根据自己理解分析出他的指令集 |0xF1|MOV | |0xF2|XOR–| |0xF4|NOP | |0xF5|read_str | |0xF7|computing–| |0xF6 |mul | |0xF8|swap | p
BUUCTF-[GWCTF 2019]babyvm
weixin_61154173的博客
04-09 860
vm简单逆向,switch不同,赋值给的对象不同,所以可以看做是不同寄存器,所以0xE1->eax,0xE2->ebx,0xE3->ecx,0xE5->edx。这种简单vm逆向搞了快半辈子了,看别人wp也看的迷迷糊糊的,可能是受一个python虚拟机题的影响,第一次见vm,简单记录一下~发现是一堆数据,根据对vm的简单了解,这些应该是操作码,继续看函数其他的部分,应该是操作码及其对应的操作指令。是个异或操作,看异或对象可知,xor eax,ebx。乘的操作,看操作对象是 mul eax,edx。
[GWCTF 2019]babyvm 详解 (vm逆向 IDA结构体)
最新发布
sirrior的博客
11-27 841
这是笔者做的第一道vm题,虽然相较于同类题题面很简单,但是在过程中收获了很多。
vm虚拟机逆向---[GWCTF 2019]babyvm 复现【详解】
Sciurdae的博客
11-03 785
好难。大家都觉得简单,就我觉得难是吧,,,,,
el函数的使用文档
07-09
该文档主要包括一些el函数的简单使用说明.
VM虚拟机逆向---[羊城杯 2021]Babyvm 复现【详解】
Sciurdae的博客
11-07 675
无。
babyvm wp
12-21
大佬给的练习题,应该是根据广外2019比赛babyvm改的,自己也是第一次接触vm的ctf题,很简单,记录下。 题目下载地址: 链接:https://pan.baidu.com/s/1fWfikdoviwZ2PnkCi2p2zA 提取码:4gbf 0x0 函数分析 载入IDA,F5查看主函数 有三个函数,进一步查看 sub_400839 此函数为VM的初始化过程,6010A0为vm操作码的内容,0xf1代表sub_400738函数,0xf2代表sub_4006B6函数,0xf5代表sub_4006F4函数 unk_6010A0内容(截取部分) sub_400738(0xf1) 分析
[GWCTF 2019]babyvm writeup
weixin_42100211的博客
10-22 156
本文可能需要配合其它wp来看。本文亮点在于angr解法,和更详细的指令翻译。
GWCTF re3
qq_61554462的博客
03-24 160
GWCTF re3
GWCTF 2019 BabyRSA
pondzhang的专栏
05-01 1341
题目: import hashlib import sympy from Crypto.Util.number import * flag = 'GWHT{******}' secret = '******' assert(len(flag) == 38) half = len(flag) / 2 flag1 = flag[:half] flag2 = flag[half:] sec...
[GWCTF 2019]BabyRSA
rang的博客
12-11 488
import hashlib import gmpy2 import sympy from Crypto.Util.number import * # flag = 'GWHT{******}' # secret = '******' # assert(len(flag) == 38) # half = len(flag) / 2 # flag1 = flag[:half] # flag2 = flag[half:] # secret_num = getPrime(1024) * bytes_to
[GWCTF 2019]BabyRSA 1
weixin_44110537的博客
07-07 1721
问题 首先拿到压缩包,压缩包中给了我们两个文件 一个是encrypt.py 这个文件是加密脚本 另一个是secret里面有我们所需要的数据 分析加密脚本 打开脚本 import hashlib import sympy from Crypto.Util.number import * flag = 'GWHT{******}' secret = '******' assert(len(flag) == 38) half = len(flag) / 2 flag1 = flag[:half] fla
站在巨人的肩膀上学习ctf vm
0xDQ的博客
05-15 1944
0x00 前言 本文提到的vm是ctf里的vm,最近vm还是很热门的,最近的虎符,de1ctf,再到网鼎杯都有vm的身影,但是vm的知识在网上挺散的(我只找到了绿盟那篇比较系统),所以小白我就在这里归纳一下网上大佬们的文章,和我的学习总结,希望可以给各位看官一些帮助。 ...
CTF逆向-[GWCTF 2019]babyvm-WP-虚机模拟流程反向编码和z3约束求解器解方程工具的使用
serfend's blog
04-13 583
CTF逆向-[GWCTF 2019]babyvm-WP-虚机模拟流程反向编码和z3约束求解器解方程工具的使用 来源:https://buuoj.cn/ 内容: 附件:https://pan.baidu.com/s/1FKkXN6JDI0QkGw-UE2crNA?pwd=grb0 提取码:grb0 答案:Y0u_hav3_r3v3rs3_1t! 总体思路 发现是虚机模拟 形成每个指令的逆向 找到加密值位置(有可能不止一个位置,该题就给了一个误导的) 找到命令执行的流程(也是不止一个) 逆向编写反向加密得到f
Reverse入门[不断记录]
Aiwin的博客
02-18 2832
CTF Reverse入门笔记,不断记录。
[GWCTF2019]huyao
07-28
\[GWCTF2019\]huyao是一个CTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,它可能涉及到频域盲水印隐写。具体的解题方法和细节需要参赛者在比赛中进行分析和解决。 #### 引用[.reference_title] - *1* [BUUCTF ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值