[XCTF-Reverse] 69 XCTF 3rd-RCTF-2017_MyDriver2-397

最新推荐文章于 2024-01-03 11:49:01 发布
原创 最新推荐文章于 2024-01-03 11:49:01 发布 · 1.4w 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#reverse

本文通过对一个.sys文件的研究,详细解析了其内部结构及加密方式,并通过逆向工程手段成功解码,揭示了该驱动程序背后的秘密。

一个.sys文件,应该是驱动程序。反正当个exe文件处理吧。

在数据区找到两个串,感觉是加密用的qword_16310,qword_16390,顺着这个线索找引用处。于是找到sub_113c8 手工找也行,因为一共也没几个函数。

__int64 sub_113C8()
{
  PVOID v0; // rbx
  int v1; // er11
  int v2; // edx
  _DWORD *v3; // rax
  int v4; // ecx
  __int64 v5; // rax
  signed __int64 v6; // r8
  __int64 result; // rax
  char Dst; // [rsp+20h] [rbp-38h]

  memmove(&Dst, sub_11DF0, 0x22ui64);
  v0 = ExAllocatePool(0, 0x22ui64);
  memmove(v0, &Dst, 0x22ui64);
  dword_16414 = ((__int64 (__fastcall *)(signed __int64, signed __int64))v0)(3435209541i64, 1412570316i64);// 0xccc12345,0x54321ccc
  ExFreePoolWithTag(v0, 0);
  v1 = dword_16414;                             // 0x5c3113c5
  v2 = dword_16414 - 1546720155;                // 42
  v3 = qword_16310;
  do
  {
    *v3 ^= v1;
    ++v3;
  }
  while ( (signed __int64)v3 < (signed __int64)qword_16390 );
  v4 = 0;
  v5 = v2;
  SubStr = (wchar_t *)qword_16310;
  word_16432 = v2;
  word_16430 = v2;
  qword_16310[v5] = 0;
  qword_16310[v5 + 1] = 0;
  v6 = 0i64;
  do
  {
    qword_16390[v6] ^= qword_16310[v4];
    ++v6;
    result = (unsigned int)((v4 + 1) / (unsigned __int16)v2);
    v4 = (v4 + 1) % (unsigned __int16)v2;
  }
  while ( v6 < 128 );
  return result;
}

这里先把sub_11DF0给Dst再殷Dst给v0再运行v0其实就是运行sub_11DF0

unsigned __int64 __fastcall sub_11DF0(__int64 a1, __int64 a2)
{
  return a2 & 0xF0F0F0F0F0F0F0F0ui64 ^ a1 & 0xF0F0F0F0F0F0F0Fi64;
}

所有参数都已经给出了,可以顺序得到dword_16414 = 0x5c3113c5 再逄出v2=42(从数据也可看出长度)

然后给qword_16310和v1做个异或(因为v3是dword类型的,每4字节作一次),再然后就是390和310异或了。

解码

from pwn import *

v = 0x54321ccc & 0xF0F0F0F0F0F0F0F0 ^ 0xccc12345 & 0x0F0F0F0F0F0F0F0F #0x5c3113c5

a = [0x5C5813A25C6E1395,0x5C5413885C5413B3,0x5C5013A95C57139A,0x5C0213F75C6E13A2,0x5C4913B15C1F13F6,0x13B1]
b = b''
for i in a:
    b +=p64(i^ 0x5c3113c55c3113c5)
print(b)

c = [0x6105664765377470,0x733A416D730C2011,0x6E285F096C166D36,0x6F5C686D6531690B,0x780002726A5F58,0x67005F00500074,
     0x4D006500760069,0x6C0066005F0065,0x32005F00670061,0x74002E00330033,0x5F005000740078,0x65007600690067,
     0x66005F0065004D,0x5F00670061006C,0x2E003300330032,0x50007400780074]
d = b''
for i in c:
    d +=p64(i)
print(d)

e = []
for i,v in enumerate(d):
    e.append(v^b[i%42])

print(bytes(e))
#A_simple_Inline_hook_Drv
#RCTF{A_simple_Inline_hook_Drv}

XCTF 3rd-HITB CTF-2017 arrdeepee 复现
m0_46580995的博客
07-05 1602
题目说明 我们某一个box被pwn了。在检查过程中,我们发现了一个叫mimikatz的东西,我们以前没有安装过,所以我们清除了,并且重新安装了box。但是,我们忘记备份我们的flag文件了。幸运的是,我们有一个攻击者网络流量捕获。你可以帮我们恢复出flag文件吗? 得到的是一个pcap包 有大量的tcp和udp流 查看udp流有以下的关键字 “ TSSecKeySet1”和“ Microsoft Strong Cryptographic Provider” 存下来进行分析 有一些证书和私钥尝试openss
攻防世界XCTF 3rd-RCTF-2017 easyre153学习笔记
a5555678744的博客
03-13 533
找到的博客对这道题的描述太少太跳了,其实这道题还是有不少细节的。 首先查壳,发现upx壳,同时是32位的elf文件 放到虚拟机里脱壳 upx -d filename 脱壳之后再用ida打开,看到如下的main函数 关键函数 其中有两个函数比较麻烦:pipe()和fork() 根据网上其他大佬对这两个函数的解释,我简单分析了一下在这里的作用 首先说一下pipe(管道)函数: 顾名思义的“管道”,相信用过linux操作系统的大都用过“|”(管道符号),这个函数在这意思也是相近的,
SSM笔记(原Spring Framework笔记)
weixin_47741922的博客
08-06 1283
Spring Framework是Spring生态圈中最基础的项目,是其他项目的根基Ioc/DI Ioc容器 BeanIoC入门案例思路分析 1.管理什么?(Service与Dao) 2.如何将被管理的对象告知IoC容器?(配置) 3.被管理的对象交给IoC容器,如何获取到IoC容器?(接口) 4.IoC容器得到后,如何从容器中获取bean?(接口方法) 5.使用Spring导入哪些坐标?(pom.xml)1.导入Spring坐标(pom.xml) 2.定义Spring管理的类(接口) 3.创建Sprin
OpenSolaris/Solaris中文FAQ
MM22GG的专栏
04-11 1万+
本文转载于 http://blog.chinaunix.net/uid-11193716-id-2896321.html     OpenSolaris/Solaris中文FAQ (2008-08-04 19:30) 分类: Solaris 注: 1.本文档只覆盖Solaris 9及以后的平台上的常见问题 2.S9/10/11 分别对应目前Sola
改之理java源码复制-robotreviewer:RCT的自动合成
06-06
改之理java源码复制机器人评论家 从临床试验报告中自动提取数据 RobotReviewer 是一个提供临床试验自动注释的系统(PDF 格式)。 目前,RobotReviewer 提供有关试验PICO特征(人群、干预/比较和结果)的数据,并使用 Cochrane 偏倚风险工具自动评估试验的可能偏倚。 您可以将当前版本引用为 . 我们免费提供 RobotReviewer,但如果您在使用时引用我们,我们将不胜感激。 我们是学者,在链接和引用上茁壮成长! 获得RobotReviewer 的广泛使用和引用,有助于我们获得资金来维护项目并使RobotReviewer 变得更好。 它还使您的方法对您的读者透明,尤其是我们很想看看 RobotReviewer 在哪里使用! :) 简单的方法 对于大多数人,我们鼓励您通过 使用 RobotReviewer。 无需安装任何东西,只需上传您的 PDF,RobotReviewer 将自动提取关键数据并呈现汇总表。 对于那些特别有技术头脑或迫切需要在自己的机器上运行软件的人,请继续阅读... 系统评价软件的开发者? RobotReviewer 是开源的,可以在
MyDriver2-397 XCTF 3rd-RCTF-2017 (windows 驱动题)
qq_41071646的博客
05-16 1228
这个题 是驱动题 幸亏 自己以前学过驱动 所以对这个东西有所了解 其实这个驱动一开始我看的也很懵 不知道是干啥的 然后我先去看了看 卸载函数 看看他里面有什么东西 然后发现了这个 然后我就get 他的点了 开/关内存护 然后 把正确的地址写回去 这个我以前研究过 一段时间的驱动 然后顺着这个路线 我 就大概懂了这个程序的逻辑 这个程序是用inline hook...
rct429 java_RCT: RCT(Redis Computed Tomography) RCT 是一个通过解析rdb文件对redis内存结构分析的一站式平台。 支持对非集群/集群rdb文...
weixin_29692653的博客
03-02 5785
Language: RCT(Redis Computed Tomography) RCT 是一个通过解析rdb文件对redis内存结构分析的一站式平台。 支持对非集群/集群rdb文件分析、Slowlog查询与监控、ClientList查询与监控。GitHub 第一时间更新,请移步查看!功能内存分析通过对rdb文件解析,分析Redis内存使用情况,支持多维度、多报表方式。支持手动、自动多种方式!提...
XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
91.vido.ws v.php,"token" parameter not in video info for unknown reason;
热门推荐
weixin_35307279的博客
03-29 120万+
youtube-dl -v --dump-pages https://www.youtube.com/watch?v=USg3NR76XpQ output[debug] System config: [][debug] User config: [u'--add-metadata', u'--user-agent', u'Mozilla/5.0 (X11; Ubuntu; Linux x86_64...
供应TA126YA.55TNK29.CT5400SA.RCT47SA6.NTN222离合器轴承
csdn_999999999的博客
01-26 775
986908.50RCT3534F0.50RCTS2801.44TKB2805.CT5400SA.RCT47SA6.NTN222.55TNK29 44RCT280248RCT3301...
Butterfly-蝴蝶-主题优化、美化-Lete乐特
乐特的博客
06-11 32万+
前言 本片文章涉及到修改源码,如果你要升级主题的话,你看到这里可以关闭本文章了。 本文所做的优化是我自己hexo init后,去Github上克隆Butterfly主题的稳定版,一步步在原主题基础上修改的 证了小白根据本片文章一步步操作,能够和我博客一样的效果 如果你不想跟随下文一步步操作的话可以使用我优化好的:https://github.com/lete114/Hexo-themes-Butterfly-Lete 喜欢的话可以留下你的⭐Star 修改头部导航栏 修改前 # Main menu n
【xdoj难题集】1039: 饭桌上的游戏
???
04-11 2787
题的连接2014年的压轴题,又是模拟(话说为什么最近做了这么多模拟)。总之又是被无数细节给坑了,不过最后结果不错,我这个算法还是挺快的。还是先说说想法,一看到这题的范围,觉得应该不会超时,比较烦的是标记的这个问题,因为如果每轮都要把标记的人算一次的话怕会超时,不过在看到了饭量最大为5之后我打消了这个顾虑,不过我还是没有使用常规的方法(导致因为一个细节错了不少次)。我的想法是因为标记之后死亡的时间是...
攻防世界XCTF-REVERSE入门12题解题报告
jennycisp的博客
01-03 1093
由于武汉疫情这段时间我在给医院开发小程序,耽搁了刷题,2020年的计划就是从刷题到实战,主要方向是二进制逆向、病毒分析、漏洞利用,努力提高自己的实战分析能力。
[XCTF-Reverse] 70 XX
weixin_52640415的博客
03-26 458
xxtea加密第一次遇见,不看不知道啊。 很容易跟到主函数,分N步加密,太狠了 第1步读入检查长度:从标准输入读入flag,然后计算长度,应为19。(这里的myinput是我改的,原来叫Code与全局变量重名,容易混淆) *(_OWORD *)myinput = 0i64; v33 = 0; sub_13F8B18C0(std::cin, a2, (__int64)myinput);// 读入Code myinput_len = -1i64; v3 = -1i64; do
Image Processing and Analysis_15_Image Registration:a survey of image registration techniques——1992...
Alliswell_WP
10-10 3066
此主要讨论图像处理与分析。虽然计算机视觉部分的有些内容比如特 征提取等也可以归结到图像分析中来,但鉴于它们与计算机视觉的紧密联系,以 及它们的出处,没有把它们纳入到图像处理与分析中来。同样,这里面也有一些 也可以划归到计算机视觉中去。这都不重要,只要知道有这么个方法,能为自己 所用,或者从中得到灵感,这就够了。 注意:Registration可翻译为“配准”或“匹配”,一般是图像配准,...
[XCTF-Reverse] 入门1-6
weixin_52640415的博客
03-15 5512
被封在小区了,本上安不了虚拟机。只能先整整不用虚拟机的了。reverse跟pwn有不少相通之处,都是看代码,这个比较容易跨界。 先从入门学起。 1,HackYou CTF_open-source 这个直接给了一个c程序,运行需要3个参数:第1个是0xcafe;第2个%5!=3且%17==8;第3个是指定串。然后这样拼起来就是flag unsigned int hash = first * 31337 + (second % 17) * 11 + strlen(argv[3]) - 16158102
STM32CUBEMX | STM32L431RCT6的内部Flash操作
yongridada的博客
03-22 5235
一、STM32CUBEMX配置 1、选择芯片型号: 2、配置时钟源 1、 如果选择使用外部高速时钟(HSE),则需要在System Core中配置RCC; 2、 如果使用默认内部时钟(HSI),这一步可以略过; 3、配置时钟树 STM32L4的最高主频到80M,所以配置PLL,最后使HCLK = 80Mhz即可: 4、代码生成设置 点击GENERATE CODE即可生成MDK-V5工程: 二、在MDK中编写、编译、下载用户代码 1、STM32内部Flash及HAL库API 查看所使用芯片的信息,
XCTF-WEB进阶-fakebook
最新发布
02-28
### XCTF WEB进阶 Fakebook 解题报告 #### 源码分析 Fakebook 类似于社交网络平台,在此环境中存在多个功能模块,包括但不限于用户注册、登录以及个人信息管理等功能。通过查看源代码发现,该应用可能存在多种安全漏洞。 对于假想的 `fakebook` 平台而言,其核心逻辑通常围绕着用户的会话管理和数据交互展开。假设存在如下简化版 PHP 伪代码表示部分关键业务流程: ```php <?php class User { public $username; public $password; function login($input_username, $input_password){ // 存在一个潜在的安全隐患:未对输入做严格验证 if ($this->username === $input_username && md5($input_password) === $this->password){ $_SESSION[&#39;logged_in&#39;] = true; return "Login successful"; } return "Invalid credentials"; } } ?> ``` 上述代码片段展示了用户认证过程中可能存在的安全隐患——使用弱哈希算法 MD5 对密码进行了处理[^1]。 #### 安全问题剖析 基于以上描述可以推测出几个主要攻击面: - **弱哈希函数**:MD5 已经被证明不再适合用于护敏感信息,因为它容易受到碰撞攻击的影响。 - **缺乏输入过滤机制**:未能有效防止恶意字符进入系统内部,这可能导致 SQL 注入或其他类型的注入攻击发生。 - **不恰当的错误消息返回**:当用户名或密码错误时给出的具体提示可能会帮助攻击者缩小猜测范围。 #### 利用技巧 针对这些弱点,参赛选手可以从以下几个方面入手尝试突破并解决问题: - 尝试暴力破解或者彩虹表查找已知 MD5 值对应的原始字符串; - 测试是否存在其他形式的数据注入风险点,比如 URL 参数、POST 请求体内的字段等位置; - 探索是否有任何地方暴露出过多调试信息给外部访问者利用; 成功完成挑战后一般可以获得 flag 或者进一步的操作权限作为奖励。 #### 复现过程 为了模拟真实的渗透测试场景,建议按照以下方式构建实验环境来进行练习: 1. 构建一个类似的 Web 应用程序框架,确其中包含了所有必要的组件和服务依赖关系; 2. 实施相应的防护措施来抵御常见的Web 攻击手段,如 XSS 和 CSRF 等; 3. 使用工具辅助自动化执行某些特定任务,例如 Hydra 可以用来实施字典攻击尝试登陆接口; 4. 记录每一步操作细节以便后续总结经验教训,并分享给社区成员共同学习进步。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值