[XCTF-Reverse] 83 2019_UNCTF_easyvm

最新推荐文章于 2022-12-06 20:54:13 发布
最新推荐文章于 2022-12-06 20:54:13 发布
阅读量467 收藏 2
点赞数 1
分类专栏: CTF reverse 文章标签: reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123805599
版权

到了后边就都不会了,只有这个VM还可以磨磨

主程序非常短,输入32个字节然后就去比较了

signed __int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  unsigned int (__fastcall ***v3)(_QWORD, void *, void *, char *); // rbx
  char s; // [rsp+10h] [rbp-80h]
  int v6; // [rsp+70h] [rbp-20h]
  unsigned __int64 v7; // [rsp+78h] [rbp-18h]

  v7 = __readfsqword(0x28u);
  memset(&s, 0, 0x60uLL);
  v6 = 0;
  v3 = (unsigned int (__fastcall ***)(_QWORD, void *, void *, char *))operator new(0x28uLL);
  sub_400C1E((__int64)v3);
  puts("please input your flag:");
  scanf("%s", &s);
  if ( strlen(&s) != 32 )
  {
    puts("The length of flag is wrong!");
    puts("Please try it again!");
  }
  if ( (**v3)(v3, &unk_602080, &unk_6020A0, &s) != 0 )
  {
    puts("Congratulations!");
    printf("The flag is UNCTF{%s}", &s);
  }
  return 1LL;
}

v3在sub_400C1E 给了一个地址,然后其它的运算都在这个位置上偏移

__int64 __fastcall sub_400C1E(__int64 a1)
{
  __int64 result; // rax

  *(_QWORD *)a1 = off_4010A8;
  *(_QWORD *)(a1 + 8) = 0LL;
  *(_BYTE *)(a1 + 16) = 0;
  *(_BYTE *)(a1 + 17) = 0;
  *(_BYTE *)(a1 + 18) = 0;
  *(_DWORD *)(a1 + 20) = 0;
  *(_QWORD *)(a1 + 24) = 0LL;
  result = a1;
  *(_QWORD *)(a1 + 32) = 0LL;
  return result;
}

偏移多少是哪个函数在数据off_4010A8这有,为方便专门都改了个名字,对应switch里的编号。刚一开始跳转表看串行了,困惑好久,像九阴真经练反了的感觉。

.rodata:00000000004010A8 off_4010A8      dq offset A__main_switch
.rodata:00000000004010A8                                         ; DATA XREF: sub_400C1E+8↑o
.rodata:00000000004010B0                 dq offset A0_16add1
.rodata:00000000004010B8                 dq offset A1_17add1
.rodata:00000000004010C0                 dq offset A2_18add1
.rodata:00000000004010C8                 dq offset A3_16sub18
.rodata:00000000004010D0                 dq offset A4_16xor17
.rodata:00000000004010D8                 dq offset A5_17xor16
.rodata:00000000004010E0                 dq offset A6_16sub51
.rodata:00000000004010E8                 dq offset A7_17in16
.rodata:00000000004010F0                 dq offset A8_18_cd
.rodata:00000000004010F8                 dq offset A9_16e32add18
.rodata:0000000000401100                 dq offset AA_17e32add18
.rodata:0000000000401108                 dq offset AB_16cmp24add18
.rodata:0000000000401110                 dq offset AC_17cmp24add18
.rodata:0000000000401118                 dq offset AD_18gt0x1f

偏移0的时候是主程序。开始的时候从a2[9]开始也就是A9。然后变换*(a1+8)实现了一个循环。+8这可以看成rip,a3指向校验数据在*(a1+24),a4是输入的数据在*(a1+32),另外有模拟3个寄存器+16,+17,+18和一个标志位+20如果处理后的输入字符校验未通过会置标志然后退出。

signed __int64 __fastcall s01_main_switch(__int64 a1, __int64 a2, __int64 a3, __int64 a4)
{
  *(_QWORD *)(a1 + 8) = a2 + 9;                 // A0-AF
  *(_QWORD *)(a1 + 24) = a3;                    // code
  *(_QWORD *)(a1 + 32) = a4;                    // input
  while ( 2 )
  {
    switch ( **(unsigned __int8 **)(a1 + 8) )
    {
      case 0xA0u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 8LL))(a1);
        continue;
      case 0xA1u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x10LL))(a1);
        continue;
      case 0xA2u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x18LL))(a1);// 9
        *(_QWORD *)(a1 + 8) += 11LL;
        continue;
      case 0xA3u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x20LL))(a1);// 2
        *(_QWORD *)(a1 + 8) += 2LL;
        continue;
      case 0xA4u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x28LL))(a1);// 5
        *(_QWORD *)(a1 + 8) += 7LL;
        continue;
      case 0xA5u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x30LL))(a1);// 3
        ++*(_QWORD *)(a1 + 8);
        continue;
      case 0xA6u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x38LL))(a1);// 4
        *(_QWORD *)(a1 + 8) -= 2LL;
        continue;
      case 0xA7u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x40LL))(a1);// 7
        *(_QWORD *)(a1 + 8) += 7LL;
        continue;
      case 0xA8u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x48LL))(a1);
        continue;
      case 0xA9u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x50LL))(a1);// 1
        *(_QWORD *)(a1 + 8) -= 6LL;
        continue;
      case 0xAAu:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x58LL))(a1);
        continue;
      case 0xABu:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x60LL))(a1);// 6
        *(_QWORD *)(a1 + 8) -= 4LL;
        continue;
      case 0xACu:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x68LL))(a1);
        continue;
      case 0xADu:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x70LL))(a1);// 10
        *(_QWORD *)(a1 + 8) += 2LL;
        continue;
      case 0xAEu:                               // 8
        if ( *(_DWORD *)(a1 + 20) )
          return 0LL;
        *(_QWORD *)(a1 + 8) -= 12LL;
        continue;
      case 0xAFu:                               // out   11
        if ( *(_DWORD *)(a1 + 20) != 1 )
        {
          *(_QWORD *)(a1 + 8) -= 6LL;
          continue;
        }
        return 1LL;
      default:
        puts("cmd execute error");
        return 0LL;
    }
  }
}

这里面有向个是没有rip变动的,比如A0,A1,A8,AA,AC这如果运行到这就会是死循环,所以这些运行不到。还有几个没有运行函数,是判断跳转语句AE,AF。其它在a1后边的偏移就是前面跳转表上偏移,表示运行哪个函数。

每个函数都很简单,明确以后就可以捋捋加密过程了。

+18这个位置放的是个计数器,相当于for(i=0;i<=31;i++)里的i

先读入一个输入的字符减去序号然后和r2异或(这个异或的r2后边有)。然后再与0xcd异或。然后和校验数据比较不同则退出

成功后会把这个数据(与检验同,逆向时使用检验数据)存入r2,循环下次时使用。

然后就是i++,判断是否结束。

'''
rip: *(a1+8)  A0-AF
r1:  *(a1+16)
r2:  *(a1+17)     
i:   *(a1+18)  *(ptr+i) = flag[i]
code:*(a1+24)  code
ptr: *(a1+32) input flag

1,A9: r1= *[ptr + i]
2,A3: r1-=i 
3,A5: r2^=r1
4,A6: r1 =0xcd
5,A4: r1^=r2
6,AB: cmp(r1,code[i])  #(flag[i]-i)^code[i-1]^0xcd = code[i]
7,A7: r2 =r1 
8,AE: jnz A2           # *(a1+20) == 0
9,A2: i++
10,AD: cmp(i,0x1f)     #结束标志,总行0x1f
11,AF: jmp A9     
'''

所以解码程序就有了(由于用到r2的结果,所以解码要从后向前)

code = bytes.fromhex('00'+'F40AF76499789E7DEA7B9E7B9F7EEB71E800E8079819F425F321A42FF42FA67C')
flag = bytes([(code[i+1]^code[i]^0xcd) + i for i in range(0x1f, -1, -1)])[::-1]
print(flag)    
#942a4115be2359ffd675fa6338ba23b6
#UNCTF{942a4115be2359ffd675fa6338ba23b6}

石氏是时试
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
easyVM v0.2
07-11
easyVM是一个简单的虚拟机。<br>0.1版本只支持8086指令集和一些简单的I/O设备,只支持英文文本显示方式。<br>0.2版本主要是在0.1版基础上加了一小部分32位指令(push eax等),使得easyVM可以运行MS-DOS 6.22自带的大部分程序。<br>
2019UNCTF easyvm
weixin_43884935的博客
03-14 1073
虚拟机逆向入门----2019UNCTF easyvm 自己也是个萌新,难得做了一道虚拟机逆向的题目,还是想分享出来 看题目知道这是一个虚拟机逆向题目,运行一下知道这是匹配字符串 之后用IDA64进行分析,主函数的逻辑还是比较清楚的。 先给s上的96字节置0,再给v3分配40字节空间。调用sub_400C1E初始化v3上的内容。用s接收32字符,如果不是32长度就失败,如果是,则调用 v3函数指...
分析easyVM 未完成)
weixin_34198797的博客
10-01 123
E:\test\easyVM_Small_指令解析,cpu虚拟设备虚拟,比如display, DMA, floppy, harddisk, keyboard, PIC, printer, RTC, timer,serial程序flow, 架构低调发布easyVM 0.2版简介:====================easyVM是一个简单的虚拟机。0.1版本只支持8086指令集和一些简单的I/O设...
攻防世界 easyvm
weixin_43798872的博客
12-06 471
攻防世界 进阶 easyvm
2021 羊城杯 EasyVM
abelxu
09-14 757
正好学习一下vm的题目怎么分析 1.简单分析 主函数 1.初始化标准输入输出和错误 2.设置VMcontext 3.xxtea自解密dispatch代码 4.进入dispatch执行 2.解决smc问题 在自解密结束位置下断点,并将内容dump下来. dump脚本 start = 0x80487A8 for idx in range(0x1000): if idx%16 == 0: print("") print(hex(get_wide_byte(start+idx)),end=',
XCTF-2019-tfboys:XCTF 2019最终网络任务“ tfboys”的源代码
05-18
XCTF-2019-tfboys tfboys又名TensorFlow Boys 部署(Python3) pip install -r requirements.txt cd web3 python run.py 迪尔斯 web3/model/default/ : pre-trained LSTM model. exploit/exploit.ipynb : codes...
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
easyVM_v0.2
02-26
easyVM是一个简单的虚拟机。0.1版本只支持8086指令集和一些简单的I/O设备,只支持英文文本显示方式。0.2版本主要是在0.1版基础上加了一小部分32位指令(push eax等),使得easyVM可以运行MS-DOS 6.22自带的大部分程序。
easyfmt(xctf)
weixin_43868725的博客
08-20 437
0x0 程序保护和流程 保护: 流程: main() 可以发现在if中存在格式化字符串漏洞。但需要通过CheckIn()的返回值决定是否执行if中的语句。 通过一个time()获取当前时间,并将当前时间当成srand()的seed,之后根据seed产生出的随机数对5取模再加48存放在v3[0]中,之后将输入的值跟v1进行比较返回结果。 0x1 利用过程 1.想要利用格式化字符串漏洞就必须绕过CheckIn()的限制,因为反汇编出来的源码可能会有一点问题,因此对汇编代码进行分析。 通过分析可知程序将随
vmpwn一&高校战役Easyvm复现
qq_39948058的博客
08-27 276
高校战役Easyvm 前言:本人tcl,刚接触vm不久,这个看了别人的wp感觉难度还可以,决定自己复现一下大佬勿喷哈 此题思路:就是依靠任意地址写来打freehook,然后再一把唆onegadget可以system也可以!! int __cdecl main(int argc, const char argv, const char **envp) { void *buf; // ST2C_4 _DWORD *ptr; // [esp+18h] [ebp-18h] int v5; // [esp+AC
VM pwn入门
weixin_44145820的博客
06-07 2056
VM pwn貌似是最近火起来的一类PWN题。最近打的好几场比赛都出现了VM pwn的题目,正好在BUU上面遇到一道2019年的OGeek中出现的VM pwn题,感觉应该会比较简单,另外听说高校战役里的EasyVM也是偏简单的VM pwn题。本文就主要对这两道题目进行分析。 [OGeek2019 Final]OVM 程序分析 作为VM pwn的第一步就是需要搞清楚指令的格式,操作码和操作数 本题使用的是定长指令,一共32bits,每一个占8bits,但除了操作码能利用完8bits之外,寄存器只占4bits,
XMAN【我真的好菜-同pizza师傅修炼笔记一】easyvm&easywasm
BadRer的博客
08-13 1621
前言 -。-做这两题好想哭-。- 我好菜丫,大佬直接看伪汇编写脚本。我呢,脚本都快看不懂。 wasm wasm虐我千百遍我却待她如初恋。-。 之前遇到过类似的,但是没有仔细的研究,只知道夜影师傅的blog有写过类似的文章,但是没写全。 首先是用wabt项目将wasm转化为c代码,虽然效果感人,但至少比wat要强一点。 一直想要调试它,但我真的好菜,网上找了好多demo不过报了好多奇奇...
re每日一题(20200528)
Prowes5的博客
05-28 287
re每日一题(20200528) BabyDriver 2020GKCTF 64位驱动逆向,函数不是很多。看到\\Driver\\Kbdclass可以感觉是个键盘驱动,且调用了KdDisableDebugger()具有反调试。既然是CTF,就不需要完全分析,直接找关键地方。可以在sub_140001380找到flag的关键。 __int64 __fastcall sub_140001380(__int64 a1, __int64 a2) { __int64 v2; // rbx __int64
pwnable.kr [flag]
shisuan1的博客
11-25 293
pwnable.kr [flag] Papa brought me a packed present! let’s open it. Download : http://pwnable.kr/bin/flag This is reversing task. all you need is binary 题目要求直接看二进制文件。ida打开观察一波 反编译代码如下 __int64 __fastc...
confused_flxg
weixin_43906500的博客
01-08 446
目录 实验步骤 1.测试程序功能 2.使用IDA进行分析 3.查找flag位置 4.使用python解密 实验步骤 本题为Hackergame 2018的一道题目 1.测试程序功能 解压压缩包,执行程序,如下: 按照输入要求输入程序,得到以下结果 使用python解码可知,此flag为错误的 使用peinfo查看文件相关信息 可知文件并未加壳 2.使用IDA进行分析 使用Shift+F12打开字符串表 经过大量经验可知重点关注\n,...
一步一步学 ROP 之 linux_x64 篇-level5
weixin_43489686的博客
02-02 1516
这道题是来自蒸米的一步一步学ROP之linux_x64篇中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
pure_color xctf
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值