[XCTF-Reverse] 83 2019_UNCTF_easyvm

最新推荐文章于 2022-12-06 20:54:13 发布
最新推荐文章于 2022-12-06 20:54:13 发布
阅读量467 收藏 2
点赞数 1
分类专栏: CTF reverse 文章标签: reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123805599
版权

到了后边就都不会了,只有这个VM还可以磨磨

主程序非常短,输入32个字节然后就去比较了

signed __int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  unsigned int (__fastcall ***v3)(_QWORD, void *, void *, char *); // rbx
  char s; // [rsp+10h] [rbp-80h]
  int v6; // [rsp+70h] [rbp-20h]
  unsigned __int64 v7; // [rsp+78h] [rbp-18h]

  v7 = __readfsqword(0x28u);
  memset(&s, 0, 0x60uLL);
  v6 = 0;
  v3 = (unsigned int (__fastcall ***)(_QWORD, void *, void *, char *))operator new(0x28uLL);
  sub_400C1E((__int64)v3);
  puts("please input your flag:");
  scanf("%s", &s);
  if ( strlen(&s) != 32 )
  {
    puts("The length of flag is wrong!");
    puts("Please try it again!");
  }
  if ( (**v3)(v3, &unk_602080, &unk_6020A0, &s) != 0 )
  {
    puts("Congratulations!");
    printf("The flag is UNCTF{%s}", &s);
  }
  return 1LL;
}

v3在sub_400C1E 给了一个地址,然后其它的运算都在这个位置上偏移

__int64 __fastcall sub_400C1E(__int64 a1)
{
  __int64 result; // rax

  *(_QWORD *)a1 = off_4010A8;
  *(_QWORD *)(a1 + 8) = 0LL;
  *(_BYTE *)(a1 + 16) = 0;
  *(_BYTE *)(a1 + 17) = 0;
  *(_BYTE *)(a1 + 18) = 0;
  *(_DWORD *)(a1 + 20) = 0;
  *(_QWORD *)(a1 + 24) = 0LL;
  result = a1;
  *(_QWORD *)(a1 + 32) = 0LL;
  return result;
}

偏移多少是哪个函数在数据off_4010A8这有,为方便专门都改了个名字,对应switch里的编号。刚一开始跳转表看串行了,困惑好久,像九阴真经练反了的感觉。

.rodata:00000000004010A8 off_4010A8      dq offset A__main_switch
.rodata:00000000004010A8                                         ; DATA XREF: sub_400C1E+8↑o
.rodata:00000000004010B0                 dq offset A0_16add1
.rodata:00000000004010B8                 dq offset A1_17add1
.rodata:00000000004010C0                 dq offset A2_18add1
.rodata:00000000004010C8                 dq offset A3_16sub18
.rodata:00000000004010D0                 dq offset A4_16xor17
.rodata:00000000004010D8                 dq offset A5_17xor16
.rodata:00000000004010E0                 dq offset A6_16sub51
.rodata:00000000004010E8                 dq offset A7_17in16
.rodata:00000000004010F0                 dq offset A8_18_cd
.rodata:00000000004010F8                 dq offset A9_16e32add18
.rodata:0000000000401100                 dq offset AA_17e32add18
.rodata:0000000000401108                 dq offset AB_16cmp24add18
.rodata:0000000000401110                 dq offset AC_17cmp24add18
.rodata:0000000000401118                 dq offset AD_18gt0x1f

偏移0的时候是主程序。开始的时候从a2[9]开始也就是A9。然后变换*(a1+8)实现了一个循环。+8这可以看成rip,a3指向校验数据在*(a1+24),a4是输入的数据在*(a1+32),另外有模拟3个寄存器+16,+17,+18和一个标志位+20如果处理后的输入字符校验未通过会置标志然后退出。

signed __int64 __fastcall s01_main_switch(__int64 a1, __int64 a2, __int64 a3, __int64 a4)
{
  *(_QWORD *)(a1 + 8) = a2 + 9;                 // A0-AF
  *(_QWORD *)(a1 + 24) = a3;                    // code
  *(_QWORD *)(a1 + 32) = a4;                    // input
  while ( 2 )
  {
    switch ( **(unsigned __int8 **)(a1 + 8) )
    {
      case 0xA0u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 8LL))(a1);
        continue;
      case 0xA1u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x10LL))(a1);
        continue;
      case 0xA2u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x18LL))(a1);// 9
        *(_QWORD *)(a1 + 8) += 11LL;
        continue;
      case 0xA3u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x20LL))(a1);// 2
        *(_QWORD *)(a1 + 8) += 2LL;
        continue;
      case 0xA4u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x28LL))(a1);// 5
        *(_QWORD *)(a1 + 8) += 7LL;
        continue;
      case 0xA5u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x30LL))(a1);// 3
        ++*(_QWORD *)(a1 + 8);
        continue;
      case 0xA6u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x38LL))(a1);// 4
        *(_QWORD *)(a1 + 8) -= 2LL;
        continue;
      case 0xA7u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x40LL))(a1);// 7
        *(_QWORD *)(a1 + 8) += 7LL;
        continue;
      case 0xA8u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x48LL))(a1);
        continue;
      case 0xA9u:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x50LL))(a1);// 1
        *(_QWORD *)(a1 + 8) -= 6LL;
        continue;
      case 0xAAu:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x58LL))(a1);
        continue;
      case 0xABu:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x60LL))(a1);// 6
        *(_QWORD *)(a1 + 8) -= 4LL;
        continue;
      case 0xACu:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x68LL))(a1);
        continue;
      case 0xADu:
        (*(void (__fastcall **)(__int64))(*(_QWORD *)a1 + 0x70LL))(a1);// 10
        *(_QWORD *)(a1 + 8) += 2LL;
        continue;
      case 0xAEu:                               // 8
        if ( *(_DWORD *)(a1 + 20) )
          return 0LL;
        *(_QWORD *)(a1 + 8) -= 12LL;
        continue;
      case 0xAFu:                               // out   11
        if ( *(_DWORD *)(a1 + 20) != 1 )
        {
          *(_QWORD *)(a1 + 8) -= 6LL;
          continue;
        }
        return 1LL;
      default:
        puts("cmd execute error");
        return 0LL;
    }
  }
}

这里面有向个是没有rip变动的,比如A0,A1,A8,AA,AC这如果运行到这就会是死循环,所以这些运行不到。还有几个没有运行函数,是判断跳转语句AE,AF。其它在a1后边的偏移就是前面跳转表上偏移,表示运行哪个函数。

每个函数都很简单,明确以后就可以捋捋加密过程了。

+18这个位置放的是个计数器,相当于for(i=0;i<=31;i++)里的i

先读入一个输入的字符减去序号然后和r2异或(这个异或的r2后边有)。然后再与0xcd异或。然后和校验数据比较不同则退出

成功后会把这个数据(与检验同,逆向时使用检验数据)存入r2,循环下次时使用。

然后就是i++,判断是否结束。

'''
rip: *(a1+8)  A0-AF
r1:  *(a1+16)
r2:  *(a1+17)     
i:   *(a1+18)  *(ptr+i) = flag[i]
code:*(a1+24)  code
ptr: *(a1+32) input flag

1,A9: r1= *[ptr + i]
2,A3: r1-=i 
3,A5: r2^=r1
4,A6: r1 =0xcd
5,A4: r1^=r2
6,AB: cmp(r1,code[i])  #(flag[i]-i)^code[i-1]^0xcd = code[i]
7,A7: r2 =r1 
8,AE: jnz A2           # *(a1+20) == 0
9,A2: i++
10,AD: cmp(i,0x1f)     #结束标志,总行0x1f
11,AF: jmp A9     
'''

所以解码程序就有了(由于用到r2的结果,所以解码要从后向前)

code = bytes.fromhex('00'+'F40AF76499789E7DEA7B9E7B9F7EEB71E800E8079819F425F321A42FF42FA67C')
flag = bytes([(code[i+1]^code[i]^0xcd) + i for i in range(0x1f, -1, -1)])[::-1]
print(flag)    
#942a4115be2359ffd675fa6338ba23b6
#UNCTF{942a4115be2359ffd675fa6338ba23b6}

石氏是时试
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
easyfmt(xctf)
weixin_43868725的博客
08-20 440
0x0 程序保护和流程 保护: 流程: main() 可以发现在if中存在格式化字符串漏洞。但需要通过CheckIn()的返回值决定是否执行if中的语句。 通过一个time()获取当前时间,并将当前时间当成srand()的seed,之后根据seed产生出的随机数对5取模再加48存放在v3[0]中,之后将输入的值跟v1进行比较返回结果。 0x1 利用过程 1.想要利用格式化字符串漏洞就必须绕过CheckIn()的限制,因为反汇编出来的源码可能会有一点问题,因此对汇编代码进行分析。 通过分析可知程序将随
VM pwn入门
weixin_44145820的博客
06-07 2058
VM pwn貌似是最近火起来的一类PWN题。最近打的好几场比赛都出现了VM pwn的题目,正好在BUU上面遇到一道2019年的OGeek中出现的VM pwn题,感觉应该会比较简单,另外听说高校战役里的EasyVM也是偏简单的VM pwn题。本文就主要对这两道题目进行分析。 [OGeek2019 Final]OVM 程序分析 作为VM pwn的第一步就是需要搞清楚指令的格式,操作码和操作数 本题使用的是定长指令,一共32bits,每一个占8bits,但除了操作码能利用完8bits之外,寄存器只占4bits,
easyVM v0.2
07-11
easyVM是一个简单的虚拟机。<br>0.1版本只支持8086指令集和一些简单的I/O设备,只支持英文文本显示方式。<br>0.2版本主要是在0.1版基础上加了一小部分32位指令(push eax等),使得easyVM可以运行MS-DOS 6.22自带的大部分程序。<br>
2019UNCTF easyvm
weixin_43884935的博客
03-14 1076
虚拟机逆向入门----2019UNCTF easyvm 自己也是个萌新,难得做了一道虚拟机逆向的题目,还是想分享出来 看题目知道这是一个虚拟机逆向题目,运行一下知道这是匹配字符串 之后用IDA64进行分析,主函数的逻辑还是比较清楚的。 先给s上的96字节置0,再给v3分配40字节空间。调用sub_400C1E初始化v3上的内容。用s接收32字符,如果不是32长度就失败,如果是,则调用 v3函数指...
分析easyVM 未完成)
weixin_34198797的博客
10-01 125
E:\test\easyVM_Small_指令解析,cpu虚拟设备虚拟,比如display, DMA, floppy, harddisk, keyboard, PIC, printer, RTC, timer,serial程序flow, 架构低调发布easyVM 0.2版简介:====================easyVM是一个简单的虚拟机。0.1版本只支持8086指令集和一些简单的I/O设...
攻防世界 easyvm
weixin_43798872的博客
12-06 472
攻防世界 进阶 easyvm
2021 羊城杯 EasyVM
abelxu
09-14 762
正好学习一下vm的题目怎么分析 1.简单分析 主函数 1.初始化标准输入输出和错误 2.设置VMcontext 3.xxtea自解密dispatch代码 4.进入dispatch执行 2.解决smc问题 在自解密结束位置下断点,并将内容dump下来. dump脚本 start = 0x80487A8 for idx in range(0x1000): if idx%16 == 0: print("") print(hex(get_wide_byte(start+idx)),end=',
easyVM_v0.2
02-26
easyVM是一个简单的虚拟机。0.1版本只支持8086指令集和一些简单的I/O设备,只支持英文文本显示方式。0.2版本主要是在0.1版基础上加了一小部分32位指令(push eax等),使得easyVM可以运行MS-DOS 6.22自带的大部分程序。
vmpwn一&高校战役Easyvm复现
qq_39948058的博客
08-27 277
高校战役Easyvm 前言:本人tcl,刚接触vm不久,这个看了别人的wp感觉难度还可以,决定自己复现一下大佬勿喷哈 此题思路:就是依靠任意地址写来打freehook,然后再一把唆onegadget可以system也可以!! int __cdecl main(int argc, const char argv, const char **envp) { void *buf; // ST2C_4 _DWORD *ptr; // [esp+18h] [ebp-18h] int v5; // [esp+AC
XMAN【我真的好菜-同pizza师傅修炼笔记一】easyvm&easywasm
BadRer的博客
08-13 1624
前言 -。-做这两题好想哭-。- 我好菜丫,大佬直接看伪汇编写脚本。我呢,脚本都快看不懂。 wasm wasm虐我千百遍我却待她如初恋。-。 之前遇到过类似的,但是没有仔细的研究,只知道夜影师傅的blog有写过类似的文章,但是没写全。 首先是用wabt项目将wasm转化为c代码,虽然效果感人,但至少比wat要强一点。 一直想要调试它,但我真的好菜,网上找了好多demo不过报了好多奇奇...
re每日一题(20200528)
Prowes5的博客
05-28 287
re每日一题(20200528) BabyDriver 2020GKCTF 64位驱动逆向,函数不是很多。看到\\Driver\\Kbdclass可以感觉是个键盘驱动,且调用了KdDisableDebugger()具有反调试。既然是CTF,就不需要完全分析,直接找关键地方。可以在sub_140001380找到flag的关键。 __int64 __fastcall sub_140001380(__int64 a1, __int64 a2) { __int64 v2; // rbx __int64
pwnable.kr [flag]
shisuan1的博客
11-25 293
pwnable.kr [flag] Papa brought me a packed present! let’s open it. Download : http://pwnable.kr/bin/flag This is reversing task. all you need is binary 题目要求直接看二进制文件。ida打开观察一波 反编译代码如下 __int64 __fastc...
confused_flxg
weixin_43906500的博客
01-08 449
目录 实验步骤 1.测试程序功能 2.使用IDA进行分析 3.查找flag位置 4.使用python解密 实验步骤 本题为Hackergame 2018的一道题目 1.测试程序功能 解压压缩包,执行程序,如下: 按照输入要求输入程序,得到以下结果 使用python解码可知,此flag为错误的 使用peinfo查看文件相关信息 可知文件并未加壳 2.使用IDA进行分析 使用Shift+F12打开字符串表 经过大量经验可知重点关注\n,...
一步一步学 ROP 之 linux_x64 篇-level5
weixin_43489686的博客
02-02 1519
这道题是来自蒸米的一步一步学ROP之linux_x64篇中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
pwnable.kr echo1
you_need_me的博客
06-10 418
int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int *v3; // rsi _QWORD *v4; // rax unsigned int v6; // [rsp+Ch] [rbp-24h] __int64 v7; // [rsp+10h] [rbp-20h] __int...
在栈和堆分配内存
心想事成
10-26 450
在栈和堆分配内存LUNICODE_STRING Src ; LUNICODE_STRING *Dst1 = new LUNICODE_STRING(); LUNICODE_STRING Dst2; RtlInitLUnicodeString(&Dst2, L""); RtlInitLUnicodeString(&Src, L"microsoft-windows-ie-windows-internet
路径转入
心想事成
10-26 304
字符串转入//----- (000000018019C55C) ---------------------------------------------------- __int64 __fastcall Windows::COM::ConvertIn(Windows::COM *this, const unsigned __int16 *a2, struct _LUNICODE_STRING *
函数调用方式
Learning_zhang的博客
07-31 460
#include #include //通过栈传入值的话 void _fastcall funcFast(int a, int b) { 001C1B2F pop ecx 001C1B30 mov dword ptr [b],edx 001C1B33 mov dword ptr [a],ecx printf("%d", a+b
2019UNCTF-RE-very_easy_re
zippo1234的博客
11-13 333
2019UNCTF-RE-very_easy_revery_easy_re题目解析开始1.题目2.查壳3.IDA静态分析4.上脚本5.get flag结语 每天一题,只能多不能少 very_easy_re 题目解析 的确是very easy,不过不是对我。base64再加简单的转换。 开始 1.题目 给出一个exe程序。 2.查壳 32位,无壳 3.IDA静态分析 丢进IDA。习惯性查字符,找到input。跟踪,交叉,伪代码,得到 sub_411320(&unk_423025); i = 0;
pure_color xctf
最新发布
07-16
### 回答1: pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于网络攻防、密码学、逆向工程等。通过参与这些比赛,参赛者可以提升自己的技能,了解最新的安全威胁和攻击技术,锻炼解决问题的能力。 pure_color xctf的比赛模式多样,可以是个人或团队参与。参赛者需要在限定的时间内完成一系列的题目,这些题目可能包含漏洞分析、编程挑战、数据分析等。比赛过程中,参赛者需要运用各种技术手段,如渗透测试、代码审计、漏洞利用等,解决题目的要求。参赛者不仅需要具备网络安全相关的知识,还需要具备良好的团队合作和解决问题的能力。 此外,pure_color xctf也为参赛者提供了一个交流平台。比赛期间,参赛者可以在平台上与其他选手交流经验、讨论解题思路。参赛者也可以通过竞赛结果来评估自己的能力,并与其他选手进行切磋比拼。 总之,pure_color xctf是一个举办网络安全竞赛的平台,旨在为安全爱好者和专业人士提供学习和交流的机会,促进网络安全技术的发展。 ### 回答2: pure_color xctf 是一项竞技性的网络安全挑战赛。XCCTF 是全球知名的网络安全竞赛组织之一,而 pure_color 是该竞赛组织内的一项赛事。该赛事旨在提升参赛者的网络安全技能和知识,让他们在一个仿真的网络环境中进行攻防对抗。 在 pure_color xctf 中,参赛队伍将根据题目要求进行网络攻击和防御。这些题目有不同的难度级别,并涵盖了各种不同的网络安全技术和攻击类型。参赛队伍将需要利用他们的知识和技能,像真实的黑客一样去攻击系统漏洞,获取目标系统内的敏感信息或是直接控制目标系统。同时,他们也需要通过搭建防御策略和系统来保护自己的系统免受攻击。 pure_color xctf 不仅仅是一个交流学习的平台,也是一个展示能力的舞台。优胜的参赛队伍将会被邀请参加更高级别的网络安全竞赛和会议,进一步提升他们的技能并扩展职业网络。此外,pure_color xctf 也为参赛者提供了一个找到职业机会的平台,很多安全公司和组织会在赛事期间招聘优秀的选手。 总而言之,pure_color xctf 是一个有挑战性的网络安全竞赛,旨在通过攻击和防御对抗提升参赛者的技能,并为他们提供职业发展和展示的机会。同时,这个赛事也在促进网络安全领域的交流和合作,为提升整个网络安全行业的水平做出贡献。 ### 回答3: pure_color xctf 是一个CTF(Capture The Flag,夺旗赛)竞赛平台。CTF是一种网络安全竞赛,旨在让参赛者通过解决一系列的密码学、逆向工程、漏洞利用等问题来获取旗标,比赛者可以通过这些旗标来获取积分并竞争排名。 pure_color xctf 平台是一个为CTF竞赛提供的一个在线环境,类似于一个实验室,用于举办CTF比赛。在这个平台上,参赛者可以注册账号并加入已经发布的CTF赛事中。赛事中的题目被分为不同的难度级别,涵盖了各种安全领域的知识。参赛者需要通过解决题目中的任务来获取旗标,并将其提交到平台上进行验证。在比赛结束后,将根据参赛者解决的题目数量、用时、积分等因素来计算最终排名,并颁发奖励给获胜者。 pure_color xctf 提供了逼真的仿真环境,使得参赛者能够在一个安全的网络环境下进行实时的攻防演练。平台上的题目多样化且具有挑战性,旨在让参赛者将所学的理论知识应用到实际场景中去,并培养解决问题和团队合作的能力。同时,pure_color xctf 还为参赛者提供了交流平台,方便他们在比赛过程中与其他参赛者交流经验、技巧以及解题思路。 总之,pure_color xctf 是一个提供CTF竞赛平台的在线环境,旨在鼓励参赛者在安全领域中深入学习和实践,并通过解决各种挑战赛题目来提升技能和知识水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值