攻防世界 Reverse--EASYHOOK

最新推荐文章于 2024-03-23 22:17:23 发布
最新推荐文章于 2024-03-23 22:17:23 发布
阅读量411 收藏 1
点赞数 1
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whiteman2/article/details/119208611
版权

拿到题目先查壳,可以发现无壳
在这里插入图片描述
直接拖进ida分析,搜索main函数
在这里插入图片描述
可以看到flag的长度为19,且有个写文件的操作。我们就运行程序看看,生成的文件长啥样。
在这里插入图片描述
生成了一个Your_input文件,用记事本打开发现里面的内容和我们输入的内容不一致,根据题目的名称提示,怀疑这个程序hook了WriteFile这个api。
在这里插入图片描述
在写入文件之前有一个可疑的函数sub_401220,我们跟进去分析一下.
在这里插入图片描述
可以看到这里获取了当前进程的id 还获取了当前进程的句柄,加载了一个模块,以及获取了一个地址.
在这里插入图片描述
可以看到这两个参数分别对应kernel32.dll,以及WriteFile,说明先去加载了这个kernel32.dll,然后去获取了WriteFile的函数地址.
在这里插入图片描述
后面有一个0xE9 对应的汇编指令为jmp,下面有一个计算偏移的操作。再看函数sub_4010D0()
在这里插入图片描述
是一个前面的byte_40C9BC开始的五个字节写入。对应的就是jmp 某个地址. 而写入的地址为WriteFile的函数地址.说明调用WriteFile后会jmp到sub_401080,即跳到我们自己函数来进行处理,因此对函数sub_401080进行分析.
在这里插入图片描述
也是有写文件的操作 但是前面有一个sub_401000函数 对我们输入的字符串进行了处理.所以最后输出文件的内容跟我们输入的值不一样.进入sub_401000函数进行分析.
在这里插入图片描述
可以看到是经典的异或加密,然后和一个字符串比较.
在这里插入图片描述
现在回到main函数,看下sub_401240函数
在这里插入图片描述
也是进行了一通操作,但是并不会将numberOfBytesWritten的值修改为0,所以真正验证的函数为sub_401000.至此此程序分析结束,开始写脚本.
在这里插入图片描述

#include <iostream>
#include <cstring>
using namespace std;
int main()
{
    unsigned int cmpstr[]={
        0x61,0x6A,0x79,0x67,0x6B,0x46,0x6D,0x2E,0x7F,0x5F,0x7E,0x2D,0x53,0x56,0x7B,0x38,
        0x6D,0x4C,0x6E,0x00
    };
    char flag[20]={0};
    int v3;
    for(int i=0;i<19;i++){
        if(i==18){
            flag[i]=cmpstr[i]^0x13;
        }
        else{
            int v3=cmpstr[i]^i;
            if(i%2){
                flag[i]=v3+i;
            }
            else{
                flag[i+2]=v3;
            }
        }
    }
    for(int i=0;i<19;i++){
        cout<<flag[i];
    }
    system("pause");
    return 0;

    
}

最后结果:
在这里插入图片描述
在最前面补0后,即为结果:
flag{Ho0k_w1th_Fun}

BinaryNoob
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 reverse进阶区 EASYHOOK WP
qq_55785697的博客
03-26 481
基础步骤,拉进IDA中按下f5得到main函数的反汇编代码 <主要流程>:判断输入flag长度是否为19,一个不明函数401220,接着两个API调用(查了一下就是创建文件然后写入内容,这里是将输入的flag也就是buffer中的内容写入文件),又是一个不明函数401240;判断NumberOfBytesWritten的值,为1则flag正确,可以发现这个参数再writefile和401240函数中都有调用到,初步猜测flag在这俩函数内(后续结果证明我是错的)。 双击进入401240函
攻防世界:EasyHook
Lynnette177的博客
09-05 273
先获取writefile这个函数的位置,把这个函数备份下来。然后40C9BC处是个跳转,跳转到401080.之后把BC跳转写到writefile的位置,这样执行到writefile就进入了401080函数。才会是这个程序里用来写文件的函数。然后用40c9b4进行备份,然后把40c9bc写成跳转,后续跳转的地址是401080。401140把40C9B4重新写回来,而这正式我们备份的真正的writefile。按照真正的判断函数,我们重写就可以了,注意要把循环倒过来写。看看401240,是一个假的判断的函数。
EasyHook库系列使用教程之三插入钩子示例
i华仔的专栏
01-21 7034
此篇介绍重点:通过一个实例来介绍如何API HOOK。 实体准备:通过HookToolTest程序,将HookTool注入到记事本中,并钩取记事本的CreateFileA和CreateFileW函数。钩子函数的功能仅记录打开的文件。 原代码下载地址,包括了整个EasyHook的代码和例子代码。 http://download.csdn.net/detail/yuzeh
XCTF-EASYHOOK
TA不懒,但还没有添加简介
01-19 237
XCTF-EASYHOOK
WHCTF 2017 逆向题 CRACKME、BABYRE、EASYHOOK 的解题思路
加号减减号的博客
09-20 3314
WHCTF 2017 的三道简单逆向题 CRACKME、BABYRE、EASYHOOK 的解题思路
攻防世界 reverse easy-153
weixin_41216733的博客
10-08 397
1、peid查壳,为UPX壳,放到kali中用upx -d easy-153脱壳 2、ida查看脱壳程序 if ( !v7 ) { puts("\nOMG!!!! I forgot kid's id"); write(v6, "69800876143568214356928753", 0x1Du); puts("Ready to exit "); e...
react-native-reverse-geo
06-05
从你的项目内部运行npm install react-native-reverse-geo --save 在 XCode 中,在项目导航器中,右键单击Libraries ➜ Add Files to [your project's name] 转到node_modules ➜ react-native-reverse-geo并添加...
fasthttp-reverse-proxy:基于fasthttp的反向http websocket代理
05-10
特征 代理客户端支持的pool 。... proxy "github.com/yeqown/fasthttp-reverse-proxy/v2" ) var ( proxyServer = proxy . NewReverseProxy ( "localhost:8080" ) // use with balancer // weights = map[string]p
reverse-proxy:简单的反向代理应用
06-02
反向代理使用进行简单的反向代理设置。描述这是一个使用 gem 设置的简单 Web 应用程序。 该应用程序允许通过在环境中指定每个主机来代理到多个主机。用法使用rackup运行应用程序: $ rackup config.ru如果要禁用 ...
reverse-im.el
05-06
安装手动的M-x package-install RET reverse-im RET使用使用包改用提供的次要模式(有关详细信息,请参阅 ): ( use-package reverse-im :ensure t :custom (reverse-im-input-methods '( " russian-computer " )) ...
C# easyHook 实例 源码 拿去参考
03-01
C# easyHook 实例 源码 拿去参考
Easyhook示例教程
06-08
EasyHook的使用教程网上几乎没有,找了好久最后只好自己爬官网了,本教程包含两部份示例源码,收集来源官方网站。
rails-reverse-proxy:Ruby on Rails的反向代理
02-06
在您的Gemfile中gem 'rails-reverse-proxy' 然后(您猜对了!) $ bundle用法该gem的一个用例是在Rails应用程序内的路径(例如/blog上提供WordPress。 为此,您的控制器可能看起来像这样class WordpressController ...
攻防世界EASYHOOK
qq_48274326的博客
01-11 508
ida进入主要函数 int __cdecl sub_401000(int a1, int a2) { char i; // al char v3; // bl char v4; // cl int v5; // eax for ( i = 0; i < a2; ++i ) { if ( i == 18 ) { *(_BYTE *)(a1 + 18) ^= 0x13u; } else { if ( i % 2 )
EasyHook XCTF 4th-WHCTF-2017 攻防世界
qq_41071646的博客
06-02 1837
这个题 应该来说 也是很简单的 E9 -5 这些东西一看就知道了 是 hook 然后点进hook 里面就看出来很多东西 直接逆向算法 #include<stdio.h> #include<string.h> #include<algorithm> #include<vector> #include<iostream&...
攻防世界[EASYHOOK]
最新发布
yjh_fnu_ltn的博客
03-23 1214
hook(钩子),就是在执行程序的时候在程序的某个位置(一般在开头位置),安装一个钩子(实际上就是段内跳转的jmp指令),这个钩子的作用时跳到去执行其他函数,从而对当前函数进行阻断。当然,也可以,另外加一个程序在执行完hook的目标函数后,可以对当前被hook的函数进行恢复(上面的题目就是这种),然后再调用它(即上面题目中的writefile函数)。下面我给出一种简单的hook程序,对print_hello函数进行hook,不让其打印hello world,反而其打印我们指定的其他字符串:\n");
XCTF攻防世界进阶区writeup(1-5)
stepone4ward的博客
07-04 1261
1. isc-06 进入题目后看到url后存在参数id,尝试各种注入方式后均无果,使用bp对id参数进行爆破后得到flag。 2.NewsCenter 对search参数进行bool类型的盲注 import requests s=requests.session() url="http://111.198.29.45:38153/index.php" key='' for i in range(1...
CUIT-2017 Re150 攻防世界
qq_41071646的博客
05-31 748
这个题 我日 真的有点东西 其实dump 这东西 谁都会 就算不想写 脚本 恢复的话 也能 直接dump 问题就是 dump之后 怎么修复 让自己看起来更爽一点 2333 dump的话 我就dump了 0x1000字节的 然后 我的 修复起点 在 根据 经验 这里应该就是输入点 然后我们 就慢慢的去除花指令 然后发现 + 类似函数的开头 就试着 创建函数...
EasyHook库系列使用教程之四钩子的启动与停止
i华仔的专栏
10-29 6029
此文的产生花费了大量时间对EasyHook进行深入了解同时参考了大量文档 先来简单比较一下EasyHook与Detour钩取后程序流程 Detours:钩取API函数后,产生两个地址,一个地址对应真Hook函数地址,一个对应真实API地址 EasyHook:钩取API函数后,所有API指向同一地址,通过ACL控制是否跳转到真实API地址
攻防世界reverse
07-27
您好!攻防世界(reverse)是一个CTF(Capture The Flag)比赛平台,旨在提供一个实践和学习网络安全攻防技术的环境。参赛者需要通过解决一系列的安全难题来获取Flag(标志),Flag是一个特定字符串,代表着成功攻击或者防御的证明。 比赛中的难题涵盖了多个领域,包括密码学、二进制漏洞、网络渗透等。参赛者需要利用自己的技术和知识,寻找系统的漏洞并进行攻击,或者保护系统以防止攻击。 攻防世界(reverse)为参赛者提供了一个实践和挑战的平台,通过解决各种问题来提升网络安全技能。同时,参赛者还可以与其他安全爱好者交流经验,提高自己的技术水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值