170818 逆向-南邮CTF(WxyVM2)

最新推荐文章于 2020-10-07 02:00:45 发布
最新推荐文章于 2020-10-07 02:00:45 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/77368722
版权

1625-5 王子昂 总结《2017年8月18日》 【连续第320天总结】
A. 南邮CTF-WxyVM2
B.
上次没做完的正巧在52破解论坛上看到有人发问了,就摸过来再做做看
跟WxyVM1比较像,不过感觉这题相比VM来说更像花指令~
首先看源码分析,先验证长度为25,然后进行了一大片的加减异或操作,最后与内存中的一个字符串进行比较
上次乍一看大片的加减异或操作不好处理,也没想到怎么将指令dump下来逆操作
这次仔细的分析一下发现大部分的操作都是无意义的:
这里写图片描述
仔细观察,输入在0x694100处,单位为byte,长度为25
也就是说,输入的字符串固定在0x694100-0x694118内,大片的dword操作都是超出这个范围的,它们没有意义
最后的比较字符串位于0x694060处,单位为dword,长度为25,是不变的字符串,直接IDC脚本dump出来即可
那么关键在于如何提取有意义的操作:
我是直接全选IDC反编译出来的命令,掐头去尾,以“;”作为分隔符得到命令集合的列表,然后分析特征:无意义的操作开头为dowrd,所需要的操作开头为byte(另外还有一些自加自减操作需要另外处理)
遍历列表,将有意义的保存下来,然后再分析提取被操作数(即下标)、操作命令和操作数
确认正向测验的脚本结果与动态调试中所查看到的内存无误,说明思路和脚本都正确,将命令加减颠倒,处理字符串改为直接dump出来的结果即可
附上python脚本:


def arr(list, s):  # 分析字符串,将被操作数、命令、操作数分别放入数组
    tmp = [0, ‘’, 0]
    tmp[0] = int(s[9], 10) * 16 + int(s[10], 16)#被操作数下标
    tmp[1] = s[12]#操作符
    tmp[2] = s[15:]#操作数
    if (len(tmp[2]) == 0):#提取失败,为自增/减类型(++byte_xxx型)
        tmp[0] = int(s[11], 10) * 16 + int(s[12], 16)
        # print(i,tmp[0])
        tmp[1] = s[0]
        tmp[2] = '1'
    if (tmp[2][0] is '0'):#操作数为十六进制
        tmp[2] = int(tmp[2][2:-1], 16)
    else:
        if (tmp[2][-1] is 'u'): tmp[2] = tmp[2][:-1]#操作数末尾去除'u'
        tmp[2] = int(tmp[2], 10)
    list.append(tmp)


def positive(list):#正向操作函数
    ori = input("Please input the flag(25):")
    flag = []
    # 提取ASCII并进行操作
    for i in ori:
        flag.append(ord(i))

    for i in list:
        n = flag[i[0]]
        if (i[1] is '+'):
            n = n + i[2]
        if (i[1] is '-'):
            n = n - i[2]
        if (i[1] is '^'):
            n = n ^ i[2]
        flag[i[0]] = n % 256#操作单位为字节,解决溢出

    return flag


def negative(list, ori):#逆向还原函数
    flag = ""

    for i in list[::-1]:
        n = ori[i[0]]
        if (i[1] is '+'):
            n = n - i[2]
        if (i[1] is '-'):
            n = n + i[2]
        if (i[1] is '^'):
            n = n ^ i[2]

        ori[i[0]] = n % 256

    for i in ori:
        flag = flag + chr(i)

    return flag

#operator为IDA反编译出的全部命令
o = operator.split(";")#分割命令形成列表
operators_str = []#初步有效命令列表
operators_com = []#最终分析命令列表

#内存中dump出来的,0x401060的结果
ori = [0xffffffc0, 0xffffff85, 0xfffffff9, 0x6c, 0xffffffe2, 0x14, 0xffffffbb, 0xffffffe4, 0xd, 0x59, 0x1c, 0x23,
       0xffffff88, 0x6e, 0xffffff9b, 0xffffffca, 0xffffffba, 0x5c, 0x37, 0xffffffff, 0x48, 0xffffffd8, 0x1f, 0xffffffab,
       0xffffffa5]

# 去除混淆命令和开头的换行、空格符号
for i in o[:-1]:
    if (i[3] is not 'd'):
        operators_str.append(i[3:])
# 分析
for i in operators_str:
    arr(operators_com, i)

# positive(operators_com)
print(negative(operators_com, ori))

C. 明日计划
NATAS

奈沙夜影
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf攻防平台RE第四题WxyVM1
计算机小白的博客
07-28 3244
今天做了攻防平台RE第四题,链接:http://ctf.nuptsast.com/用Winhex打开以后可以看出来是ELF文件,所以用IDA打开,找到main函数,F5。 可以看出来,程序的意思就是:输入flag,经过sub_4005B6那个函数进行运算,然后长度必须为24,再与最终答案进行比较,检测是否正确。 接下来看那个运行的函数: 6010C0是一个长度为15000的数组,每
电大学 RE-WxyVM2
WocW的博客
09-10 805
把文件拖入IDA进行反编译。然后到main函数F5查看伪代码(IDA7.0版本不能查看伪代码,6.8版本可以) 代码非常好读懂,输入一个数然后处理,然后再与某个字符串对比,完全一样即为flag。 要对比的字符串存在dword_694060 dword为双字类型,即每32位为一个字符。又因为在参与运算时候为BYTE类型 所以只需要取第一个字节,共取25个形成处理后的flag字符串...
cgctf RE WxyVM2
qq_42192672的博客
12-17 373
咕王又来做题了,也不是什么时候会做出来 ELF,直接拖进IDA 这题有个坑,IDA7.0说这个东西太大了,无法转换成伪C代码,貌似别的版本可以,我就换了个6.8,界面的确是丑了点,但至少可以F5了,但是过程真的好漫长 茫茫多的代码,直接拖到最底下 老套路,这里所有的dword运算就是WxyVM1中的函数 第一步,先把dword_694060里无效的数据全部过滤掉,如下 dwo...
CG-CTF WxyVM2
YenKoc的博客
04-10 425
一.原本以为要动调,因为出现了这个,函数太长,无法反编译 后面才知道这玩意可以在ida的配置文件里面去改,直接改成1024. 里面的MAXFUNSIZE改成1024,就可以反编译了,这个长度是超过这个就不让反编译了。 二.反编译F5,这个过程有点久,耐心等待 伪代码贼长,但是仔细分析,大部分都是没用的代码。。。主要是看这个if得出的,这么一长窜的代码,真有烟无伤, 只和这两个字符数组有关...
CTF maze
太菜了
02-27 441
maze 开始没想到迷宫,然后看了main函数还不太长,就慢慢看了。 然后不会,,, 然后看了大佬的WP,发现是迷宫,然后看到Oo0.,应该是上下左右四个方向操作。 然后看相关的函数。 比如 ‘O 应该-- ,而且又是 即V9的地址+1又进入函数。从后面知道,*(v9+1)为列 从后面的函数就可以知道Oo0.为左右上下 。 最后要if ( asc_601060[8 * (signed int)v...
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
比较经典的虚拟机的题目是的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息... 使用场景: ... 其他说明: ...
CTF逆向-简单虚拟机指令类题目分析
11-26
CTF逆向-简单虚拟机指令类题目分析CTF逆向-简单虚拟机指令类题目分析
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
网鼎杯-第三场-逆向-simpleSMC
08-28
2018年8月27日--网鼎杯-第三场-逆向-simpleSMC-------
ctf平台 逆向 WxyVM2
CHOOOU的博客
11-03 596
直接 IDA F5出源代码, 非常好懂,就是做比较 for ( i = 0; i <= 24; ++i ) { if ( *(&byte_694100 + i) != dword_694060[i] ) v1 = 0; } 但是这段代码之前有几万条指令,其中有很多混淆的指令,只有对 byte_694100 ~ byte_694124 的修改才是有用的。 我们要做...
vm类型题目(2) WxyVM2
lhk124的博客
10-07 187
感觉还是缺点vm的味道。应该是题目简单的原因吧。 1.首先题目进去f5的话会出现function too long的问题。 修改ida中的cfg文件夹下的hexrays.cfg中的MAX_FUNCSIZE = 1024(64改为1024) 2.之后f5,等待会。会看到大量的代码 3.可以直接把代码复制下来。用脚本处理这代码也好,手工处理也罢(现在的文本编辑器功能很齐全了)。把数据处理只保存byte的那部分。其中有u -- ++ 这些内容的修整。还有16进制的问...
ctf
天跃
08-03 452
1. 这道题把我做的真的是头上有些凉凉,整了半天才搞出来,内心是相当的崩溃2333333 进到页面一看是个登录的,那我就傻傻的等一下,嗯,是的没有反应,发现下面有个 点进去看看,发现是代码。 <?php if ($_SERVER["REQUEST_METHOD"] == "POST") { ?> <?php ...
系统学习vm虚拟机逆向
苗_的博客
09-16 3760
最近做了两个vm逆向的题,为了理解的更透一点并且动手实践,所以写下这篇博: 首先,来说一下什么是vm逆向? vm逆向 首先这里的虚拟机往往不是商业的vmp之类的保护软件,而是出题人实现的小型虚拟机,题目本身一般也没有实现某些复杂的功能。 基本原理 这里的虚拟机当然并不是指VMWare或者VirtualBox之类的虚拟机,而是指的意思是一种解释执行系统或者模拟器(Emulator)。 所以虚拟机保护技术,是将程序可执行代码转化为自定义的中间操作码(OperationCode,如果操作码是一个字节,一
171217 逆向-HomuraVM
whklhhhh的博客
12-17 884
1625-5 王子昂 总结《2017年12月17日》 【连续第443天总结】 A. CG-CTF(HomuraVM) B. 的Re师傅们真是热爱VM啊……OTZ这一题比WxyVM的两个要难一点,却又比asm汇编级别的解释器简单许多,感谢师傅们(吼姆拉酱?ww)恰到好处的难度控制拖入IDA,结构很清晰 将输入拷贝到一个数组中,然后初始化机器码 变换后进行check很明显解释器就是s
逆向WxyVM1----给同学写的解题思路
thread
09-27 914
给同学写的,上传下当做笔记 两个关键点 第一个函数的作用是改变输入的字符串 第一个函数先放一放 我把改变后的输入字符串设为 输入2 以示和之前原本输入的字符串有区别 看下第二个点 遍历输入2的每一个字符 和dword的数组对比 每一个都要一样 于是提取下这个数组 ata:0000000000601060 dword_601060 dd 0FFFFFFC4h ; DAT...
CG-CTF WxyVM
YenKoc的博客
04-08 406
一. 之前一直以为虚拟机是那种vmp的强壳,下午看了一些文章才逐渐明白虚拟机这个概念,目前ctf中题目出现的都是在程序中相等于内嵌了一个虚拟机,将程序代码转换成自己定义的指令,通过内嵌的虚拟机进行解释,就想jvm解释字节码一样。 这题感觉直接分析数据流也可以逆向出来233,看了令师傅的博客,临时学习了下idapython,原来这玩意这么好用,有点顶,学了点皮毛,看了很多文章,很多骚操作。 找到...
vm类型题目(1) WxyVM1
lhk124的博客
09-24 290
先简单说一下 vm逆向题。vm是什么? 原本的指令用另一种方式实现。比如我看到哪个特征,我就去执行那部分的内容,而这部分的内容会对应一条指令。大致便是这样的意思。无限套娃。 先讲一道相对简单的题目 WxyVM1 根据 switch case到的值:选择运算方式(即对应一条指令) 进行运算。 ...
菜鸟学习C语言——数组地址与数组元素地址
zjq1042970687的博客
08-11 2015
定义一个结构体数组 typedef struct { int a; float b; }Test_T; Test_T c[3]; 那么c、&c、&c[0]有什么区别和联系呢? 数组名c代表数组第一个元素的指针,指向第一个元素(即&c[0]),数组中的其它元素可以通过c的位移得到,即c+i=&c[i]。所以c和&c[0]意义是一样的。 &c数值上等于整个数组的首地址,在数值上与&c[0]相等,含义上代表整个数组所占内存的大小,其进阶单位是
03-reversing CTF
最新发布
06-06
03-reversing CTF是一种CTF(Capture The Flag)比赛中的一类,重点考察的是逆向工程技能。CTF比赛中,参赛者需要通过解决一系列的难题,获取旗帜(flag)来得分。在03-reversing CTF中,参赛者需要通过对程序进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值