170930 逆向-Reversing.kr(Twist)

最新推荐文章于 2021-02-20 21:04:21 发布
最新推荐文章于 2021-02-20 21:04:21 发布
阅读量660 收藏
点赞数 1
分类专栏: CrackMe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78146134
版权
本文详细介绍了在解决Reversing.kr的Twist题目时遇到的挑战,包括程序的壳、反调试机制、异常处理函数的利用以及通过IDA、OD等工具进行的逆向分析过程。通过分析代码,解密输入验证逻辑,最终揭示了flag的组成和解题思路。
摘要由CSDN通过智能技术生成

1625-5 王子昂 总结《2017年9月30日》 【连续第365天总结】
A. Reversing.kr-Twist
B.

Twist

今天放假回家,在高速上耗了半天(:з」∠)再加上今天的题目恶心到爆炸,于是拖到现在

readme很简单,提示我运行在x86系统上
当时的我没多想,抄着WIN10 x64就运行下去了……嗨呀,前面好几个题目都说明题目一定要反复读透了才能做的

先查壳,EXEINFO说无壳,PEID提示是PASCAL写的无壳
事实证明高兴的太早了

拖入IDA,空荡荡的函数列表告诉我这里面还有猫腻……
F5提示函数内容被写过,那就只能乖乖用OD跟了

往下运行几步就看出来了,代码一边走一边被解密,还是有层保护壳
单步跟到最后一个大跳后,出现了熟悉的OEP:
这里写图片描述

这里我直接用OlleyDump脱壳出来以后,ImportRECR修复也无法运行,放到XP系统下可以运行,拖回物理机用IDA分析时F5提示某个call无法分析

当时没多想,继续OD跟
在_main函数中先SetUnhandledExceptionFilter
这个函数绑定了异常捕获函数,是一种反调试机制:
当有调试器附加时,错误会先报给调试器,导致出错
无调试器时则会调用异常捕获函数
这里写图片描述
可以看到,这一行调用了ds:[edx],而edx=0,出现了错误

直接NOP掉,或者修改EIP到下一行都可以跳过
再往下是很简单的输入、输出和判断结构

004012AA  |.  E8 21FFFFFF   call Twist1_0.004011D0                    ;  print说明
004012AF  |.  E8 4CFFFFFF   call Twist1_0.00401200                    ;  print "input:"
004012B4  |.  E8 67FFFFFF   call Twist1_0.00401220                    ;  scanf
……
NOP
最低0.47元/天 解锁文章
奈沙夜影
关注
专栏目录
【reversing.kr逆向之旅】Twist1的writeup
iqiqiya的博客
01-19 598
将程序载入OllyDbg 直接F8单步的话会直接停止运行     我们先可以单步一次使用ESP定律      接着单步一步一步走就可以     遇到向上的跳转    在他的下一行按F4就可以走到这里 如下图所示    将要跳向OEP 来到OEP后    直接右键OllyDump脱壳  两种方式都保存下    发现方式二可以成功运行 空白区域右键-->中文搜索引擎...
171017 逆向-Reversing.kr(CSharp)
whklhhhh的博客
10-18 672
1625-5 王子昂 总结《2017年10月17日》 【连续第382天总结】 A. reversing.kr B. CSharp标题很明显能看出来是C#,.NET程序 EXEINFOIE和PEiD对.NET的查壳不太好使运行看看,就是一个输入框和按钮直接拖入ILSpy中: Click事件获取输入框的文本,调用MetMetMet MetMetMet中的流程虽然有点凌乱,但是大体上还是能
Twist1_Reversing.kr
09-18
Reversing.kr逆向分析的一道题。
Twist1逆向分析
zhighest的专栏
09-18 901
Reversing.kr上的一个逆向题目…
[V&N2020 公开赛]Backtrace(MT19937:逆向twist
MikeCoke的博客
02-20 777
题目: # !/usr/bin/env/python3 import random flag = "flag{" + ''.join(str(random.getrandbits(32)) for _ in range(4)) + "}" with open('output.txt', 'w') as f: for i in range(1000): f.write(str(random.getrandbits(32)) + "\n") print(flag) 学习文章:
171001 逆向-Reversing.kr(WindowsKernel)
whklhhhh的博客
10-01 484
1625-5 王子昂 总结《2017年10月1日》 【连续第366天总结】 A. Reversing.kr-WindowsKernel B.WindowsKernel解压缩出来readme、WindowsKernel.exe和WinKer.sys吸取之前的教训,先仔细读懂ReadMe再做题: Please authenticate to lowercase. 看不懂(:з」∠)认证,小写?
171002 逆向-Reversing.kr(AutoHotKey)
whklhhhh的博客
10-02 1102
1625-5 王子昂 总结《2017年10月2日》 【连续第367天总结】 A. Reversing.kr-AutoHotKey B.AutoHotKey解压出来一个ReadMe一个exe 这次的ReadMe终于看懂了,要求找到两个md5,解密后以空格连接作为flag 那么这两个md5会以什么形式出现呢……查壳显示UPX,乖乖用工具脱掉后再运行提示“Exe corrupted” 未脱壳的
170923 逆向-Reversing.kr(MusicPlayer)
whklhhhh的博客
09-24 1161
1625-5 王子昂 总结《2017年9月23日》 【连续第356天总结】 A. Reversing.kr-Music Player B. ReadMe显示,现有程序只能播放1分钟,我们需要绕过这个显示从而得到flag,程序有多次检测。从图标和提供的msvbvm60.dll可以知道是VB写的 OD加载发现从ntdll以后F9就直接飞了 用IDA加载也空空如也,只有三个子函数call d
【reversing.kr逆向之旅】Ransomware的writeup
iqiqiya的博客
11-15 637
Exeinfope查到有UPX壳 先使用脱壳机进行脱壳 脱壳后载入IDA   发现直接显示太大无法展示 空格转为文本视图  可以很明显知道  下面红框中的就是一段段花指令 查看最后结束的位置   就在0x0044A775 直接IDC脚本将他们都NOP掉 auto i,start = 0x004135E9,end = 0x0044A775; for(i=start;i&...
170927 逆向-Reversing.kr(Position)
whklhhhh的博客
09-27 628
1625-5 王子昂 总结《2017年9月27日》 【连续第360天总结】 A. Reversing.kr-Position B.Position惯例先查壳 读Readme可以知道是一个检查Name-Serial的程序,我们需要找到对应Serial为”76876-77776”的Name由于是个GUI程序,只能依靠API或者字符串来定位事件 IDA中没有找到对应的字符串,很是神奇 在OD中
笔试遇到的一道题
04-07
笔试遇到的一道题,其实挺简单,希望初学编程的同学可以练一练!
Reversing.kr 全解记录
BadRer的博客
08-28 2783
前言 此篇文章记录了我对Reversing.kr网站的解题过程,有的直接看的wp,有的自己复现了一遍。 先开个头,后续会慢慢补充。 题解 0x0 Easy_CrackMe Ea5yR3versing 0x1 Easy_KeygenMe K3yg3nm3 0x2 Easy_UnpackMe 00401150 0x3 Music_Player LIstenCare 这几题比...
36Kr_测试开发
jingjingliang1995的博客
06-08 610
面试时间:2018.6.8 面试地点:36Kr 面试结果:未通过 面试过程: 首先是一个小哥哥接待我进的会议室,看了我的简历就通知面试官过来。应该是要根据面试岗位通知相应的面试官。大概等了十多分钟,面试官过来开始进行面试。首先简单做自我介绍,然后问了我软件相关的东西,一个问题接着一个问题,觉得像是高考数学大题,每个题问完第一问,还会有第二问,而我总是答不上来第二问(捂脸)。...
190617 逆向-神盾杯(Reverse)
热门推荐
whklhhhh的博客
06-17 2万+
突然想起来我还有个博客(…… 这一个月来各种比赛跑,然而主要都是被pizza带飞。得赶紧抽空整理一下各种题目 神盾杯re500的c#没啥思路,本身对.net机制确实没啥深入理解…加入TODOLIST留待日后研究了( babyjs 拿到html后发现按钮调用了checkLogin函数 在控制台输入checkLogin即可看到源码 obfacros 一看题目描述又是--garzon家俊那个混淆狂魔...
190326 逆向-MFC逆向技巧
whklhhhh的博客
03-27 2万+
MFC 简介 微软基础类库(英语:Microsoft Foundation Classes,简称MFC)是微软公司提供的一个类库(class libraries),以C++类的形式封装了Windows API,并且包含一个应用程序框架,以减少应用程序开发人员的工作量。 –百度百科 虽然由于实际应用中MFC似乎即将被淘汰,(据说微软放弃更新十几年,但从版本号和种种迹象来看似乎是还在不断更新的,V...
190407 逆向-西湖论剑杯
whklhhhh的博客
04-08 2万+
Re1-easyCpp IDA打开发现一大堆模板很丑,但仔细看一下其实只有一堆变量来回操作而已 基本上就是各种STL和vector的用法,算法名都保留下来了所以难度下降很多 基本流程是接收输入、生成斐波那契数列的十六项 然后对输入依次使用transform和accumulate算法 分别是遍历vector中的一元运算和二元运算 运算都是自定义的方法,双击算法进去可以看到lambda函数 tra...
190505 逆向-DDCTF2019(Reverse)
whklhhhh的博客
05-06 2万+
咕咕咕咕咕 连续若干CTF以后就是各种考试作业DDL催命_(:з」∠)_ 等这两周各种考察课完了慢慢补各种活儿吧~ 先交一下之前的DDWP-0- 还请各位大佬多指正~ Windows Reverse1 通过段名发现是UPX壳,upx -d脱壳后进行分析 核心函数只是通过data数组做一个转置,反求index即可 值得一说的是data的地址与实际数组有一些偏移 由于输入的可见字符最小下标就是空格的0...
190404 逆向-利用溢出修改TLS的re题
whklhhhh的博客
04-04 2万+
偶然在52上看到 这个帖子 顺手打开看了一下 主函数这里有个错误指令,附近没有跳转所以大概不是花 往上翻一下 标准的try语句,新增了一个异常处理结构 可以看到handler指向了401269+1的地方,而401269正好就是错误指令地址 也就是说相当于一个花了 修正一下变成这个样子 直接输出RROR!然后退出 就全完了233 注意到输入的buff在data段,以及scanf是%s来的,所...
03-reversing CTF
最新发布
06-06
03-reversing CTF是一种CTF(Capture The Flag)比赛中的一类,重点考察的是逆向工程技能。CTF比赛中,参赛者需要通过解决一系列的难题,获取旗帜(flag)来得分。在03-reversing CTF中,参赛者需要通过对程序进行...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值