171011 逆向-Reversing.kr(HateIntel)

最新推荐文章于 2019-06-17 17:56:22 发布
最新推荐文章于 2019-06-17 17:56:22 发布
阅读量400 收藏 1
点赞数
分类专栏: CrackMe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78209367
版权

1625-5 王子昂 总结《2017年10月11日》 【连续第376天总结】
A. reversing.kr
B.

HateIntel

这个标题真刺激……

看起来是mac平台的,只能直接IDA反编译啦╮(╯_╰)╭

ARM平台的反汇编没有接触过,直接F5

IDA大法好(°∀°)ノ

从start函数向后找,在这里发现了关键部分

这里写图片描述

很明显,接收输入后通过sub_232c进行处理,然后循环比较input和byte_3004
这里input玩了一个小花招,vars0取地址-0x5c实际上就是Input的地址,刚开始还没反应过来vars0是啥

那么关键就在于sub_232c里做啥了呢?
这里写图片描述
逐字符循环,每人四次……又调用了一个函数sub_2494来处理字符,藏得真深啊

这里写图片描述

这个函数的a2参数给的一直都是1,所以函数内的循环并没有得到使用……
循环体先*2,再根据bin第9位来对bin第一位赋值

嗯?这个操作有点眼熟啊
不就是rol(v3, 1)吗

先左移一位,然后将溢出第一比特的位(第9位)的值赋给第一位

也就是循环左移操作呀,那么我们根据目标值进行循环右移4位不就行了么

目标值复制,IDC dump出来都可以
脚本:

n = [68, 246, 245, 87, 245, 198, 150, 182, 86, 245, 20, 37, 212, 245, 150, 230, 55, 71, 39, 87, 54, 71, 150, 3, 230, 243, 163, 146]

for i in n:
    for j in range(4):
        p = i & 1
        i = (i >> 1) + p*(0x100>>1)

    print(chr(i),end='')

Do_u_like_ARM_instructi0n?:)

No, I don’t.(╯‵□′)╯︵┻━┻

C. 明日计划
reversing.kr

奈沙夜影
关注
专栏目录
QGLS执业平台 - 又双叒改版了
mamenqi_csdn的博客
08-28 870
ssxmod_itna、ssxmod_itna2、refer__1711
171017 逆向-Reversing.kr(CSharp)
whklhhhh的博客
10-18 665
1625-5 王子昂 总结《2017年10月17日》 【连续第382天总结】 A. reversing.kr B. CSharp标题很明显能看出来是C#,.NET程序 EXEINFOIE和PEiD对.NET的查壳不太好使运行看看,就是一个输入框和按钮直接拖入ILSpy中: Click事件获取输入框的文本,调用MetMetMet MetMetMet中的流程虽然有点凌乱,但是大体上还是能
171010 逆向-Reversing.kr(PEPassword)
whklhhhh的博客
10-11 841
1625-5 王子昂 总结《2017年10月10日》 【连续第375天总结】 A. reversing.kr B.PEPassword给了两个文件,分别是加密过的和原版的 运行原版的发现弹窗Password是?????? IDA能看到这个password的运算,稍微跑一下就出来了 不过当然它不是真正的password啦╮(╯_╰)╭运行Packed.exe出现一个输入框,没有按钮 ID
HateIntel
weixin_42980240的博客
08-30 145
看图标应该是ios的逆向 看reader me,只提示Find The Password 用ida打开,查字符串,找到主函数 int sub_2224() { char v1; // [sp+4h] [bp-5Ch]@1 int v2; // [sp+54h] [bp-Ch]@1 signed __int32 v3; // [sp+58h] [bp-8h]@1 signe...
171002 逆向-Reversing.kr(AutoHotKey)
whklhhhh的博客
10-02 1095
1625-5 王子昂 总结《2017年10月2日》 【连续第367天总结】 A. Reversing.kr-AutoHotKey B.AutoHotKey解压出来一个ReadMe一个exe 这次的ReadMe终于看懂了,要求找到两个md5,解密后以空格连接作为flag 那么这两个md5会以什么形式出现呢……查壳显示UPX,乖乖用工具脱掉后再运行提示“Exe corrupted” 未脱壳的
170613 逆向-CrackMe之023
whklhhhh的博客
06-13 327
1625-5 王子昂 总结《2017年6月13日》 【连续第254天总结】 A. CrackM(19) B. PEiD显示是TASM/MASM写的,貌似是纯汇编?居然有界面 打开,没有弹窗和按钮,只是通过一个文本框来显示正确和错误 在OD中用CTRL+N查看GETWINDOWTEXTA的调用就找到了主程序段 也可以通过查找字符串来锁定 往下拖一些看到了两个字符串,在之前是cmp和j
170929 逆向-Reversing.kr(Ransomware)
whklhhhh的博客
09-29 808
1625-5 王子昂 总结《2017年9月29日》 【连续第362天总结】 A. Reversing.kr-Ransomware B. Ransomwarereadme提示解密文件,运行一堆乱码,估计可能是韩文吧 查壳发现有UPX 用ESP定律手脱下来以后拖入IDA发现main函数块巨大,反编译会一直等待 拖入OD进行跟踪,发现在exit前,位于44ab75的call会飞 跟进去以后是
170923 逆向-Reversing.kr(MusicPlayer)
whklhhhh的博客
09-24 1151
1625-5 王子昂 总结《2017年9月23日》 【连续第356天总结】 A. Reversing.kr-Music Player B. ReadMe显示,现有程序只能播放1分钟,我们需要绕过这个显示从而得到flag,程序有多次检测。从图标和提供的msvbvm60.dll可以知道是VB写的 OD加载发现从ntdll以后F9就直接飞了 用IDA加载也空空如也,只有三个子函数call d
【reversing.kr逆向之旅】Ransomware的writeup
iqiqiya的博客
11-15 631
Exeinfope查到有UPX壳 先使用脱壳机进行脱壳 脱壳后载入IDA   发现直接显示太大无法展示 空格转为文本视图  可以很明显知道  下面红框中的就是一段段花指令 查看最后结束的位置   就在0x0044A775 直接IDC脚本将他们都NOP掉 auto i,start = 0x004135E9,end = 0x0044A775; for(i=start;i&...
171012 逆向-Reversing.kr(SimpleVM)
whklhhhh的博客
10-13 965
1625-5 王子昂 总结《2017年10月12日》 【连续第377天总结】 A. reversing.kr B.SimpleVM本来以为这个标题跟南邮CTF平台上的题目一样,只是个简单的虚拟机壳题…… 没想到南邮的是入门类型,这个是复杂入门类型啊QAQELF文件,拖入IDA发现EP地址在映像范围之外,于是无法正常分析 gdb加载又没有任何函数可下断参考了一下WP,发现可以直接用IDA附
170927 逆向-Reversing.kr(Position)
whklhhhh的博客
09-27 623
1625-5 王子昂 总结《2017年9月27日》 【连续第360天总结】 A. Reversing.kr-Position B.Position惯例先查壳 读Readme可以知道是一个检查Name-Serial的程序,我们需要找到对应Serial为”76876-77776”的Name由于是个GUI程序,只能依靠API或者字符串来定位事件 IDA中没有找到对应的字符串,很是神奇 在OD中
Reversing.kr 全解记录
BadRer的博客
08-28 2758
前言 此篇文章记录了我对Reversing.kr网站的解题过程,有的直接看的wp,有的自己复现了一遍。 先开个头,后续会慢慢补充。 题解 0x0 Easy_CrackMe Ea5yR3versing 0x1 Easy_KeygenMe K3yg3nm3 0x2 Easy_UnpackMe 00401150 0x3 Music_Player LIstenCare 这几题比...
【reversing.kr】ImagePrc 逆向分析
wintersun的地带
11-12 1961
其实这类题目都要用OD做,动态调试能看到的东西更多,而且方便跳转到函数地址。进入正题: 先测一遍有木有加壳 然后用OD打开。运行起来程序,点击check,按暂停,alt+k得到调用栈,推到程序调用messagebox的地址,这里是004013e1 往上拉,看到这个地方。获取了图片资源,我们把图片资源dump出来看下。 使用eXeScope来dump出图片数据,然后用pytho
190617 逆向-神盾杯(Reverse)
热门推荐
whklhhhh的博客
06-17 2万+
突然想起来我还有个博客(…… 这一个月来各种比赛跑,然而主要都是被pizza带飞。得赶紧抽空整理一下各种题目 神盾杯re500的c#没啥思路,本身对.net机制确实没啥深入理解…加入TODOLIST留待日后研究了( babyjs 拿到html后发现按钮调用了checkLogin函数 在控制台输入checkLogin即可看到源码 obfacros 一看题目描述又是--garzon家俊那个混淆狂魔...
190326 逆向-MFC逆向技巧
whklhhhh的博客
03-27 2万+
MFC 简介 微软基础类库(英语:Microsoft Foundation Classes,简称MFC)是微软公司提供的一个类库(class libraries),以C++类的形式封装了Windows API,并且包含一个应用程序框架,以减少应用程序开发人员的工作量。 –百度百科 虽然由于实际应用中MFC似乎即将被淘汰,(据说微软放弃更新十几年,但从版本号和种种迹象来看似乎是还在不断更新的,V...
190407 逆向-西湖论剑杯
whklhhhh的博客
04-08 2万+
Re1-easyCpp IDA打开发现一大堆模板很丑,但仔细看一下其实只有一堆变量来回操作而已 基本上就是各种STL和vector的用法,算法名都保留下来了所以难度下降很多 基本流程是接收输入、生成斐波那契数列的十六项 然后对输入依次使用transform和accumulate算法 分别是遍历vector中的一元运算和二元运算 运算都是自定义的方法,双击算法进去可以看到lambda函数 tra...
190505 逆向-DDCTF2019(Reverse)
whklhhhh的博客
05-06 2万+
咕咕咕咕咕 连续若干CTF以后就是各种考试作业DDL催命_(:з」∠)_ 等这两周各种考察课完了慢慢补各种活儿吧~ 先交一下之前的DDWP-0- 还请各位大佬多指正~ Windows Reverse1 通过段名发现是UPX壳,upx -d脱壳后进行分析 核心函数只是通过data数组做一个转置,反求index即可 值得一说的是data的地址与实际数组有一些偏移 由于输入的可见字符最小下标就是空格的0...
190404 逆向-利用溢出修改TLS的re题
whklhhhh的博客
04-04 2万+
偶然在52上看到 这个帖子 顺手打开看了一下 主函数这里有个错误指令,附近没有跳转所以大概不是花 往上翻一下 标准的try语句,新增了一个异常处理结构 可以看到handler指向了401269+1的地方,而401269正好就是错误指令地址 也就是说相当于一个花了 修正一下变成这个样子 直接输出RROR!然后退出 就全完了233 注意到输入的buff在data段,以及scanf是%s来的,所...
190330 逆向-嘉韦思杯re2
whklhhhh的博客
03-30 2万+
划一波水,re1秒了,re2看起来挺有意思的就处理一下 main函数有一个花指令使得CreateFunction失败 jmp跳到了自己指令的中间部分,NOP掉即可 然后重新在开头按P或者右键CreateFunction就可以F5了 main函数里没啥好说的,这个花不去也无所谓,反正汇编也看得出来call 8048580要返回1才可Correct 先看一下这个函数的CFG 比较像控制流平坦化或...
03-reversing CTF
最新发布
06-06
03-reversing CTF是一种CTF(Capture The Flag)比赛中的一类,重点考察的是逆向工程技能。CTF比赛中,参赛者需要通过解决一系列的难题,获取旗帜(flag)来得分。在03-reversing CTF中,参赛者需要通过对程序进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值