180821 逆向-周练babyre+Retdec配置

最新推荐文章于 2024-06-22 15:30:00 发布
最新推荐文章于 2024-06-22 15:30:00 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/81917173
版权
本文记录了一次使用Retdec逆向MIPS程序时遇到的问题及解决过程,包括Python模块安装、Windows环境下运行sh脚本的适配、ida插件依赖的环境配置以及反编译后的代码分析。最终通过调整环境和脚本,成功完成反编译并识别出关键函数,辅助解密得到flag。
摘要由CSDN通过智能技术生成

mips题目,看起来有点难受
想起来前几天defcon的时候刚好把retdec的环境搭起来,虽然还是有点小问题,但是正好借机解决一下嘛

首先看了binary ninja的插件,跑了一下python缺少模块,又找不到它内置的python在哪,查了一下可以在binary ninja的script console窗口中import pip来安装

import pip
pip.main([‘install’, ‘–quiet’, ‘packagename’])

装好以后直接打不开了- =
幸亏有一颗debug的心,把另一个插件generate_index.py移除以后就行了..有点神奇

然后跑一下,log窗口报错架构不支持,明明就是Mips啊╮(╯_╰)╭

去找了init.py来看

self.cmdline = [‘retdec-decompiler.sh’]
self.cmdline.append(‘-m’)
self.cmdline.append(‘raw’)

self.cmdline.append(‘-a’)
self.cmdline.append(self.arch)

self.cmdline.append(‘-e’)
self.cmdline.append(self.endianness)

self.cmdline.append(‘–backend-no-debug-comments’)
self.cmdline.append(‘–cleanup’)

p = Popen(self.cmdline, stdout=PIPE, stderr=PIPE)

我这windows怎么用管道跑sh啊?!
这适配简直了……无奈放弃

回头继续搞IDA的插件
它依赖于msys的mingw程序,以前搞gcc的时候也装过一个Mingw的程序,可以在win上运行sh脚本,包括strings\grep等等小程序

IDA这边可以看到log都打完了,Run Decompile已经完成了,最后却报了一个exit code -1

最尴尬的是IDA起的cmd窗口在错误以后直接消失,根本看不到最后出错的log
所以说log是非常重要的orz

还好IDA的报错窗口把idapython的命令 system(sh’xxxx’)显示出来,因此可以在Mingw中手动运行该命令

Running phase: emission of the target code [c] ( 0.11s )
Running phase: finalization ( 0.12s )
Running phase: cleanup ( 0.13s )
/usr/bin/env: ‘python3’: No such file or directory

`##### Done!

可以看到,最后一条python3未找到就是报错的原因了
去retdec-decompiler.sh中搜了一下一个python也没有
最后看到开头

`#!/usr/bin/env bash

哦~是某个文件要求用python3来解释失败了
其实也可以直接在env中写入一个python3的,然而我不太会玩这东西..

试了一下发现MingW里有个python3.6,那么只要令这里的对应关系修复就可以了
到文件夹里找一下,果然有个retdec-color-c.py打开一看,第一行就/是>`#!/usr/bin/env python3

把3去掉,再跑一遍终于成功√

然而IDA里还是报错orz
明天再调试吧

此时命令行跑起来以后,文件夹下已经出现了.c文件,可以勉强用啦~

反编译效果不是很好,但是对于循环和参数的识别帮助比较大
例如main函数中的这段就很明显可以看出是逐字符check

while (true) {
        char v4 = *(char *)(v2 + v3); // 0x400d14
        int32_t v5 = v3 + 1; // 0x400d30
        if (*(char *)(v3 + (int32_t)&g2) != v4) {
            // 0x400d20
            exit(0);
            // UNREACHABLE
        }
        // 0x400d38
        if (v5 >= strlen((char *)v2)) {
            // break -> 0x400d58
            break;
        }
        v3 = v5;
        // continue -> 0x400cf4
    }

关键内容在于这之前的变换sub_400790中
这个函数看起来就很蛋疼了

int32_t sub_400790(
最低0.47元/天 解锁文章
奈沙夜影
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
攻防世界BABYRE_简单shellcode的逆向_017
weixin_43281394的博客
03-19 330
攻防世界BABYRE_简单shellcode的逆向
retdec:RetDec是基于LLVM的可重定位机器代码反编译器
02-22
保留时间 是基于的可重定位机器码反编译器。 反编译器不限于任何特定的目标体系结构,操作系统或可执行文件格式: 支持的文件格式:ELF,PE,Mach-O,COFF,AR(存档),Intel HEX和原始机器代码 支持的架构: 32位:Intel x86,ARM,MIPS,PIC32和PowerPC 64位:x86-64,ARM64(AArch64) 特征: 对可执行文件进行静态分析,并提供详细信息。 编译器和打包程序检测。 加载和指令解码。 基于签名的静态链接库代码的删除。 提取和利用调试信息(DWARF,PDB)。 重构教学习语。 C ++类层次结构(RTTI,vtables)的检测和重建。 从C ++二进制文件(GCC,MSVC,Borland)解符号。 重构功能,类型和高级构造。 集成反汇编器。 以两种高级语言输出:C和类似Python的语言。 调
RetDec:一款功能强大的基于LLVM的可重定目标机器代码反编译器
最新发布
2401_84466316的博客
06-22 807
1、提供带有详细信息的可执行文件静态分析数据;2、编译器和封装器检测;3、加载和指令解码;4、基于签名的静态链接库代码移除;5、提取和利用调试信息(DWARF、PDB);6、指令语法重构;7、C++类层次结构(RTTI、vtables)的检测和重构;8、从C++二进制文件(GCC、MSVC、Borland)中分离符号;9、函数、类型和高级构造器重构;10、整合反汇编工具;11、以两种高级语言输出:C和类似Python的语言;12、生成调用图、控制流图和各种统计信息;
retdec
cya的专栏
04-11 149
1.openssl1.1.1k 安装:2.yaraccd retdecmake -j4。
RetDec是基于LLVM的可重定位机器代码反编译器。-C/C++开发
05-26
RetDec RetDec是基于LLVM的可重定位机器代码反编译器。 反编译器不限于任何特定的目标体系结构,操作系统或可执行文件格式:支持的文件格式:ELF,PE,Mac RetDec RetDec是基于LLVM的可重定位的机器代码反编译器。 反编译器不限于任何特定的目标体系结构,操作系统或可执行文件格式:支持的文件格式:ELF,PE,Mach-O,COFF,AR(存档),Intel HEX和原始机器代码支持的体系结构:32-位:Intel x86,ARM,MIPS,PIC32和PowerPC 64位:x86-64,ARM64(AArch64)功能:对可执行文件进行静态分析,并提供详细信息。 编译器和打包程序检测。 加载
连城县隔川中学九年级数学周练---2015.0410.doc
10-12
22. 线性规划问题:根据已知条件建立线性方程组,求解车辆的最优配置。 以上知识点涵盖了初中数学中的基本概念、运算规则、几何图形性质、概率统计、函数分析以及实际应用问题的解决策略,这些都是学生在九年级数学...
河北望都中学2017-2018年高二上地理周练试题.doc
08-19
河北望都中学2017-2018年高二上地理周练试题.doc
江西省信丰中学2012-2013学年高二化学下学期周练7
08-19
江西省信丰中学2012-2013学年高二化学下学期周练7
DP周练3kghfkjtdfkfkygk
03-16
由于标题与描述均为一串看似随机的字符“DP周练3kghfkjtdfkfkygk”,我们可以推测这可能是一次特定的练习或比赛中的题目编号,具体题目内容并未给出。但从后续的部分内容来看,题目涉及的是键盘购买问题,并采用了...
七年级数学下学期周练试卷6(无答案) 苏科版
08-19
这篇资料是针对七年级学生的一份数学周练试卷,涵盖了多项式、因式分解、完全平方公式、代数运算和几何问题等多个知识点。以下是详细解释: 1. **多项式提取公因式**:题目中出现了多项式的公因式提取,如222baba和...
cpp-RetDec一个基于LLVM可重定位的机器码反编译器
08-16
RetDec一个基于LLVM可重定位的机器码反编译器
Python-二进制Ninja插件使用RetDecAPI反编译二进制文件
08-10
二进制Ninja插件使用RetDec API反编译二进制文件
cpp-用于IDA的RetDec插件InteractiveDisassembler
08-16
用于IDA的RetDec插件(Interactive Disassembler)
retdec-python:一个Python库和工具,可通过其REST API轻松访问retdec.com反编译服务
03-03
retdec-python 警告 反编译服务将被禁用(请参阅)。 这将使当前存储库中的库和工具不起作用。 我将保持资源库在线,以防对任何人有帮助。 描述 Python库和工具可通过其公共轻松访问反编译服务。 您可以将库合并到自己的脚本中: from retdec . decompiler import Decompiler decompiler = Decompiler ( api_key = 'YOUR-API-KEY' ) decompilation = decompiler . start_decompilation ( input_file = 'file.exe' ) decompilation . wait_until_finished () decompilation . save_hll_code () 或者,您可以使用提供的脚本进行独立的反编译: $ decomp
二进制反汇编工具 retdec(Windows)
桃子小迷妹
10-10 3768
二进制反汇编工具 retdec(Windows)
安全软件公司Avast开源化机器码反编译器RetDec | 试用篇
joshua2011的专栏
01-11 2095
之前的文章  cool -- 安全软件公司Avast开源化机器码反编译器RetDec 昨天试用了一下 安全软件公司Avast开源化机器码反编译器RetDec,一个字,非常非常非常耗内存,16G的内存都不够。 但结果还是可以的,好家伙,它是以反编译出来的代码还能再编译为目标。 已经没有内存去运行截图软件了,只能用手机拍了,手抖。 Out of memo
探索RetDec: 一款强大的反汇编器与二进制转换框架
gitblog_00011的博客
03-20 496
探索RetDec: 一款强大的反汇编器与二进制转换框架 retdecRetDec is a retargetable machine-code decompiler based on LLVM.项目地址:https://gitcode.com/gh_mirrors/re/retdec 是一个开源、跨平台的反汇编器和二进制文件转换框架,由Avast公司开发并维护。它基于C++构建,旨在提供一种可扩...
retdec笔记-centerOS7安装
cyong1000的专栏
12-01 1395
retdec安装笔记
ida pro 7.0安装插件retdec
love_wjk的博客
10-09 3903
安装retdec-idaplugin 下载 retdec-idaplugin v0.7 下载并解压后,将里面的retdec.dll放到ida的plugins目录下 安装retdec反编译工具 下载 retdec v3.2 配置 打开IDA 点击About program… 然后一路ok下去,再点击[options] -> [retdec Plugin Settings] 配置python解释器以及反编译器以后,可以使用快捷键[ctrl+D]反编译代码 ps:本人亲测,IDA Pro 7.0中
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值