- 博客(16)
- 收藏
- 关注
RSS订阅原创 180930 逆向-Flare(4)
binstall xxx firefox.exe题目说明里说不要在物理机使用,尤其是使用firefox的环境 于是谨慎分析将.NET程序用dnspy打开,可以看到经过了符号名的混淆 这个变量名和方法名过长,比较干扰其他符号的阅读,因此使用de4dot反混淆 效果还是蛮好的 虽然符号全部被重命名了,不过这个信息丢失了就不可能还原了,至少这样的可读性要强很多大概分...
2018-08-31 12:08:51
1017
2
原创 180829 网鼎杯(4-apl)
今天这个难度比较恐怖,只做了一个有类似题目的misc-apl,其实觉得比较接近逆向题代码解base64后得到看起来很奇怪的apl代码{⍵(~⍵)/('No_Please_continue')('Yes,This_is_flag')}(∊(41(41)0+140)(⎕UCS('µě»ÕĀ$#Ğ$èáËĞĞĝ`âÞĠ\x9d#"!Ġ"KE(©$#Ğ$Q<k'))146){+/⍺≠33...
2018-08-30 10:25:03
1546
原创 180828 逆向-网鼎杯(3-2)
I_like_packIDA加载一看啥都没有,再根据题目名显然是个壳 windows下脱壳相对而言麻烦一些,ExeInfoPe查壳啊、各种壳的针对性操作啊啥的 Linux下一方面系统开源随便魔改,另一方面有一个/proc/pid/mem的文件可以直接读取进程的内存,使得dump极为容易本题放到系统下跑起来后发现如果输入会回显“NO”,而不输入的话大概三秒就会自动结束 这显然是alar...
2018-08-28 16:23:40
1111
原创 180827 逆向-网鼎杯(3-1)
这两周比赛接着比赛打到头爆。。。。 网鼎杯的题目质量感觉都还行,也练习到了不少东西SimpleSMC 这里的0x400aa6函数点过去一看就可以发现它是乱的字节无法执行,根据题目SMC(Self-Modifying Code)可以猜到这个函数就是被修改的目标了查看它的交叉引用可以发现有两个函数有调用 sub_400c48 关键代码如下 for ( i = 0; *(...
2018-08-28 16:22:17
1365
原创 180826 逆向-巅峰极客第二场(Reverse)
打开以后只有start函数,找不到main函数 但是看得到一个StartAddress 根据经验可以知道这个命名通常是指CreateThread的入口函数 进去看可以发现它设置了一个事件Hook SetWinEventHook(1u, 0x7FFFFFFFu, 0, pfnWinEventProc, 0, 0, 2u); 查了一下手册,前两个参数表示Hook的消息ID范围,从1~0x7f...
2018-08-26 22:11:07
500
原创 180825 逆向-FLARE(2)
比赛地址:FLARE-ON 2018Ultimate Minesweeper打开是个扫雷,点哪都死2333 IDA看一下发现是.NET,于是用dnspy打开二话不说直接找success的窗口类 发现是由参数决定的flag 跟着交叉引用过去看参数 new SuccessPopup(this.GetKey(this.RevealedCells)).ShowDialog();...
2018-08-26 00:45:47
820
1
原创 180824 pwn-WSL下的环境搭建
好几个月前装了WSL(Windows Subsystem for Linux),但是图省事装了Kali的,然后当时源是没法更新的,于是一直放置今天突然发现当时原来没卸载(。 于是又掏出来试了一下,发现源可以正常更新了这个流畅度、手感 比虚拟机快多了 再加上跟主系统直接共享硬盘,随意使用文件,再也不用VirtualTools传来传去 VMWare,再见~话是这么说,系统里其实啥都没...
2018-08-25 00:06:28
1533
4
原创 180823 逆向-网鼎杯(2-2)
gameIDA打开main函数啥有用的信息都看不到 运行一下发现是个八数码问题,要求解10000000次根据提示符去IDA的strings窗口找可以发现内存中存在这部分数据,但是没有交叉引用 说明该字符串在汇编层面是没有引用的一般来说,用户添加的信息会放在一起,所以可以在提示字符串上下翻一翻,果然找到一点有意思的东西 这个\x1BLuaQ很引入注目,大概率就是lua逆向了...
2018-08-23 16:42:29
1021
4
原创 180822 逆向-网鼎杯(2-1)
Reversemartricksmain函数中接收输入以后将input和一个字符串异或一下存入savedregs中 这里7*(i_23/7)+i_23%7这种写法实际上还是i_23,只不过表示成了第x行y列的形式(7个元素/行)两个数组分别存放在了savedregs-192和savedregs-128中 下面两层嵌套循环,中间进行了一个累加的运算 关键是箭头所指向的积的累...
2018-08-22 20:24:47
2232
7
原创 180821 逆向-周练babyre+Retdec配置
mips题目,看起来有点难受 想起来前几天defcon的时候刚好把retdec的环境搭起来,虽然还是有点小问题,但是正好借机解决一下嘛首先看了binary ninja的插件,跑了一下python缺少模块,又找不到它内置的python在哪,查了一下可以在binary ninja的script console窗口中import pip来安装 import pip pip.main(...
2018-08-22 01:34:59
1920
3
原创 180804 逆向-一个Java题的CM
通常来说,java题不会出现在CTF中,因为字节码的关系几乎可以反编译出源码。 这个题目看到了一些新思路,也学到了不少东西~题目解压缩给了一个jar和dll,估计最终还是走到x86汇编上去了 逆向jar,发现java层控制GUI界面,最终将参数直接通过native函数送到了dll中—以前只知道Android可以进行native编程,原来java也是可以同样调用的过程也相同,先loadl...
2018-08-09 01:49:34
278
原创 180803 安卓-SO的反OLLVM实践
业务部提来的需求,自觉搞不来所以随便试试~ 之前找过一些资料,基本上可查阅的只有通过符号执行来反控制流平坦化的,即之前说过的TSRC的那篇文章该文提供的脚本是基于纯PE控制流平坦化之上的,整体执行框架必须满足主分发器-子分发器-真实块-预处理器的流程才行 而实践发现ndk编译出的so,无论是x86架构还是ARM架构都不满足上述框架–cfg相当丑,并且全部没有所谓的预处理器点了几个函数看...
2018-08-09 01:34:49
1064
原创 180802 安卓-脱壳相关
老大给了几个APP让分析,其中大多带有壳,于是记录一下抗争的经历 作为一个只会打CTF的菜狗赛棍而言,其实对壳相关接触的相对很少,只大概知道是通过一些技巧转到so中进行释放dex、解密so等操作最先是的360壳,这个在比赛中遇到过,用drizzleDumper可以轻松拿到原DEX进行分析。它的原理是不断在内存中搜索DEX的头部特征,因此仅能脱下整体DEX还原的壳。后来碰到的是乐固2.8,...
2018-08-09 01:19:29
948
原创 180801 安卓-AndroidEmulator的mount问题
使用DexExtractor时需要替换系统,除了替换systemimage的方法以外就得更改/system/lib中的libdvm.so开发者提供的SystemImage是4.4Arm版本的,而模拟器上由于架构问题都是x86版本的,因此选择了替换libdvm.so等方法由于指定4.4版本,因此模拟器使用AndroidStudio中的VirtualDeviceMonitor来安装使用虚拟机最...
2018-08-06 00:25:35
510
原创 180731 安卓-JNI方法HOOK(1)
在so被混淆,难以阅读代码的情况下,可以通过针对性的Hook来做反制处理 由于native层想要操作包相关的东西包括获取签名、获取类、获取包名等等都必须通过JNI方法,即JNIENV指针指向的方法列表,来获取,包括常用的FindClass, CallMethod等等而这个方法列表是有限的,并且是一个结构体,很容易在C层进行操作,归根结底也是函数指针,那么取而代之是很简单的事情如果能够拿到...
2018-08-01 01:57:35
678
原创 180730 安卓-签名攻防
大多数App、Web等需要和服务器交互的程序中,为了保证请求是由程序自己发出的,通常会结合参数和时间戳通过一些算法来生成一个signature,即签名服务器再通过上述参数和算法同样生成sig,与请求中携带的sig进行比较,不符则认为是第三方调用的,进行特殊处理于是攻击者也会试图获得sig,一种方法是静态分析算法,用脚本如法炮制 静态的防御通过混淆、加壳等手段可以比较好的增加难度而另一...
2018-08-01 01:51:15
255
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人