secret-父子进程信号交互

最新推荐文章于 2024-04-03 17:17:21 发布
最新推荐文章于 2024-04-03 17:17:21 发布
阅读量398 收藏
点赞数
分类专栏: 逆向 题目的整理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlz_lc_4/article/details/104488312
版权
secret文章目录secret获取codecode - 汇编代码分析code解密对这个题目可以说一直很迷,一直感觉毫无问题,但是写python脚本就是不对,今天又想起来了,拿c按着他的加密方式i写了一个,结果还真ok了,c中的程序中使用的是一个uint_32类型,然后python中数据长度会溢出, 然后之前一直试图去用& 去控制,但是也很尴尬的一直没弄好,题目文件:https:...
摘要由CSDN通过智能技术生成

secret

文章目录

hgameweek4的题目
对这个题目可以说一直很迷,一直感觉毫无问题,但是写python脚本就是不对,今天又想起来了,拿c按着他的加密方式i写了一个,结果还真ok了,c中的程序中使用的是一个uint_32类型,然后python中数据长度会溢出, 然后之前一直试图去用& 去控制,但是也很尴尬的一直没弄好,
题目文件:
https://www.jianguoyun.com/p/DeAJhdAQiNbmBxi4xuIC (访问密码:WBhhV3)
emmm 百度网盘卡住没打开? 明天补一个

获取code

在这里插入图片描述

首先进入main函数是这样的,中间他监听了一个端口,从这个端口获取了一段code, 并运行起来,这里就隐藏掉了程序中间加密的位置,想起来了前面那个自解密的题目, 尝试动调下,但是在main函数之前会推出来,当时翻了下函数表乱乱的,

后来发现这个函数是0x4017EF的这个函数: 中间随便的位置跳一下就可以了

当时就直接像那个脱壳的题目gdb去attach上去看看,

在查进程的时候就可以发现有两个进程,其中的一个是另一个的子进程

在这里插入图片描述

然后挂上显示在等待输入的子进程, 会停在read的位置,这时候我们去读取那个code位置的数据就可以读取到,

x/200i 0x401BFC, 可以得到这段汇编代码:

code - 汇编代码

      0x401bfc:	push   rbp
      0x401bfd:	mov    rbp,rsp
      0x401c00:	sub    rsp,0x20
      0x401c04:	mov    DWORD PTR [rbp-0x10],0x9e3779b9
      0x401c0b:	call   0x400a70 <getppid@plt>
      0x401c10:	mov    ecx,eax
      0x401c12:	mov    rax,QWORD PTR [rbp-0x10]
      0x401c16:	mov    rdx,rax
      0x401c19:	mov    esi,0x22
      0x401c1e:	mov    edi,ecx
      0x401c20:	call   0x400a40 <sigqueue@plt>   ;sigqueue(pid, 0x22)


      0x401c25:	mov    edi,0x3e8
      0x401c2a:	call   0x400ab0 <usleep@plt>

      0x401c2f:	mov    DWORD PTR [rbp-0x10],0x9e3779b9

      0x401c36:	call   0x400a70 <getppid@plt>
      0x401c3b:	mov    ecx,eax
      0x401c3d:	mov    rax,QWORD PTR [rbp-0x10]
      0x401c41:	mov    rdx,rax
      0x401c44:	mov    esi,0x23
      0x401c49:	mov    edi,ecx
      0x401c4b:	call   0x400a40 <sigqueue@plt>    ;sigqueue(pid, 0x23)

      0x401c50:	mov    edi,0x3e8
      0x401c55:	call   0x400ab0 <usleep@plt>

      0x401c5a:	mov    DWORD PTR [rbp-0x10],0x9e822efc

      0x401c61:	call   0x400a70 <getppid@plt>
      0x401c66:	mov    ecx,eax
      0x401c68:	mov    rax,QWORD PTR [rbp-0x10]
      0x401c6c:	mov    rdx,rax
      0x401c6f:	mov    esi,0x23
      0x401c74:	mov    edi,ecx
      0x401c76:	call   0x400a40 <sigqueue@plt>    ;sigqueue(pid, 0x23)

      0x401c7b:	mov    edi,0x3e8
      0x401c80:	call   0x400ab0 <usleep@plt>

      0x401c85:	mov    DWORD PTR [rbp-0x10],0xda278c92

      0x401c8c:	call   0x400a70 <getppid@plt>
      0x401c91:	mov    ecx,eax
      0x401c93:	mov    rax,QWORD PTR [rbp-0x10]
      0x401c97:	mov    rdx,rax
      0x401c9a:	mov    esi,0x23
      0x401c9f:	mov    edi,ecx
      0x401ca1:	call   0x400a40 <sigqueue@plt>    ;sigqueue(pid, 0x23)

      0x401ca6:	mov    edi,0x3e8
      0x401cab:	call   0x400ab0 <usleep@plt>

      0x401cb0:	mov    DWORD PTR [rbp-0x10],0x4e355a62

      0x401cb7:	call   0x400a70 <getppid@plt>
      0x401cbc:	mov    ecx,eax
      0x401cbe:	mov    rax,QWORD PTR [rbp-0x10]
      0x401cc2:	mov    rdx,rax
      0x401cc5:	mov    esi,0x23
      0x401cca:	mov    edi,ecx
      0x401ccc:	call   0x400a40 <sigqueue@plt>   ;sigqueue(pid, 0x23)

      0x401cd1:	mov    edi,0x3e8
      0x401cd6:	call   0x400ab0 <usleep@plt>

      0x401cdb:	mov    DWORD PTR [rbp-0x18],0x0
<<<   0x401ce2:	jmp    0x401dbd                            ;for i in range(6):

>>>   0x401ce7:	mov    rdx,QWORD PTR [rip+0x20161a]        # 0x603308
      0x401cee:	mov    eax,DWORD PTR [rbp-0x18]
      0x401cf1:	shl    eax,0x3
      0x401cf4:	cdqe   
      0x401cf6:	add    rax,rdx
      0x401cf9:	mov    edx,0x8
      0x401cfe:	mov    rsi,rax            ;buf
      0x401d01:	mov    edi,0x0
      0x401d06:	call   0x4009d0 <read@plt>        ;read

      0x401d0b:	mov    rax,QWORD PTR [rip+0x2015f6]        # 0x603308 >>  0x7f....
      0x401d12:	mov    QWORD PTR [rbp-0x10],rax

      0x401d16:	call   0x400a70 <getppid@plt>
      0x401d1b:	mov    ecx,eax
      0x401d1d:	mov    rax,QWORD PTR [rbp-0x10]
      0x401d21:	mov    rdx,rax
      0x401d24:	mov    esi,0x24
      0x401d29:	mov    edi,ecx
      0x401d2b:	call   0x400a40 <sigqueue@plt> ;sigqueue(pid, 0x24)
      0x401d30:	mov    edi,0x3e8
      0x401d35:	call   0x400ab0 <usleep@plt>

      0x401d3a:	mov    DWORD PTR [rbp-0x14],0x0
   <  0x401d41:	jmp    0x401d98                        ; for  j in range(0x1f):

   >  0x401d43:	call   0x400a70 <getppid@plt>
      0x401d48:	mov    esi,0x25
      0x401d4d:	mov    edi,eax
      0x401d4f:	call   0x400a30 <kill@plt>    ;kill(pid, 0x25)
      0x401d54:	mov    edi,0x3e8
      0x401d59:	call   0x400ab0 <usleep@plt>

      0x401d5e:	call   0x400a70 <getppid@plt>
      0x401d63:	mov    esi,0x26
      0x401d68:	mov    edi,eax
      0x401d6a:	call   0x400a30 <kill@plt>     ;kill(pid, 0x26)
      0x401d6f:	mov    edi,0x3e8
      0x401d74:	call   0x400ab0 <usleep@plt>

      0x401d79:	call   0x400a70 <getppid@plt>
      0x401d7e:	mov    esi,0x27
      0x401d83:	mov    edi,eax
      0x401d85:	call   0x400a30 <kill@plt>      ;kill(pid,0x27)
      0x401d8a:	mov    edi,0x3e8
      0x401d8f:	call   0x400ab0 <usleep@plt>

      0x401d94:	add    DWORD PTR [rbp-0x14],0x1
   >  0x401d98:	cmp    DWORD PTR [rbp-0x14],0x1f
   <  0x401d9c:	jle    0x401d43

      0x401d9e:	call   0x400a70 <getppid@plt>
      0x401da3:	mov    esi,0x28
      0x401da8:	mov    edi,eax
      0x401daa:	call   0x400a30 <kill@plt>      ;kill(pid, 0x28)  
      0x401daf:	mov    edi,0x3e8
      0x401db4:	call   0x400ab0 <usleep@plt>


      0x401db9:	add    DWORD PTR [rbp-0x18],0x1
>>>   0x401dbd:	cmp    DWORD PTR [rbp-0x18],0x6
<<<   0x401dc1:	jle    0x401ce7


      0x401dc7:	call   0x400a70 <getppid@plt>
      0x401dcc:	mov    esi,0x29
      0x401dd1:	mov    edi,eax
      0x401dd3:	call   0x400a30 <kill@plt>       ;kill(pid, 0x29) >>> check()
      0x401dd8:	mov    edi,0x0
      0x401ddd:	call   0x400a80 <exit@plt>

分析code

其实当时得到这个还是很奇怪,原本以为这里会是个加密的函数,但是基本都是获取pid, 然后kill,再usleep, 中间有两个循环,然后感觉奇怪查了下kill后面的参数的意义,没找到啥,但是前面的一个sigqueue函数,是发信号的,然后就开始注意到这个位置了, 去ida找到了这个位置:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Nz9iKfIR-1582557992335)(rec/image-20200224225636469.png)]

同时进去几个函数看了看,最后一个恰好是判断cipher是否正确的函数,基本可以猜到了,就是那边的调用中间的参数就是实际上去调用了这边的这几个函数,其实当时以为是自己调用自身的,没考虑另一个进程,还尝试下断点也没断到还很奇怪,后来官方wp说到是这个子进程接收输入和发送各种符号,其实符号调用到的函数是由父进程去执行的,

就大概知道那段汇编就可以转化成为各个函数调用了,这里又有点莫名像虚拟机的感觉,拿一串字符每个都是个函数,会调用不同东西。 基本示意如下:

call 0x22
call 0x23
call 0x23
call 0x23

for i in range(7):
	read(0, buf, 8);
	call 0x24
	for j in range(0x20):
		call 0x25
		call 0x26 
		call 0x27
	call 0x28 
call 0x29

然后去翻找下相关的函数定义, 基本应该是这个样子:

def encode():
    var_3 = 0 
    var_4 = 0x9e3779b9 
    var_2 = 0x61616161
    var_1 = 0x62626262
    for j in range(0x20):
        var_2 = (((arr[var_3 & 3] + var_3) ^ (((var_1 >>5) ^ 16 * var_1) + var_1)) + var_2) 
        var_3 = (var_3 + var_4) 
        var_1 = (((arr[(var_3 >> 11) & 3] + var_3) ^ (((var_2 >> 5) ^ 16 * var_2) + var_2)) + var_1) 
    cipher[var_i - 2] = var_2
    cipher[var_i - 1] = var_1

而且同时我们也得到判定位置的那段数据:

[665438441, 3131667380, 2864739065, 2751102976, 3656696531, 4215237573, 3553876318, 2257984887, 3858810175, 2562467769, 162186156, 1792812068, 101049092, 1709673591]

这个加密方式是两个数运算后异或再和第三个数相加,我们可以注意到异或的数据和被加密的数据没有关系,其实这个加密就是个不断混合的相加,我们逆向脚本直接先求得异或数据,然后直接减掉就ok,

解密

但这个位置就遇到了我迷茫的地方,写出来的加密和解密脚本测试几个数据都ok,但是对这个解密flag就会有问题,首先是最后结果是负数了,这个位置感觉到是数据溢出了,但是也不知道具体应该要的大小是多大,试了几次都没办法,

官方答案出来一以后了解到是xtea加密方式,然后看对应的代码,看起来是一模一样的,再试,还是不行,emmmm

emmm今天想起来了,他的代码是c, 里面的数据储存溢出就自己没了,emmm,拿c写了下,运行,成功了,

然后改了改,吧所有数据都解密出来了:

#include<stdio.h>
#include<stdint.h>

int decipher(unsigned int num, uint32_t v[2], uint32_t const key[4]){
    unsigned int i;
    uint32_t v0=v[0], v1=v[1], delta=0x9e3779b9, sum=delta*num;
    for(i=0; i< num; i++){
        v1 -= (((v0 <<4) ^ (v0 >> 5)) + v0) ^ (sum + key[(sum >> 11) & 3]);
        sum -= delta;
        v0 -= (((v1 << 4) ^ (v1 >> 5)) + v1) ^ (sum + key[sum & 3]);
    }
    v[0] = v0;
    v[1] = v1;
}

int main(){
    uint32_t data[14] = {665438441, 3131667380, 2864739065, 2751102976, 3656696531, 4215237573, 3553876318, 2257984887, 3858810175, 2562467769, 162186156, 1792812068, 101049092, 1709673591};
    uint32_t const k[4] = {0x42655f29, 0x9e822efc, 0xda278c92, 0x4e355a62};
    for (int i=0; i < 14; i+=2){
        uint32_t v[2]  = {data[i], data[i+1]};
        decipher(0x20, v, k);
        printf("0x%x, 0x%x, " , v[0], v[1]);
    }
}

然后最后输出出来这个十六进制数, 其实可以看到正确的hga, 最起码也都是可显示字符,emmm

然后python处理一下:

arr = [0x6d616768, 0x6f4e7b65, 0x654e305f, 0x4e34635f, 0x5f30745f, 0x405f6542, 0x6174245f, 0x68542e52, 0x735f7933, 0x4c6c3174, 0x6e41435f, 0x4e34635f, 0x3148735f, 0x7d2e336e]
for i in range(14):
    for j in range(4):
        print(chr((arr[i]>>j*8)&0xff), end='')

得到flag:

-令则
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
操作系统中同一父进程中的子进程之间如何交互?不同父进程中的子进程之间如何交互
我的读书笔记(2011-2013)
07-01 1163
操作系统中同一父进程中的子进程之间如何交互?不同父进程中的子进程之间如何交互?父进程与子进程之间如何交互进程通信的类型 1. 共享存储器系统(Shared-Memory System)(全局变量) (1)基于共享数据结构的通信方式。      (2)基于共享存储区的通信方式。 2. 消息传递系统(Message passing system) 进程间的数据交换,是以格式化的消
linux 父进程获取子进程输出,Linux操作系统 - 父,子,父进程的输入输出管道
weixin_36084130的博客
04-30 879
我有一些C代码叫做c-shell,它执行以下操作。父c-shell在Linux命令行中读取,并分叉子进程以执行该命令。孩子不会执行命令,直到它收到来自父母的信号,表示它已准备好执行命令。它可以处理用于给命令参数的输入文件,或者它可以从命令行读取它们。它可以处理发送输出到输出文件,而不仅仅是将执行的命令输出打印到标准输出。它将输出发送到输出文件的方式是由孩子将其stdout重定向到一个管道,并且一旦...
进程进程 进程间通信
wang725的专栏
11-17 948
转载自廖老师 要让Python程序实现多进程(multiprocessing),我们先了解操作系统的相关知识。 Unix/Linux操作系统提供了一个fork()系统调用,它非常特殊。普通的函数调用,调用一次,返回一次,但是fork()调用一次,返回两次,因为操作系统自动把当前进程(称为父进程)复制了一份(称为子进程),然后,分别在父进程和子进程内返回。 子进程永远返回0,而父进程返回子进程的ID...
Hgame 2024 week4 Crypto WP
qq_41889600的博客
04-03 875
2024 Hgame week4 抽空写一下wp
[杭电新生赛]HGAME-week1-web-wp
静仙的博客
02-18 784
web萌新ctf之旅
Qt-Secret-master_QT_secret_cryptography_
10-04
**Qt-Secret-master** 是一个基于QT框架的加密库项目,专为QT应用程序设计,用于实现安全的数据加密和解密功能。在QT平台上开发时,这个库可以提供强大的加密算法支持,确保敏感信息的安全存储和传输。 **QT Secret...
secret-stack:使用秘密握手将对等方彼此联系起来
04-29
var SecretStack = require ( 'secret-stack' ) var databasePlugin = require ( './some-database' ) var bluetoothPlugin = require ( './bluetooth' ) var config = require ( './some-config' ) var App = ...
gocd-vault-secret-plugin:HashiCorp的Vault的GoCD秘密插件
03-19
Vault Secret Manager插件这是一个GoCD Secrets插件,允许用户将用作GoCD服务器的秘密管理器。该插件支持KV Secrets Engine的版本2。目录使用Docker设置保管库运行以下命令以启动Vault的Docker容器docker run --cap-...
extract-secret-file
最新发布
07-09
extract-secret-file
secret-octo-meme
06-30
"secret-octo-meme" 是一个以JavaScript技术为核心的项目,该项目由Adrian主导,并与Silke和Isa合作完成。项目主页可能包含了项目的详细介绍、示例应用或代码仓库链接,便于用户了解和参与。Adrian的角色可能是项目...
hgame week4 个人wp(WEB&MISC&IOT)
weixin_45208145的博客
02-29 1409
就是wp而已
HGAME 2022 week1 个人部分WP
qazwsxeb的博客
02-10 3725
寒假期间,小萌新在家瞎搞CTF,也是第一次参加HGAME,整体来说题目是简单的,但对于我这个萌新菜鸟来说,还是一头雾水,只会做一些简单的密码题,week1的web和misc还能做出几题,后面几周就完全不会了,二进制完全看不懂。。。已经坐牢有一段时间了,想想还是不要浪费时间,记录下这次比赛,也是一种学习。 本人还是个萌新,WP可能会存在很多错误,望各位大佬勿喷,也请多多指正。 web Tetris plus 描述:据说没人能超过 3000 分。要是做题做累了,就来玩玩小游戏吧(x 这道题很明显是玩游
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
令则
02-20 1899
vm 还是一个比较有感觉的虚拟机,中间有一个栈的结构, 还是比较好玩, 还有比较经典的虚拟机的题目是南邮的cg-ctf的题目, 文章目录vm 首先是 函数逻辑比较简单。输入一个data, 然后设定了一个大数组, 然后进入函数vm_fun,结束后和一段写好的数据对比, 我们看一下函数vm_fun,一个看着比较经典的使用while和switch构成的虚拟机的样子, 值得注意的是这个内存区: 这...
Hgame-WP 2023 部分题解
DoubleLiii的博客
02-01 297
题解
【无标题】
qq_57861415的博客
01-15 87
刚加入Vidar的兔兔还认不清协会成员诶,学长要求的答对100次问题可太难了,你能帮兔兔写个脚本答题吗?看源码,上爬虫,加上cookie爬来看看。发现没有题目,我就懵了一小会儿,这个文件我处理过,这样比较好写代码。处理成一堆json的样子。在翻翻js,才发现有api,于是直接爬api,上脚本就好了。
进程与子进程间相互发送信号
热门推荐
yk_ee的博客
10-27 1万+
进程与子进程间通信(软中断)
hgame2020-week1-re
令则
02-05 540
hgame-week1-re 文章目录hgame-week1-remazebitwise_operation2advancecpp 题目文件: 链接: https://pan.baidu.com/s/1uvsIh8iaYVFq7WmuaYk16w 密码: s87d maze 题目本身提示这是一个迷宫,ida分析就是极为典型的迷宫: 我们看到增减的量会存在两个,4和64, 那么4就是我们的左右...
Hgame-Week4
qq_53086690的博客
03-03 195
目录Webmacguffin Web macguffin 地址 :http://macguffin.0727.site:5000/ 提示:在我长大的这个城市里,每个人都有超越寻常的特长。我可以重启这个世界(是的整个世界),不仅仅是将时钟往回拨,而是将世界的一切,从原子层面恢复到一天前的状态。只有看到有人在哭泣时,我才会重启。包括我的记忆,全部重启。但是,不用担心,我的搭档有绝对记忆。然而,我们被困在了这一天里,漫无止境的星期日。有情报说,只要我们重启了这一天,“MacGuffin” 便会出现在我们面前,并
minio 如何配置 access-key 和 secret-key 为minioadmin
05-31
要将 MinIO 的 access-key 和 secret-key 配置为 "minioadmin",您可以按照以下步骤进行操作: 1. 打开 MinIO 的配置文件,通常位于 /etc/minio 目录下,文件名为 minio.conf。 2. 找到 access_key 和 secret_key 的配置项,如果没有则可以手动添加: ``` access_key=minioadmin secret_key=minioadmin ``` 3. 保存文件并重新启动 MinIO 服务。 现在您应该可以使用 access-key 和 secret-key 为 "minioadmin" 进行身份验证了。请注意,这样的配置并不安全,建议您使用更加复杂和安全的 access-key 和 secret-key。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值