攻防世界逆向高手题的BABYRE

最新推荐文章于 2024-01-07 12:25:08 发布
最新推荐文章于 2024-01-07 12:25:08 发布
阅读量2.6k 收藏 6
点赞数 2
分类专栏: CTF 逆向 文章标签: unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/119838441
版权
CTF 同时被 2 个专栏收录
173 篇文章 33 订阅
订阅专栏
逆向
99 篇文章 33 订阅
订阅专栏

攻防世界逆向高手题之BABYRE

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的BABYRE
在这里插入图片描述

这题应该是我第一次接触的花指令题,怪兴奋的!目前我的理解是代码和数据混淆,让IDA误认为是数据而反汇编出错。

好了,开始分析:
照例扔入exeinpefo中查看信息:
在这里插入图片描述

64位ELF文件,无壳,扔入IDA64位中查看伪代码:
在这里插入图片描述

这里犯下第一个错误:
由于是第一次接触花指令,对 (*(unsigned int (__fastcall **)(char *))judge)(input_flag) ) 这一行代码我看了好久愣是没看懂,input_flag是我们输入的字符串,judge中文是判断,根据以前做题这种中文类名字的确是暗示,可前面显示的judge[i] 这摆明是个数组啊,judge(input_flag) 不就变成了数组首地址加Input_flag了吗?还有这种玩法???

然后我就去看wp了(笑~):
他们大概意思了judge是一个函数名,这个judge函数名的函数呢是通过前面逻辑用数据生成出来的。
想起C语言好像有通过字符串拼接生成新命令的技巧,突然就恍然大悟了。
所以这里 (*(unsigned int (__fastcall **)(char *))judge)(input_flag) ) 应该这样分析,unsigned int 是judge函数的返回类型,(__fastcall **)是函数的调用约定,(char *)这个只是提取judge的数组头的一连串字符串做函数名而已。

然后看他们WP中显示judge是双击跟踪跟踪不了的,会报错,我的倒是跟踪得了,长这样:
在这里插入图片描述

这里犯下第二个错误:
一开始这里也卡了我好一会,后来发现是我用了新版的IDA7.5,这里本来有个指针分析错误,IDA7.5直接把它当成数据去了,如果我用C(汇编),P(创建函数),在judge开头出按一下照样显示指针分析错误:(ps:不按C的话有时IDA会报错函数在指定地址具有未定义的指令/数据。您的请求已放入自动分析队列。按一下C可能是提醒它可以转成数据吧)
在这里插入图片描述
知道原理后我们可以开始做题了,顺带说一下这题型是用户输入相关的生成型flag,所以要逆向逻辑。

第一种方法:直接嵌入脚本在让他把加密流程跑一遍得出真正judge代码逻辑,根据逻辑解密:
在这里插入图片描述

在这里插入图片描述
代码如下:(记住按一遍即可,按两遍就归回原样了)

add=0x600b00
for i in range(182):
    PatchByte(add+i,Byte(add+i)^0xC)

然后C,P键扫描生成函数,如果有红色的行就用U设为未定义再C,P键即可:
在这里插入图片描述
在这里插入图片描述

函数逻辑很简单,flag是用户输入有关的生成型flag,对输入的简单的异或然后比较每个字符与预先给的字符串是否相等,等就返回1(true),所以我们直接用预先给的字符串逆逻辑异或即可:

#key1="fmcd"
#key2=chr(0x7f)
#key3="k7d;V`;np"
#key4=key1+key2+key3
key="fmcd\x7Fk7d;V`;np"
flag=""
for i in range(14):
	flag+=chr(ord(key[i])^i)
print(flag)

代码如上,犯下的第 3 个错误就是我一开始以为python会吧\x7F判断成4个字符,结果是我多虑了,直接就是python自己会解析\x类型,太妙了,结果如图:
在这里插入图片描述

第二种方法:
直接远程调试,在第12行 if ( v5 == 14 && (unsigned int)judge((__int64)s) )处断下代码,断在这里的话IDA已经把judge解密完了,直接双击跟踪生成函数即可:
在这里插入图片描述
在这里插入图片描述

最后:
由于使用新的IDA7.5,一开始遇到了Byte等IDApython函数未定义的问题,在以下博客中找到了解决方法,非常感谢!:(IDA Pro 7.5版本使用IDAPython)

https://blog.csdn.net/HaiLanLin/article/details/115585340

总结:

1:犯下第一个错误
由于是第一次接触花指令,对 (*(unsigned int (__fastcall **)(char ))judge)(input_flag) ) 这一行代码我看了好久愣是没看懂。
((unsigned int (__fastcall **)(char *))judge)(input_flag) ) 应该这样分析,unsigned int 是judge函数的返回类型,(__fastcall **)是函数的调用约定,(char *)这个只是提取judge的数组头的一连串字符串做函数名而已。

2:犯下第二个错误:
我用了新版的IDA7.5,这里本来有个指针分析错误,IDA7.5直接把它当成数据去了,如果我用C(汇编),P(创建函数),在judge开头出按一下照样显示指针分析错误:(ps:不按C的话有时IDA会报错函数在指定地址具有未定义的指令/数据。您的请求已放入自动分析队列。按一下C可能是提醒它可以转成数据吧)

3:犯下的第 3 个错误就是我一开始以为python会吧\x7F判断成4个字符,结果是我多虑了,直接就是python自己会解析\x类型,太妙了。

解毕!敬礼!

沐一 · 林
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 10
    评论
专栏目录
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127951997
[SCTF2019]babyre
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-15 5969
buuctf-[SCTF2019]babyre
攻防世界—REVERSE—高手进阶区—BABYRE
Nu1bzzi的博客
03-27 629
攻防世界—REVERSE—高手进阶区—BABYRE 这道真的是对新手的一个考验了,做了挺久的,脑瓜疼>m< 拿到文件先放进PEiD里查壳(养成好习惯) 应该是linux下的程序 放进IDA64里进行分析 找到main函数F5查看伪代码 if ( v5 == 14 && (*(unsigned int (__fastcall **)(char *)) judge)(s) ) 字符长度为14并且满足后面judge()函数条件即为正确,但是在点击judge函数时跳到了如下界面 判
二进制专项之babyRE
qq_41853048的博客
06-06 239
昨天没弄出来,有反调试和异常,一直找不到主要加密区域。
re学习(26)攻防世界-re-BABYRE(IDA无法分析出函数-代码混淆)
m0_66039322的博客
08-02 349
栈帧是函数在执行时在栈上所创建的一块内存区域,用于存储局部变量,函数参数,返回地址等信息。在函数调用过程中,‘rbp‘用于维护栈帧的指针,以便在函数执行结束后能够恢复调用者的上下文。在函数调用过程中,通常会先将返回地址和其他寄存器的值(如’rbx‘,'rdi','rsi','rdx'等)压入栈中,然后将’rbp‘的值压入栈中。一般应对策略:使用按键U,告诉IDA,这是一个数据(通常是一个字节就够了),然后在下一个位置,点击C告诉IDA又可以开始按照代码来解释。
攻防世界——BABYRE
Nike_name的博客
12-15 279
代码内部加密
[攻防世界]BABYRE
逆向萌新的博客
06-24 620
[攻防世界]BABYRE
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界Fakezip杂项
11-20
总的来说,攻防世界Fakezip杂项是一道涉及文件解析、安全分析和逆向工程的综合性目,旨在提升我们的网络安全实战技能。在解决这类问时,我们需要具备扎实的技术基础,同时也需要有耐心和细心去探索文件的每一个...
网鼎杯-第三场-逆向-babyre
08-27
2018年8月27日网鼎杯第三场逆向-babyre
攻防世界running
11-15
攻防世界running杂项,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界RE——BABYRE
m0_53482319的博客
10-26 264
这段代码将judge函数的代码段进行了重构,我们需要嵌入脚本回复真正Judge函数代码段。回到之前的伪代码,然后双击judge即可看到恢复后的judge的伪代码。含义:unsigned int 是函数返回类型(无符号整型)无壳,64位elf,直接放到idapro(64位)里面。(char *)提取judge数组头字符串做函数名。这条代码的judge并非是数组而是一个函数。切记,要实现c p鼠标必须选中judge。完成上面的操作即可复现judge函数。得出flag{n1c3_j0b}
攻防世界 Reverse进阶区 BABYRE WP
qq_55785697的博客
03-24 274
IDA下得到反汇编代码 显然,对于judge这个常量先与或处理,而后读取字符串s,判断s长度是否为14; 接下来这个judge(s)让我看不懂了,judge不是个数组吗,怎么可以这么使用? <关键点>看了其他大佬的WP才知道,原来还有将data转为code执行的骚操作,所以这里其实是将judge数组的内容当成一个函数来执行,可以使用热键C将data转化为code,也可以用U恢复。 调试程序,先让其运行完字符串的初始处理,在if处下断点,观察judge函数的汇编代码 1. push
攻防世界】Reverse——BABYRE writeup
最新发布
2301_77295404的博客
01-07 412
在 if ( v5 == 14 && (unsigned int)judge((__int64)s) ) 这行下断点,这时解密方法已经执行,也就是可以跳转到judge函数查看解密后的代码。下面的代码可知:flag的长度是14,通过judge来判断是否成功。但jugde函数是加密过,也就是代码是被混淆过的。所以不可以直接查看。main函数中有下面这段代码,它是用来还原或解密代码的。在“run”后,可看到judge的数值已经发生改变。
XCTF-BABYRE,XCTF-simple-check-100
weixin_61154173的博客
12-19 239
xctf-BABYRE,simple-check-100,这不是数组吗,为什么是函数?由于前面对judge数组进行异或后,这些数据可以定义为一个新的函数,并且是本的关键函数。通过对其他wp参考可以通过快捷键“shift+f2”使用IDApython对judge数组进行操作让他的数据在IDA中更改。当然也可以通过远程调试,让judge先自己进行完异或操作然后直接生成函数查看。对操作后的judge数组按c变为汇编代码,在按p变为函数,就可以查看内容了。跟进judge再把他变为函数,查看代码也是可以的。
2023鹏城杯 Re——BabyRe
m0_74154467的博客
11-05 275
2023鹏城杯 Re——BabyRe
XCTF攻防世界BABYRE逆向
云舒的博客
04-19 743
攻防世界BABYRE逆向 拿到目,查壳如下: 拖拽IDA Pro7.5打开,查看main函数,代码如下: 可以看到: (*(unsigned int (__fastcall **)(char *))judge)(s), 再一看上面的judge是一个数组的形式,心想:这是哪门子的写法,,,。强制转换unsigned int????这不是函数返回结果才能这么写嘛,再看到后面的**__fastcall**猜测是函数的动态生成。。。写法高档,作者🐂就完事了。。。查看judge汇编代码,按下C(编码),P(
[SUCTF2018]babyre [ACTF新生赛2020]fungame
寻梦&之璐
06-02 817
文章目录[SUCTF2018]babyre惯用思维常人思维GAMEOVER[ACTF新生赛2020]fungame [SUCTF2018]babyre 惯用思维 首先呢,是个bin文件,需要用binwalk把文件提取出来。 binwalk -e [SUCTF2018\]babyre.bin 是一个xml文件,我打开后除了正常结构就是乱码。。。 然后就没法分析了。。。xml不能放在ida里面分析。。 常人思维 查看一下文件类型,居然是64位的exe程序,任何东西都保持怀疑的态度。。笑死人。。。。
攻防世界pwn新手答案
08-10
回答: 对于攻防世界pwn新手,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲区大小时,会覆盖到相邻的内存区域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单练习区 答(1-10解)](https://blog.csdn.net/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值