攻防世界逆向高手题的babymips

最新推荐文章于 2023-07-15 11:09:09 发布
最新推荐文章于 2023-07-15 11:09:09 发布
阅读量670 收藏 3
点赞数 4
分类专栏: CTF 逆向 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/120150925
版权
CTF 同时被 2 个专栏收录
173 篇文章 30 订阅
订阅专栏
逆向
99 篇文章 33 订阅
订阅专栏

攻防世界逆向高手题之babymips

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的babymips
在这里插入图片描述

下载附件,照例扔入exeinfope中查看信息:
在这里插入图片描述
.
.
32位无壳,照例扔入IDA32中查看伪代码,有main函数看main函数:
在这里插入图片描述
.
.
(这里积累第一个经验)
第一个框是对用户输入进行每位的异或操作,因为i的地址和input_flag的地址在main函数栈中相差4而已。
第二个框就是取异或后的前五个字符与明文比较,如果相同就继续对剩下的27个字符继续操作。这里要注意的是sub_4007F0(input_flag)函数是在前面对input_flag异或后的基础上进一步操作,也就是双层操作,而input_flag是单层的对前5个字符的异或操作。
我犯的错误就是逆向后面27位字符后忘记了前面还有一层异或操作,以至于生成错误的答案。

在这里插入图片描述
.
.
.
跟踪sub_4007F0函数,一个移位一个比较:
在这里插入图片描述
.
.
(这里积累第二个经验)
逻辑就是移位操作,但是我是真不知道这里的或运算符 ‘|’ 的作用是前后移位双向进行。我一直以为是算术运算操作,所以我一开始的思路是把或运算符 ‘|’ 变成与运算符 ‘&’ ,结果怎么逆都不对。
现在知道了,这里以8位为一个单位,高2位往右移动6位变成底2位。同时底6位往左移动2位变成高6位,相当于循环右移,000000_11变成 11_0000。(如图一样,是交叉进行的。)
在这里插入图片描述

下面的(4 * input_flag[i])是一个迷惑,其实也是(2<<input_flag[i])。

.
附上移位的汇编指令笔记:
在这里插入图片描述
.
.
.
(这里积累第三个经验)
然后移完位之后和数组off_410D04内容比较,这里嵌入IDA脚本dump下来:
这里.byte一开始我也懵了一下,后来发现用Byte也可以获取,.byte可能是MIPS的一个特性吧:

addr=0x400B98
list1=[]
for i in range(0x400BB3-0x400B98):
    list1.append(Byte(addr+i))
print(list1)
print(len(list1))

在这里插入图片描述
.
.
.
.
(这里积累第四个经验)
知道是移位操作之后就可以写脚本了,原代码逻辑中(i&1)其实是判断奇数还是偶数来的,照抄即可,然后移位逻辑是以8位为一个循环的,所以我们要用&FF来限制在8位才行:

key1="Q|j{g"
flag=list(map(ord,key1))
flag+=[82, 253, 22, 164, 137, 189, 146, 128, 19, 65, 84, 160, 141, 69, 24, 129, 222, 252, 149, 240, 22, 121, 26, 21, 91, 117, 31]

print(flag)
for a in range(5,32,1):
	if (a&1)!=0:
		flag[a]=((flag[a]<<2)|(flag[a]>>6))&0xFF
	else:
		flag[a]=((flag[a]>>2)|(flag[a]<<6))&0xFF
for i in range(32,):
	flag[i]=chr(flag[i]^(32-i))
print(''.join(flag))

说到这种用&限制位数的,不得不回顾一下以前做题中类似的操作来加深记忆。
在这里插入图片描述

总结:

1:
(这里积累第一个经验)
第一个框是对用户输入惊醒每位的异或操作,因为i的地址和input_flag的地址在main函数栈中相差4而已。
第二个框就是取异或后的前五个字符与明文比较,如果相同就继续对剩下的27个字符继续操作。这里要注意的是sub_4007F0(input_flag)函数是在前面对input_flag异或后的基础上进一步操作,也就是双层操作,而input_flag是单层的对前5个字符的异或操作。
我犯的错误就是逆向后面27位字符后忘记了前面还有一层异或操作,以至于生成错误的答案。

2:
(这里积累第二个经验) 逻辑就是移位操作,但是我是真不知道这里的或运算符 ‘|’ 的作用是前后移位双向进行。我一直以为是算术运算操作,所以我一开始的思路是把或运算符 ‘|’ 变成与运算符 ‘&’ ,结果怎么逆都不对。
现在知道了,这里以8位为一个单位,高2位往右移动6位变成底2位。同时底6位往左移动2位变成高6位,相当于循环右移,000000_11变成 11_0000。(如图一样,是交叉进行的。)
在这里插入图片描述

下面的(4 * input_flag[i])是一个迷惑,其实也是(2<<input_flag[i])。
.
附上移位的汇编指令笔记:
在这里插入图片描述

3:
(这里积累第三个经验) 然后移完位之后和数组off_410D04内容比较,这里嵌入IDA脚本dump下来:
这里.byte一开始我也懵了一下,后来发现用Byte也可以获取,.byte可能是MIPS的一个特性吧:

4:
(这里积累第四个经验)
知道是移位操作之后就可以写脚本了,原代码逻辑中(i&1)其实是判断奇数还是偶数来的,照抄即可,然后移位逻辑是以8位为一个循环的,所以我们要用&FF来限制在8位才行。
.
说到这种用&限制位数的,不得不回顾一下以前做题中类似的操作来加深记忆。
在这里插入图片描述

解毕!敬礼!

沐一 · 林
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF mips总结
BadRer的博客
05-11 4029
前言 感觉自己就是把几个mips的给汇总了一下,算不上是总结吧。不过还是很有收获的。 目一 DDCTF-babymips 拿到目,分析是mips小端序,利用qemu模拟运行,注意要使用小端序(qemu也区分了大端小端)。然后输入了16个字符,结果出现段错误。23333 然后我就放弃了。 https://www.codetd.com/article/67983 https:/
攻防世界babymips
qq_48274326的博客
01-11 454
发现是MIPS,ida7.5支持直接反编译 进入主函数 int __fastcall main(int a1, char **a2, char **a3) { int result; // $v0 int i; // [sp+18h] [+18h] BYREF char v5[36]; // [sp+1Ch] [+1Ch] BYREF setbuf((FILE *)stdout, 0); setbuf((FILE *)stdin, 0); printf("Give me your
[UTCTF2020]babymips
qq_61208431的博客
07-09 44
简单异或。
[UTCTF2020]babymips
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
06-22 546
可以看出将输入字符串进行异或加密之后,判断前5位,就是“flag{”,然后进入 sub_4007F0(v5)进行移位加密后判断五位之后的字符。跟进,加密后的字符串。
babymips(上) 寒假逆向生涯(14/100)
寻梦&之璐
01-18 2518
babymips呢,看名字就知道,不出所料,还是mips指令,挺简单的,懒得找插件,直接分析吧,锻炼锻炼自己 开战 lui $v0, 0x40 addiu $a0, $v0, (aGiveMeYourFlag - 0x400000) # "Give me your flag:" jal printf nop addiu $v0, $fp, 0x48+var_2C move $a1, $v0 lui $v0, 0x40 addiu $a0, $v0, (a32
攻防世界 babymips
m0_63000514的博客
07-15 152
这里需要注意一点,为什么要用0xff,在原来的变量定义中这是个char型的字符串,也就是说是8位的长度,而python里默认是64位长度上限,在右移的过程中容易超出8位的长度且取入了8位以上的值,0xff可以取得前8位的长度的值。这里很显然只进行了一次变换,而这个左移跟右移结合按位或的可以将左移跟右移调换写出逆向脚本。这里i的地址在sp+18h处,而v5的地址在sp+1ch处,就是说v5的地址加4就是i。第二个框先进行了一次判断,对前5个值校检,再进入sub_4007F0中。逆向萌新打攻防世界
攻防世界 Reverse高手进阶区 3分 babymips
闵行小鱼塘
01-20 445
继续ctf的旅程,攻防世界Reverse高手进阶区的3分,本篇是babymips的writeup
[XCTF-Reverse] 37-39
weixin_52640415的博客
03-20 192
37,XCTF 4th-QCTF-2018_babymips mips这个不好搞了,先用ida打开(不能反编译成c)大概能看到他把输入数据左右移 整了半天插件也没安上,然后下了Retdec然后运行 py retdec-decompliler.py babymips 他会在程序同目录生成.c文件,其实也没比汇编多看多少,而且那个比较的串在.c里没有,还得从ida里看,反复理解就是先跟0x20-i异或再根据奇偶分别把前2位后6位互换/前6后2 (除去头) a = bytes.fromhex('52
babymips(下) 寒假逆向生涯(14/100)
寻梦&之璐
01-18 1868
主要核心代码 var_10= -0x10 var_8= -8 var_4= -4 arg_0= 0 addiu $sp, -0x28 sw $ra, 0x28+var_4($sp) sw $fp, 0x28+var_8($sp) move $fp, $sp sw $a0, 0x28+arg_0($fp) li $v0, 5 sw $v0, 0x28+var_10($fp) b loc_400910 nop loc_400910:
buu-[QCTF2018]Xman-babymips
qaq517384的博客
04-12 494
32位elf文件,MIPS指令集 在gayhub上下载有关ida的插件 根据ida-master/plugins的readme文件安装插件
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界running
11-15
攻防世界running杂项,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127952541
babymips
Tiany的博客
08-14 186
攻防世界babymips
攻防世界PWN之Babyheap(null off by one)
seaaseesa的博客
11-20 2036
Babyheap(null off by one) 本用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
攻防世界 reverse babymips
09-23 484
babymips XCTF 4th-QCTF-2018 mips,ida中想要反编译的化需要安装插件,这并不复杂直接看mips汇编也没什么难度,这里我用了ghidra,直接可以查看反编译。 1 void FUN_004009a8(void) 2 3 { 4 int iVar1; 5 int i; 6 byte input [36]; ...
XCTF babymips
qq_41071646的博客
05-10 985
这个 一看就有点不对劲。 拖入ida 里面这个指令有感觉有点问。 这是啥。。。。 后来 看了一下官方的解 说是另一种 架构 mips 什么鬼 然后说是ida 有一个插件 但是我没有搞定。。。 要是有大佬搞定了 还麻烦指教一下 然后我们就下载另一个插件 jeb(这玩意还挺难搞定的) 搞成之后 看起来就舒服很多了 不过 还是要吐槽这个 东西确实不是很好用。(或许我没有g...
攻防世界pwn新手答案
最新发布
08-10
回答: 对于攻防世界pwn新手,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值