攻防世界逆向高手题之梅津美治郎

最新推荐文章于 2023-01-12 19:16:25 发布
最新推荐文章于 2023-01-12 19:16:25 发布
阅读量566 收藏 3
点赞数 4
分类专栏: CTF 逆向 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/120252282
版权
CTF 同时被 2 个专栏收录
173 篇文章 33 订阅
订阅专栏
逆向
99 篇文章 34 订阅
订阅专栏

攻防世界逆向高手题之梅津美治郎

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的梅津美治郎
在这里插入图片描述
.
.
照例下载附件,扔入exeinfope中查看信息:
在这里插入图片描述
.
.
32位无壳,先运行一下程序看看主要回显信息:
在这里插入图片描述

照例扔入IDA32中查看伪代码,有main函数看main函数:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
.
.
(这里积累第一个经验)
第一、二副图中可以看到前面一堆数字,肯定有用的,冗余代码不会长这个样子。然后就是第三幅图中两个系统函数GetModuleHandleAGetProcAddress
查了手上所有的手册,一个获取模块名,一个获取模块名内函数。
在这里插入图片描述
在这里插入图片描述
.
.
所以前面的大量静态数字赋值就是用来间接构成字符串的,可是我用热键R转字符也没看出是什么函数啊:
在这里插入图片描述
.
(这里积累第二个经验)
现在回顾一下以前的积累,凡是与预期不符的结果,都是在中间有其他的操作,动调后发现,中间有个不起眼的sub_401500(0);函数进行前面字符串的修改:
在这里插入图片描述
在这里插入图片描述
.
.
.
(这里积累第三个经验)
动态调试后发现是kernel32.dll模块库的AddVectoredExceptionHandler函数,然后又把手册翻了个遍,大概是捕抓异常,然后用回调函数处理,所以v5((HMODULE)1, (LPCSTR)sub_40157F);就是捕抓异常然后给第一个处理函数sub_40157F处理。
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
.
.
.
继续往下走,下面是一个输入和比较,str2是明文,所以直接复制粘贴r0b0RUlez!通过第一关。然后就程序回显出进please enter the second password!,找了strings窗口也没找到对应字符串在哪里,后来才发现下面还有个sub_4015EA(0);函数,真的,这种函数个体又小,又只有0参数,很容易让人忽略啊~
在这里插入图片描述
.
.
(这里积累第四个经验)
跟踪sub_4015EA(0);函数,一个递归打印dword_40AD90数组,这个数组在前面动调中是**please enter the second password!**字符串,关键是后面的__debugbreak函数,下面附上别人透彻的分析:

这里有个debugbreak函数,这函数的话,也就是相当于一个int 3指令,引发一个中断,把执行权移交给调试器,如果没有调试器,那就移交给其他异常处理回调函数,如果都没有,那么程序就自己断下来,这里就是为了触发回调函数,如果没有调试器附加,那么debugbreak产生的异常会被AddVectoredExceptionHandler添加的回调函数捕获来处理,这里添加的回调函数也就是sub_40157F函数。

在这里插入图片描述
.
.
那么整个程序每个环节都对上了,现在跟踪sub_40157F函数,please enter the second password! 字符串也在里面,关键就是框中的比较函数sub_401547(input_flag2, off_40AD98),是一个简单的异或而已,当然off_40AD98也是要动调才能看的,是u1nnf2lg
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
.
.
(这里积累第五个经验)
补充一下IDA停在__debugbreak函数中时继续单步调试要点击YES才可以,弹框内容大概是是否继续执行断点。
在这里插入图片描述
.
.
.
直接附上解题脚本:

key1="u1nnf2lg"
flag2=""
for i in key1:
	flag2+=chr(ord(i)^2)
print(flag2)

结果:
在这里插入图片描述

总flag就是下划线连起来flag{r0b0RUlez!_w3lld0ne}
.
.
.
总结:

1:
(这里积累第一个经验)
第一、二副图中可以看到前面一堆数字,肯定有用的,冗余代码不会长这个样子。然后就是第三幅图中两个系统函数GetModuleHandleAGetProcAddress
查了手上所有的手册,一个获取模块名,一个获取模块名内函数。

2:
(这里积累第二个经验)
现在回顾一下以前的积累,凡是与预期不符的结果,都是在中间有其他的操作,动调后发现,中间有个不起眼的sub_401500(0);函数进行前面字符串的修改。

3:
(这里积累第三个经验)
动态调试后发现是kernel32.dll模块库的AddVectoredExceptionHandler函数,然后又把手册翻了个遍,大概是捕抓异常,然后用回调函数处理,所以v5((HMODULE)1, (LPCSTR)sub_40157F);就是捕抓异常然后给第一个处理函数sub_40157F处理。

4:
(这里积累第四个经验)
跟踪sub_4015EA(0);函数,一个递归打印dword_40AD90数组,这个数组在前面动调中是**please enter
the second password!**字符串,关键是后面的__debugbreak函数,下面附上别人透彻的分析:
.
这里有个debugbreak函数,这函数的话,也就是相当于一个int 3指令,引发一个中断,把执行权移交给调试器,如果没有调试器,那就移交给其他异常处理回调函数,如果都没有,那么程序就自己断下来,这里就是为了触发回调函数,如果没有调试器附加,那么debugbreak产生的异常会被AddVectoredExceptionHandler添加的回调函数捕获来处理,这里添加的回调函数也就是sub_40157F函数。

5:
(这里积累第五个经验)
补充一下IDA停在__debugbreak函数中时继续单步调试要点击YES才可以,弹框内容大概是是否继续执行断点。

解毕!敬礼!

沐一 · 林
关注
专栏目录
攻防世界(动态调试+迷宫)
qq_54929422的博客
02-07 591
纪念一下第一个独立做出来的动态调试攻防世界新手区csaw2013reversing2: 点开给出的exe,出现: 都是乱码。 放到ida里调试看看: Main函数: sub_40102A()函数: IsDebuggerPresent()函数: 普及一下有关函数的知识: 1:HeapAlloc函数:堆内存分配(heap的中文就是堆的意思) 2:_memcpy_s函数:和memcpy函数一样,都是复制字符串 3:__readfsdword函数:(从相对于 FS 段开头
攻防世界 Reverse高手进阶区 3分 梅津美治郎
闵行小鱼塘
06-11 2082
继续ctf的旅程,攻防世界Reverse高手进阶区的3分,本篇是梅津美治郎的writeup
XCTF 梅津美治郎
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-18 1177
查壳 32位程序,IDA打开,分析main函数 发现第一重校验,就是对比v7和v8,v7就是用户输入,v8就是固定的r0b0RUlez! 运行程序,输入这个字符串看下效果 成功通过第一个校验,接着往下分析 通过调试获取到了第二个校验处的数据,对这段数据解密 tmp = "75 31 6E 6E 66 32 6C 67" tmp = tmp.split(" ") print(tmp) key...
攻防世界 Reverse 梅津美治郎
XFox_的博客
08-23 256
梅津美治郎 拖进ida,分析main函数 strcpy(Str2, "r0b0RUlez!"); dword_40AD94 = (int)&v9; dword_40ADA0 = (int)&v20; dword_40AD8C = (char *)v18; dword_40AD90 = (char *)v16; dword_40AD98 = (int)v14; lpProcName = (LPCSTR)v12; lpModuleName = (LPCSTR)v13
xctf-梅津美治郎
最新发布
weixin_61154173的博客
01-12 187
这里的debugbreak函数:也就是相当于一个int 3指令,引发一个中断,把执行权移交给调试器,如果没有调试器,那就移交给其他异常处理回调函数,如果都没有,那么程序就自己断下来,这里就是为了触发回调函数,如果没有调试器附加,那么debugbreak产生的异常会被AddVectoredExceptionHandler添加的回调函数捕获来处理,这里添加的回调函数也就是sub_40157F函数。通过对这两个函数的了解,所以v3应该是函数名,v4则是模块的句柄。返回值:如果函数成功,则返回值是指定模块的句柄。
攻防世界—刷(6)
yhfgs的博客
11-06 221
一.梅津美治郎 1.查壳:无壳,32位。 2.IDA反编译。 直接shift+f12查看字符串 找到“You passed level1!”(有信息:flag不止一部分。),跟进。得到第一部分flag:r0b0RUlez! 查看sub_4015EA函数,这里应该有第二部分flag。 emmmmm,关键应该在__debugbreak,但是静态调试无法实现。直接动调 这儿有个int 3断点,不太了解这个int 3,问了一下大佬: 这里有个debugbreak函数,这函数的话...
攻防世界-RE-csaw2013reversing2
Henlenl的博客
05-14 165
文章目录查看文件信息IDA 静态分析动态调试getflag 查看文件信息 无壳 IDA 静态分析 来到 main()函数处 我们可以看到 程序有个if 判断 进入sub_40102A()函数 发现没什么 IsDebuggerPresent()函数猜测应该是判断程序是否进入调试阶段 _debugbreak() //在代码中引起断点 提示用户运行调试程序 我们进入 sub_40100()函数 他返回result 明显是加密后的flag 但是 他应该没有调用 那么我们就可以用OD动调就可以
NahamCon CTF 2022 Babyrev逆向分析
Ba1_Ma0的博客
07-18 1223
因此,如果将local_38变量与数据进行比较,则数据可能是加密标志,并且local_38变量是我们提供的加密密码,我们重命名local_38变量为encrypted_password。在\x004个字节之后,我们不断看到一个值、一些字符,然后是另一个值。因此FUN_00101209,第一个参数是我们给定的密码,第二个参数是encrypted_password与数据进行比较的地址。在代码的底部,我们看到了一个DAT_00104020变量,它指向存储在二进制文件中的数据,我们可以双击它来查看它包含的内容。..
内核栈回溯原理学习应用(转载,针对arm)
lqw198421的专栏
09-09 1459
转载链接: https://www.cnblogs.com/mysky007/p/12539754.html 前言: 在网上看到这篇文章,作者写这个应该是很用心的,所涉及的技术相对比较偏门,研究或者学习这方面的人应该很少,不过正好跟我现在在做的一些东西是相关的,因此转发。 不过,换做是我,如果想解决这个问的话,我还是会用plt hook来实现,当前已经做出来的成功已经可以分析出 double free的问了。 问: 一台客户现场机器,运行一周左右偶然发生一次应用段错误或者double free问,c
XCTF reverse-box
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-11 368
目要求: 输入flag让程序输出,flag以TWCTF开头,xctf目提示被漏掉了 如果对本文有疑问,可在下方给我留言 95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4a 程序放入IDA中分析 这的关键点就是要获取到v4的值,v4是由sub_80...
2017.10.21总结
GRP_dream的博客
10-22 348
今天就做了两道CTF,是真的头疼··· 总结: 1.第一道是把flag藏在压缩包中的做法,即在压缩包的数据流中直接粘贴进去一段base64加密后的字段,这样的方法会在解压时提示压缩包损坏(因为其中有一段是没压缩过的直接加进去的),做这种还是要熟悉文件头; 2.第二道是一道逆向,需要注意的有:    ①做逆向可以先shift+F12查找字符串,在通过X显示字符串都出现在哪里,
IDA调试小技巧
JiangBuLiu的博客
05-19 874
IDA脚本MakeNameEXIDA官方链接实际运用 MakeNameEX MakeNameEx(long ea, string name, long flags=SN_CHECK); ea - linear address name - new name of address. If name == "", then delete old name flags - combination of SN_... constants 解释:MakeNameEx(函数地址,“函数名称”,函数flags); 示例
2019 moeCTF新生 部分wp
热门推荐
xiaohuihui的博客
09-15 1万+
author: xiaohuihui statis:持续更新 这篇博客是博主参加moeCTF后写的WP,一方面记录一下,另一方面分享部分心得给广大互联网的朋友。目附件可以去 moectf 官方网站 下载,也可以留邮箱。后期可能会放出网盘链接。本 blog尽可能收录所有赛,标中带有 × 的表示博主尚未解出。
2022DASCTF X SU Re WriteUp
Whitebird的博客
04-01 1131
2022DASCTF X SU Re WriteUpeasyreStarGate easyre 一道签到,老样子先查壳 asp壳比较容易脱,可以百度了解一下,我直接通过ESP定律脱的,然后把内存dump下来用IDA分析 通过字符串定位来到加密函数,下面的v2数组是密文,str数组是我们输入的flag,分析了一下sub_401500、sub_40152B、sub_401593,是一个变种的RC4. 如果是正常RC4,我们可以用脚本或者网站解,变种虽然也可以硬逆,但是比较麻烦。我这里是直接动调出密钥流,R
第五季极客挑战赛 逆向部分writeup
lxx_nico的专栏
03-19 747
Reverse-ruhua 明显,我们要分析的是sub_401500和sub_401530 看懂就用python算出来 Python: username = raw_input('Username:') password = '' for i in range(len(username)): password += chr((((ord(username[i])^3)-2
IDA调试界面介绍及快捷键
YJJYXM的博客
11-16 4084
往期推荐 IDA调试环境搭建 IDA静态分析 IDA工具介绍 IDA工具安装、分享 首先,打开IDA工具,进入IDA的调试界面。 一: IAD调式界面介绍 1.IDA-view-PC:反汇编窗口,如下图所示。 2.Hex-View:十六进制编辑窗口,如下图所示。 3.Output windows(下方) :输出窗口; General register(右侧):寄存器窗口,如下图所示。 4.Stack view(右下角):栈视图,如下图所示。 5.常量字符串窗口:View=>Open subvi
解析 RC4 加密算法(C语言、python)
沐一 · 林 的博客
03-08 1万+
目录 解析 RC4 加密算法(C语言、python): RC4加密算法是一种对称加密算法: 加密(解密)原理: RC4算法中的几个关键变量: RC4代码介绍: rc4初始化介绍: 包含三个参数: RC4加密: 包含三个参数: 代码实现:(已注释) C语言代码: Python代码: 三丶RC4的逆向小技巧 1:逆向特征 2:魔改RC4 解析 RC4 加密算法(C语言、python): RC4加密算法是一种对称加密算法: 对称加密(也叫私钥加密)指加密和解密使用相同密
攻防世界逆向高手之deedeedee
沐一 · 林 的博客
09-20 4916
攻防世界逆向高手之deedeedee 继续开启全栈梦想之逆向之旅~ 这攻防世界逆向高手的deedeedee . . 下载附件,这次还是两个附件: . . . 额、两个有联系的附件还是不知道怎么做的,各自用记事本打开看一下,一个是乱码,一个看起来是python语言: . . 突然想起来好像还没有扔入exeinfope中查看信息: . . 没有后缀的是64位ELF文件,照例扔入IDA中查看伪代码信息,可以看到红框位置处要输出加密代码的,动态调试一下也确实输出了。 . . 但是拿着这串he
攻防世界 crypto 入门之easy_RSA
沐一 · 林 的博客
08-07 3633
攻防世界 crypto 入门之easy_RSA 继续开启全栈梦想之逆向之旅~ 这攻防世界crypto 入门之easy_RSA RSA的密码学听说了好久,主要是战队的队友之前有研究,而我却是一点都不了解,这次遇到了,就研究一下做方法和技巧,密码学目前是不打算深究了,毕竟数学也不太好,所以我现在的目的就是懂得用对应的脚本来解这类RSA。 附件下下来后就两行字: 看着都不难,但说实话我连RSA是什么都不知道,查了下百度,根据百度百科的说法: RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,
BUUCTF reverse 入门之reverse2
沐一 · 林 的博客
08-10 3075
BUUCTF reverse 入门之reverse2 继续开启全栈梦想之逆向之旅~ 这是reverse 入门之reverse2 下载附件,照例扔入exeinfope查看信息: ELF的linux文件,IDA64位打开查看代码,进一步判断信息: 一进门看到这个,还以为真的这么简单,认为offset flag就是flag地址,直接跟踪 这里看不清楚我们可以看hex内存字段: 数据节601081到601091就是跟踪的flag地址,直接提交想着完事,结果是假的flag,一开始还以为是提交格式有问,比如
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值