攻防世界逆向高手题之key
继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的key
.
.
(这里积累第一个经验)
这道题,嗯~搞了好久,主要是我的IDA
是7.5
版本的,其他博客上的大多都是7.0
或以前的版本,导致很多伪代码的变量名
和函数
表象对不上,然后这题的直接读取文件
也算是长一次见识了。这题逆向逻辑不难,就是找到关键位置我卡了好久好久,一直在梳理各种残缺信息。然后就是要懂得熟悉OD动态调试来梳理程序逻辑和看复杂函数的输出才行。
.
.
下载附件,照例扔入exeinfope
中查看信息,32位
无壳。
.
.
(这里积累第二个经验)
照例双击运行查看一下主要字符串,结果是一闪而过,查了一下程序会一闪而过的原因,如下所示,不用输入,那就说得通了。
然后用OD运行
来卡一下结束时输出了什么字符串。
拿到题目点开就秒退,推测是直接检测某种flag的形式而不是输入flag进行check。
.
.
照例扔入IDA32
中查看信息,先看strings
窗口吧:
.
.
基本关键字符串都在这里了,主要是上图中第一个红框中的路径处应该是要读取的文件,直接从文件中读取的话的确不用输入,双击跟踪一下发现是fiopen
文件打开函数:
.
.
上图中并没有?W?h?a?t h?a?p?p?e?n?
字符串,所以该字符串应该是在打开函数之前调用,所以也双击跟踪一下。再不断地通过菜单view-function call
查看函数调用,最终也确定了第一个红框处sub_201620
函数处调用了前面fopen
函数打开文件:
.
.
可以发现前面的其它关键字符串congratus
和wrong
等字符串都在下面判断语句这里,所以从这里开始往前走:
.
.
(这里积累第三个经验)
判断函数sub_4020C0(v5, v31, v6, v34[0])
一开始我跟踪进去没看懂,然后开始分析该函数参数的由来,首先是v5
,v5
后来通过OD
动态调试梳理明白后是文件中的内容:
.
.
(这里积累第四个经验)
以OD
动态调试验证v5
是文件内容的猜想,首先修改IDA
中的基地址
与OD
保持一致(Edit—Segments----Rebase programme),为动态调试提供参考,注意前1000
字节是文件头等信息,从2000
字节开始才是代码.text.
段。
根据目录创建对应文件夹,在flag.txt
中写入abcd
然后在sub_8F1620
地址处下断点,OD
运行后看参数v5(ECX)
内容:
.
.
v5
猜想验证,然后就是v31
,v6
,v34[0]
参数,这里用IDA动态调试,因为可以直接双击查看变量的值:
.
.
.
(这里积累第五个经验)
知道了参数
的值该是什么后看一下前面的这些参数
有没有操作,这里对Block的函数虽然分了两个变量,但是都是一致型的操作,至于为什么分成了两个变量,应该是IDA反编译的时候中间的LOBYTE(Block[0]) = 0;
影响了它的反编译吧。
.
.
.
(这里积累第六个经验)
所以v6
参数的值要找到对应的操作了,剩下的v31
和v34[0]
就是一个常数,现在知道了参数后我们接着看看判断函数sub_8F20C0(v5, v31, v6, v34[0])
:
真的,一开始我看了好久都没看懂这个函数,一堆的判断
然后执行一些杂七杂八的操作,后来结合别人的理解发现这个函数的确都是判断,而且对this
的赋值修改
操作只有下图中的红框而已。
那反过来想一想,没有修改操作,那不就可以当成判断每个字符是否相等
的函数吗?事实上也的确是这样,所以判断的就是从文件中读出的v5
和前面加密修改的字符串v6
:
.
.
.
那么最后flag就出来了,一个是动态调试时的v6的值:
.
.
一个是自己写脚本运行的v6的值(注意+号和异或符号的优先级):
key1="themidathemidathemida"
key2=">----++++....<<<<."
flag2=""
flag=""
for i in range(18):
flag2+=chr((ord(key1[i])^ord(key2[i]))+22) #加号+运算符优先级大于异或+,要加括号啊,!!!!刚才直接输出错误
for i in range(18):
flag+=chr(ord(flag2[i])+9)
print(flag)
.
.
.
总结:
1:
(这里积累第一个经验)
这道题,嗯~搞了好久,主要是我的IDA
是7.5
版本的,其他博客上的大多都是7.0
或以前的版本,导致很多伪代码的变量名
和函数
表象对不上,然后这题的直接读取文件
也算是长一次见识了。这题逆向逻辑不难,就是找到关键位置我卡了好久好久,一直在梳理各种残缺信息。然后就是要懂得熟悉OD动态 调试来梳理程序逻辑和看复杂函数的输出才行。
2:
(这里积累第二个经验)
照例双击运行查看一下主要字符串,结果是一闪而过,查了一下程序会一闪而过的原因,如下所示,不用输入,那就说得通了。
然后用OD运行
来卡一下结束时输出了什么字符串。拿到题目点开就秒退,推测是直接检测某种flag的形式而不是输入flag进行check。
3:
(这里积累第三个经验)
判断函数sub_4020C0(v5, v31, v6, v34[0])
一开始我跟踪进去没看懂,然后开始分析该函数参数的由来,首先是v5
,v5
后来通过OD
动态调试梳理明白后是文件中的内容:
4:
(这里积累第四个经验)
以OD
动态调试验证v5
是文件内容的猜想,首先修改IDA
中的基地址
与OD
保持一致(Edit—Segments----Rebase
programme),为动态调试提供参考,注意前1000
字节是文件头等信息,从2000
字节开始才是代码.text.
段。
.
根据目录创建对应文件夹,在flag.txt
中写入abcd
然后在sub_8F1620
地址处下断点,OD
运行后看参数v5(ECX)
内容:
5:
(这里积累第五个经验)
知道了参数
的值该是什么后看一下前面的这些参数
有没有操作,这里对Block的函数虽然分了两个变量,但是都是一致型的操作,至于为什么分成了两个变量,应该是IDA反编译的时候中间的LOBYTE(Block[0]) = 0;
影响了它的反编译吧。
6:
(这里积累第六个经验)
所以v6
参数的值要找到对应的操作了,剩下的v31
和v34[0]
就是一个常数,现在知道了参数后我们接着看看判断函数sub_8F20C0(v5, v31, v6, v34[0])
:
.
真的,一开始我看了好久都没看懂这个函数,一堆的判断
然后执行一些杂七杂八的操作,后来结合别人的理解发现这个函数的确都是判断,而且对this
的赋值修改
操作只有下图中的红框而已。
那反过来想一想,没有修改操作,那不就可以当成判断每个字符是否相等
的函数吗?事实上也的确是这样,所以判断的就是从文件中读出的v5
和前面加密修改的字符串v6
:
解毕!敬礼!