攻防世界逆向高手题之BabyXor

最新推荐文章于 2023-07-15 11:11:18 发布
最新推荐文章于 2023-07-15 11:11:18 发布
阅读量844 收藏 3
点赞数 4
分类专栏: 逆向 CTF 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/120535158
版权
CTF 同时被 2 个专栏收录
173 篇文章 33 订阅
订阅专栏
逆向
99 篇文章 34 订阅
订阅专栏

攻防世界逆向高手题之BabyXor

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的BabyXor
在这里插入图片描述
.
.
下载附件,照例扔入exeinfope中查看信息,结果是不知名的壳,还叫我用DIE查看,结果也没分析出来:
在这里插入图片描述
在这里插入图片描述
.
.
.
(这里积累第一个经验)
那没办法只能手动脱壳了,回顾以前的crackme题中积累的ESP脱壳定律,在这里也同样可以借鉴一二:

https://blog.csdn.net/xiao__1bai/article/details/120230397
在这里插入图片描述

.
.
就是这里的popjmp代替retn,载入OD中我们可以发现开头处有相似的入栈出栈操作,只不过没有调用壳层函数,而是直接用代码解压缩而已:
在这里插入图片描述
.
.
断点执行到jmp处右键分析代码然后点击插件处的脱壳即可,最后按照以前的教程用importRCE修复导入表,虽然还是运行不了~
在这里插入图片描述
在这里插入图片描述
.
.
不管了,照例扔入IDA32中查看伪代码信息,有Main函数看main函数:
在这里插入图片描述
.
.
.
(这里积累第二个经验)
一开始这全都是自定义函数的操作属实把我吓倒了,唉~ 总归还是底气不足啊,应该耐性下来一个个分析才对,不会太难的。

首先红框中的_filbuf(&File);在博客https://www.cnblogs.com/volcanol/archive/2011/06/09/2076907.html中有很好的诠释。

提取一下就是getc()的一个实现,就是读取输入。
.
getc() 在VC 6.0中有两个get()的定义, 一个是宏,一个是函数
.
宏的定义如下:
#define getc(_stream) (–(_stream)->_cnt >= 0 ? 0xff & *(_stream)->_ptr++ : _filbuf(_stream))
.
函数定义如下:
_CRTIMP int __cdecl getc(FILE *);

在这里插入图片描述
.
.
前面是读取输入的,那么关键就在后面了,耐心一点一个个点进去分析一下。第一个自定义函数sub_40108C是简单的移位和异或操作,赋值给v3[i]
在这里插入图片描述
在这里插入图片描述
.
.
第二个函数sub_401041还是移位和异或操作,赋值给Buffer[i]
在这里插入图片描述
在这里插入图片描述
.
.
第三个函数sub_4010C3还是简单的移位、异或、拼接操作,最终赋值给destination
在这里插入图片描述
在这里插入图片描述
.
.
看最后一个函数sub_40101E,内部还有个sub_4010A5函数,也双击跟踪看一下,发现是简单的计算长度strlen操作,那么这个函数就是把前面生成的字符串都拼接在一起的操作。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
.
.
很耐性的分析完了,好像和输入没有什么关系,那么应该是和输入无关的存储型flag类型了,先静态写代码生成。

打印所有用于操作的数组:

addr=0x435dc0
list1=[]
for i in range(14):
    list1.append(Dword(addr+4*i))
print(list1)
addr2=0x435df8
list2=[]
for i in range(14):
    list2.append(Dword(addr2+4*i))
print(list2)
addr3=0x435e30
list3=[]
for i in range(14):
    list3.append(Dword(addr3+4*i))
print(list3)

在这里插入图片描述
.
.
然后仿照逻辑写脚本:

key1=[102, 109, 99, 100, 127, 55, 53, 48, 48, 107, 58, 60, 59, 32]
flag1=""
for i in range(14):
	flag1+=chr(i^key1[i])
#print(flag1)

key2=[55, 111, 56, 98, 54, 124, 55, 51, 52, 118, 51, 98, 100, 122]
flag2=""
flag2+=chr(key2[0])	#!!!!!!wocao
for i in range(1,14,1):
	flag2+=chr(key1[i]^key2[i]^key1[i-1])
#print(flag2)

key3=[26, 0, 0, 81, 5, 17, 84, 86, 85, 89, 29, 9, 93, 18]
flag4=""
for i in range(13):
	flag4+=chr(i^key3[i+1]^ord(flag2[i]))			#前面flag2错了,所以这里也错了!!!!

flag3=""
flag3=chr(key2[0]^key3[0])

print(flag1+flag2+flag3+flag4)

.
.
(这里积累第三个经验)
写脚本中遇到一个坑就是flag2sub_401041函数那里,Buffer[0]被赋了初始值啊,忽略的话对后面修改很大:
在这里插入图片描述
.
.
结果:
在这里插入图片描述
.
.
.
第二个方法,动态调试,在最后一个函数0x401712处下断点看寄存器即可:
在这里插入图片描述
在这里插入图片描述
.
.
.
总结:

1:
(这里积累第一个经验)
那没办法只能手动脱壳了,回顾以前的crackme题中积累的ESP脱壳定律,在这里也同样可以借鉴一二:
.
https://blog.csdn.net/xiao__1bai/article/details/120230397
在这里插入图片描述
.
就是这里的popjmp代替retn,载入OD中我们可以发现开头处有相似的入栈出栈操作,只不过没有调用壳层函数,而是直接用代码解压缩而已:
在这里插入图片描述

2:
(这里积累第二个经验)
一开始这全都是自定义函数的操作属实把我吓倒了,唉~ 总归还是底气不足啊,应该耐性下来一个个分析才对,不会太难的。
.
首先红框中的_filbuf(&File);在博客https://www.cnblogs.com/volcanol/archive/2011/06/09/2076907.html中有很好的诠释。

提取一下就是getc()的一个实现,就是读取输入。
.
getc() 在VC 6.0中有两个get()的定义, 一个是宏,一个是函数
. 宏的定义如下:
#define getc(_stream) (–(_stream)->_cnt >= 0 ? 0xff & *(_stream)->_ptr++ : _filbuf(_stream)) . 函数定义如下: _CRTIMP int __cdecl getc(FILE *);

前面是读取输入的,那么关键就在后面了,耐心一点一个个点进去分析一下。第一个自定义函数sub_40108C是简单的移位和异或操作,赋值给v3[i]
.
.
第二个函数sub_401041还是移位和异或操作,赋值给Buffer[i]
.
.
第三个函数sub_4010C3还是简单的移位、异或、拼接操作,最终赋值给destination
.
.
看最后一个函数sub_40101E,内部还有个sub_4010A5函数,也双击跟踪看一下,发现是简单的计算长度strlen操作,那么这个函数就是把前面生成的字符串都拼接在一起的操作。

3:
(这里积累第三个经验)
写脚本中遇到一个坑就是flag2sub_401041函数那里,Buffer[0]被赋了初始值啊,忽略的话对后面修改很大:
在这里插入图片描述

解毕!敬礼!

沐一 · 林
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
攻防世界逆向 BabyXor
chuxuezhewocao的博客
06-21 258
攻防世界逆向,此主要学习ESP定律法脱壳,一开始脱壳后程序有点问,无法运行,不知道是不是后续哪些步骤没有完成,但是不影响反汇编,代码逻辑也没那么复杂,所以不影响做,看了别人的WP都是动态调试出的结果,问出在了脱壳时我没有勾选掉重新输入表,虽然不知道为什么。查壳发现不知名壳,IDA载入程序什么也看不到,没办法用我的万能脱壳工具,这里学习使用ESP定律法进行手动脱壳。 OD载入程序,f8一次: 在esp寄存器这里右键设置硬件断点,然后f9运行,程序会被断在刚才下的断点的位置: 然后在这个位置利用ol
攻防世界 web高手进阶区 10分 TimeKeeper
闵行小鱼塘
10-19 1394
继续ctf的旅程,开始攻防世界web高手进阶区的10分,本文是TimeKeeper的writeup
攻防世界BabyXor
yhfgs的博客
11-09 298
1.查壳,一开始以为没有壳,反编译之后发现没有什么函数推测可能有压缩壳。 2.OD脱壳。 f7步过后找到oep。 右键脱壳 3.IDA反编译。 关键函数sub_40108C,sub_401041,sub_4010C3,sub_40101E 分别跟进并分析可知前三个都是不同的异或操作,最后的sub_40101E是拼接操作 sprintf(a1,a2,a3):是把a3的值以a2的形式存入a1中。 sub_40108C sub_401041 sub_4010C3 ...
攻防世界逆向练习--babyxor
YANG12345_6的博客
09-23 412
babyxor dword_435DC0=[102, 109, 99, 100, 127, 55, 53, 48, 48, 107, 58, 60, 59, 32 ] dword_435DF8=[55, 111, 56, 98, 54, 124, 55, 51, 52, 118, 51, 98, 100, 122] dword_435E30=[26,0,0,81,5,17,84,86,85,89,29,9,93,18,0,0] sub_40108C() 化成代码: a1 = unk_435DC0 ch
攻防世界逆向高手之debug
沐一 · 林 的博客
08-22 1213
攻防世界逆向高手之debug 继续开启全栈梦想之逆向之旅~ 这攻防世界逆向高手的debug 下载附件,照例扔入exeinpefo中查看信息: .NET文件,无壳,好吧我也是现在才知道.NET文件不能用IDA解析的,因为IDA中会出现这个情景:(一开始吓到我了) 查了资料说.NET要用其它调试器,这也就是我分析.NET的里程碑了,值得纪念。下载了ILSPY和dnSPY,发现好像只有dnSPY能断点调试: ...
攻防世界 babyXor
m0_63000514的博客
07-15 103
大概分析一下有三个字符串v8,Src,v5,而最后一个函数就是三字符串拼一块。在这里可以看出来eax,edx,ecx存了三字符串的地址,下断。Jmp之后分析代码,利用dump工具dump出来。未知壳,叫我去看看DIE,DIE也看不出来。有个pushad和popad。很显然jmp之后就是源代码了。不出意外这个就是flag了。那么答案已经呼之欲出了。
攻防世界 web高手进阶区 10分 Guess
闵行小鱼塘
11-03 1327
继续ctf的旅程,开始攻防世界web高手进阶区的10分,本文是Guess的writeup
攻防世界 web高手进阶区 10分 url
闵行小鱼塘
10-19 1579
继续ctf的旅程,开始攻防世界web高手进阶区的10分,本文是url的writeup
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127951997
UNCTF几个
weixin_43928140的博客
10-31 1535
0x01 Misc 亲爱的 目是亲爱的热爱的里的 李现唱海阔天空?? 开始试了音频隐写,无果。虚拟机看是否有隐藏文件,foremost一下出现一个名为zip的文件夹,里面有一个压缩包 爆破无果,4-6位都试了,winhex也看了,无果,然后strings命令看一下发现一句 开始以为可能是MP3stego解密用的,后面无果 最后,qq音乐翻评论区拿到 牛逼 ...
XCTF 进阶 RE zorropub
A_dmin的博客
09-28 756
XCTF 进阶 RE zorropub 好久没接触CTF了,今天做了一下XCTF中的逆向
2019UNCTF-竞技赛 部分WP
A_dmin的博客
10-30 3187
UNCTF-竞技赛 部分WP
攻防世界 —— Web高手进阶区1baby_web)
Catherine_qingzhu的博客
04-05 1154
过程 目已经提示FLAG在index.php或index.html中了 所以就在浏览器的地址栏中试,结果发现 ...\index.html资源不存在 ...\index.php又会跳转到1.php 这就很迷,然后按F12键调试,重新在地址栏中输入...\index.php 看到Network中是介个样子 index.php返回的状态码是302,我们点击index.php看看这...
2023 LitCTF --- Crypto wp
3tefanie丶zhou的博客
05-21 1350
【善,论心不论迹,论迹贫家无孝子;恶,论迹不论心,论心世上无完人。】
UNCTF2022Pwn和Reverse的部分解(其他方向的签到也有)
weixin_73290593的博客
11-21 1251
unctf的re和pwn部分
BUUCTF RE xor
A_dmin的博客
06-05 2575
BUUCTF RE xor s = ['f',10,'k',12,'w&O.@',17,'x',13,'Z;U',17,'p',25,'F',31,'v"M#D',14,'g',6,'h',15,'G2O',0] ss = 'fkw&O.@xZ;UpFv"M#DghG2O' x = "f" a = [102, 10, 107, 12, 119, 38, 79, 46, 64...
C++文件存取操作
重文-技艺山海经
03-27 1279
文件存取(File Access) 1. stream 可用来存取文件,C++标准库提供了四个template classes,并预先定义了四个标准特化版本: 1). basic_ifstream 2). basic_ofstream 3). basic_fstream 4). basic_filbuf 2. std::ofstream file(filename.c_str(
记一次院赛CTF的Crypto和Re(入门)
CTF小白的博客
04-14 7355
目录Cryptoeasy cryptobAcOn敌军密报Reeasy re跳到对的地方简单的XOR多密码表替换 Crypto easy crypto 首先,这个可以很容易的看出这是一个base64加密一串密文,然后用base64解密后是 可以看出这就是flag的格式,所以一般就是凯撒加密了,但是因为有花括号下划线之类的,所以是凯撒的一个变形rot13 bAcOn 这是给了一个字符串baCo...
攻防世界pwn新手答案
最新发布
08-10
回答: 对于攻防世界pwn新手,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲区大小时,会覆盖到相邻的内存区域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单练习区 答(1-10解)](https://blog.csdn.net/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值