攻防世界逆向高手题之re5-packed-movement

已于 2022-05-06 09:15:37 修改
阅读量1.4k 收藏 2
点赞数 4
分类专栏: CTF 逆向 文章标签: ctf
于 2021-11-14 20:35:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/121322499
版权
CTF 同时被 2 个专栏收录
173 篇文章 33 订阅
订阅专栏
逆向
99 篇文章 36 订阅
订阅专栏
本文探讨了如何破解使用movfuscator混淆的程序,通过IDA工具分析和字节序列搜索,揭示了隐藏在mov指令中的旗标字符,最终找回了ALEXCTF的旗标。涉及的知识包括图灵完备性、mov指令的混淆原理和解混淆技巧。
摘要由CSDN通过智能技术生成

攻防世界逆向高手题之re5-packed-movement

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的re5-packed-movement
在这里插入图片描述
下载附件,照例扔入exeinfope中查看信息:
在这里插入图片描述

32位的UPX壳,直接扔入Kali中脱壳处理先:
在这里插入图片描述

照例先运行一下程序,看一下主要的回显信息:
在这里插入图片描述

照例扔入32位IDA中查看伪代码信息,有main函数看main函数,结果没有Main函数:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
.
.
.
现在冷静分析一下,关键代码都在main函数中,但是都是Mov指令,这应该是经过某种处理的好像又不是花指令,因为没有数据和其他移位命令,查了查资料,下面是博客大灬白的话:

https://blog.csdn.net/Onlyone_1314/article/details/120928679?spm=1001.2101.3001.6650.3&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-3.no_search_link&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-3.no_search_link

我们可以看到程序的汇编代码全都是mov,肯定是被混淆过了,这里是用了movfuscator来混淆,。
.
剑桥大学的Stephen Dolan证明了x86的mov指令是图灵完全的(论文《mov is Turing-complete》)。这意味着从理论上来讲,x86只要有mov这一条指令就可以完成几乎所有功能了(可能还需要jmp),其他指令都是“多余的”。受此启发,有个大牛做了一个虚拟机加密编译器。它是一个修改版的LCC编译器,输入是C语言代码,输出的obj里面直接包含了虚拟机加密后的代码。如它的名字,函数的所有代码只有mov指令,没有其他任何指令。对,完全没有,连call,jz,ret之类的都没有。
  .
  开源项目地址:https://github.com/xoreaxeaxeax/movfuscator
  .
  M/o/Vfuscator(简称“o”,听起来像“mobfuscator”)将程序编译成“mov”指令,并且只编译“mov”指令。算术、比较、跳转、函数调用,以及程序需要的一切,都是通过mov操作完成的;没有自修改代码,没有传输触发的计算,也没有其他形式的非 mov 作弊。
————————————————
版权声明:本文为CSDN博主「大灬白」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/Onlyone_1314/article/details/120928679

这类movfuscator 混淆后的程序,MOV混淆是不会混淆函数的逻辑的,因此函数的逻辑还是不变的。大多都是通过逐个比较输入后的字符串的每个字符的方式,比较结果不对就输出“Wrong Flag!”,所以在程序当中就会出现单个的字符,例如:
在这里插入图片描述

这里也是借鉴了大白的两个方法:
方法1:用IDA的字节搜索序列:
在这里插入图片描述
在这里插入图片描述
.
.
方法2:用IDA内嵌的python脚本匹配符合的字符,这里涉及flag的字符范围和简单的匹配算法

start=0x80487c4
end=0x8060B38
flag=""
while start < end:
    if((Byte(start)<=ord('9') and Byte(start)>=ord('0')) or (Byte(start)<=ord('z') and Byte(start)>=ord('a')) or (Byte(start)<=ord('Z') and Byte(start)>=ord('A'))or Byte(start)==ord('!') or Byte(start)==ord('@') or Byte(start)==ord('#') or Byte(start)==ord('{') or Byte(start)==ord('}') or Byte(start)==ord('\'') or Byte(start)==ord('*')  or Byte(start)==ord('&') or Byte(start)==ord('_') ):	#匹配flag的字符范围和部分特殊字符
        if(Byte(start+1)==0 and Byte(start+2)==0 and Byte(start+3)==0):
            flag+=chr(Byte(start))
    start+=1
print(flag)

在这里插入图片描述

去掉2就是flag:ALEXCTF{M0Vfusc4t0r_w0rk5_l1ke_m4g1c}
.
.
.
解毕!敬礼!

mz-packed图片放大镜
03-27
"mz-packed图片放大镜"是一款基于JavaScript技术实现的图片查看工具,专为网页环境设计,提供便捷的图片放大查看功能。它具有轻量级、无水印的特点,使得用户在网页上可以清晰地查看细节丰富的图片,而不会受到任何...
XCTF-攻防世界CTF平台-Reverse逆向类——57、re5-packed-movement(linux32位ELF文件、movfuscator代码混淆)
Onlyone_1314的博客
10-24 2178
目录标方法一:搜索字节序列方法二:IDC脚本方法三:Python脚本:方法四:bgrep工具 先查看文件信息:   是linux下的32位ELF文件,且被加了UPX的壳   下载最新版的UPX脱壳,UPX脱壳的Githup地址:https://github.com/upx/upx/releases/tag/v3.91   之后脱壳,指定加壳文件57,输出脱壳文件57move upx -d 57 -o 57move 赋执行权限运行程序: 用IDA打开57move,找到字符串“Guess a flag
movfuscator混淆——re5-packed-movement
yhfgs的博客
11-20 930
1.查壳 upx加壳。 2.脱壳,IDA反编译。 发现主函数都是mov指令。看了大佬的wp才知道是movfuscator混淆。 (在mov指令的图灵完备性被证明之后,就产生了一种使用mov指令代替其他各种指令的混淆机制,运算,跳转,函数调用都可以全部使用mov指令实现。) 由于是movfuscator混淆,他只是把cmp,jcc等指令换成了mov指令,大体逻辑还是没变的。 直接分析汇编代码。shift+f12查找字符串 找到提示性字符串。跟进:发现有两处Guess a flag,wro
Neepu2023-部分Reserve复现
m0_73393932的博客
05-26 925
逆向
攻防世界 re5-packed-movement WP
Zarcs_233的博客
01-20 667
这道真的难搞,我现在还不知道正解,不过我这搞法也可以做出来。 拿到目之后,直接IDA打开,发现代码看不了 可以看到有大段的数据,代码却很少,可以推测加了壳。 打开string,找到了upx。。所以是upx壳,直接脱壳 运行upx自动脱壳 upx -d elf -o output 再用IDA打开output,发现恶心的死,全部都是mov指令,连跳转都没有 这里我分析了一下,程序开头调用了sig...
html5 图灵完备,Accidentally Turing-Complete
weixin_34142735的博客
06-22 294
Some things were not supposed to beTuring-complete.This is a collection of such accidents.Stuff which is somehow limited(stack overflows, arbitrary configuration, etc)is still considered Turing comple...
前端开源库-fis3-deploy-skip-packed
08-29
`fis3-deploy-skip-packed` 是一个针对前端构建工具 FIS3(Fast Interaction for Server-side)的扩展插件,主要作用在于部署阶段跳过已经压缩的文件,避免重复处理,从而优化构建过程。 FIS3 是腾讯推出的一款前端...
dotenv-packed:将dotenv及其一些扩展打包为一个
02-15
安装npm install dotenv-packed用法# process.envDEBUG=false # .env fileVARIABLE_1=value_1VARIABLE_2=yes // .js fileimport { parseEnv , getEnv } from 'dotenv-packed'// ** Basicconst { parsed } = parseEnv...
FMQA-packed test record.doc
01-27
【FMQA-packed测试记录表详解】 在IT行业中,质量管理是至关重要的环节,特别是在产品开发与生产过程中。"FMQA-packed test record.doc" 提到的文件是一种用于管理质量保证的工具,它专注于产品包装阶段的质量控制...
logi-projects-packed:自包含的逻辑项目
05-11
logi-projects-packed 自包含的logi项目。 Logi存储库分为硬件,软件,工具等逻辑元素。这些存储库中的每一个都可能变得非常大,因此选择将其作为独立的存储库。 logi项目源参考源来自外部存储库,包括硬件,软件,...
mov is turing complete
11-03
mov is turing complete
记一次爬虫逆向攻防的详细全过程
xiangxue666的博客
04-19 449
记一次爬虫逆向攻防的详细全过程
XCTF re5-packed-movement
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-08 469
出现在alexctf-2017 目下载:点此下载 首先UPX脱壳 IDA载入。IDA关闭 IDAPython脚本: start=0x0804829C end=0x08060B32 flag = "" while start<end: if (Byte(start) <= ord('9') and Byte(start)>=ord('0')) or (Byte(sta...
攻防世界--re-for-50-plz-50
weixin_30876945的博客
09-19 222
RetDec是真的难安装,太笨了~~~ 1.准备 获取信息 32位文件 2.IDA打开 发现这是MIPS代码。本来准备安装RetDec,哎...还是恶补MIPS指令知识吧:https://www.cnblogs.com/thoupin/p/4018455.html 3.代码分析 可以看重点 这实际上就是一个对字符串的异或操...
攻防世界 pwn200 WP
Zarcs_233的博客
01-28 474
32位栈溢出程序 具体思路(ROP): 1.搞到system函数地址,可以通过dynelf 2.写入’/bin/sh’,用做system参数 3.调用system函数 EXP: from pwn import * context.log_level='debug' p=remote("111.198.29.45",30502) start=0x80483D0 #程序起始代码,实现复用 def...
XCTF note-service2
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-09 886
查程序保护机制 开启了PIE和CANARRY 没有开启NX,堆栈具有可执行权限 IDA64载入程序,查看main函数 重点分析sub_E30(); 经过分析得知sub_C56()是一个输出提示信息的函数,sub_B91()是获取用户输入值的函数 sub_DC1();sub_DD4();这两个函数的功能未完成 仅实现了sub_CA5();sub_DE7();这两个函数,这两个函数实现了添加和删...
AlexCTF: RE5
qq_41071646的博客
07-08 346
参考链接 https://www.amn3s1a.com/blog/writeup/2017/02/10/AlexCTF-PackedMovement.html 这个目 我依稀记得被他支配的恐惧感。。。 都是mov 听说github上面有这个脚本,,, emmmmm 然后这个目 有人用pintools写 但是我一直没有学习过pintools 感觉效率太低 本来想用 angr 写...
攻防世界-RE-三WP
WocW的博客
04-25 1680
1.re2-cpp-is-awesome 分析 打开看看,发现需要一个参数。在IDA里查找这个luck next time,交叉引用 再次交叉引用,发现到main函数。 这里就是关键的对比了,看起来像是v8经过某个处理后与明文表对比。动态调试看看,下端点在v8,发现我们所输入的字符串没有被处理过,那就更简单了,直接最原始的明文对比。 每次将执行到这里会出现一个flag明文,在下面的跳转指...
excel 无法找到 c:\Xlfastapi\Xlfastapi-addln-packed.xll
最新发布
04-27
2. 将 Xlfastapi-addln-packed.xll 文件移动到 Excel 默认加载文件的文件夹中,一般路径为:C:\Users\用户名\AppData\Roaming\Microsoft\AddIns; 3. 打开 Excel,选择“文件”->“选项”->“添加程序”->“管理...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值