[网鼎杯 2020 青龙组]jocker

最新推荐文章于 2023-05-31 22:41:02 发布
最新推荐文章于 2023-05-31 22:41:02 发布
阅读量513 收藏
点赞数
分类专栏: buuctf reverse 文章标签: c语言 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yidalipao1/article/details/125011646
版权

[网鼎杯 2020 青龙组]jocker

SMC(self-Modifying Code): 自修改代码,程序在执行某段代码的过程中会对程序的代码进行修改,只有在修改后的代码才是可汇编,可执行的。在程序未对该段代码进行修改之前,在静态分析状态下,均是不可读的字节码。

查壳:32位无壳程序,直接拖ida

首先shift+f12搜索字符串,但是除了main函数中的一句请输入flag提示之外在没有什么有用的。

main函数

// positive sp value has been detected, the output may be wrong!
int __cdecl main(int argc, const char **argv, const char **envp)
{
  char Str[50]; // [esp+12h] [ebp-96h] BYREF
  char Destination[80]; // [esp+44h] [ebp-64h] BYREF
  DWORD flOldProtect; // [esp+94h] [ebp-14h] BYREF
  size_t v7; // [esp+98h] [ebp-10h]
  int i; // [esp+9Ch] [ebp-Ch]
​
  __main();
  puts("please input you flag:");
  if ( !VirtualProtect(encrypt, 0xC8u, 4u, &flOldProtect) )
    exit(1);
  scanf("%40s", Str);
  v7 = strlen(Str);
  if ( v7 != 24 )
  {
    puts("Wrong!");
    exit(0);
  }
  strcpy(Destination, Str);
  wrong(Str);
  omg(Str);
  for ( i = 0; i <= 186; ++i )
    *((_BYTE *)encrypt + i) ^= 0x41u;
  if ( encrypt(Destination) )
    finally(Destination);
  return 0;
}

可以看到第一个条件是flag长度要为24

然后将str先复制到Destination这里,再调用wrong函数对str进行修改。

wrong函数

char *__cdecl wrong(char *a1)
{
  char *result; // eax
  int i; // [esp+Ch] [ebp-4h]
​
  for ( i = 0; i <= 23; ++i )
  {
    result = &a1[i];
    if ( (i & 1) != 0 )
      a1[i] -= i;       //i为偶数
    else
      a1[i] ^= i;       //i为奇数
  }
  return result;
}

可以看出wrong函数的功能是把a1里每个元素按照下标的奇偶进行相应的加密处理

然后来到omg函数

omg函数

int __cdecl omg(char *a1)
{
  int v2[24]; // [esp+18h] [ebp-80h] BYREF
  int i; // [esp+78h] [ebp-20h]
  int v4; // [esp+7Ch] [ebp-1Ch]
​
  v4 = 1;
  qmemcpy(v2, &unk_4030C0, sizeof(v2));
  for ( i = 0; i <= 23; ++i )
  {
    if ( a1[i] != v2[i] )
      v4 = 0;
  }
  if ( v4 == 1 )
    return puts("hahahaha_do_you_find_me?");
  else
    return puts("wrong ~~ But seems a little program");
}

查看unk_430C0部分

 

直接给出字符串了,破解一下吧(shift + E直接导出字符串)

key = 0x66, 0x6B, 0x63, 0x64, 0x7F, 0x61, 0x67, 0x64, 0x3B, 0x56, 0x6B, 0x61, 0x7B, 0x26, 0x3B, 0x50, 0x63,       0x5F, 0x4D, 0x5A, 0x71, 0x0C, 0x37, 0x66
flag = ''
for i in range(24):
    if i % 2 == 1:
        flag += chr(key[i] + i)
    else:
        flag += chr(key[i] ^ i)
print(flag)
#结果: 
#flag{fak3_alw35_sp_me!!}

假的flag

在omg后面还有一个循环,最后的一点应该是在这里的

循环中还有一个encrypt函数,但是无法打开

红色标注的下面那里像是一段乱码一样,导致无法反汇编出来结果吧,然后尝试找出调用了encrypt函数的地址,od动调一下,看看这个函数到底在干什么

在这里发现了encrypt函数和finally函数分别被调用

既然由前面的函数得到的flag是个假的,那最后正确的flag一定是通过这两个函数处理的,下一步就是分析encrypt函数

OD打开后 在0x401833地址处下断点

 

然后F9运行至断点处,在应用中随意输入24位字符

然后F7步入

 

可以看到这里的函数是已经解密了,然后可以直接olldump脱壳,直接保存新的exe

然后再用ida打开它

encrypt函数

int __cdecl start(int a1)
{
  int v2[19]; // [esp+1Ch] [ebp-6Ch] BYREF
  int v3; // [esp+68h] [ebp-20h]
  int i; // [esp+6Ch] [ebp-1Ch]
​
  v3 = 1;
  qmemcpy(v2, &unk_403040, sizeof(v2));
  for ( i = 0; i <= 18; ++i )
  {
    if ( (char)(*(_BYTE *)(i + a1) ^ aHahahahaDoYouF[i]) != v2[i] )
    {
      puts("wrong ~");
      v3 = 0;
      exit(0);
    }
  }
  puts("come here");
  return v3;
}

 

 

aHahahahaDoYouF中的字符串是hahahaha_do_you_find_me?

unk_403040中的字符通过shift + E 可以直接导出

然后写个脚本破解一下

v2 = [14, 13, 9, 6, 19, 5, 88, 86, 62, 6, 12, 60, 31, 87, 20, 107, 87, 89, 13]
xor = 'hahahaha_do_you_find_me?'
flag = []
for i in range(0, 19):
    flag.append(v2[i] ^ ord(xor[i]))
for i in range(0, 19):
    print(chr(flag[i]), end = '')

得到结果是

flag{d07abccf8a410c

flag明显少了一部分啊,但是它最后还有一个

finally函数

int __cdecl sub_40159A(int a1)
{
  unsigned int v1; // eax
  char v3[9]; // [esp+13h] [ebp-15h] BYREF
  int v4; // [esp+1Ch] [ebp-Ch]
​
  strcpy(v3, "%tp&:");
  v1 = time(0);
  srand(v1);
  v4 = rand() % 100;
  v3[6] = 0;
  *(_WORD *)&v3[7] = 0;
  if ( (v3[(unsigned __int8)v3[5]] != *(_BYTE *)((unsigned __int8)v3[5] + a1)) == v4 )
    return puts("Really??? Did you find it?OMG!!!");
  else
    return puts("I hide the last part, you will not succeed!!!");
}

这段代码具体是什么意思真的没搞明白,但是前面的加密算法是异或,所以尝试一下异或

得到的flag现在没有最后一位 },那么剩下的字符串里肯定是最后一个字符异或一个数得到}

flag = [] 
v3 = [37, 116, 112, 38, 58]#既是‘%tp&:’
key = ord('}') ^ 58
for i in range(5):
    flag.append(chr(v3[i] ^ key))
print(''.join(flag))

最后得到

b37a}

flag

flag{d07abccf8a410cb37a}

Eutop1a
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020网鼎杯青龙Boom
05-12
2020网鼎杯青龙Boom。如果需要的可以下载,其实就是解方程而已,没啥难度。
[网鼎杯 2020 青龙]jocker(详解)
qq_32072825的博客
12-01 1888
buuctf
2020——网鼎杯青龙)jocker
寻梦&之璐
03-30 8242
文章目录声明栈指针修改wrongomgsmc自修改动调进入encrtpt(把数据段编程代码来解析)idc脚本 声明 这个题,分析了一下,两个知识,一个是栈指针修改,还有一个smc自修改(自修改的话,两种破法,一个是idc脚本,一个是动调) 栈指针修改 进入程序直接地址0x401838的sp指针(堆栈不平衡)报错,点击options—>general—>勾选stack pointer,然后找到地址0x401838,截图看看 call函数调用前后 栈顶指针sp位置不一样,可能吗???????那栈
网鼎杯2020 青龙 jocker
m0_51357657的博客
04-18 273
来看一眼题目逻辑哈,看函数名知道_Z5wrongPc那一处是个假加密函数,先不看。。。然后下面很明显是一道smc了 对加密函数的前186(0xBA)位异或 0x41 这里可以用idapython对加密函数解密(呜呜不会。。) 也可以选择动调,在左边已经解密好的位置下断,步入, 事情没那么简单,要修复代码 一通U和C之后,发现在奇怪的位置end了,也undefine掉 修了半天代码终于成型,还是不能F5,唉还要修个栈针 呃,我是废物。。。我不太懂栈针不平是什么原理就猜着乱改(ALT+K),反正改成没有
Buuctf [网鼎杯 2020 青龙]jocker 题解
OrientalGlass的博客
03-11 1287
1.提示:,出现了堆栈不平衡的情况2.函数的作用是取消encrypt函数所在区域的读写保护,为下方给函数脱壳做准备3.首先输入一个字符串input,判断长度是否为24,然后复制到str中;4.wrong函数对input串加密,加密后由omg函数进行判断是否满足条件,但是根据这两条函数得到的flag是假的,也就图一乐5.真正的flag要根据encrypt和finally函数以及str串(原始的input)来求得二.wrong函数和omg函数--假flag1.wrong函数很普通的一个加密。
网鼎杯青龙18道.rar
06-11
2020网鼎杯青龙的题目压缩包,里面已经分好类了。
jocker-chrome-extension:即刻抽屉
05-13
Jocker 即刻抽屉即刻抽屉是一个可以按主题查看和备份自己即刻动态的工具,让你换一种方式来回顾自己的动态。点击下图可查看完整演示视频:安装Jocker 是一款 Chrome 插件,基于 Manifest V3 标准进行开发,请使用 ...
jocker:
03-06
乔克<空desc>
即刻抽屉 Jocker Extension-crx插件
04-02
语言:中文 (简体) 即刻抽屉,整理和备份即刻动态的工具 换一种方式重温你过往的即刻动态。更新日志:v3.0.0 支持- 按主题查看自己的动态- 按主题导出自己的文字动态,以csv文件格式- 按主题查看自己发过的图片- 查看...
Python网络协议学习路线
03-20
该资源包含scapy、request、urllib、socket等网络编程模块的一些学习大纲,适合刚学习完网络基础的小白下载进行学习。本资源将会带领你进行学习python网络编程和一些流行的爬虫模块的使用
[BUUCTF]Reverse——[网鼎杯 2020 青龙]jocker
mcmuyanga的博客
04-06 555
[网鼎杯 2020 青龙]jocker 例行检查,无壳,32位程序 运行一下看看大概的情况 32位ida载入 进入encrypt函数会报错,0x40151D处反编译失败40151D:无法转换为伪代码 我一开始以为是堆栈不平衡导致,后来发现恢复后也没法f5 看程序的逻辑,大概这边的代码被加密了,24~25行代码的作用就是给这个函数代码进行解密,这个函数后面在说,先继续往下看。 wrong(),一个简单的加密函数 omg() 经过wrong处理的字符串得到unk_4030c0
[re]硬猜flag:2020网鼎杯青龙re_joker_wp
Breeze的博客
05-15 9761
[re]硬猜flag:2020网鼎杯青龙re_joker_wp 2020网鼎杯青龙的一道逆向题joker,这道题其实并不是很难,但难在考心态和脑洞,获取flag的最后一步居然是硬猜,我吐了啊,而且没法爆破,因为这道题你拿到flag了,在程序中输入也不会告诉你flag正确。 题目分析 题目是一个32位windows程序: 逆向分析一下,main函数直接f5是不行的,堆栈不平衡。 但这里无需去纠正他,因为main函数的逻辑还算简单: 直接可以看出flag字符串长度是0x18也就是24 然后对输入的f
BUUCTF-网鼎杯2020-青龙-joker
qq_51600802的博客
10-28 439
一.程序分析 首先还是将程序进行查壳 IDA打开后尝试f5,发现因为堆栈不平衡,无法直接反编译,所以修改一下 选项->常规->反汇编 勾选堆栈指针,快捷键alt+k,将SP修改为零,如果下面还遇到同理 二.伪代码分析 int __cdecl main(int argc, const char **argv, const char **envp) { char v4; // [esp+12h] [ebp-96h] char v5; // [esp+4...
[BUUCTF][网鼎杯 2020 青龙]jocker 分析与记录
Tokameine的博客
06-30 363
无壳,IDA打开可以直接进入main函数: 第12行调用VirtualProtect函数更改了offset encrypt处的访问保护权限 BOOL VirtualProtect( LPVOID lpAddress, SIZE_T dwSize, DWORD flNewProtect, PDWORD lpflOldProtect ); 参见:https://docs.microsoft.com/en-us/windows/win32/memor...
buuctf刷题记录21 [网鼎杯 2020 青龙]jocker
ytj00的博客
08-01 863
今天挑战一下,结果最后还是看了别人的wp才写出来的 无壳,ida查看发现不能f5,原因堆栈不平衡 进行栈指针修改 修改出错的地方的栈指针偏移,快捷键alt+k,值改为0 然后就能f5了, 逻辑也不难,首先输入长度是24位,然后有三个关键函数 wrong(),omg(),encrypt() 先看wrong和omg,wrong函数,对输入的前24个进行加密 omg函数比较wrong加密结果和unk_4030C0地址的值是否相同 把unk_4030C0地址的值考出来,写个脚本 s=[102, 1
BUUCTF Reverse/[网鼎杯 2020 青龙]jocker
ookami6497的博客
08-11 903
BUUCTF Reverse/[网鼎杯 2020 青龙]jocker 先看下文件信息,没有加壳,32位程序 运行一下,又是一道字符串比较的题目 用IDA32位打开,分析一下 // positive sp value has been detected, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { char Str[50]; // [esp+12h
buu-[网鼎杯 2020 青龙]jocker
m0_73393932的博客
05-31 881
逆向
buu练题记录12-[网鼎杯 2020 青龙]jocker
Asteri5m
04-28 235
0x00 IDA分析 IDA打开,发现不能F5 看提示知道是堆栈不平衡,所以先打开堆栈指针提示 发现这里有两个地方堆栈有突变 在这两个call的地方,ALT+K收到调节堆栈为0x0 成功F5,得到伪代码 通过这里的wrong和omg函数可以逆出来一个flag 0x01 exp1 假flag enc = [0x66,0x6B,0x63,0x64,0x7F,0x61,0x67,0x64,0x3B,0x56,0x6B,0x61,0x7B,0x26,0x3B,0x50,0x63,0x5F,0x4D,0x
configure: error: /bin/sh ./config.sub /d/project/nc_file_format/hdf5-1.10.6/install/lib failed
最新发布
08-23
这个错误是在运行命令"./configure"时出现的。错误提示是"configure: error: /bin/sh ./config.sub /d/project/nc_file_format/hdf5-1.10.6/install/lib failed"。根据引用,这个错误可能是由于找不到或无法执行config.sub文件导致的。 根据引用中的解决方法,你可以尝试用系统中的config.sub文件替换掉当前目录下的config.sub文件。你可以使用以下命令进行替换: mv /home/joy/config/config.sub /home/joy/config/config.sub.bak cp /usr/share/libtool/build-aux/config.sub /home/joy/config/config.sub mv /home/joy/config/config.guess /home/joy/config/config.guess.bak cp /usr/share/libtool/build-aux/config.guess /home/joy/config/config.guess 这样做可以确保你使用的是系统中的config.sub文件,从而解决配置错误。 此外,你也可以使用引用中的命令查找系统中所有的config.sub文件,与你当前目录下的进行比较,以确定是否存在其他引起错误的config.sub文件。你可以使用以下命令进行查找: find / -name config.sub 这会在系统中查找所有名为config.sub的文件,并输出它们的路径。你可以将这些路径与你当前目录下的config.sub进行比较,以找到可能引起错误的文件。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [configure: error: cannot run /bin/bash config/config.sub](https://blog.csdn.net/Jocker_xie/article/details/89332120)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值