关于2022虎符pwn mva解决jmp rax无法反汇编的这么个事情

最新推荐文章于 2023-07-03 12:23:34 发布
最新推荐文章于 2023-07-03 12:23:34 发布
阅读量1k 收藏 6
点赞数 1
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/123675415
版权

事情的起源是因为
2022 虎符 pwn mva 题解

那么有个问题来了
程序整个是个vm
但是在跳转的时候用了jmp rax导致它的十六个功能无法反汇编出来

在这里插入图片描述当时比赛的时候是去硬读汇编解决的。
但是思索着有没有解决办法

最后经过无敌的cherest_san师傅帮忙解决了这个问题。特此记录。
他让不会的人都去问他
他说事了拂衣去,深藏功与名,但是高尚的我还是决定提他一嘴。

首先我们要清楚这里反汇编不出来主要是因为它没有跳到一个确定地址的地方。
那我们能不能通过适当的patch程序,来改变这里的逻辑。让他能直接跳到确定地址地方。
我们patch的程序不一定能跑,也不需要能跑,只要IDA能反汇编出来就成。

整体逻辑呢
在这里插入图片描述
是让这里的返回值rax在跟0xf比较完之后立马跳到我们新开的段

然后用汇编不停的cmp if else

第一步先开段
edit -> segment -> creat segment
在这里插入图片描述这样直接开个段。

在这里插入图片描述
然后用IDApython
跑这个脚本。

to=[0x13f7,0x1405,0x143e,0x14cc,0x155c
,0x15ea,0x1678,0x16f2,0x1780
,0x17a1,0x1813,0x1876,0x18a5
,0x1920,0x19ac,0x1a00]
base=0x100000000
addr = 0x5000           
for i in range(15):
    PatchWord(addr,0xf883)
    PatchByte(addr+2,i)
    PatchWord(addr+3,0x0575)
    PatchByte(addr+5,0xe9)
    jmp = base + to[i] - (addr + 10)
    PatchDword(addr+6,jmp)
    addr += 10
PatchByte(addr,0xe9)
jmp = base+to[15]-(addr+5)
PatchDword(addr+1,jmp)

脚本意思很简单
就是通过一个循环
将0x5000处patch成这样子
每个循环里面是一个cmp、一个jnz、一个cmp。

在这里插入图片描述

最后把这里用keypatch改掉。
跳过去。刚刚那个段地址是0x5000。
在这里插入图片描述
最后的效果是这样的

 unsigned __int16 v6; // [rsp+20h] [rbp-240h]
  __int8 code[4]; // [rsp+24h] [rbp-23Ch]
  int v8; // [rsp+28h] [rbp-238h]
  __int64 RRSP; // [rsp+30h] [rbp-230h]
  _WORD reg[6]; // [rsp+44h] [rbp-21Ch] BYREF
  _WORD v11[260]; // [rsp+50h] [rbp-210h]
  unsigned __int64 v12; // [rsp+258h] [rbp-8h]

  v12 = __readfsqword(0x28u);
  sub_1277();
  v4 = 0;
  RRSP = 0LL;
  memset(reg, 0, sizeof(reg));
  v5 = 1;
  puts("[+] Welcome to MVA, input your code now :");
  fread(&unk_4040, 0x100uLL, 1uLL, stdin);
  puts("[+] MVA is starting ...");
  while ( v5 )
  {
    *(_DWORD *)code = encode();
    v6 = HIBYTE(*(_DWORD *)code);
    if ( v6 > 0xFu )
      break;
    if ( v6 <= 0xFu )
    {
      if ( v6 )
      {
        switch ( v6 )
        {
          case 1u:                             
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            reg[code[2]] = *(_WORD *)code;
            break;
          case 2u:                             
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            if ( code[0] > 5 || code[0] < 0 )
              exit(0);
            reg[code[2]] = reg[code[1]] + reg[code[0]];
            break;
          case 3u:                              
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            if ( code[0] > 5 || code[0] < 0 )
              exit(0);
            reg[code[2]] = reg[code[1]] - reg[code[0]];
            break;
          case 4u:                            
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            if ( code[0] > 5 || code[0] < 0 )
              exit(0);
            reg[code[2]] = reg[code[1]] & reg[code[0]];
            break;
          case 5u:                             
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            if ( code[0] > 5 || code[0] < 0 )
              exit(0);
            reg[code[2]] = reg[code[1]] | reg[code[0]];
            break;
          case 6u:                             
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            reg[code[2]] = (int)(unsigned __int16)reg[code[2]] >> reg[code[1]];
            break;
          case 7u:                             
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            if ( code[0] > 5 || code[0] < 0 )
              exit(0);
            reg[code[2]] = reg[code[1]] ^ reg[code[0]];
            break;
          case 8u:                            
            RRIP = encode();
            break;
          case 9u:
            if ( RRSP > 0x100 )
              exit(0);
            if ( code[2] )
              v11[RRSP] = *(_WORD *)code;
            else
              v11[RRSP] = reg[0];
            ++RRSP;
            break;
          case 0xAu:
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( !RRSP )
              exit(0);
            reg[code[2]] = v11[--RRSP];
            break;
          case 0xBu:
            v8 = encode();
            if ( v4 == 1 )
              RRIP = v8;
            break;
          case 0xCu:
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            v4 = reg[code[2]] == reg[code[1]];
            break;
          case 0xDu:
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[0] > 5 || code[0] < 0 )
              exit(0);
            reg[code[2]] = reg[code[1]] * reg[code[0]];
            break;
          case 0xEu:
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 )
              exit(0);
            reg[code[1]] = reg[code[2]];
            break;
          default:
            printf("%d\n", (unsigned __int16)v11[RRSP]);
            break;
        }
      }
      else
      {
        v5 = 0;
      }
    }
  }
  puts("[+] MVA is shutting down ...");
  return 0LL;
}

伪代码整体逻辑清晰
但是其实反而不大好找整数溢出的漏洞
汇编要读的快读汇编也行。

yongbaoii
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
house of pig详解
Test网络安全
09-05 4927
在复现这题之前需要了解一些前置知识:libc2.31下的largebin_attack,tcache_stashing_unlink plus以及高版本glibc下的IO_FILE攻击 首先看到libc2.31下的largebin_attack 0x1.libc2.31下的largebin_attack 跟随how2heap项目中的largebin_attack以及源码调试来学习。 从libc2.30开始,largebin的插入代码中新增了两个检查 先看到第一个点 将uns.
IDA F5无法反汇编
m0_49959202的博客
06-14 1194
打开ida,打开一个文件,我用的是安恒月赛的一个文件,出现 postive sp value has been found ,这个问题其实干扰我很久了,然后网上的很多说平衡堆栈,平衡平衡,发觉一个很长的函数,用手去计算堆栈吗,显然不是的,网上又没解释清楚,然后今天我搞懂了,就分享一下,进入正文: 首先打开option-general option在上面的一系列菜单中,选中stack pointer,就是我画红圈的地方,勾选,然后确定 你会发觉代码段多了一系列东西,这就是栈指针,他告诉我们栈的高度,而p
C++反汇编
fantasy_ARM9的博客
08-07 728
反汇编,向量寄存器优化
2022 虎符 pwn mva
yongbaoii的博客
03-21 4259
就是一道vm,逆向稍微花了点功夫。
IDA修复跳表
huzai9527的博客
11-08 1864
一、 IDA打开遇到JUMP CS命令 这是由于GCC在编译超过5个switch的结构时会用跳表进行优化,变成上面的样子 二、使用EDIT --> other --> specify switch 将光标打在JUMP命令上按TAB键切换到汇编,然后才能进行编辑 我解释一下各个参数的意义 Address of Jump table:跳表的地址,cmp eax 5,之后跳到的地址,这里就是0x69E0 Number of elements:switch 的个数,先前cmp eax 5,加
跳转(jmp)指令
z974656361的专栏
11-08 8141
跳转指令 正常执行的情况下,指令按照它们出现的顺序一条一条地执行。跳转(jmp)指令会导致执行切换到程序中一个全新的位置。 在汇编代码中,这些跳转的目的地通常用一个标号(label)指明。 考虑下面的汇编代码序列: movq $0, %rax jmp .L1 movq (%rax), %rdx .L1: popq %rdx 指令jmp .L1会导致程序跳过movq指令,而从popq指令开始继续执行。在产生目标代码文件时,汇编器会确定所有带标号指令的地址,并将跳转目标(目的指令的地址)编码为跳转指令的一部
虎符科技网络安全通信服务三种解决方案推选PPT文档.ppt
10-27
综上所述,虎符科技的网络安全通信服务解决方案是针对现有网络安全挑战的一次创新尝试,旨在通过先进的标识认证技术和安全通信服务平台,构建一个更加安全、可靠的网络环境,有效防止钓鱼攻击、骚扰电话和隐私泄露等...
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static.zip
最新发布
04-22
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static
新锐 _ 虎符网络王伟alert7:人总是要挑战下自己的.pdf
09-18
新锐 _ 虎符网络王伟alert7:人总是要挑战下自己的 安全管理 安全意识教育 端点安全 数据分析 云安全
虎符2020CTF web easylogin.pdf
04-20
虎符2020CTF web easylogin的wp,个人见解,还附上大佬的wp,免费提供给大家,我是难的又打字,所有就用PDF格式当作资源上传
高中历史之图说历史秦杜虎符:中华现存最早调兵凭证素材
09-09
高中历史之图说历史秦杜虎符:中华现存最早调兵凭证素材
pwn入门
FSD
02-23 386
作者:Tangerine@SAINTSEC 本系列的最后一篇 感谢各位看客的支持 感谢原作者的付出 一直以来都有读者向笔者咨询教程系列问题,奈何该系列并非笔者所写[笔者仅为代发]且笔者功底薄弱,故无法解答,望见谅 如有关于该系列教程的疑问建议联系论坛的原作者ID:Tangerine 0x00 got表、plt表与延迟绑定 在之前的章节中,我们无数次提到过got表和plt表这两个结构。这两个表有什么不同?为什么调用函数要经过这两个表?ret2dl-resolve与这些内容又有什么关系呢?本节我们将通
pwn学习】pwn中常用工具
Morphy_Amo的博客
01-10 4919
本文整理了在pwn中常用的一些工具,随着学习的深入也会不断添加
【IDA疑难杂症修复】
WdIg-2023的博客
07-03 1212
我们在使用IDA进行逆向分析的时候,会遇到一些问题,这篇文章来带领大家学习IDA中疑难杂症的修复:函数大小限制,栈不平衡,switch无法识别(跳转表修复),ida Decompile as call。
虎符CTF-2022 mva 题解
CoLin的pwn小屋
04-03 2989
虎符CTF-2022 mva 题解
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2029
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
IDA无法反编译 and 提示错误
weixin_52369224的博客
11-01 5786
情况一: 有的时候IDA的函数点进去 ,发现无法反编译,可能是代码出问题了,考察我们对汇编的阅读 能力例如下面: aaa指令明显错误(注:CODE CREF代码交叉引用)我们把这里jbe和aaa nop掉 然后再选中红色部分,按p键定义为函数,然后重新反编译即可 ...
BUUCTF-pwn(11)
njh18790816639的博客
01-09 2724
mrctf2020_easy_equation 简单的栈溢出漏洞,格式化字符串漏洞!此处采用栈溢出漏洞! axb_2019_fmt64 经典循环格式化字符串64位漏洞! 唯一注意的地方pwntools的FmtStr_payload无法成功获取权限!需要手动计算字节进行攻击! from elftools.construct.macros import Padding from pwn import * from LibcSearcher import * context(log_level='debu
浅析VS2010反汇编
not_give_up_的博客
12-23 553
第一篇 1. 怎样进行反汇编 在调试的环境下,我们能够很方便地通过反汇编窗体查看程序生成的反汇编信息。 例如以下图所看到的。 记得中断程序的运行,不然看不到反汇编的指令 看一个简单的程序及其生成的汇编指令 #include #include const long Lenth=5060000/5; int main(){ w

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值