关于2022虎符pwn mva解决jmp rax无法反汇编的这么个事情

最新推荐文章于 2022-11-21 19:53:33 发布
最新推荐文章于 2022-11-21 19:53:33 发布
阅读量1k 收藏 6
点赞数 1
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/123675415
版权

事情的起源是因为
2022 虎符 pwn mva 题解

那么有个问题来了
程序整个是个vm
但是在跳转的时候用了jmp rax导致它的十六个功能无法反汇编出来

在这里插入图片描述当时比赛的时候是去硬读汇编解决的。
但是思索着有没有解决办法

最后经过无敌的cherest_san师傅帮忙解决了这个问题。特此记录。
他让不会的人都去问他
他说事了拂衣去,深藏功与名,但是高尚的我还是决定提他一嘴。

首先我们要清楚这里反汇编不出来主要是因为它没有跳到一个确定地址的地方。
那我们能不能通过适当的patch程序,来改变这里的逻辑。让他能直接跳到确定地址地方。
我们patch的程序不一定能跑,也不需要能跑,只要IDA能反汇编出来就成。

整体逻辑呢
在这里插入图片描述
是让这里的返回值rax在跟0xf比较完之后立马跳到我们新开的段

然后用汇编不停的cmp if else

第一步先开段
edit -> segment -> creat segment
在这里插入图片描述这样直接开个段。

在这里插入图片描述
然后用IDApython
跑这个脚本。

to=[0x13f7,0x1405,0x143e,0x14cc,0x155c
,0x15ea,0x1678,0x16f2,0x1780
,0x17a1,0x1813,0x1876,0x18a5
,0x1920,0x19ac,0x1a00]
base=0x100000000
addr = 0x5000           
for i in range(15):
    PatchWord(addr,0xf883)
    PatchByte(addr+2,i)
    PatchWord(addr+3,0x0575)
    PatchByte(addr+5,0xe9)
    jmp = base + to[i] - (addr + 10)
    PatchDword(addr+6,jmp)
    addr += 10
PatchByte(addr,0xe9)
jmp = base+to[15]-(addr+5)
PatchDword(addr+1,jmp)

脚本意思很简单
就是通过一个循环
将0x5000处patch成这样子
每个循环里面是一个cmp、一个jnz、一个cmp。

在这里插入图片描述

最后把这里用keypatch改掉。
跳过去。刚刚那个段地址是0x5000。
在这里插入图片描述
最后的效果是这样的

 unsigned __int16 v6; // [rsp+20h] [rbp-240h]
  __int8 code[4]; // [rsp+24h] [rbp-23Ch]
  int v8; // [rsp+28h] [rbp-238h]
  __int64 RRSP; // [rsp+30h] [rbp-230h]
  _WORD reg[6]; // [rsp+44h] [rbp-21Ch] BYREF
  _WORD v11[260]; // [rsp+50h] [rbp-210h]
  unsigned __int64 v12; // [rsp+258h] [rbp-8h]

  v12 = __readfsqword(0x28u);
  sub_1277();
  v4 = 0;
  RRSP = 0LL;
  memset(reg, 0, sizeof(reg));
  v5 = 1;
  puts("[+] Welcome to MVA, input your code now :");
  fread(&unk_4040, 0x100uLL, 1uLL, stdin);
  puts("[+] MVA is starting ...");
  while ( v5 )
  {
    *(_DWORD *)code = encode();
    v6 = HIBYTE(*(_DWORD *)code);
    if ( v6 > 0xFu )
      break;
    if ( v6 <= 0xFu )
    {
      if ( v6 )
      {
        switch ( v6 )
        {
          case 1u:                             
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            reg[code[2]] = *(_WORD *)code;
            break;
          case 2u:                             
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            if ( code[0] > 5 || code[0] < 0 )
              exit(0);
            reg[code[2]] = reg[code[1]] + reg[code[0]];
            break;
          case 3u:                              
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            if ( code[0] > 5 || code[0] < 0 )
              exit(0);
            reg[code[2]] = reg[code[1]] - reg[code[0]];
            break;
          case 4u:                            
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            if ( code[0] > 5 || code[0] < 0 )
              exit(0);
            reg[code[2]] = reg[code[1]] & reg[code[0]];
            break;
          case 5u:                             
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            if ( code[0] > 5 || code[0] < 0 )
              exit(0);
            reg[code[2]] = reg[code[1]] | reg[code[0]];
            break;
          case 6u:                             
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            reg[code[2]] = (int)(unsigned __int16)reg[code[2]] >> reg[code[1]];
            break;
          case 7u:                             
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            if ( code[0] > 5 || code[0] < 0 )
              exit(0);
            reg[code[2]] = reg[code[1]] ^ reg[code[0]];
            break;
          case 8u:                            
            RRIP = encode();
            break;
          case 9u:
            if ( RRSP > 0x100 )
              exit(0);
            if ( code[2] )
              v11[RRSP] = *(_WORD *)code;
            else
              v11[RRSP] = reg[0];
            ++RRSP;
            break;
          case 0xAu:
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( !RRSP )
              exit(0);
            reg[code[2]] = v11[--RRSP];
            break;
          case 0xBu:
            v8 = encode();
            if ( v4 == 1 )
              RRIP = v8;
            break;
          case 0xCu:
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 || code[1] < 0 )
              exit(0);
            v4 = reg[code[2]] == reg[code[1]];
            break;
          case 0xDu:
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[0] > 5 || code[0] < 0 )
              exit(0);
            reg[code[2]] = reg[code[1]] * reg[code[0]];
            break;
          case 0xEu:
            if ( code[2] > 5 || code[2] < 0 )
              exit(0);
            if ( code[1] > 5 )
              exit(0);
            reg[code[1]] = reg[code[2]];
            break;
          default:
            printf("%d\n", (unsigned __int16)v11[RRSP]);
            break;
        }
      }
      else
      {
        v5 = 0;
      }
    }
  }
  puts("[+] MVA is shutting down ...");
  return 0LL;
}

伪代码整体逻辑清晰
但是其实反而不大好找整数溢出的漏洞
汇编要读的快读汇编也行。

yongbaoii
关注
专栏目录
pwn入门
FSD
02-23 438
作者:Tangerine@SAINTSEC 本系列的最后一篇 感谢各位看客的支持 感谢原作者的付出 一直以来都有读者向笔者咨询教程系列问题,奈何该系列并非笔者所写[笔者仅为代发]且笔者功底薄弱,故无法解答,望见谅 如有关于该系列教程的疑问建议联系论坛的原作者ID:Tangerine 0x00 got表、plt表与延迟绑定 在之前的章节中,我们无数次提到过got表和plt表这两个结构。这两个表有什么不同?为什么调用函数要经过这两个表?ret2dl-resolve与这些内容又有什么关系呢?本节我们将通
几道pwn题复现
weixin_44113469的博客
02-07 516
不记得是什么时候打的比赛,自己搭的博客崩了,搬来csdn记录一下 虎符CTF 复现 0x01 任意地址写 from pwn import* from sys import* p=remote('39.97.210.182',10055)#p=remote()39.97.210.182 10055 #p=process("./chall") elf=ELF('chall') #libc = ELF('libc6_2.27-3ubuntu1_amd64.so') #libc = ELF('./libc-2.23
IDA F5无法反汇编
m0_49959202的博客
06-14 1331
打开ida,打开一个文件,我用的是安恒月赛的一个文件,出现 postive sp value has been found ,这个问题其实干扰我很久了,然后网上的很多说平衡堆栈,平衡平衡,发觉一个很长的函数,用手去计算堆栈吗,显然不是的,网上又没解释清楚,然后今天我搞懂了,就分享一下,进入正文: 首先打开option-general option在上面的一系列菜单中,选中stack pointer,就是我画红圈的地方,勾选,然后确定 你会发觉代码段多了一系列东西,这就是栈指针,他告诉我们栈的高度,而p
C++反汇编
fantasy_ARM9的博客
08-07 783
反汇编,向量寄存器优化
2022 虎符 pwn mva
yongbaoii的博客
03-21 4283
就是一道vm,逆向稍微花了点功夫。
IDA修复跳表
huzai9527的博客
11-08 2116
一、 IDA打开遇到JUMP CS命令 这是由于GCC在编译超过5个switch的结构时会用跳表进行优化,变成上面的样子 二、使用EDIT --> other --> specify switch 将光标打在JUMP命令上按TAB键切换到汇编,然后才能进行编辑 我解释一下各个参数的意义 Address of Jump table:跳表的地址,cmp eax 5,之后跳到的地址,这里就是0x69E0 Number of elements:switch 的个数,先前cmp eax 5,加
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static.zip
最新发布
04-22
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static
虎符科技网络安全通信服务三种解决方案推选PPT文档.ppt
10-27
综上所述,虎符科技的网络安全通信服务解决方案是针对现有网络安全挑战的一次创新尝试,旨在通过先进的标识认证技术和安全通信服务平台,构建一个更加安全、可靠的网络环境,有效防止钓鱼攻击、骚扰电话和隐私泄露等...
"虎符科技网络安全通信服务三种解决方案及核心技术解析
虎符科技网络安全通信服务提供了三种解决方案,其中核心技术包括自主创新的信息安全技术,超大规模自证安全系统以及跨域认证和海量标识认证服务。这些技术在移动互联网、云计算、RFID、物联网和数字版权保护等领域...
新锐 _ 虎符网络王伟alert7:人总是要挑战下自己的.pdf
09-18
王伟,作为虎符网络的创始人,提出了“零信任安全”理念,为解决当前信息安全面临的问题提供了全新的思路。 首先,我们来解释一下“零信任安全”。这是一个与传统网络安全理念相对的概念,其核心原则是“永不信任,...
pwn学习】pwn中常用工具
Morphy_Amo的博客
01-10 5227
本文整理了在pwn中常用的一些工具,随着学习的深入也会不断添加
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2225
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
IDA无法反编译 and 提示错误
weixin_52369224的博客
11-01 6353
情况一: 有的时候IDA的函数点进去 ,发现无法反编译,可能是代码出问题了,考察我们对汇编的阅读 能力例如下面: aaa指令明显错误(注:CODE CREF代码交叉引用)我们把这里jbe和aaa nop掉 然后再选中红色部分,按p键定义为函数,然后重新反编译即可 ...
BUUCTF-pwn(11)
njh18790816639的博客
01-09 2762
mrctf2020_easy_equation 简单的栈溢出漏洞,格式化字符串漏洞!此处采用栈溢出漏洞! axb_2019_fmt64 经典循环格式化字符串64位漏洞! 唯一注意的地方pwntools的FmtStr_payload无法成功获取权限!需要手动计算字节进行攻击! from elftools.construct.macros import Padding from pwn import * from LibcSearcher import * context(log_level='debu
强网杯2022 pwn 赛题解析——house_of_cat
CoLin的pwn小屋
08-04 3217
强网杯2022 pwn 赛题分析——house_of_cat
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
linux栈溢出漏洞,PWN简单栈溢出漏洞获取shell | kTWO-个人博客
weixin_39611389的博客
05-16 949
摘要本文讲述的是PWN中利用溢出漏洞来执行shell命令的方法教程,本文将以简单的小程序来作为演示,从分析程序到编写payload加以利用,其中还含有二进制程序的保护机制简介。0x01 前言经过前面的几篇文章我们大概以及了解了基本的栈溢出漏洞的利用方式,那今天就来个进阶版。有时候我们在打CTF的时候需要的是获取系统shell,然后通过shell去拿到flag,那么我们该怎么通过溢出漏洞来拿到服务器...
REVERSE(IDA修改花指令/栈平衡/z3)学习笔记
小龙在线
08-23 2501
中断指令表https://blog.csdn.net/trochiluses/article/details/20008631 IDA 修改数据格式 IDA去除花指令 此处由花指令。 去除脚本: #include <idc.idc> static main() { auto i,from,size; from=0x400000; //起始地址 size=0x2000; //扫描数据块大小 for ( i=0; i < size;i++ ) { if ((Byte...
IDA Python(二)
qq_42931917的博客
11-19 318
如果要分析的二进制文件比较大,又要知道某些指令的个数,或者查找某种含有特征的指令,这个时候肉眼去搜索显然是比较耗时的,这个时候就可以充分体验到IDA python脚本的便利; 这里要讲到idautils.FuncItems(ea)这个函数,idautils.FuncItems(ea)实际上返回的是一个迭代器,但是我们将它强制转换为 list 类型。这个 list 以一种连续的方式存储着所有指令的起始地址。现在我们已经完全掌握了如何循环遍历程序中的段,函数和指令,那我们就开始 show 一个非常有用的例子。有
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值