[第五空间]re nop题目详解

最新推荐文章于 2022-10-13 20:11:18 发布
最新推荐文章于 2022-10-13 20:11:18 发布
阅读量325 收藏
点赞数
分类专栏: ctf 逆向 文章标签: 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytj00/article/details/107206012
版权
ctf 同时被 2 个专栏收录
28 篇文章 0 订阅
订阅专栏
逆向
27 篇文章 0 订阅
订阅专栏
[第五空间]nop

第一次写这种题,看网上其他大佬的代码处理有点晕,这里提供一种不同的思路(xky太强了)

ida打开,发现f5反编译的代码太诡异,直接输入完东西后就跳地址,应该是用了花指令什么的来混淆,所以直接看汇编代码

在这里插入图片描述

我们从最开的输入一步步分析,

这里OFFSET是将数值回送变量或标号的偏移地址值,所以意味着我们这里是要输入数字的(从%d也可以看出)

然后把我们的输入给了number(这个number是我自己改的,方便看)

然后按照程序顺序来看,

[(D:\markdown\文件\图片\7.8.2.png)]

number给了eax,eax自加一,然后跳到loc_80486F5,

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-30BypL69-1594191301689)(D:\markdown\文件\图片\7.8.3.png)]

然后又把eax给了number(就是相当于number自加一,而eax相当于一个中间变量),接着执行sub_804857B函数,

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ppJ8lX6D-1594191301692)(D:\markdown\文件\图片\7.8.5.png)]

由于sub_804857B里面是仅仅对eax进行的操作,并没有把eax给了number,而且后面的eax后来又再次被number赋值,所以对程序没啥影响,直接略过(后来才知道是反调试函数)

再往下还是number给eax,eax++,跳转到loc_8048701

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-14T8QyBS-1594191301694)(D:\markdown\文件\图片\7.8.4.png)]

这里又把eax给了number,加上之间的,number现在已经加了二,

由于sub_80485C4(这张图里面有三处)里面是仅仅对eax进行的操作,并没有把eax给了number,而且后面的eax后来又再次被number赋值,同之前的那个函数一样,对程序没有影响(后来才知道是反调试函数)

再往下分析,就是eax+0x0CCCCCCCC,这样从最开始,刚开始输入的number就成了

number=number+2+0x0CCCCCCCC

然后再次把number给了eax,之后调用sub_8048753,这个数最后一个函数,应该是到了判断我们的输入的地方了

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dkH8gMBN-1594191301695)(D:\markdown\文件\图片\7.8.6.png)]

这里先把number给了eax,然后执行sub_8048691函数,之后eax++,再执行一遍sub_8048691,然后就到判断对错的地方了

蹊跷的是,这里程序是直接跳到错误地方,无论你输入什么也是错误,可以从文本模式看出

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xbVepEmP-1594191301696)(D:\markdown\文件\图片\7.8.7.png)]

然后根据这个题目nop就想到:可能是sub_8048691执行了某些操作吧这个08048765的数据给nop了,

由于执行了两遍sub_8048691,我们只需要让第一次的nop掉08048764,第二次nop掉08048765的就行了

进入这个函数看看,

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OqSaLeEV-1594191301697)(D:\markdown\文件\图片\7.8.8.png)]

补充知识点:1.nop的机械码是0x90

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-M48cMAS0-1594191301698)(D:\markdown\文件\图片\7.8.9.png)]

通俗点讲,ptr就是指向的整个程序的内容,然后这里就把ptr[eax]的位置的内容变成了nop,验证了我们上面的猜想

那么我们就得到这样一个式子
n u m b e r + 2 + 0 x C C C C C C C C = 0 x 08048764 number+2+0xCCCCCCCC=0x08048764 number+2+0xCCCCCCCC=0x08048764
由于这里涉及到溢出(0xCCCCCCCC怎么也比0x0804848764),所以我们不能按正常的加减法来算,得这样算
0 x f f f f f f f f − ( 0 x c c c c c c c c − 0 x 08048765 ) − 2 0xffffffff-(0xcccccccc-0x08048765)-2 0xffffffff(0xcccccccc0x08048765)2
得到

993507990

常的加减法来算,得这样算
0 x f f f f f f f f − ( 0 x c c c c c c c c − 0 x 08048765 ) − 2 0xffffffff-(0xcccccccc-0x08048765)-2 0xffffffff(0xcccccccc0x08048765)2
得到:993507990

验证是正确的,所以flag为:flag{993507990}

ytj00
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第五空间 部分题解
weixin_44145820的博客
06-26 936
目录PWNtwice(栈迁移,ret2csu)pwnmeofREnop PWN twice(栈迁移,ret2csu) 第一次先泄露出canary和rbp地址 第二次栈迁移+ROP,先puts泄露出libc,然后ret2csu把新的ROPchain读进来 from pwn import * from LibcSearcher import * r = remote("121.36.59.116", 9999) #r = process("./twice/pwn") context(arch='amd64',
re学习笔记(66)第五空间智能安全大赛-re-nop
逆向随笔
06-25 681
打开老多花指令 挨个把这样的替换掉就好了 点击push的地址,ctrl+c复制。点击jmp ebp使用插件ctrl+alt+k修改,修改为jmp <复制的地址> 搜了一下字符串找到输出正确与否的代码,发现没有跳到Right的代码,,Right上面的那个jmp跳过了他,,, 刚开始以为是要修改main函数最底部栈顶的数值,让他等于Right的地址,然后pop ebx赋值给ebx,最后jmp ebx跳转到Right 调试了半天这里什么都没有! 整个main函数就是对表面上的,对输入的数Num+3
第五空间sctf之re之nop复现
weixin_47158947的博客
07-12 197
标题 这里写自定义目录标题标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何
2020 "第五空间"智能安全大赛 Re nop
Hk_Mayfly的博客
06-27 702
测试文件:https://wwa.lanzous.com/is4hte2ulfc 代码处理 这道题是花指令相关题目,利用int 80h做中断。 首先将包含int 80h中断的sub_804857B,sub_80485C4函数和反调试函数sub_804865B全部nop掉。 接着,将 push 地址 ... pop ebx jmp ebx 这种形式的代码,都修改为 jmp 地...
经典贪心题NOP 1205流水线调度
weixin_30594001的博客
08-14 288
对于加工顺序相同的两个或两个以上作业在两台机器上的加工排序,称之为:n个作业两台机床的作业排序问题,经典的启发式排序方法为Johnson规则。 思路: 先构成生产周期最短的最优作业顺序: 1.把作业分为两类, A类 : 第一个花的作业的时间<第二个花的作业的时间 B类 : 第一个花的作业的时间>= 第二个花的作业的时间 2.排序 对A类进行排序:按第一个花的作...
nop.rar_nop_nop键盘
09-23
NOP指令在程序设计中有着重要的作用,尤其是在调试、延迟、对齐代码或填充空间时。 描述中提到的“延时和键盘显示功能”是指通过NOP指令来实现程序的延时效果,并且可能涉及到键盘输入的处理和显示。在实际编程中,...
基于Javascript的Nop平台低代码前端设计源码
最新发布
05-22
Nop平台低代码前端设计源码:该项目基于Javascript开发,包含1549个文件,主要使用TypeScript、...nop-chaos是Nop平台的前端部分,采用了Vue3.0、ant-design-vue、百度AMIS、logicflow、xspreadsheet等技术实现。
单片机C51中的NOP指令使用经验
07-14
作用:对于延时很短的,要求在us级的,采用“_nop_”函数,这个函数相当汇编NOP指令,延时几微秒。NOP指令为单周期指令,可由晶振频率算出延时时间,对于12M晶振,延时1uS。对于延时比较长的,要求在大于10us,采用...
1个NOP延时多上时间,怎么计算?
07-27
虽然 NOP 指令在程序中并不进行任何有意义的操作,但它的存在使得我们可以通过简单地插入一定数量的NOP指令来实现所需要的延时。 首先,需要了解51单片机的工作原理。51单片机的CPU频率是指其晶振的频率,本例中为...
单片机C语言中-nop-()函数-综合文档
05-22
在单片机编程中,C语言常常被用来编写控制程序,而`_nop_()`函数是其中的一个关键元素,尤其在Keil C51编译器环境下。`_nop_()`是一个内建的本征函数(intrinsic routine),它的主要作用是执行一个空操作,即不进行...
2022第五空间WEB&MISC
羽的博客
09-19 2234
CTF
re学习笔记(53)BUUCTF-re-[BJDCTF 2nd]guessgame | 8086
逆向随笔
03-23 2671
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入/点击进入 [BJDCTF 2nd]guessgame 题目链接:点击进入 IDA载入,shift+F12搜索字符串,即可得到flag 得到flag为BJD{S1mple_ReV3r5e_W1th_0D_0r_IDA} (刚开始没查找字符串,傻乎乎的看了主代码没找到flag,然后又去看了会在main函数前执行的pre_c_init和p...
[BUUCTF]PWN——[第五空间2019 决赛]PWN5
BangSen1的博客
03-25 4581
[第五空间2019 决赛]PWN5 例行检查,32位,开启了canary保护和NX保护。 运行一下。 IDA打开,看到了/bin/sh,但开启了保护 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 按我的理解就是输入的参数的个数是不固定的,是由前面的格式化字符串决定的,所以我们只要控制了前面的格式化字符串,再结合一些参数,后面输出什么就是由我们决定的;如: %d 用于读取10进制数值 %x
第五空间ctf2020pwn-twice
qq_36495104的博客
06-25 646
checsec ida main函数 int __cdecl main(int argc, const char **argv, const char **envp) { for ( nCount = InitData(); (unsigned int)sub_4007A9(nCount); ++nCount ) ; return 0; } sub_4007A9函数 // a1=ncount __int64 __fastcall sub_4007A9(int a1) { unsign
第五空间Writeup_Web
Lethe's Blog
09-03 1136
空相 (1)进入页面,提示了参数id (2)尝试一下:?id=1‘ (3)
2021 第五空间 ctf wp
qq_45603443的博客
09-23 3317
2021 第五空间 ctf Misc签到alpha10BabyMiCryptoECCReverseuniappPwnbountyhunterCrazyVMWebEasyCleanuppklovecloudPNG图⽚转换器WebFTPyet_another_mysql_injection Misc 签到 flag{welcometo5space} alpha10 分离得到两个图⽚,⼀个jpg⼀个png, 两张图⼀样,想到可能是盲⽔印, https://github.com/chishaxie/BlindWa
buuctf——[第五空间2019 决赛]PWN5 1
qq_41560595的博客
03-17 4495
查看文件权限 设置了canary,无法栈溢出。 F5查看源程序 源程序大意是把随机数放入到bss段的0x804c044处,用户输入用户名和密码,如果密码和随机数相等,则拿到权限。 解题思路 看到了printf,又加了canary权限,可以想到考查格式化字符串漏洞。可以更改0x804c044处的值,所以要精心构造一个合适的格式化字符串。构造的方法很多。 在用户输入用户名处,先输入一个AAAA,试探会写在栈的哪个位置。 “AAAA”写在了第10个位子。构造: bss=0x804c044 payload=b
BUUCTF--第五空间决赛pwn5
sandyyyz的博客
10-13 432
给和我一样的pwn新手参考的一次简单的格式化字符串漏洞题解析过程
攻防世界--re-for-50-plz-50
weixin_30876945的博客
09-19 210
RetDec是真的难安装,太笨了~~~ 1.准备 获取信息 32位文件 2.IDA打开 发现这是MIPS代码。本来准备安装RetDec,哎...还是恶补MIPS指令知识吧:https://www.cnblogs.com/thoupin/p/4018455.html 3.代码分析 可以看重点 这实际上就是一个对字符串的异或操...
8086微处理器中的NOP指令详解
NOP指令通常在程序调试时使用,例如,用于预留指令空间、填充多余的代码空间或者实现简单的软件延时。有趣的是,NOP指令的机器码与XCHG AL,AL(交换AL寄存器中的数据与其自身)的指令代码相同。 深入到计算机体系...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值