逆向ctf_2020湖湘杯Re_02

最新推荐文章于 2021-04-22 17:35:20 发布
最新推荐文章于 2021-04-22 17:35:20 发布
阅读量621 收藏 6
点赞数 1
分类专栏: Re 文章标签: 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z_Fuck/article/details/109521660
版权

资源链接:https://pan.baidu.com/s/1Jux_GsX7wKUUxyxEy07-Kw 
   提取码:3uui 

一、基础分析

把拿到的题目解压,将easyre.exe文件放入exeinfope(PEID也行)中进行查壳识别:

清楚明了,没壳。首先,运行下easyre.exe文件看看什么效果:

从查壳过程可以看到是32为程序。接下来进行静态分析,放入IDA32位中看看:

 

发现没有明显的入口函数(main()),结合上一步在IDA中搜索Input your flag:字符串,得到:

找到关键地方后,尝试对代码进行F5反汇编操作,发现:

目前为止,就可以结合IDA静态调试配合上OD动态调试了。先打开OD找到地址0x40DA40处,F2下断点,F9执行到这里:

F8单步调试,结合IDA进行操作,发现执行到:

如图所示处,就会弹出一个框,叫你输入flag,所以可以在IDA中将40DA72出的函数进行重命名改为GetCharFlag,随便输入一段字符001后继续运行,(未避免篇幅过长各个函数内部操作就不详细说明,简述函数功能就好),直到:

可以看到,通过一个函数,函数返回值eax的值移动到了【local.2】中,而将这块地址中的数与0x18(24)进行比较,结合下方OD给出的Wrong Length字符床,可以推断出在地址40DA94处的函数作用为计算读入flag子字符串的长度,如果等于24则进行跳转正确代码段,反之输出Wrong length字符。修改IDA中地址为40DA94的函数名为GetFlagLength,而运行错误效果为:

为正确跳转,方法有两个:一、修改寄存器中的标志寄存器值,由于是je汇编指令,判断z标志位,双击就可以修改;二、修改汇编代码,将je汇编代码改为jmp实现无条件跳转:(附上一张跳转指令和标志寄存器的关系图):

本文实行第二种方案修改指令,之后F8继续运行,发现存在函数返回到了地址4048DA处,继续调试发现,这一段代码主要的功能是对输入字符的加密处理,效果为:

加密原理为:读取字符串当前轮数上的单个字符,先进行左移3位操作结果存入eax,之后获取当前轮数+1的字符进行右移5位的操作结果存入edx,在之后将eax和edx进行or(或)运算,将获取的结果取低字节放入地址中,最后将之前放入地址中的数据取出来又与当前轮数进行一次异或(xor)操作,再将结果作为最终结果放入地址保存。如此循环24次。图中地址404919处的判断就是对于循环轮数的判断,如果循环了24次了就进行跳转出循环。当跳出循环后继续F8执行,直到:

到达这一块地址处,详细阅读就会发现这是一块对比判断的汇编代码,可以发现在地址40D82E和40D834这两个地址处,分别取得字符为一个之前加密后的对应轮数得字符,一个取的是地址0x411000处的对应轮数字符,由此可以判断处,此处判断就是判断加密后的数据每一位数据字符与0x411000出的对应位字符是否相等,相等则表示输入字符串flag也就是正确的,反之通过jmp 跳转到40D851处继续执行就会exit退出程序了。当然这里退出实在一个循环中最后退出效果会输出一串字符 Wrong Flag。当所有字符都对上后就会有如下效果:

可以看出,出题的还真不省心,还需要MD5输入。所以知道原理了,将0x411000地址出的数据dump出来看看是什么:

2B 08 A9 C8 97 2F FF 8C 92 F0 A3 89 F7 26 07 A4 DA EA B3 91 EF DC 95 AB

就是这段数据,当输入的字符串进行加密操作后,与之对比对应全部相等后就可以说明输入为正确的,在md5(输入)就是正确的flag了。

二、上面原理分析清楚了,接下来附上加密处理的代码:

tmp = a[0] &0xe0
for i in range(len(a)-1):
    a[i] = ((a[i]<<3)|(a[i+1]>>5))&0xff
    a[i] = a[i] ^i
a[23] = (a[23]<<3)|(tmp>>5)

没错就是这么简单,调试半天就这么一点就是软件加密的核心。加密算法知道了接下来进行破解操作了。

三、破解的代码段附上

from z3 import *
flag = [BitVec('x%d'%i,8) for i in range(0x28)]
s = Solver()
b = [0x2B, 0x08, 0xA9, 0xC8, 0x97, 0x2F, 0xFF, 0x8C, 0x92, 0xF0, 
  0xA3, 0x89, 0xF7, 0x26, 0x07, 0xA4, 0xDA, 0xEA, 0xB3, 0x91, 
  0xEF, 0xDC, 0x95, 0xAB]
for i in range(23):
  s.add((((flag[i]<<3)|(flag[i+1]>>5))&0xff) ^i==b[i])
s.add(((flag[23]<<3)|((flag[0]&0xe0)>>5))&0xff==b[23])
if s.check() == sat:
   m = s.model()
   Str = [chr(m[flag[i]].as_long().real) for i in range(24)]
   print("".join(Str))

由于破解需要两个连续字符都要有关系,可能操作性太多,暴力破解比较麻烦,运用了z3进行解决,简单明了。

ea5yre_1s_50_ea5y_t0_y0u

ok!!!!! OVER 。。。。。。请批评指正!!!

GTZ_Crow
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF 杯 决赛 2021 final.zip
12-07
CTF 杯 决赛 2021 final
杯2020 easyre wp
苗_的博客
11-10 427
很久没有写题解博客了,最近忙着学习深度学习= =,杯这道题还是不错的,可以锻炼一下自己动态调试的能力,所以刚好在练习的过程中记录一下,方便以后回顾: 首先拿到文件,查壳发现无壳,运行一下大概就是先判断长度,再判断是否是正确flag: 长度错误就输出wrong length并退出。 拿到ida里看一下,发现没有很明显的入口函数,查找字符串找到input your flag:,找到主函数位置 f5看一下,发现没办法反编译,所以我们就直接上动态调试吧: 在0x40DA40下断点(f2),f8单步
杯-re
qq_37439229的博客
11-02 1138
re1 ibm s/390 看逻辑就是个解方程,z3试一下,原本用bitvec,发现看上去就不怎么对,用int 就好了,真奇怪 from z3 import * table = [0x00, 0x00, 0xB2, 0xB0, 0x00, 0x00, 0x6E, 0x72, 0x00, 0x00, 0x60, 0x61, 0x00, 0x00, 0x56, 0x5D, 0x00, 0x00, 0x94, 0x2D, 0x00, 0x00, 0xAC, 0x79, 0x00, 0x00, 0x39, 0x1
BUUCTF-Reverse:[GKCTF2020]Check_1n
_Co1a
11-30 192
题目地址:https://buuoj.cn/challenges#[GKCTF2020]Check_1n 打开exe程序: 查壳呀: 得知信息:32位程序,无壳 拖进ida32 发现一串可疑字符串,看起来像是base系列的加密,一开始认为是base64但没有= flag{f5dfd0f5-0343-4642-8f28-9adbb74c4ede} 提交正确 ...
GKCTF2020 逆向部分题的复现
re1wn
05-26 7311
逆向题目质量高,收获很多
中学生CTF--RE--部分WP
Air_cat的博客
08-14 1714
EASY_RE 题目连接:http://ctf.klmyssn.com/files/de060b939e8b90deb34d86025aee13ee/task_easy_re.exe 逆向解题思路大致有两种–解密和调试,这里我习惯先查看字符串看看(一般用od和ida一起查,这题只用ida也一样): 那么这里就看到了高亮处的哪一个字符串,很显然要求是对这串字符串解密了(双击进去查看确实存在加密)。 ...
轩禹CTF_RSA工具3.6.1.zip
01-29
CTF常用工具集
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
第七届“杯”网络安全技能大赛 初赛 zip
12-07
第七届“杯”网络安全技能大赛 初赛
逆向ctf-2020Re_03
11-03 1232
样本链接:https://pan.baidu.com/s/14o1QOjYVtOspZd9koT4JCg 提取码:jwrp 一、获取题目压缩包,解压后发现是一个为ReMe.exe的可执行文件,但是奇怪的是在exeinfope中查询结果为: 很明显了,不是PE文件,看图标猜测为python打包的exe文件。既然如此就对exe文件进行反编译操作,因为是使用pyinstaller生成的exe文件,所以对于python打包的exe文件反编译操作流程为,首先下载pyinstxtractor.py文件并放到..
逆向脱壳-压缩壳脱壳单步跟踪方法
12-03 847
1、压缩壳原理 所有的文件在存储中都是以0和1的形式存在的。 比如说一个文件的字节内容是“111111100000000000000000000000000000000000000000000000001111”,你要完全写出来的话,会很长很长, 但如果你用“1{7}0{49}1{4}”来描述它(当然这只是为方便说明这样写,并不是真的是一种压缩算法),也能得到同样的信息,但却只有13个字节,这样就减小了文件体积。 有些算法是无损的,也就是说都可以还原成与原文件一模一样;也有些算法是有损算法,但一般压
逆向ctf-z3
10-06 783
一、z3.exe运行效果 二、使用exeinfope查壳工具看是否加壳: 结果显示为无壳,那就简单了。既然是64位,那就用IDA64位进行查看,找到主函数F5反汇编得到: int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rdx@1 __int64 v4; // rdx@1 __int64 v5; // rdx@3 int v7; // [sp+20h] [bp-
逆向脱壳-fsg手动脱壳
11-17 636
本文以2020杯第二道逆向为例,原题为无壳的exe文件: 首先对文件easyre.exe进行fsg加壳,加壳版本为fsg2.0:工具链接为: 对加完fsg壳之后的程序进行查壳,显示为: 可以看出有许多地方发生了改变,最重要的就在于程序入口的改变,大家都知道fsg为压缩壳,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行OD载入: 在载入之后一路F8单步步过运行,当遇到如上图所示,向上跳转的情况时
逆向ctf-亦步亦趋
10-09 604
一、题目来源介绍 题目来源于看雪论坛CTF题库->题目要求为: 本题Flag值为123456用户的序列号。 二、解题过程 万事不要慌,先把软件运行起来康康: 哟呵!这是需要破解的节奏呀!!!由于是exe文件,首先使用exeinfope检查是否存在壳的现象: 查壳工具表明,软件不存在加壳操作。从题目查找序列号可以了解到,解题方法相当于破解该软件,那就上道具,开启OD整起来,一路F8干就完事了。遇到弹窗不要慌(因为题目要求123456用户序列号,所以Username就是...
Android逆向-2016Tencent ctf比赛第一轮第一题详细分析
04-22 473
一、题目详细 说明: Tencent2016A是一个简单的注册程序,见附件,请写一个注册机,点击Check即可显示是否通过, Name和Code可以手动输入,也可以通过扫描二维码输入。 要求: 注册机是KeyGen,不是内存注册机或文件Patch。 注册机必须可以运行在Android系统上, 可以是命令行程序,也可以是apk。 将编译好的注册机和分析文档,源代码一起上传。 提交方式:将分析文档,注册机工程源代码和编译好的注册机打包后提交。(无说明文档,视为无效方案)。 不得在论坛或群等场所讨
逆向ctf-婉若游龙
10-11 348
一、题目介绍 题目来源于看雪论坛CTF题库->题目要求为: 本题Flag值为CTFHUB用户的序列号。 题目资源链接:https://pan.baidu.com/s/16ySHvatanvHf07t71sECJQ 提取码:0id0 二、解题过程 先将得到的程序运行起来康康: 可以看出软件有两个button,一个为Check Hardcoded,一个为Name/Serial Check。尝试输入并点按钮在Hard Coded中输入admin结果显示为please tr...
node-v18.11.0-headers.tar.xz
最新发布
05-20
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
ctf_awd_platform
10-23
CTF(Capture The Flag)即夺旗赛,是一种网络安全竞赛形式。AWD(Attack-Defense)平台是一种特殊的CTF比赛平台,主要专注于攻击和防御的技能训练与比拼。 ctf_awd_platform是指一种特定的AWD平台,其目的是为了提供一个安全的环境,让参赛选手能够在其中进行攻击和防御的实战训练。 在ctf_awd_platform中,参赛选手将分为多个小队,每个小队都需要同时进行攻击和防御。比赛的过程中,参赛选手需要使用各种技术和工具,对其他小队的系统进行攻击,尝试获取对方的旗帜。同时,参赛选手也需要保护自己的系统,防止其他小队进行攻击并窃取自己的旗帜。 ctf_awd_platform提供了一个仿真的网络环境,模拟了现实世界中的网络系统。参赛选手可以在这个环境中进行攻防实战,通过解决各种网络安全问题来提升自己的技能。 ctf_awd_platform不仅能够帮助参赛选手提升网络攻防技术,还能够提高其团队合作能力和解决问题的能力。在比赛中,参赛选手需要与队友紧密配合,共同制定攻击和防御策略,以获取最佳的比赛成绩。 总体而言,ctf_awd_platform是一个能够帮助参赛选手提升网络安全技术和团队合作能力的AWD平台,通过实战演练来提高参赛选手的技能水平,并为他们在网络安全领域的职业发展打下坚实的基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值