标签:mda ike 逆向 detail 赋值 rac 程序代码 十进制 art
一开始学习下re,产生了兴趣
这个题目在某个CTF平台做过了0-0,再做一遍。(跟着WP 0.0)
首先用ExeinfoPe或者Peid查壳
也可以使用file命令查看相关信息
32位程序,使用ida打开,F5反编译
程序逻辑:
shift+F12 查看字符串
进入后
右键list cross reference to ,然后F5
这就是求flag的过程,并且输出,我可以写一个py脚本读出来
在这里的*(&v2+i)相当于v[2+i],数组形式的格式,其实就是递加1==>v2,v3,v4
注:因为初入RE不知道怎么提取,索性复制粘贴,然后运行exec动态变量合并变量值组成数组
exec()函数
v59 = 18 v60 = 64 v61 = 98 v62 = 5 v63 = 2 v64 = 4 v65 = 6 v66 = 3 v67 = 6 v68 = 48 v69 = 49 v70 = 65 v71 = 32 v72 = 12 v73 = 48 v74 = 65 v75 = 31 v76 = 78 v77 = 62 v78 = 32 v79 = 49 v80 = 32 v81 = 1 v82 = 57 v83 = 96 v84 = 3 v85 = 21 v86 = 9 v87 = 4 v88 = 62 v89 = 3 v90 = 5 v91 = 4 v92 = 1 v93 = 2 v94 = 3 v95 = 44 v96 = 65 v97 = 78 v98 = 32 v99 = 16 v100 = 97 v101 = 54 v102 = 16 v103 = 44 v104 = 52 v105 = 32 v106 = 64 v107 = 89 v108 = 45 v109 = 32 v110 = 65 v111 = 15 v112 = 34 v113 = 18 v114 = 16 v115 = 0 v2 = 123 v3 = 32 v4 = 18 v5 = 98 v6 = 119 v7 = 108 v8 = 65 v9 = 41 v10 = 124 v11 = 80 v12 = 125 v13 = 38 v14 = 124 v15 = 111 v16 = 74 v17 = 49 v18 = 83 v19 = 108 v20 = 94 v21 = 108 v22 = 84 v23 = 6 v24 = 96 v25 = 83 v26 = 44 v27 = 121 v28 = 104 v29 = 110 v30 = 32 v31 = 95 v32 = 117 v33 = 101 v34 = 99 v35 = 123 v36 = 127 v37 = 119 v38 = 96 v39 = 48 v40 = 107 v41 = 71 v42 = 92 v43 = 29 v44 = 81 v45 = 107 v46 = 90 v47 = 85 v48 = 64 v49 = 12 v50 = 43 v51 = 76 v52 = 86 v53 = 13 v54 = 114 v55 = 1 v56 = 117 v57 = 126 v58 = 0 a=[] for i in range(59,116): exec(‘a.append(v{})‘.format(i)) print(a) b=[] for i in range(2,59): exec(‘b.append(v{})‘.format(i)) print(b) i=0 c=‘‘ while (i<56): a[i]^=b[i] a[i]^=19 c=c+chr(a[i]) i=i+1 print (c)
输出:
[18, 64, 98, 5, 2, 4, 6, 3, 6, 48, 49, 65, 32, 12, 48, 65, 31, 78, 62, 32, 49, 32, 1, 57, 96, 3, 21, 9, 4, 62, 3, 5, 4, 1, 2, 3, 44, 65, 78, 32, 16, 97, 54, 16, 44, 52, 32, 64, 89, 45, 32, 65, 15, 34, 18, 16, 0]
[123, 32, 18, 98, 119, 108, 65, 41, 124, 80, 125, 38, 124, 111, 74, 49, 83, 108, 94, 108, 84, 6, 96, 83, 44, 121, 104, 110, 32, 95, 117, 101, 99, 123, 127, 119, 96, 48, 107, 71, 92, 29, 81, 107, 90, 85, 64, 12, 43, 76, 86, 13, 114, 1, 117, 126, 0]
zsctf{T9is_tOpic_1s_v5ry_int7resting_b6t_others_are_n0t}
locals()函数
v59 = 18
v60 = 64
v61 = 98
v62 = 5
v63 = 2
v64 = 4
v65 = 6
v66 = 3
v67 = 6
v68 = 48
v69 = 49
v70 = 65
v71 = 32
v72 = 12
v73 = 48
v74 = 65
v75 = 31
v76 = 78
v77 = 62
v78 = 32
v79 = 49
v80 = 32
v81 = 1
v82 = 57
v83 = 96
v84 = 3
v85 = 21
v86 = 9
v87 = 4
v88 = 62
v89 = 3
v90 = 5
v91 = 4
v92 = 1
v93 = 2
v94 = 3
v95 = 44
v96 = 65
v97 = 78
v98 = 32
v99 = 16
v100 = 97
v101 = 54
v102 = 16
v103 = 44
v104 = 52
v105 = 32
v106 = 64
v107 = 89
v108 = 45
v109 = 32
v110 = 65
v111 = 15
v112 = 34
v113 = 18
v114 = 16
v115 = 0
v2 = 123
v3 = 32
v4 = 18
v5 = 98
v6 = 119
v7 = 108
v8 = 65
v9 = 41
v10 = 124
v11 = 80
v12 = 125
v13 = 38
v14 = 124
v15 = 111
v16 = 74
v17 = 49
v18 = 83
v19 = 108
v20 = 94
v21 = 108
v22 = 84
v23 = 6
v24 = 96
v25 = 83
v26 = 44
v27 = 121
v28 = 104
v29 = 110
v30 = 32
v31 = 95
v32 = 117
v33 = 101
v34 = 99
v35 = 123
v36 = 127
v37 = 119
v38 = 96
v39 = 48
v40 = 107
v41 = 71
v42 = 92
v43 = 29
v44 = 81
v45 = 107
v46 = 90
v47 = 85
v48 = 64
v49 = 12
v50 = 43
v51 = 76
v52 = 86
v53 = 13
v54 = 114
v55 = 1
v56 = 117
v57 = 126
v58 = 0
a=[]
v=locals()
for i in range(59,116):
a.append(v[‘v‘+str(i)])
print(a)
b=[]
for i in range(2,59):
b.append(v[‘v‘+str(i)])
print(b)
i=0
c=‘‘
while (i<56):
a[i]^=b[i]
a[i]^=19
c=c+chr(a[i])
i=i+1
print (c)
输出:
[18, 64, 98, 5, 2, 4, 6, 3, 6, 48, 49, 65, 32, 12, 48, 65, 31, 78, 62, 32, 49, 32, 1, 57, 96, 3, 21, 9, 4, 62, 3, 5, 4, 1, 2, 3, 44, 65, 78, 32, 16, 97, 54, 16, 44, 52, 32, 64, 89, 45, 32, 65, 15, 34, 18, 16, 0]
[123, 32, 18, 98, 119, 108, 65, 41, 124, 80, 125, 38, 124, 111, 74, 49, 83, 108, 94, 108, 84, 6, 96, 83, 44, 121, 104, 110, 32, 95, 117, 101, 99, 123, 127, 119, 96, 48, 107, 71, 92, 29, 81, 107, 90, 85, 64, 12, 43, 76, 86, 13, 114, 1, 117, 126, 0]
zsctf{T9is_tOpic_1s_v5ry_int7resting_b6t_others_are_n0t}
查壳,32位,F5反编译
代码的逻辑就是赋予V13为437261636b4d654a757374466f7246756e
输入的长度如果大于17直接break,do while循环17次,中间如果有一个为0的话,就会直接break出循环。没有出现0的话,赋值给v10 直接比较V10和V13是否相等,strcmp相等返回0,提示success
这里有个很明显的地方,就是长度17,而437261636b4d654a757374466f7246756e的长度为34,应该是两个两个为一组,16进制的表示。
解密脚本:
import re
MW=‘437261636b4d654a757374466f7246756e‘
secret=re.findall(r‘.{2}‘,MW)
flag=‘‘
for i in secret:
flag+=chr(int(i,16))
print(‘flag:‘+flag)
输出:
flag:CrackMeJustForFun
一个C文件,放出centos7中, gcc编译下, gcc code.c
#include <stdio.h>
#include <string.h>
int main(int argc, char *argv[]) {
if (argc != 4) {
printf("what?\n");
exit(1);
}
unsigned int first = atoi(argv[1]);
if (first != 0xcafe) {
printf("you are wrong, sorry.\n");
exit(2);
}
unsigned int second = atoi(argv[2]);
if (second % 5 == 3 || second % 17 != 8) {
printf("ha, you won‘t get it!\n");
exit(3);
}
if (strcmp("h4cky0u", argv[3])) {
printf("so close, dude!\n");
exit(4);
}
printf("Brr wrrr grr\n");
unsigned int hash = first * 31337 + (second % 17) * 11 + strlen(argv[3]) - 1615810207;
printf("Get your key: ");
printf("%x\n", hash);
return 0;
}
没学过C,但是看到argv[],与py中的sys.argv应该是一样的。就是获取命令输入的参数
argc是argumentcount的缩写,表示传入main函数的参数个数
argv 是argument vector的缩写,表示传入main函数的参数序列或指针
argv数组下标从0开始,第一个存放的是可执行程序的文件名字
argc[0]表示程序编译后产生的exe文件的路径,数组的长度为argc
第一个条件:
if (argc != 4) {
printf("what?\n");
exit(1);
}
输入的参数要为3个 argc第一个参数为路径
第二个条件:
unsigned int first = atoi(argv[1]);
if (first != 0xcafe) {
printf("you are wrong, sorry.\n");
exit(2);
}
第一个参数为0xcafe转为十进制数51966
第三个条件:
unsigned int second = atoi(argv[2]);
if (second % 5 == 3 || second % 17 != 8) {
printf("ha, you won‘t get it!\n");
exit(3);
}
第二个参数需要不满足任意一个条件=>整除5余3,整除17余数不能为8。 因此argv[2] 因为25
第四个条件:
if (strcmp("h4cky0u", argv[3])) {
printf("so close, dude!\n");
exit(4);
}
如果第三个参数与h4cky0u相等则返回0绕过if。因此第三个参数为h4cky0u
并非逆向题目,而是C语言的简单源码审计问题
看描述:菜鸡拿到了一个被加壳的二进制文件
我估计是要脱壳。
在这里停一下,去补一下RE基础知识
回来继续看题,二进制文件,不知道该怎么处理。看WP
我用了V2.04版本的Die和exeinfo PE查壳发现可以直接查看到是upx,但是peid不行。
注:windows下的文件是PE文件,Linux/Unix下的文件是ELF文件
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)
通过在爱盘下载了upx(去官网,github下载太慢了,气死)
用upx -d 命令解压脱壳
利用linux中的strings工具也能找到(cmder没有)
明天开始上课了,明儿做把。9.2 0:19
die太强大了。64位的elf,并且由ubuntu gcc编译
绕过三个条件记能返回成功
没看wp,自己写了个脚本跑出来8#DO_SVZI*-9*4*2发现不对。再去看下WP把
原理这是是有个大小端存储的问题,并且LL是指长整型
可以按R键转化数据为字符(10进制转16进制,16进制转字符),并且看到了倒序的赋值=》可以推断为小端存储
小端存储:低字节存储在低地址,高字节存储在高地址
大端存储:高字节存储在低地址,低字节存储在高地址
因此不能光看伪代码,也要结合着汇编看代码段。
因不会C代码0-0,所以只能用py解,附上别人写的C代码写的脚本
py脚本如下:
v8=‘:"AL_RT^L*.?+6/46‘
v7=‘ebmarah‘
v7=v7[::-1]
v6=7
s=‘‘
for i in range(0,17):
s+=chr((ord(v7[i%7]))^ord(v8[i]))
print(s)
C脚本如下:
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#define BYTE unsigned char
int main(int argc, char* argv[]) {
unsigned int i;
char v8[18] = ":\"AL_RT^L*.?+6/46";
__int64 v7 = 28537194573619560;
int v6 = 7;
char s[18] = "";
for (i = 0; i < strlen(v8); ++i) {
s[i] = (char)(*((BYTE*)&v7 + i % v6)^v8[i]);
}
printf("%s\n", s);
system("PAUSE");
return 0;
}
先查看,看类型
还真是跟题目描述一样,轻松一下。9447{This_is_a_flag}
查壳
进入prompt_autthentication
有一个decrypt函数
看WP需要动态调试,蒙了。可能是函数运行,数据存在于寄存器中把。看WP写把
gdb常用命令
gdb -q xxxx 将文件加载到GDB中
b decrypt 设置断点,decrypt函数
r 运行
s: 执行一行源程序代码,如果此行代码中有函数调用,则进入该函数;
n: 执行一行源程序代码,此行代码中的函数调用也一并执行。
s 相当于其它调试器中的“Step Into (单步跟踪进入)”;
n 相当于其它调试器中的“Step Over (单步跟踪)”。
x 就是用来看内存中的值
info reg 查看寄存器
info break查看断点列表
$eax代表的eax寄存器中的值
到00表示终止了
十六进制表示为:393434377b796f755f6172655f616e5f696e7465726e6174696f6e616c5f6d7973746572797d
py2中还有decode(‘hex‘),直接十六进制转化为字符串,py3中没有了
RE很有意思,慢慢来,明早起来看WEB,看之前的难题WP了。
下下来是一个pyc,直接网上在线的反编译下
import base64
def encode(message):
s = ‘‘
for i in message:
x = ord(i) ^ 32
x = x + 16
s += chr(x)
return base64.b64encode(s)
correct = ‘XlNkVmtUI1MgXWBZXCFeKY+AaXNt‘
flag = ‘‘
print ‘Input flag:‘
flag = raw_input()
if encode(flag) == correct:
print ‘correct‘
else:
print ‘wrong‘
代码十分简单,写一个解密脚本
查壳
貌似是经过一些条件后,写入文件然后又删除的操作
把t写入了flag.txt中,那t应该就是flag。上面还有关于s赋值给t的操作。
0前面的这一块是定义t的,看数据块最后的10E0,10E1,下面是110C
0前面的这一块是定义s的
这样都有了s和t了,呢么直接写脚本来找到写入的t
直接上解密脚本
t=‘SharifCTF{????????????????????????????????}‘
t=list(t)
s=‘c61b68366edeb7bdce3c6820314b7498‘
v5=0
while(v5<len(s)):
if(v5&1):
v3=1
else:
v3=-1
t[v5+10]=chr(ord(s[v5])+v3)
v5+=1
yunying=‘‘
for i in t:
yunying+=i
if __name__ == ‘__main__‘:
print(yunying)
注释:听说运行就能拿到Flag,不过菜鸡运行的结果不知道为什么是乱码
查壳 vc++,32位
不管点哪个按钮都直接退掉了。估计是需要调试跳到正确的函数上(可能又是动调)
ida main函数界面:
这里可以看到比较清晰的程序运行路径
int3 =>是一个断点,int3断点
MessageBox 函数用于创建、显示并操作一个消息对话框。该对话框包含由调用程序定义的信息和标题,以及预先定义的图标和按钮
看到IsDebuggerPresent()函数,查文章获得=> https://bbs.pediy.com/thread-226522.htm=>学到一手,大部分的函数返回值都在eax中。难怪之前的decrypt函数需要gdb动态调试到函数查看eax
IsDebuggerPresent()函数是判断程序是否在调试中,因为一些程序为了不被Craker,加入这个函数。
参考(https://www.cnblogs.com/whitehawk/p/10771825.html)od调试(只会一点点)
这里的逻辑是如果是在调试中的话就进入判断运行,如果不在调试中的话直接弹出乱码flag
sub_401000是解密函数,[ebp+lpMem]是乱码存放的地方
sub_401000函数分析出来是将乱码的flag4个字节为一组与0xAABBCCDD异或得到可识别的flag
花了一个小时看OD的WP,没看懂,还是通过IDA来分析把。
sub_401000是解密函数,进入查看
409B10数据如下
409B38处,因为是小端存储,因此需要倒一下
附上别人的WP脚本(OD不会到心态炸裂,无心静态分析)
cipher = [0xbb, 0xcc, 0xa0, 0xbc, 0xdc, 0xd1, 0xbe, 0xb8, 0xcd, 0xcf, 0xbe, 0xae, 0xd2, 0xc4, 0xab, 0x82, 0xd2, 0xd9, 0x93, 0xb3, 0xd4, 0xde, 0x93, 0xa9, 0xd3, 0xcb, 0xb8, 0x82, 0xd3, 0xcb, 0xbe, 0xb9, 0x9a, 0xd7, 0xcc, 0xdd]
key = [0xbb,0xaa,0xcc,0xdd]
flag = ‘‘
for i in range(len(cipher)):
flag += chr(cipher[i]^key[i%4])
print flag
————————————————
版权声明:本文为CSDN博主「Prowes5」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/Prowes5/article/details/100409391
RE到此为止,冲WEB
瞎玩玩
查壳
打开也打开不了.用ultraedit打开瞧瞧
找个在线base64转图片的网站
扫描拿到flag
查看
32位C++,拖入ida
strncpy函数用于将指定长度的字符串复制到字符数组中,char *strncpy(char *dest, const char *src, int n),表示把src所指向的字符串中以src地址开始的前n个字节复制到dest所指的数组中,并返回被复制后的dest
strncmp函数为字符串比较函数,字符串大小的比较是以ASCII 码表上的顺序来决定,此顺序亦为字符的值。其函数声明为int strncmp ( const char * str1, const char * str2, size_t n );功能是把 str1 和 str2 进行比较,最多比较前 n 个字节,若str1与str2的前n个字符相同,则返回0;若s1大于s2,则返回大于0的值;若s1 小于s2,则返回小于0的值
这样思路就比较清晰了。
首先传入字符串,然后经过函数sub_4110BE后传入v4
再将 v4的前28个字节传入DEST数组中
对DEST数组进行处理,然后比较str2和dest前v5个字符是否相等,相等则right flag!
查看一下函数
v3是传入字符串的长度,然后将a2除于3后,又乘上4,想到了什么?base64加密
base64加密,一个字符占6个字符,3个字符24个字节被加密成4个字符24个字节
呢么直接上脚本,唯一处理的只有这两处
python3脚本
import base64 str1=‘e3nifIH9b_C@n@dH‘ str2=‘‘ for i in range(len(str1)): a=ord(str1[i])-i str2+=chr(a) print(base64.b64decode(str2.encode(‘utf8‘)).decode())
睡觉了
标签:mda ike 逆向 detail 赋值 rac 程序代码 十进制 art
原文地址:https://www.cnblogs.com/BOHB-yunying/p/11588618.html
