网鼎杯jocker&signal(angr)

最新推荐文章于 2024-10-19 21:16:14 发布
最新推荐文章于 2024-10-19 21:16:14 发布
阅读量926 收藏 19
点赞数 23
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_81223471/article/details/137567377
版权

jocker

这道题我原来写过,但是当时半生不熟的写完了,现在再来一遍感觉非常丝滑

堆栈不平衡

进入程序后一个大大的报错

sp寄存器不平衡,原来只是知道碰见这个报错应该怎么办,正好借着这次分享的机会研究一下

先打开ida左上角的Options然后勾选上Stack pointer就可以看到

在调用一个函数之后sp就变为负数了

这是因为push和pop不匹配 为什么不匹配呢? 进入这个函数看看

看了这个函数我们可以知道是这个函数出现了问题,它retf的数据为 0x4904 正常函数执行之后要返回调用这个函数的下一条指令,这样我们就知道了这里为什么会出现错误

如何修复

回到main函数部分,在出现错误的指令的前一条指令处alt+k修改堆栈

改为0即可

如法炮制几次即可修复,这样我们就得到了完美的main函数开始分析

分析main函数

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char input[50]; // [esp+12h] [ebp-96h] BYREF
  char Destination[80]; // [esp+44h] [ebp-64h] BYREF
  DWORD flOldProtect; // [esp+94h] [ebp-14h] BYREF
  size_t input_len; // [esp+98h] [ebp-10h]
  int i; // [esp+9Ch] [ebp-Ch]

  __main();
  puts("please input you flag:");
  if ( !VirtualProtect(encrypt, 200u, 4u, &flOldProtect) )
    exit(1);
  scanf("%40s", input);
  input_len = strlen(input);
  if ( input_len != 24 )        输入长度要为24
  {
    puts("Wrong!");
    exit(0);
  }
  strcpy(Destination, input);
  wrong(input);
  omg(input);
  for ( i = 0; i <= 186; ++i )                 
    *((_BYTE *)encrypt + i) ^= 0x41u;    将entry指向的区域每个字节进行异或(smc) 
  if ( encrypt(Destination) )
    finally(Destination);
  return 0;
}

VirtualProtect函数用于更改指定进程的虚拟内存区域的保护属性。它可以使指定的虚拟内存区域变为可读,可写,可执行,也可设置为不可访问,从而保护该区域

BOOL VirtualProtect(
  [in]  LPVOID lpAddress,
  [in]  SIZE_T dwSize,
  [in]  DWORD  flNewProtect,
  [out] PDWORD lpflOldProtect
);

第一个参数为要更改保护属性的起始页地址

第二个参数为更改的大小

第三个为内存保护选项、

第四个为指向变量的指针,这个变量接受指定区域的第一页的先前访问保护值

这个函数在这里就是确保指向的区域的保护属性已经被去除(如果在保护会返回1)

char *__cdecl wrong(char *a1)
{
  char *result; // eax
  int i; // [esp+Ch] [ebp-4h]

  for ( i = 0; i <= 23; ++i )
  {
    result = &a1[i];
    if ( (i & 1) != 0 )
      a1[i] -= i;             如果为当前数字编号为奇数
    else
      a1[i] ^= i;             为偶数
  }
  return result;
}

值得一提的是这里前面就把字符串的地址赋予result是有用(某种情况下)

int __cdecl omg(char *a1)
{
  int v2[24]; // [esp+18h] [ebp-80h] BYREF
  int i; // [esp+78h] [ebp-20h]
  int v4; // [esp+7Ch] [ebp-1Ch]

  v4 = 1;
  qmemcpy(v2, &unk_4030C0, sizeof(v2));
  for ( i = 0; i <= 23; ++i )
  {
    if ( a1[i] != v2[i] )         更改后的input要与v2的一致
      v4 = 0;
  }
  if ( v4 == 1 )
    return puts("hahahaha_do_you_find_me?");
  else
    return puts("wrong ~~ But seems a little program");
}

unsigned char ida_chars[] =
{
  0x66,0x6B,0x63,0x64,0x7F,0x61,0x67,0x64, 0x3B,0x56,0x6B,0x61,0x7B, 
  0x26,0x3B,0x50,0x63,0x5F,0x4D,0x5A,0x71,0x0C,0x37 0x66
};

脚本:

#include<stdio.h>

int main()
{
    char ida[24] =
    {
        0x66,0x6B,0x63,0x64,0x7F,0x61,0x67,0x64, 0x3B,0x56,0x6B,0x61,0x7B, 0x26,0x3B,0x50,0x63,0x5F,0x4D,0x5A,0x71,0x0C,0x37,0x66
        };
    int i;
    int j;
    for(i=0;i<24;i++)
    {
        if(i%2==0)    //即为偶数 
        {
            ida[i] ^= i; 
        }
        else
        {
            ida[i] += i;  
        }

    }

    for(j=0;j<24;j++)
    {
        printf("%c",ida[j]);
    }
    return 0;
}

得到flag

flag{fak3_alw35_sp_me!!} 假的

下个断点让smc自己解除

smc:我自己的理解就是对某段代码继续加密(最常见的就是异或),一般可以直接动调解除

还可以用idapython

sea = ScreenEA()
c = 1
for i in range(0,186):
      c = Byte(sea+i)^0x41
      PatchByte(sea+i,c)

在这里下个断点然后输入假flag

重新创建函数

这里的Buffer是 hahahaha_do_you_find_me?

还有finall函数

找到403040里面是

unsigned char ida_chars[] =
{
  0x0E,  0x0D, 0x09, 
  0x06, , 0x13,  
  0x05, 0x58,  0x56, 
  , 0x3E, , 0x06,
  0x0C, 0x3C, 0x1F,
   0x57, 0x14,
  0x6B,  0x57 0x59,
  
};

解密entry里面的 脚本:

#include<stdio.h>

int main()
{
    char ida[18] =
{
   0x0E,0x0D,0x09,0x06,0x13,0x05,0x58,0x56,0x3E,0x06,0x0C,0x3C, 0x1F,0x57,0x14,0x6B,0x57,0x59
};
char ha[18]="hahahaha_do_you_find_me?"; 
char flag[18]={0};
    int i;
    int j;
for(i=0;i<18;i++)
{
  flag[i]=ha[i]^ida[i];
	
}

for(j=0;j<18;j++)
{
	printf("%c",flag[j]);
}
    return 0;
}

flag{d07abccf8a410

提示还有一部分flag 查看finally函数

int __cdecl sub_40159A(char *a1)
{
  unsigned int v1; // eax
  char v3[9]; // [esp+13h] [ebp-15h] BYREF
  int v4; // [esp+1Ch] [ebp-Ch]

  strcpy(v3, "%tp&:");
  v1 = time(0);
  srand(v1);
  v4 = rand() % 100;
  v3[6] = 0;
  *&v3[7] = 0;
  if ( (v3[v3[5]] != a1[v3[5]]) == v4 )
    return puts("Really??? Did you find it?OMG!!!");
  else
    return puts("I hide the last part, you will not succeed!!!");
}

坏了,这是真的随机加密

看了一下别人的wp发现是纯脑洞 根据flag的最后1位为} 再猜测是异或然后解密

singal

这道题用angr执行会非常快,angr我认为就是把程序的可能都来一遍看看什么可以

不介绍angr直接使用

脚本:

import angr
p=angr.Project("./signal.exe")         
state=p.factory.entry_state()          
sm=p.factory.simgr(state)             
sm.explore(find=0x4017A5,avoid=0x4016ED)
if sm.found:                         
    find_state=sm.found[0]             
    print(find_state.posix.dumps(0))

没错就是这么神奇!

就这样结束感觉太水了,再来点angr的笔记吧

angr

angr是什么

就是帮你寻找flag的工具(bushi)

angr是一个支持多处理架构用于二进制分析的工具,它提供了动态符号执行的能力和多种静态分析的能力。

符号执行,初始参数用变量替换,模拟程序的执行流程,维护执行到各个位置时的状态

什么是符号执行?

符号执行就是利用符号状态和符号执行来得到我们的目标单位

一句话概括:angr可以利用自身特性约束求解最终走到我们想要的位置

那么如何约束求解呢?

就比如如果你想要走到print("Path-2")的位置 就需要满足

自身特性是什么?

利用符号替代自身就是angr的特性

剩下的就自己去学习吧haha

Ao_tem
关注
2020 逆向 joker
BengDouLove的博客
05-11 666
这么看又是一道猜密码的题 ida看着有些问题,同学说要栈修复,我做的逆向少不知道是啥。。。所以就看的汇编 往下看到这里,有了 scanf ,所以就是要输入字符串,之后进行 strlen 函数,然后看到cmp那一句,与 0x18 比较, 所以字符串大小必须是 0x18 大小,也就是 24 而且注意到我们输入的字符串存在了 [ebp+var_96] 这个位置 这里能看到,输入的大小不是24就输出 Wrong 之后往下走,能看到 [ebp+var_96] 传给eax,然后依次传给 wrong 函数,和 om.
2020wp
qq_40648358的博客
05-11 4533
2020wp_XJUSECMISC签到WEBfilejavaAreUSerialznotesCRYPTOboomyou raise me upPWNboom1REsignaljockerbang MISC 签到 点进去是选战队图标 全部通过后会让输入token 然后能在console看到flag WEB filejava 打开题目,查看基本的功能后发现有一个文件下载功能,尝试穿越目录发现web.xml 再次寻找这几个servlet的字节码在classes/cn/abc/servle
2020—— (青龙组)signal
寻梦&之璐
03-30 9951
文章目录vm_operad函数功能read函数功能简介流程验证数据(逆向重点)逆向思维 vm_operad int __cdecl vm_operad(int *a1, int a2) { int result; // eax@2 char v3[100]; // [sp+13h] [bp-E5h]@4 char v4[100]; // [sp+77h] [bp-81h]@5 char v5; // [sp+DBh] [bp-1Dh]@5 int v6; // [sp+DCh] [bp-
2020 signal wp(buu复现)
苗_的博客
08-03 429
很久之前就想着要复现,结果忘记了...一直拖到现在... 找到关键函数:vm_operad() 点进去看看: int __cdecl vm_operad(int *a1, int a2) { int result; // eax char v3[100]; // [esp+13h] [ebp-E5h] char v4[100]; // [esp+77h] [ebp-81h] char v5; // [esp+DBh] [ebp-1Dh] int v6; // [esp+DCh
[ 2020 青龙组]jocker
yidalipao1的博客
05-27 696
[ 2020 青龙组]jocker SMC(self-Modifying Code): 自修改代码,程序在执行某段代码的过程中会对程序的代码进行修改,只有在修改后的代码才是可汇编,可执行的。在程序未对该段代码进行修改之前,在静态分析状态下,均是不可读的字节码。 查壳:32位无壳程序,直接拖ida 首先shift+f12搜索字符串,但是除了main函数中的一句请输入flag提示之外在没有什么有用的。 main函数 // positive sp value has been detecte
[ 2020 青龙组]jocker(详解)
qq_32072825的博客
12-01 2715
buuctf
2020—— (青龙组)jocker
寻梦&之璐
03-30 8826
文章目录声明栈指针修改wrongomgsmc自修改动调进入encrtpt(把数据段编程代码来解析)idc脚本 声明 这个题,分析了一下,两个知识,一个是栈指针修改,还有一个smc自修改(自修改的话,两种破法,一个是idc脚本,一个是动调) 栈指针修改 进入程序直接地址0x401838的sp指针(堆栈不平衡)报错,点击options—>general—>勾选stack pointer,然后找到地址0x401838,截图看看 call函数调用前后 栈顶指针sp位置不一样,可能吗???????那栈
Buuctf [ 2020 青龙组]jocker 题解
OrientalGlass的博客
03-11 2193
1.提示:,出现了堆栈不平衡的情况2.函数的作用是取消encrypt函数所在区域的读写保护,为下方给函数脱壳做准备3.首先输入一个字符串input,判断长度是否为24,然后复制到str中;4.wrong函数对input串加密,加密后由omg函数进行判断是否满足条件,但是根据这两条函数得到的flag是假的,也就图一乐5.真正的flag要根据encrypt和finally函数以及str串(原始的input)来求得二.wrong函数和omg函数--假flag1.wrong函数很普通的一个加密。
3.16---2020青龙组----signal----vm逆向
qq_73505302的博客
03-16 894
3.16
2020 青龙组 逆向signal
lhk124的博客
11-25 693
signin 虚拟机题目 1.用angr解决 In [1]: import angr In [2]: p = angr.Project("./signal.exe") In [3]: init_state = p.factory.entry_state()
密码题
05-01
密码题chaoyang.txt,加密方式暂不说,想知道解题流程可以讨论
2020 jocker wp(buu复现)
苗_的博客
08-07 508
f5之后发现,程序堆栈不平衡,不能直接反编译 options——general: 在0x401833这里改栈指针偏移,改成0,改成功之后就可以f5反编译了 可以看到主函数的逻辑还是比较简单的: 关键函数:wrong() omg() encrypt() 首先点进去wrong()函数,就是做一个加密,i 是偶数的时候进行异或操作,i 是奇数的时候进行减法操作 其次omg()函数,与所给字符串进行比较,这里直接上个小脚本: s=[102, 107, 99, 100, 127, 97,..
复盘Re-Signal Writeup
Tigger.run 独立开发者 热爱逆向工程
05-17 622
0x0 引言 比赛时没能做出来这道题,当时我使用OD进行动态调试,分析出启动程序时初始化了数组,并且含有一个12分支的switch被嵌套在循环中,最终没能搞定,今天就复盘这道题。 0x1 查壳 无壳,并且编译时未启用ASLR技术,挺友好哈。 0x2 分析 main 这次学聪明了,先打开反汇编辅助插件查看伪代码(这对理解汇编逻辑有极大的帮助)。 可以看到在 main 函数中先调用了 __main() 随后复制内存到变量v4,随后v4被传入vm_operad() 容易想到,&unk_403040 是
[re]符号执行一把梭:2020青龙组re_signal_wp
热门推荐
Breeze的博客
05-15 1万+
[re]符号执行一把梭:2020青龙组re_signal_wp 这道题是2020青龙组的一道逆向提signal,一道虚拟机逆向题目,题目本身不难,可以直接分析也可以符号执行秒掉。 题目分析 正常windows逆向,开局直接输flag,也不多bibi: 逆向分析程序: 程序开始将全局变量区的opcode作为参数给vm_operad函数,看名字也能看出是一个虚拟机分析的题目,先把opcode提取出来: \x0A \x04 \x10 \x08 \x03 \x05 \x01 \x04 \x20 \x
IDA插件Ponce(符号执行) 解决Re-signal
Hotspurs的博客
05-11 2328
这题很简单,最终的做题人数也体现了这一点。。 不过前段时间刚接触了Ponce这一IDA插件神器,就试一试比赛里好不好使。(主要就是懒,不想逆向分析算法了) main: 打印第8行puts,似乎就是success的意思; 看一下前面的vm_operad: 一个大while(1)循环,但对于Ponce来说,只需关心哪里输入,哪里success,哪里wrong。 这里的26行read函数就是要求输入长度为15 OK,开始下断点调试 首先,在scanf函数后一行下个断点,方便在栈中找
2024年第四届“网络安全大赛-赛前模拟训练
ZXW_NUDT的博客
10-19 1万+
2024年第四届“网络安全大赛-赛前模拟训练
re -16 buuctf [ 2020 青龙组]singal(angr使用)
weixin_45847059的博客
11-23 654
[ 2020 青龙组]singal 前话:先记录下angr的使用。参考了大佬的文章:https://blog.youkuaiyun.com/Breeze_CAT/article/details/106139253 在cmd中使用,不能在pycharm中使用。 >>> import angr >>> p = angr.Project(r'C:\Users\ASUS\Desktop\signal.exe') #地址前必须加r >>> state = p.facto
re
qq_37439229的博客
05-11 588
我好菜。。。。开局两个安卓re我彻底自闭了。。。。不会呀 说一下后面两个re把。。。。 1、signal 一个入门级的虚拟机保护 模拟一下就好了 #include<stdio.h> int main() { unsigned char a1[] = { 0x0A, 0x00, 0x00, 0x00, 0x04, 0x00, 0x00, 0x00, 0x10, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00, 0x03, 0x00, 0x00,
CTF赛题-[2020青龙组]AreUSerialz
m0_57379855的博客
03-25 2221
CTF赛题-[2020青龙组]AreUSerialz代码审计构造函数 代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filenam
vulhub jocker
最新发布
01-01
### Vulhub Docker 容器安全漏洞演示平台 #### 平台概述 VulHub 是一个基于 Docker 和 Kubernetes 的轻量级环境搭建工具,旨在帮助用户快速构建并理解各种已知的安全漏洞。通过使用预配置好的镜像和组合文件,研究...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值