[攻防世界]re1 超详细题解(逆向CTF)

已于 2024-12-05 16:57:56 修改
阅读量1k 收藏 21
点赞数 16
分类专栏: CTF 文章标签: 网络安全 经验分享 安全
于 2024-12-02 19:59:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fox_O1/article/details/144152571
版权

深入浅出,知无不答,言无不尽,力求详尽

老样子查壳

无壳, 可以直接IDA, 这还是windows控制台程序, 也可以od。

废话不多说, 直接F5

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  __m128i v5; // [esp+0h] [ebp-44h] BYREF
  __int64 v6; // [esp+10h] [ebp-34h]
  int v7; // [esp+18h] [ebp-2Ch]
  __int16 v8; // [esp+1Ch] [ebp-28h]
  char v9[32]; // [esp+20h] [ebp-24h] BYREF

  v5 = _mm_loadu_si128((const __m128i *)&xmmword_413E34);
  v7 = 0;
  v6 = 0x7D465443545544i64;
  v8 = 0;
  printf("欢迎来到DUTCTF呦\n");
  printf("这是一道很可爱很简单的逆向题呦\n");
  printf("输入flag吧:");
  scanf("%s", v9);
  v3 = strcmp(v5.m128i_i8, v9);
  if ( v3 )
    v3 = v3 < 0 ? -1 : 1;
  if ( v3 )
    printf(aFlag_0);
  else
    printf(aFlagGet);
  system("pause");
  return 0;
}

这段代码里有挺多SSE2中的指令集, __m128i类型变量, _mm_loadu_si128函数, __xmmword关键字...等等

1、开头的初始化, 第一行不再赘述了, 详细可以看过往两篇文章:

[攻防世界]Hello,CTF (逆向CTF) 包含 main函数中的参数 二级指针envp 说明

[攻防世界]Open-source(逆向Hack-you) 包含 main函数中的两个参数argc和argv 说明

3-8行初始化变量类型, 有两个例外要讲一下, 第4行的 __m128i 这个数据类型是个啥玩意, 它比较特别, 是一个联合体(union), 可以用不同的方式解释相同的128位数据, 既可以是16个8位整数、8个16位整数、也可以是4个32位整数或2个64位整数, 把它当成一个非常灵活的整数型变量就可以了。

2、一部分赋值解析

  v5 = _mm_loadu_si128((const __m128i *)&xmmword_413E34);
  v7 = 0;
  v6 = 0x7D465443545544i64;
  v8 = 0;

这个_mm_loadu_si128函数是直接加载128位值(si128表示signed 128 big interger), 无需16字节对齐, 返回寄存器中的值, 函数内参数const __m128i * 代表创建了一个常量指针, 指向xmmword_413E34。

还有v6赋值的16进制(这个大家应该看得懂吧), 后缀i64则是把占用的内存空间扩展到了64位。

3、主体部分

  printf("欢迎来到DUTCTF呦\n");
  printf("这是一道很可爱很简单的逆向题呦\n");
  printf("输入flag吧:");
  scanf("%s", v9);
  v3 = strcmp(v5.m128i_i8, v9);
  if ( v3 )
    v3 = v3 < 0 ? -1 : 1;
  if ( v3 )
    printf(aFlag_0);
  else
    printf(aFlagGet);
  system("pause");

前三行输出一些文字, scanf函数把我们输入的数据传给v9。

strcmp函数比较v5和v9, v5后缀的.m128i_i8 是取出v5的8位整数元素的意思, 并赋值给v3, strcmp函数的输出只有三种可能, 等于0、小于或者大于0, 在if判断中只要不是0值(布尔类型), 都是1值, 会执行下面的语句。

进入判断

如果v3的值不是0就执行下面的语句:

       v3 = v3 < 0 ? -1 : 1;

(注意加粗)这里用了一个三元运算符 "?", 这玩意初见很难理解。

"?" 的前面是条件, 后面一个条件为真执行的, 一个为假执行的, 我简单表述一下:

条件 ? (条件True时执行) : (条件False时执行)

回到题目, 这里v3小于0, 那么v3就会赋值成-1, 反之则赋值为1

第二个判断

v3不是0

输出aFlag_0

错了

v3是0

获得flag, 对了

我们总结一下条件:

v3的值决定了我们能不能获得flag, 而v3的值取决于v5和v9, v9是我们输入的值, v5是程序自带的, 所以我们溯源v5, v5指向xmmword_413E34, 双击跳转

发现两串十六进制数据, IDA中选中这条数据右键就可以将其转换成各种编码。

我们会发现这串东西好像反过来了一样, 确实, 你想的没错。

为什么呢?

这个原理在王克义教授所著的《微机原理》第2版的194页, 第二点提到了: (里面还提了一嘴为啥要叫大端和小端)

其实在《汇编语言》王爽写的那本里也提到了, 不过我很久没看了, 具体在哪记不清了...

好了, 今天就这样结束吧, 累了😩

把flag倒过来就行了:

flag:

DUTCTF{We1c0met0DUTCTF}

攻防世界 REVERSE 新手区/re1
ookami6497的博客
04-03 3154
攻防世界 REVERSE 新手区/re1 先看题,题目描述没啥有用信息,直接下附件 打开 先随便输个数 估计是个字符串匹配的题,接下来用IDA32位打开 看到有个strcmp函数,比较v5和v9,然后判断v3,根据v3给出相应的结果。这时我看到了个printf(aFLAG),满怀欣喜地点进去看了 啊?这么快就得到答案了么?(并没有。。) 看下描述,和运行的那个程序一样结果,看来是假的 那么那个else后输出的就应该是代表正确的答案了,跟进unk_413E90
攻防世界re1_逆向之旅004
weixin_43281394的博客
12-25 450
攻防世界re1_逆向之旅004前言一、运行程序并分析二、使用IDA反编译这个程序1.先用exeinfope查看这个程序的信息2.使用IDA打开三、总结 前言 先给出这个题目的链接: https://adworld.xctf.org.cn/task/answer?type=reverse&number=4&grade=0&id=5073&page=1 一、运行程序并分析 双击运行这个程序,并测试。如下图所示: 如果输入flag错误,就会输出“flag不太对呦,,,” 二、使
逆向攻防世界CTF系列23-re1-100
LH1013886337的博客
11-11 234
必须{}开头结尾,前十位和后十位给出,最后必须={daf29f59034938ae4efd53fc275d81053ed5be8c}去掉花括号,这里是试出来的一开始加了flag。就是中间换了顺序1234变成3412。shift+f12定位到。看看confuseKey。64位无壳,无聊的题。
攻防世界Reverse——re1 writeup
2301_77295404的博客
01-08 555
【代码】【攻防世界Reverse——re1 writeup。
攻防世界--re1
weixin_30876945的博客
08-16 357
练习文件下载:https://www.lanzous.com/i5lufub 1.使用IDA打开,进入main函数。 2.转为C代码 可以看到,输入v9之后,与v5比较,判断我们输入的flag是否正确。分别进入if...else判断之后的输出 正确输出flag get.. 错误输出flag不太对呦... 没办法,只能回到main看看v5 ...
攻防世界re1
starmultiple的博客
01-22 542
shift F12后找到flag 双击 ctr x 获取当前代码地址,点击,出现以下, 点击查看 F5查看伪代码 可以发现v4与flag有关 查看xmword_413E34 R转换16进制数 A合并后出现
攻防世界-re1
qq_70851535的博客
10-24 381
逆向分析
攻防世界--re1-100
weixin_30607659的博客
09-25 261
测试文件:https://adworld.xctf.org.cn/media/task/attachments/dc14f9a05f2846249336a84aecaf18a2.zip 1.准备 获取信息 64位文件 2.IDA打开 前面大部分都是“无用代码”,这里贴上我们需要的代码 while ( 1 ) { me...
ctf逆向解题——re1-附件资源
03-05
ctf逆向解题——re1-附件资源
攻防世界re1WP
Wejh的博客
01-24 262
re1 0X01、分析exe 无壳,32位程序 0X02、用32位的ida打开f5查找main函数 0X03、分析函数 无论v5是> or < 都是输出aFlag-0;打开却发现 错了所以v5=v9,才对,flag应该在程序中。 0X04、找flag 法1、用记事本打开,查flag 法2、观察main发现 类似于memset函数, C 库函数 void *memset(void *str, int c, size_t n) 复制字符 c(一个无符号字符)到参数 str 所指向的字符
攻防世界——re1
Nike_name的博客
12-27 519
动态调试
攻防世界-easyRE1
qq_63699339的博客
05-10 416
IDA打开找到main函数双击F5反编译后,我们可以直接看到flag的值为db2f62a36a018bce28e46d976e3f9864。然后在攻防世界输入:flag{db2f62a36a018bce28e46d976e3f9864}我们随机先选一个文件用Exeinfo工具查壳,我选择是easy-32。我们可以发现该程序为ELF文件 32位 ,没壳。一个是32位的文件,一个是64位的文件。首先下载文件,下载好是一下两个文件。用64位的如上面分析也是这个结果。成功提交,果真easy。
攻防世界-reverse-re1
qqqwww_sssd的博客
05-24 1375
工具:ExeinfoPe(查壳用) 链接:https://pan.baidu.com/s/1dtYl1Cjx0DLB38kTF8GaPw?pwd=renw 提取码:renw 工具:IDA_Pro_v7.0_Portable 链接:https://pan.baidu.com/s/1CS7xjshF8IoDURz7lCB4jg?pwd=renw 提取码:renw 跟着大佬做:逆向分析全过程分享——攻防世界——re1_哔哩哔哩_bilibili 1.首先下载附件之后,拖入exeinfo中查看它...
攻防世界re1做法
2303_80796023的博客
03-30 538
是这么个一串东西,那我们就选中按a,转换为字符串形式,结果就是flag,我真的是醉了,没想到flag在这吧哈哈哈哈,然后提交就好了,flag为DUTCTF{We1c0met0DUTCTF},简单总结下,有的时候思维也可以放简单点,这边点点,那边点点,flag没准儿就出来了(觉得写的不错的话,可以给个赞鼓励一下我哦^_^)往上看,我将v6转换为字符形式(选中按r即可),再往上看,有个v5,参数有个取地址,点进去看看,首先查个壳发现没壳,是32bit,那就拖进ida32中进行反编译。
攻防世界 re1
weixin_50597969的博客
01-29 384
攻防世界 re1题目信息解题步骤GET FLAG 题目信息 解题步骤 用ida打开,找到main函数 F5转伪代码 可以看到,输入v9之后,与v5比较,判断我们输入的flag是否正确。 回头看这里 双击(下图箭头处 进入 选中这两个字符串,按r转换 倒着输入就可以了 GET FLAG DUTCTF{We1c0met0DUTCTF} ...
攻防世界Reverse:re1
Pai_Space
11-05 315
1.解题过程: (1) 下载附件打开,输入测试 首先查壳 无壳(刚开始我以为是有壳,然后脱壳,发现没有壳,下图是我进行脱壳时的程序) 按照流程32位直接拖入IDA查看 shift+f12查找字符串,没有特别的东西 f5反汇编查看伪代码 (2)分析: 所以查看寄存器 其中有一段数据 按下a键转换为字符串 即为flag (3)出现的问题 ①在末尾转换字符串时使用r键会出现 00413E44 合并到了 00413E34 中,并且a键同时将字符串进...
攻防世界-逆向题-IgniteMe
weixin_43316163的博客
11-17 542
题目描述: 一个pe文件 运行截图 如果乱输入,回车后就退出了,没有循环输入的机制,也没有输入错误提示。 解题过程: 用exeinfo pe检测有 这是一个32位没有壳的文件。 用IDA打开有: 下面是文件的main函数结构,根据提示可以确定程序正确执行步骤 汇编语言不好读,点击F5查看main函数伪代码有: int __cdecl main(int argc, const char **...
攻防世界 re1 wp
__ys的博客
11-14 196
re1(真入门 ) 丢入IDA 分析得知v9是输入的flag,然后将v5与v9进行比较,相等则输入flag get 因此v5即是所需flag 追踪v5 回到main函数后发现 、 movdqu xmm0, ds:xmmword_413E34 movdqu [ebp+var_44], xmm0 为对v5的赋值 于是进入xmmword_413E34 然后就是讲16进制转化为字符串得到flag(因为汇编里面存储字符是采用小端格式,所以结果倒过来输就行) DUTCTF{We1c0met0DUTCTF
buuctf re1
最新发布
12-29
### 关于BUUCTF RE1类型题目 #### BUUCTF平台简介 BUUCTF是一个专注于网络安全竞赛训练的在线平台,提供多种类型的挑战题供参赛者练习。其中RE1Reverse Engineering Level 1)类别主要涉及逆向工程的基础知识和技术应用。 #### 题目实例:Simple_RE1 在BUUCTF平台上存在一道名为`Simple_RE1`的经典入门级逆向题目[^2]。该题目的目标是从给定的可执行文件中提取出隐藏的信息或者理解其内部逻辑流程来获取flag。 #### 解题思路概述 对于这类基础性的逆向题目来说,通常会考察以下几个方面: - **工具使用**:掌握基本调试器(如IDA Pro, Ghidra)以及十六进制编辑器(HxD等)的操作方法。 - **程序分析**:能够阅读并解析编译后的机器码或字节码,识别常见的算法结构和字符串处理方式。 - **漏洞挖掘**:了解常见软件缺陷模式及其利用手法,在此案例中可能涉及到简单的缓冲区溢出等问题。 具体到这道`Simple_RE1`题目上,解法可以概括如下: 1. 使用反汇编工具加载二进制文件; 2. 寻找main函数入口点,并跟踪调用链直至发现关键操作区域; 3. 对比输入参数与预期输出之间的差异,推测加密/编码机制; 4. 尝试修改特定条件分支语句以绕过验证过程从而获得正确答案; ```python from pwn import * context.arch = 'amd64' elf = ELF('./simple_re') p = elf.process() payload = b'A' * offset + pack(flag_address) p.sendline(payload) print(p.recvall().decode()) ``` 上述代码片段展示了如何通过构造特殊的数据包发送至目标进程实现对内存地址的有效控制,进而读取或篡改指定位置的内容。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值