深入浅出,知无不答,言无不尽,力求详尽
2025/4/15 勘误一处错误 rsp和rdp职能
比较常规, linux的执行文件, 无壳, 放心IDA
一切默认, 打开后直接F5
老版本的IDA点到这里, 看到的26行是不一样的, 新版本的IDA更注重伪代码的精简, 解析器更加精准了。
其实很常规, 不会分析的看往期文章吧, 这些函数都分析过好几遍了, 如果做题有经验, 看到scanf就知道是捕获输入, 看到strlen也知道是字符串长, strcpy就是赋值, 整个代码看下来就没什么特殊的点。
如果是这样这文章就等于没写, 这里面主要的难点是两个以前没写过的:
1、如何得知数据偏移后的值?(简单说一下)
2、如何在IDA中判断数据是大端, 还是小端存储?
我通过这题解析一下这两个问题。
sub_4007C0是错误flag的提示输出函数, 我们和这个函数的触发条件反着来就可以找到正确的flag,
关键语句是第26行, 上面都是对flag的长度校验。
26行就是取出v8数组索引为[i % 7 - 8]的值嘛(v6固定数据为7), 然后和v8[i]异或, 这个简单!
这么想就错了, 写出脚本运行出来结果是这样的:
根本不是正确的flag。
我们来计算一下第一次循环, 访问v8数组会访问到第几个元素。
i = 0, 那么0 % 7 - 8 等于-1, 索引直接超出范围, 但是在伪C代码里, 没有python、java那么严格的异常抛出IndexError或者空指针异常, 超出范围就会发生跨界访问(这取决于dump代码的精度), 这里我们回去看开头赋值的那一堆东西后面跟的注释。
我们不难发现v7和v8是在内存上连续的, 而且无间隔, 刚好偏移8字节。
这里变量后的注释,标明了寄存器是谁以及偏移量,在x86-64架构中,rsp是栈指针,rbp则是基指针,在动态调试里,可以通过打断点的方式知道某个时间点里面存储了什么数据,rsp栈指针在栈算法中是动态的,通过rsp定位某个栈帧中存储了什么数据是有难度的,但是这里IDA的dump已经帮我们解决了这个难题,不管是用rsp还是rbp都可以计算偏移量,这里我们选择用rsp, 更好算。
关于栈的算法, 栈指针会不停的更新, 移动位置以分配更多内存空间给新的栈帧, 我们很难从一个动态的指针上计算出数据(可以打断点调试出来),一般情况下我们不会用rsp栈指针去计算一个数据值。
68h的十进制是104, 70h的十进制是112, 两者差为8。
只需要简单的计算就可以知道偏移量。
那么我们回头去看v8[i % 7 -8], 它会访问到v7的数据。
点一下这个数据然后按R, 转换成字母
重新写一下脚本试试
这看起来还不是正确的flag呀, 为什么呢?
还是那个大端、小端存储的问题, 关于大端小端是什么请看上一篇文章: [攻防世界]re1 超详细题解(逆向CTF)
第二个问题:
我们如何在IDA中判断这个数据是大端还是小端存储呢?
我们来到HEX-view窗口看一下十六进制, 然后找到相关存储区域的数据
小端存储, 从低地址读取, 也就是从00开始往高地址读, 所以我们直接转的是反序的字符串。
v8则是大端存储, 就是正序
数据的高位在低地址空间,数据的低位在高地址空间, 它读取依然是从低地址开始, 但是它知道从高地址开始往后放, 所以输出的依然是正序。
数据为什么要采用大端小端的方式读取?
我的理解是:提高数据计算的效率,早期计算机的算力十分有限,数据的处理要尽量高效,而取出数据都是从低地址取出的,而小端存储则是把低位放在低地址,高位放在高地址,如果有一个非常大的数,从高位取出, 一直取到最小的数据才可以开始计算,因为计算机不知道后面有多少个数据,而从低位取出,计算可以在完整读取整个数据之前就计算完结果,像几百万位的数字加个位的数字的情况,小端存储明显更加的高效,更详细的技术细节还有边界检测和内存对齐等等。
区分的方法就是:
1、与16进制进行比对。
2、数据类型所占用的字节数。(一般较小的占用字节不会采用小端存储, 这里的v7数据类型__int64, 占用64位, 小端存储, v8是字符型数组, 占用8位, 大端存储)
3、还没想好...
所以我们再修改一下脚本
flag:
RC3-2016-XORISGUD
我水平有限,其实大端小端的问题深究下去很复杂,只能粗略的讲一下,如果有讲错的地方,还请评论区的大佬指正。
扫一扫
551
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
