攻防世界-RE-csaw2013reversing2

最新推荐文章于 2023-08-17 17:14:21 发布
原创 最新推荐文章于 2023-08-17 17:14:21 发布 · 240 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细讲述了在无壳程序中,通过IDA进行静态分析,发现程序的调试检测机制,然后利用动态调试技术,逐步破解跳转逻辑,最终使用QQ截图工具获取flag的过程。核心内容包括:静态分析、IsDebuggerPresent检测、动态调试步骤和getflag技巧。

文章目录

查看文件信息

无壳
在这里插入图片描述

IDA 静态分析

来到 main()函数处
在这里插入图片描述
我们可以看到 程序有个if 判断 进入sub_40102A()函数 发现没什么 IsDebuggerPresent()函数猜测应该是判断程序是否进入调试阶段

_debugbreak()   //在代码中引起断点 提示用户运行调试程序

我们进入 sub_40100()函数
在这里插入图片描述
他返回result 明显是加密后的flag 但是 他应该没有调用

那么我们就可以用OD动调就可以

动态调试

首先 我们需要先找到 弹窗跳转的指令
F8单步

最低0.47元/天 解锁文章
攻防世界-新手区csaw2013reversing2
qq_43447375的博客
12-15 385
攻防世界-新手区csaw2013reversing2欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 #题目: csaw2013reversing2 ##题目来源
攻防世界 REVERSE 新手区/csaw2013reversing2
ookami6497的博客
07-12 726
攻防世界 REVERSE 新手区/csaw2013reversing2 看题目描述,说是运行就能拿到flag,下载运行一下,看来不行 先查一下有没有加壳,这个没有加壳,而且是个32位的程序 用IDA32位打开,f5查看伪代码 接下来就是分析代码了 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h
攻防世界csaw2013reversing2_逆向之旅009
weixin_43281394的博客
02-19 429
攻防世界csaw2013reversing2_逆向之旅009前言一、exeinfo二、IDA分析1.查看主函数总结 前言 提示:结合IDA分析程序的控制流,然后使用od修改程序的控制流,从而输出flag。 一、exeinfo 得到基本信息:32位exe程序,没有壳。 运行这个程序得到: 确实是一堆乱码。 二、IDA分析 1.查看主函数 将程序拖进ida ,然后找到主函数,然后F5。 然后在view-A窗口,按空格,得到如下图所示的graph overview: 结合上面的两张图可以知道,这个程序
re学习笔记(27)攻防世界-re-csaw2013reversing2
逆向随笔
01-19 897
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:攻防世界-re-csaw2013reversing2 题目下载:点击下载 既然运行就能拿到flag,就直接载入OD动态调试吧 F8一点点单步向下,来找到确切弹窗的位置 发现执行到这里的时候出现了弹窗,在这个位置下断点,重新载入 然后F9直接运行到此地址,F7进入call 然后F8单步,来到这里,jnz跳转未实现,je跳...
攻防世界recsaw2013reversing2
qq_43786458的博客
10-05 2894
1.查壳 无壳,32位文件 打开文件 如题目所说,弹出的是乱码 2.拖入IDA 老规矩,拖入IDA,找main函数,反编译查看伪代码 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h] [ebp-Ch]...
re学习(34)攻防世界-csaw2013reversing2(修改汇编顺序)
m0_66039322的博客
08-17 1041
所以我们把这个跳转也给nop掉,继续F8,执行完一个MessageBoxA(弹框)函数后,发现程序此时处于Running状态,弹出一个什么也没有的框,其实这是另外一个弹框函数,真正输出flag的弹框函数是后面那个,在我们之前那个ida的修改之后的汇编图也可以发现,确实是有一个没有被调用的弹框函数,所以我们之前可以那个nop掉的跳转改为跳转到下面那个弹框函数,但既然说了是nop大法,就nop到底。由于运行之后的是乱码,所以可以猜测生成flag的函数没有执行,所以需要跳到生成flag的函数执行,但是前面的。
ctf————攻防世界新手题11(csaw2013reversing2)WP
qq_55994774的博客
08-10 290
1. 用Exeinfo PE打开文件查看信息没有加壳的32位程序。 2. 放入ida进行分析 HeapCreate()和HeapAlloc()函数,查阅得知这两条语句在此申请了一个大小为Maxcount=24h的空间,通过字符串拷贝函数memcpy_()将&unk_409B10的内容给予IpMem,查看IpMem里的储存数据。 进一步分析,MessageBoxA()函数,这是一个输出的函数,而flag应该就在plMem中,主函数中sub_4010000函数用到了plMem作为参...
攻防世界-re新手区wp
令则
10-10 1886
攻防世界-re新手区wp https://adworld.xctf.org.cn/ 文章目录攻防世界-re新手区wpre1ganmehello,ctfopen-sourcesimple-unpacklogmeininsanityno-strings-attached使用静态分析:使用动态调试:csaw2013reversing2gititpython-trademaze最后 re1 下载附件文...
Reverse(五):攻防世界WP--2
weixin_44122225的博客
06-06 384
1.re1: 获得re1的可执行文件,为windows下的32wei可执行程序,在cmd控制台下到达该文件所在目录,使用strings命令查看字符串信息 观察所有输出的字符串,可以轻松找到flag 2.
攻防世界csaw2013reversing2
weixin_52230368的博客
08-13 350
攻防世界csaw2013reversing2: 文件下载下来是一个可执行程序,先来运行一下是来干什么的: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上 一个小程序看见了Flag标题但是是一堆乱码。放进IDA查看伪代码,分析程序的基本思路: 在分析之前啊,我们要先了解几个函数是干什的: 1.HANDLE hheap;这个代码是定义一个句柄,实际上是一个数据,是一个Long类型的数据,是一种指向指针的指针。 1.Heap Create()函数,创建一个只有调用进程才能访问的私有堆。进程从
攻防世界-csaw2013reversing2
Henlenl的博客
11-07 231
无壳程序 IDA静态分析 找到main函数 ![image.png](https://img-blog.csdnimg.cn/img_convert/d937d85acd09e34b9ae05d2e9e3d68e2.png#clientId=ufefc85f1-ac53-4&from=paste&height=426&id=u7c49415e&margin=[object Object]&name=image.png&originHeight=426&
XCTF csaw2013reversing2
YenKoc的博客
01-28 876
题目描述:听说运行就能拿到Flag,不过菜鸡运行的结果不知道为什么是乱码 一.先运行看看。 果然乱码。 二.查壳 三.是pe文件,可以拖入od和ida进行动态和静态分析。 1.对主函数进行反编译一下。 2.这里可以直接看出代码的逻辑和用意,那个if语句可以解码,如果没进入这步,会直接输出乱码的东西,看看汇编,这里已经利用最大资源了,我们来看看汇编是咋样的。 3.结合着伪代码来看,loc...
攻防世界Reverse第十一题csaw2013reversing2
weixin_52369224的博客
09-18 353
尝试运行一下 发现点击按钮都会推出 放入Exenifo PE中查看无壳 32位文件 放入IDApro 看到提示 Trap to Debugger 我们来破除这trap 第一种 patch大法 为确保if中函数可以实现 将jz short loc_401096改为jmpshort loc_401096 把int 3改为nop 阻止程序跳出将jmp short loc_4010EF改为jmp short 4010B9 保存之后运行程序得到flag ...
攻防世界REVERSE新手练习区 - csaw2013reversing2
m0_60377292的博客
08-08 288
csaw2013reversing2 - wp
攻防世界csaw2013reversing2Writeup
m0_58348028的博客
01-08 418
32位无壳 先试着运行exe文件,得到如下结果符合题目 描述输出的玩意是乱码 用ida解析 主函数逻辑,跟进sub_40102A()函数中 发现函数的返回值默认为0,但是!0就意味着if所包含的语句会一直被默认执行 ,联想到我们一开始看到程序运行起来的乱码,我们就确定if所包含的语句就是导致乱码发生的原因 结合汇编发现if语句的默认正是跳过了sub_401000所以我们猜测这个被跳过的藏有flag 开始动态调试 执行完成后面就是退出不需要再执行此时edx地址中就存...
攻防世界WP-reverse-getitcsaw2013reversing2
wallacegen的博客
04-14 237
打开之后弹乱码 第一步还是查壳,没有。 第二步拖入IDA,直接看伪代码吧 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h] [ebp-Ch] HANDLE hHeap; // [esp+10h] [eb...
攻防世界(动态调试+迷宫)
qq_54929422的博客
02-07 706
纪念一下第一个独立做出来的动态调试题: 攻防世界新手区csaw2013reversing2: 点开给出的exe,出现: 都是乱码。 放到ida里调试看看: Main函数: sub_40102A()函数: IsDebuggerPresent()函数: 普及一下有关函数的知识: 1:HeapAlloc函数:堆内存分配(heap的中文就是堆的意思) 2:_memcpy_s函数:和memcpy函数一样,都是复制字符串 3:__readfsdword函数:(从相对于 FS 段开头
攻防世界逆向高手题之梅津美治郎
沐一 · 林 的博客
09-12 766
攻防世界逆向高手题之梅津美治郎 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的梅津美治郎 . . 照例下载附件,扔入exeinfope中查看信息: . . 32位无壳,先运行一下程序看看主要回显信息: 照例扔入IDA32中查看伪代码,有main函数看main函数: . . (这里积累第一个经验) 第一、二副图中可以看到前面一堆数字,肯定有用的,冗余代码不会长这个样子。然后就是第三幅图中两个系统函数GetModuleHandleA和GetProcAddress 查了手上所有的手册,一个获
攻防世界逆向入门题之csaw2013reversing2
沐一 · 林 的博客
08-17 990
攻防世界逆向入门题之csaw2013reversing2 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向入门题的csaw2013reversing2 首先把下载的附件扔如exeinfope中查看信息: win32无壳,那么既然是windows的直接双击运行一下看看: 弹了个框,结合题目所说的: 听说运行就能拿到Flag,不过菜鸡运行的结果不知道为什么是乱码 那么这个就是乱码的flag了,乱码有好多种,base64加密等等这些,我们一个个排除,先扔入IDA中查看伪代码。要先看C或C++伪代码再分析反汇编
攻防世界Reversing-x64Elf-100
最新发布
02-07
### CTF Reversing x64 ELF 100 Challenge Solution and Hints For the reversing challenge involving an x64 ELF file, understanding how to interpret hexadecimal strings as ASCII characters is crucial. When faced with a string that appears nonsensical at first glance but contains digits from `0` through `F`, it suggests dealing with hexadecimal encoding. Converting such hex values into their corresponding ASCII representations can reveal hidden messages or flags required by challenges. In this specific case, converting each pair of hexadecimal digits (like `66`) into decimal yields ASCII codes which translate directly into readable text characters; for instance, `66` becomes `102` in decimal, representing 'f' according to the ASCII standard[^1]. Following similar conversions (`6c` -> `110` -> 'n'), one might deduce part of the flag format expected within these types of puzzles—often enclosed between curly braces following "flag". Regarding handling ELF files specifically, knowledge about the structure including headers like `ELF64_Ehdr` and sections described via structures such as `ELF64_Shdr` proves beneficial when attempting reverse engineering tasks on binaries formatted under the Executable and Linkable Format specification used primarily across Unix-like systems[^2]. To tackle this particular level effectively: - Examine any provided binary using tools designed for analyzing ELF executables. - Look out for embedded strings or data segments containing potential clues encoded similarly to what was discussed earlier regarding hexadecimal-to-text conversion. - Utilize debugging utilities alongside disassemblers to trace execution flow while paying attention to operations manipulating input/output streams where flags could be checked against user-supplied answers during runtime. ```bash # Example command line tool usage for inspecting ELF binaries readelf -h your_binary_file # Display the ELF header information strings your_binary_file # Extract printable character sequences possibly hinting towards solutions ``` --related questions-- 1. What are common methods employed in decoding obfuscated texts found inside executable programs? 2. How does one approach decompiling or disassembling different architectures beyond just x86_64? 3. Can you explain more about the significance of various fields present within the ELF header concerning program loading and linking processes?
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值