攻防世界-csaw2013reversing2

最新推荐文章于 2022-01-08 14:20:56 发布
最新推荐文章于 2022-01-08 14:20:56 发布
阅读量200 收藏
点赞数
分类专栏: RE CTF 逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Henlenl/article/details/121197406
版权
本文详细介绍了使用IDA进行静态分析的过程,重点解析了一个无壳程序中的加密函数。通过查找main函数,发现IsDebuggerPresent()用于判断调试器,进而定位到加密函数sub_401000()。在函数中,两个关键数组参与异或操作来解密数据,其中一个已知,另一个存储在unk_400B10变量中。通过dump数据并运行示例代码,成功解密得到了flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

无壳程序

IDA静态分析

找到main函数
![image.png](https://img-blog.csdnimg.cn/img_convert/d937d85acd09e34b9ae05d2e9e3d68e2.png#clientId=ufefc85f1-ac53-4&from=paste&height=426&id=u7c49415e&margin=[object Object]&name=image.png&originHeight=426&originWidth=1211&originalType=binary&ratio=1&size=30012&status=done&style=none&taskId=u04c87690-2c33-4a8f-83a8-30e87b541ad&width=1211)
看到弹窗 但是可以知道的是这个函数是IsDebuggerPresent()判断是否到调试器内
所以最终我们看到的加密函数影应该是
sub_401000()这个函数
所以我们打开这个函数
![image.png](https://img-blog.csdnimg.cn/img_convert/01f9042bc909c65f086bd3a5777b657e.png#clientId=ufefc85f1-ac53-4&from=paste&height=422&id=u15763db1&margin=[object Object]&name=image.png&originHeight=422&originWidth=1246&originalType=binary&ratio=1&size=23305&status=done&style=none&taskId=ub15117db-c3f3-4eb1-87b5-d848d5a9d04&width=1246)
其中一个数组是![image.png](https://img-blog.csdnimg.cn/img_convert/4f551a05ed3c305a5d92e221d67a2014.png#clientId=ufefc85f1-ac53-4&from=paste&height=382&id=u12e5ecad&margin=[object Object]&name=image.png&originHeight=382&originWidth=1034&originalType=binary&ratio=1&size=36386&status=done&style=none&taskId=u3c11ce27-dfe5-41ee-a5ad-88cde2bcfb8&width=1034)
那么我们需要找另外与之异或的数组,经过分析我们可以知道lpMem这个变量储存的是flag
![image.png](https://img-blog.csdnimg.cn/img_convert/095002f837c3a706ee9462b61ede018a.png#clientId=ufefc85f1-ac53-4&from=paste&height=494&id=u213d439e&margin=[object Object]&name=image.png&originHeight=494&originWidth=1149&originalType=binary&ratio=1&size=33317&status=done&style=none&taskId=u8d5477e8-1373-4658-8bd9-cb137c984f9&width=1149)
我们可以看到HeapAlloc()函数分配内存与Memcpy_s函数 拷贝内容函数
那么具体数组就是在unk_400B10变量里面 所以我们dump数据下来

EXP

str1 = [0xBB, 0xCC, 0xA0, 0xBC, 0xDC, 0xD1, 0xBE, 0xB8, 0xCD, 0xCF, 
  0xBE, 0xAE, 0xD2, 0xC4, 0xAB, 0x82, 0xD2, 0xD9, 0x93, 0xB3, 
  0xD4, 0xDE, 0x93, 0xA9, 0xD3, 0xCB, 0xB8, 0x82, 0xD3, 0xCB, 
  0xBE, 0xB9, 0x9A, 0xD7, 0xCC, 0xDD]
str2 = [0xBB, 0xAA, 0xCC, 0xDD]
flag = ''
for i in range(len(str1)):
  flag+= chr(str1[i] ^ str2[i%4])
print(flag)
攻防世界-新手区csaw2013reversing2
qq_43447375的博客
12-15 345
攻防世界-新手区csaw2013reversing2欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 #题目: csaw2013reversing2 ##题目来源
攻防世界 REVERSE 新手区/csaw2013reversing2
ookami6497的博客
07-12 694
攻防世界 REVERSE 新手区/csaw2013reversing2 看题目描述,说是运行就能拿到flag,下载运行一下,看来不行 先查一下有没有加壳,这个没有加壳,而且是个32位的程序 用IDA32位打开,f5查看伪代码 接下来就是分析代码了 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h
逆向-攻防世界-CSAW2013Reversing2
weixin_30701521的博客
04-25 245
运行程序乱码,OD载入搜索字符串,断电到弹窗Flag附近。 发现跳过00B61000函数,弹窗乱码,我们试试调用00B61000函数。将00B61094的指令修改为JE SHORT 00B6109b。然后跟进函数,单步执行。 拿到了flag。 原程序是在00B610B9处弹窗,我们将00B610A3的指令修改为JE SHORT 00B610B9。保存修改,然后就会弹窗真正的f...
攻防世界csaw2013reversing2
weixin_52230368的博客
08-13 294
攻防世界csaw2013reversing2: 文件下载下来是一个可执行程序,先来运行一下是来干什么的: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上 一个小程序看见了Flag标题但是是一堆乱码。放进IDA查看伪代码,分析程序的基本思路: 在分析之前啊,我们要先了解几个函数是干什的: 1.HANDLE hheap;这个代码是定义一个句柄,实际上是一个数据,是一个Long类型的数据,是一种指向指针的指针。 1.Heap Create()函数,创建一个只有调用进程才能访问的私有堆。进程从
攻防世界-RE-csaw2013reversing2
Henlenl的博客
05-14 207
文章目录查看文件信息IDA 静态分析动态调试getflag 查看文件信息 无壳 IDA 静态分析 来到 main()函数处 我们可以看到 程序有个if 判断 进入sub_40102A()函数 发现没什么 IsDebuggerPresent()函数猜测应该是判断程序是否进入调试阶段 _debugbreak() //在代码中引起断点 提示用户运行调试程序 我们进入 sub_40100()函数 他返回result 明显是加密后的flag 但是 他应该没有调用 那么我们就可以用OD动调就可以
攻防世界】REVERSE新手练习区 - csaw2013reversing2
m0_60377292的博客
08-08 247
csaw2013reversing2 - wp
攻防世界csaw2013reversing2_逆向之旅009
weixin_43281394的博客
02-19 394
攻防世界csaw2013reversing2_逆向之旅009前言一、exeinfo二、IDA分析1.查看主函数总结 前言 提示:结合IDA分析程序的控制流,然后使用od修改程序的控制流,从而输出flag。 一、exeinfo 得到基本信息:32位exe程序,没有壳。 运行这个程序得到: 确实是一堆乱码。 二、IDA分析 1.查看主函数 将程序拖进ida ,然后找到主函数,然后F5。 然后在view-A窗口,按空格,得到如下图所示的graph overview: 结合上面的两张图可以知道,这个程序
ctf————攻防世界新手题11(csaw2013reversing2)WP
qq_55994774的博客
08-10 242
1. 用Exeinfo PE打开文件查看信息没有加壳的32位程序。 2. 放入ida进行分析 HeapCreate()和HeapAlloc()函数,查阅得知这两条语句在此申请了一个大小为Maxcount=24h的空间,通过字符串拷贝函数memcpy_()将&unk_409B10的内容给予IpMem,查看IpMem里的储存数据。 进一步分析,MessageBoxA()函数,这是一个输出的函数,而flag应该就在plMem中,主函数中sub_4010000函数用到了plMem作为参...
攻防世界Reverse第十一题csaw2013reversing2
weixin_52369224的博客
09-18 311
尝试运行一下 发现点击按钮都会推出 放入Exenifo PE中查看无壳 32位文件 放入IDApro 看到提示 Trap to Debugger 我们来破除这trap 第一种 patch大法 为确保if中函数可以实现 将jz short loc_401096改为jmpshort loc_401096 把int 3改为nop 阻止程序跳出将jmp short loc_4010EF改为jmp short 4010B9 保存之后运行程序得到flag ...
攻防世界csaw2013reversing2Writeup
m0_58348028的博客
01-08 387
32位无壳 先试着运行exe文件,得到如下结果符合题目 描述输出的玩意是乱码 用ida解析 主函数逻辑,跟进sub_40102A()函数中 发现函数的返回值默认为0,但是!0就意味着if所包含的语句会一直被默认执行 ,联想到我们一开始看到程序运行起来的乱码,我们就确定if所包含的语句就是导致乱码发生的原因 结合汇编发现if语句的默认正是跳过了sub_401000所以我们猜测这个被跳过的藏有flag 开始动态调试 执行完成后面就是退出不需要再执行此时edx地址中就存...
逆向-蓝鲸-csaw2013reversing2
VRMEI的博客
04-21 480
打开程序运行一下: 随便点一下,程序就结束了 拉入ida查看代码 程序的流程还是比较清晰的。 MessageBox函数的第二个参数的内容我们需要去查看一下 点开lpmem被赋予的内容 即unk_409B10 右边没有注释,说明不是ASCII码 接着就死在这里好久。。 因为不合逻辑 然后点开了函数sub_401000查看了一下 发现这里才是关键函数 算法很简单...
攻防世界reverse新手练习
黄先生的博客
04-13 7968
0x01 re1 用ida打开进行静态分析,按F5进行反编译 注意标黄色标记的地方,输入的字符会保存在 v9,这个字符串会跟 v5 进行比较,如果两个字符串相等,那么就会输出 flag get,这说明 flag 是已经保存在程序中的 我们在strings window(按shift+F12)中可以看到这几个字符串,我们可以推测flag包含DUTCTF字符串,所以在命令台中输入: s...
攻防世界逆向入门题之csaw2013reversing2
沐一 · 林 的博客
08-17 911
攻防世界逆向入门题之csaw2013reversing2 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向入门题的csaw2013reversing2 首先把下载的附件扔如exeinfope中查看信息: win32无壳,那么既然是windows的直接双击运行一下看看: 弹了个框,结合题目所说的: 听说运行就能拿到Flag,不过菜鸡运行的结果不知道为什么是乱码 那么这个就是乱码的flag了,乱码有好多种,base64加密等等这些,我们一个个排除,先扔入IDA中查看伪代码。要先看C或C++伪代码再分析反汇编
攻防世界-Mary_Morton
Henlenl的博客
11-30 3082
检查文件信息 amd64-elf文件 开启了Canary保护 开启了NX保护 ida静态分析 进入到sub_4008EB函数 格式化字符串漏洞 另外进入到sub_400960()函数有栈溢出漏洞 但是有一点开启了Canary 那么我们可以通过 格式化字符串任意读 泄露Canary地址 然后利用这个地址来进行溢出漏洞的利用 栈分布如图 而我们知道 v2就是用来储存canary的值的变量 而buf 大小位0x90 v2的大小位 0x8 覆盖return addr,需要0x90-0x8=0x88大小去
BUUCTF-RE-[MRCTF2020]Xor
Henlenl的博客
04-30 1662
[MRCTF2020]Xor查壳IDA分析get flag 查壳 发现是无壳的 IDA分析 查找字符串,找到这个Give Me Your Flag 通过交叉引用 来到sub_401090 然后 F5 发现报错了 不能F5,而且不是sp错误 那我们干脆直接看汇编 首先我们看到 这里压入了byte_4212C0 和 %s 这个我们就知道 flag其实储存在byte_4212C0中 然后我们看到 loc_4010B6 我们可以知道 edx 寄存器不断自增,最后退出循环,然后再与27 进行比较,这个时候我
BUUCTF-RE-2020-羊城杯 login
Henlenl的博客
09-24 1328
wp pyc RE 先用pyinstxtractor.py反编译为pyc文件 看到如下信息 但是注意 要对比login和struct头部的字节差异 将差异补上后 login这个文件加上.pyc后缀 然后就能用uncompyle6 将pyc反编译为python代码 # uncompyle6 version 3.7.4 # Python bytecode 3.6 (3379) # Decompiled from: Python 3.7.0 (v3.7.0:1bf9cc5093, Jun 27 2018,
BUUCTF-RE-[GUET-CTF2019]re
Henlenl的博客
04-21 1108
BUUCTF-[GUET-CTF2019]rePEID查壳关键代码分析脚本get flag PEID查壳 发现其实是UPX的壳,所以我们要先脱壳 UPX脱壳 关键代码分析 我们将脱壳后的文件,使用ida打开 查找字符串 其实这种情况有两种解法 ①:直接看代码,除就完事了 因为他是 N*a1[n] != M 那么我们就可以转化成 a1[n] = M // N ②:Z3求解器 利用z3求解器来求解各数组的元素 脚本 ①: a1 = [0]*32 a1[0]=chr(166163712//1629056)
BUUCTF-RE-[FlareOn4]IgniteMe
Henlenl的博客
04-30 657
[FlareOn4]IgniteMe查壳IDA (静动)分析静态动调get flag 查壳 发现程序是没有壳的 IDA (静动)分析 静态 然后 我们再F5 查看start的伪代码 然后我们进入 sub_4010F0 看看 读取某个字符串 然后传入全局变量当中 再进入sub_401050 看看 那么我们现在未知v4的值 为了避免麻烦 其实我们可以直接在IDA动态调试该程序来获取v4的值 动调 我们首先在v4的位置下一个断点 然后选择这个 然后我们在Debugger->Stare proce
BUUCTF-RE-[ACTF新生赛2020]rome
Henlenl的博客
04-19 405
BUUCTF-[ACTF新生赛2020]romePEID查壳关键代码审计编写解密脚本get flag PEID查壳 PEID查壳发现没有壳 关键代码审计 将程序放入IDA pro进行分析 int __cdecl main(int argc, const char **argv, const char **envp) { __main(); func(); return 0; } 进入_main函数为程序初始化函数,我们看到关键代码func int func() { int result;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值