CTF-RE-WcyVM

最新推荐文章于 2024-11-10 18:46:41 发布
最新推荐文章于 2024-11-10 18:46:41 发布
阅读量1k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF-RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/getsum/article/details/84996640

题源:nctf2018

逆向+虚拟机鬼畜题,对萌新来说是非常好的一道虚拟机入门题

如果缺少虚拟机相关知识先看一下这篇文章:https://www.52pojie.cn/forum.php?mod=viewthread&tid=713219

首先我们用LINUX执行这个文件,提示要我们输入字符,随便输几个之后输入文本结束符号。我们发现程序没办法继续运行下去了。于是扔进ida开始调试。

进入main函数,我们发现系统在输出提示字符串之后进入了一个函数,点进这个函数进去看,发现是一大串赋值和switch语句

根据刚才这篇文章中的提示,很明显这是一个虚拟机结构。因此我们第一步先找出如图所示的几个变量,并且搞懂它们的含义。如下图所示

如果怕自己判断错误这些变量,或者看得不是很懂的,可以先动态调试一下,然后再分析。

然后对switch语句进行分析。容易知道每一个case语句都对应了一个handler。因此我们逐条进行分析。如果分析起来比较困难的话可以选择伪代码按下tab键显示汇编语言,也能大致理解虚拟过程的汇编代码。我们就可以写个程序还原出虚拟机的执行过程:

#include<cstdio>
#include<iostream>
#include<cstring>
#include<algorithm>
using namespace std;
int EIP[]={
0x8,0x1,0x0,0x8,0x3,0x46,0xe,0x15,0xa,0x1,
0x9,0x2,0xb,0xa,0x1,0xa,0x2,0x9,0x1,0x11,
0x1,0xd,0x1,0x3,0xf,0x8,0x8,0x1,0x0,0x8,0x3,
0x47,0xe,0x46,0xa,0x1,0x1a,0x2,0x6,0x1d,
0x1,0x4,0x14,0x2,0x1,0x19,0x1,0x2,0x1b,
0x1,0x1,0x1d,0x1,0x6e,0x13,0x1,0x63,0x15,
0x1,0x74,0x13,0x1,0x66,0x1c,0x2,0x1,0x9,
0x1,0x11,0x1,0xd,0x1,0x3,0xf,0x22,0x64
};
int main(){
	int i=0;
	while(i<80){
		if(EIP[i]==8){
			printf("%d mov R%d %d\n",i,EIP[i+1]-1,EIP[i+2]);
			i+=3;
		}
		if(EIP[i]==9){
			printf("%d pop R%d\n",i,EIP[i+1]-1);
			i+=2;
		}
		if(EIP[i]==10){
			printf("%d push R%d\n",i,EIP[i+1]-1);
			i+=2;
		}
		if(EIP[i]==11){
			printf("%d R0=getchar()\n",i);
			i++; 
		}
		if(EIP[i]==12){
			printf("%d R0=puchar()\n",i);
			i++;
		}
		if(EIP[i]==13){
			printf("%d cmp R%d R%d\n",i,EIP[i+1]-1,EIP[i+2]-1);
			printf("  jnz %d\n",i+3);
			printf("  mov a, 80\n");
			i+=3;
		}
		if(EIP[i]==14){
			printf("%d jmp %d\n",i,EIP[i+1]);
			i+=2;
		}
		if(EIP[i]==15){
			printf("%d and a, 80\n",i);
			printf("   test a a\n");
			printf("  jnz %d\n",EIP[i+1]);
			i+=2;
		}
		if(EIP[i]==16){
			printf("%d and a, 80\n",i);
			printf("  test a a\n");
			printf("  jz %d\n",EIP[i+1]);
			i+=2;
		}
		if(EIP[i]==17){
			printf("%d inc R%d\n",i,EIP[i+1]-1);
        	i+=2; 
		}
		if(EIP[i]==18){
			printf("%d inc R%d\n",i,EIP[i+1]-1);
        	i+=2;
		}
		if(EIP[i]==19){
			printf("%d add R%d, %d\n",i,EIP[i+1]-1,EIP[i+2]);
        	i+=3;
		}
    	if(EIP[i]==20){
    		printf("%d sub R%d, R%d\n",i,EIP[i+1]-1,EIP[i+2]-1);
        	i+=3;
		}
    	if(EIP[i]==21){
    		printf("%d xor R%d, %d\n",i,EIP[i+1]-1,EIP[i+2]);
        	i+=3;
		}
    	if(EIP[i]==22){
    		printf("%d and R%d, R%d\n",i,EIP[i+1]-1,EIP[i+2]-1);
        	i+=3;
		}
    	if(EIP[i]==23){
        	printf("%d or R%d, R%d\n",i,EIP[i+1]-1,EIP[i+2]-1);
        	i+=3;
        }
    	if(EIP[i]==25){
        	printf("%d mov R%d, R%d\n",i,EIP[i+1]-1,EIP[i+2]-1);
        	i+=3;
        }
   		if(EIP[i]==26){
        	printf("%d mov R%d, R%d\n",i,EIP[i+1]-1,EIP[i+2]-1);
        	i+=3;
        }
    	if(EIP[i]==27){
        	printf("%d mov R%d, [R%d]\n",i,EIP[i+1]-1,EIP[i+2]-1);
        	i+=3;
        }
    	if(EIP[i]==28){
        	printf("%d mov [R%d], R%d\n",i,EIP[i+1]-1,EIP[i+2]-1);
        	i+=3;
        }
    	if(EIP[i]==29){
        	printf("%d mul R%d, %d\n",i,EIP[i+1]-1,EIP[i+2]);
        	i+=3;
        }
    }
}

程序运行之后得到下面的东西:

0   mov R0 0
3   mov R2 70
6   jmp 21
8   push R0
10 pop R1
12 R0=getchar()
13 push R0
15 push R1
17 pop R0
19 inc R0
21 cmp R0,R2
     jnz 24
     mov a, 80
24 and a, 80
     test a a
     jnz 8
26 mov R0 0
29 mov R2 71
32 jmp 70
34 push R0
36 mov R1, 5
39 mul R0, 4
42 sub R1, R0
45 mov R0, R1
48 mov R0, [R0]
51 mul R0, 110
54 add R0, 99
57 xor R0, 116
60 add R0, 102
63 mov [R1], R0
66 pop R0
68 inc R0
70 cmp R0 R2
     jnz 73
     mov a, 80
73 and a, 80
     test a a
     jnz 34

这就是被虚拟机保护的那一串关键代码。翻译起来比较简单。大致就是输入一个长度为70的字符串s。然后对于s[i],加密过程为((s[i]*110)+99)^116+102,得到的东西在switch中case100的情况进行比较。找到比较的字节内容为dword_6020A0,然后逆序还原即可

#include<cstdio>
#include<iostream>
#include<cstring>
using namespace std;
int s[]={
	0x36D3, 0x2AFF, 0x2ACB, 0x2B95, 0x2B95, 0x2B95, 0x169F, 0x186D,
    0x18D7, 0x1611, 0x18D7, 0x2B95, 0x2C23, 0x2CA9, 0x1611, 0x1611,
    0x18D7, 0x2AFF, 0x1849, 0x18FB, 0x2ACB, 0x2A71, 0x1735, 0x18D7,
    0x1611, 0x2ACB, 0x15DD, 0x18D7, 0x2C23, 0x169F, 0x15DD, 0x2B95,
    0x169F, 0x156B, 0x186D, 0x2AFF, 0x1611, 0x1611, 0x15DD, 0x2AFF,
    0x2C23, 0x2ACB, 0x15DD, 0x15DD, 0x186D, 0x1849, 0x2B95, 0x156B,
    0x1735, 0x18FB, 0x18FB, 0x2A71, 0x2AFF, 0x1735, 0x2C23, 0x15DD,
    0x18D7, 0x2A71, 0x18D7, 0x18D7, 0x2C23, 0x2AFF, 0x156B, 0x2C23,
    0x169F, 0x35AF, 0x2CA9, 0x32B5, 0x2AFF, 0x3039
};
int c;
int main(){
	for(int i=69;i>=0;i--){
		c=(((s[i]-102)^116)-99)/110;
		putchar((char)c);
	}

}

得到flag nctf{3e1ce77b70e4cb9941d6800aec022c813d03e70a274ba96c722fed72783dddac}

cgctf RE WxyVM1
qq_42192672的博客
12-08 533
之前沉迷各种实验,咕了真的有点久了……咕咕咕 自己分析虚拟机指令的能力一向是比较弱的,应该说主要就是基本没有练过,打算从简单开始练习 基本就是一个这样的一个ELF文件,拖进IDA分析 首先分析main函数 然后分析函数4005B6 流程基本就这样,三个一组,写个脚本逆回去就好 脚本,数据特别多…… dword_601060 = [0xC4, 0x34, 0x22, 0x...
南邮ctf攻防平台RE第四题WxyVM1
计算机小白的博客
07-28 3336
今天做了南邮攻防平台RE第四题,链接:http://ctf.nuptsast.com/用Winhex打开以后可以看出来是ELF文件,所以用IDA打开,找到main函数,F5。 可以看出来,程序的意思就是:输入flag,经过sub_4005B6那个函数进行运算,然后长度必须为24,再与最终答案进行比较,检测是否正确。 接下来看那个运行的函数: 6010C0是一个长度为15000的数组,每
cgctf RE WxyVM2
qq_42192672的博客
12-17 451
咕王又来做题了,也不是什么时候会做出来 ELF,直接拖进IDA 这题有个坑,IDA7.0说这个东西太大了,无法转换成伪C代码,貌似别的版本可以,我就换了个6.8,界面的确是丑了点,但至少可以F5了,但是过程真的好漫长 茫茫多的代码,直接拖到最底下 老套路,这里所有的dword运算就是WxyVM1中的函数 第一步,先把dword_694060里无效的数据全部过滤掉,如下 dwo...
CTFre
博客
09-15 292
linux库函数劫持技术 - 程序园 http://www.voidcn.com/article/p-sinxjpki-pz.html
CG-CTF WxyVM
YenKoc的博客
04-08 462
一. 之前一直以为虚拟机是那种vmp的强壳,下午看了一些文章才逐渐明白虚拟机这个概念,目前ctf中题目出现的都是在程序中相等于内嵌了一个虚拟机,将程序代码转换成自己定义的指令,通过内嵌的虚拟机进行解释,就想jvm解释字节码一样。 这题感觉直接分析数据流也可以逆向出来233,看了令师傅的博客,临时学习了下idapython,原来这玩意这么好用,有点顶,学了点皮毛,看了很多文章,很多骚操作。 找到...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
CTF-Tools-v1.3.5
01-24
CTF-Tools-v1.3.5
ctf-all-in-one
01-30
ctf-all-in-one
ctf-all-in-one.pdf
08-24
ctf-all-in-one
第8届nctfWcyVM
Hu4
03-02 531
VM的题目我在比赛上看到很多··· ELF文件 先拖进虚拟机跑一下 看到关键词 IDA启动! 关键函数 当程序执行到sub 4009B3 Getchar 看一下堆栈 猜测应该是strlen 开始读数据 一次读一个··然后进行运算· 在数据里看到 猜测输入的数据可能跟NCTF有着某些联系 注意一...
CTF-re --变种密码分析(RC4、TEA、AES)
最新发布
shdbehdvd的博客
11-10 877
RC4、TEA、AES魔改----re
WP-南邮CTF逆向第四题 WxyVM1
z4ky的博客
11-08 735
WP-南邮CTF逆向第四题 WxyVM 用记事本打开后发现前面有elf,所以确认这个是一个elf文件. 打开IDA,载入WxyVM1,找到main函数,按F5,得到伪代码,并对伪代码进行分析 对sub_400586这个函数进行分析 观察这个函数,发现里面只有6010C0这个地址和604B80这个地址,并没有601060这个地址,说明这个函数是根据6010C0处的数据对用户输入的字符串进行重写...
CG CTF RE Hello,RE!
无限迭代中......
07-05 622
https://cgctf.nuptsast.com/files/1.exe 题解: 工具:IDA Pro 打开这个.exe之后可以看见输入flag,输入2次之后猜测是一个循环只有输入正确才会停止 直接把它丢进IDA中分析,F5可以得到主代码的汇编语言代码 flag{Welcome_To_RE_World!} ...
[NCTF 2018]wcyvm
qq_61208431的博客
08-31 340
发现原因了,把i+2写成了opcode[i+2],还是没理解透。虚拟机题目,到现在还没做过,依据前人的智慧学习一波。照着前人写了一波,加了些自己的理解,干出死循环了。有前人用angr跑出来了,试了下还真行,绷。发现做这题时得把类型转换隐藏掉,看着头疼。36行有个R5,对应的应该是栈底。
CTF-----RE新手练习(一)
qq_45671431的博客
04-17 3089
学习打卡篇七 ** IDA ** IDA是一款交互式反汇编工具,亦是是典型的递归下降反汇编器,是逆向学习的必备工具之一,IDA全称为Interactive Disassembler Professional。 官方下载地址 IDA常用快捷键: 空格键:切换文本视图与图表视图 ESC:返回上一个操作地址 G:搜索地址和符号 N:对符号,或变量进行重命名 分号键:在反汇编后的界面中写下注释 Alt...
re学习笔记(14)CG-CTF-re-WxyVM
逆向随笔
11-28 505
新手一枚,如有错误(不足)请指正,谢谢!! 题目网址:https://cgctf.nuptsast.com/challenges#Re 下载下文件,IDA载入,找到main函数,F5伪代码 双击进入,查看correct的存放了啥,经整理 对输入的字符串进行处理 ...
CTF-----RE练习题(二)
qq_45671431的博客
04-20 2831
学习打卡篇八 每天学习一点点 认识壳 在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。由于这段程序和自然界的壳在功能上有很多相同的地方,所以就把这样的程序称为壳。 壳的分类 通常将壳分为两类,一类是压缩壳,另一类是加密壳。 压缩壳 :使用压缩壳可以帮助缩减 PE 文件的大小,隐藏了 PE 文件内部代码和资源...
2021CTF鹤城杯-Re
PMR的博客
10-13 960
1、Petition 总的来说还是比较喜欢这类题目的,因为它的flag是一位一位校验的,能爆破当然是一件很爽的事情。 回到正文:IDA载入文件: 程序从start开始执行,说是说"%36s"
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值