xctf攻防世界 REVERSE 高手进阶区 BABYRE

最新推荐文章于 2024-09-19 09:22:11 发布
最新推荐文章于 2024-09-19 09:22:11 发布
阅读量2.5k 收藏 4
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 攻防世界reverse之路 文章标签: reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/l8947943/article/details/124153847
本文介绍了如何通过IDA工具解决一个名为babyRE的逆向工程挑战。作者首先打开并反编译了main函数,然后面对无法直接反编译的judge函数,通过查看内存布局,使用Python脚本对加密的judge函数进行还原。最终成功解密出flag,并揭示了该过程中的难点和试错经历。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01. 进入环境,下载附件

给出的babyRE后缀文件,不懂是什么玩意,按照常规流程进行操作吧

0x02. 问题分析

使用IDA打开,找到main函数,F5反编译,得到代码如下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [rsp+0h] [rbp-20h]
  int v5; // [rsp+18h] [rbp-8h]
  int i; // [rsp+1Ch] [rbp-4h]

  for ( i = 0; i <= 181; ++i )
  {
    envp = (const char **)(*((unsigned __int8 *)judge + i) ^ 0xCu);
    *((_BYTE *)judge + i) ^= 0xCu;
  }
  printf("Please input flag:", argv, envp);
  __isoc99_scanf("%20s", &s);
  v5 = strlen(&s);
  if ( v5 == 14 && (unsigned int)judge(&s) )
    puts("Right!");
  else
    puts("Wrong!");
  return 0;
}

我们可以看到,使用scanf函数得到输入s后,其长度为14且经过judge函数后,才能得到Right!结果。我们尝试双击judge函数,如图:
在这里插入图片描述
发现judge函数无法被反编译,TMD在这真的无语,到底出发点是什么?直接卷writeup,发现看不懂解释,直接写了一篇教程,先跟着做出来吧!

0x03. 模拟wp操作

我们观察完代码,需要找到judge函数的地址,点击view->open subviews->disassembly,如图:
在这里插入图片描述
得到text类型的视图,我们找到judge函数的地址位置,如图:
在这里插入图片描述
是从0x600B00开始的,我们使用脚本,将加密的judge函数还原出来。点击file->script command,使用python脚本,如图:

在这里插入图片描述
代码片段:

s=0x600b00
for i in range(182):
    PatchByte(s+i,Byte(s+i)^0xC)

如图:
在这里插入图片描述
注意:这段代码只能运行一次

点击run会增加一大段代码,如图:
在这里插入图片描述

我们需要将上述红底色的代码,按U键(取消原来的定义)),再按 C(重新生成汇编代码),选中
600B00-600BB5(judge 的起止位置)按 P(重新生成 function)。这时就可以按 F5 生成 judge 的伪代码了。 代码如下:

signed __int64 __fastcall judge(__int64 a1)
{
  char v2; // [rsp+8h] [rbp-20h]
  char v3; // [rsp+9h] [rbp-1Fh]
  char v4; // [rsp+Ah] [rbp-1Eh]
  char v5; // [rsp+Bh] [rbp-1Dh]
  char v6; // [rsp+Ch] [rbp-1Ch]
  char v7; // [rsp+Dh] [rbp-1Bh]
  char v8; // [rsp+Eh] [rbp-1Ah]
  char v9; // [rsp+Fh] [rbp-19h]
  char v10; // [rsp+10h] [rbp-18h]
  char v11; // [rsp+11h] [rbp-17h]
  char v12; // [rsp+12h] [rbp-16h]
  char v13; // [rsp+13h] [rbp-15h]
  char v14; // [rsp+14h] [rbp-14h]
  char v15; // [rsp+15h] [rbp-13h]
  int i; // [rsp+24h] [rbp-4h]

  v2 = 102;
  v3 = 109;
  v4 = 99;
  v5 = 100;
  v6 = 127;
  v7 = 107;
  v8 = 55;
  v9 = 100;
  v10 = 59;
  v11 = 86;
  v12 = 96;
  v13 = 59;
  v14 = 110;
  v15 = 112;
  for ( i = 0; i <= 13; ++i )
    *(_BYTE *)(i + a1) ^= i;
  for ( i = 0; i <= 13; ++i )
  {
    if ( *(_BYTE *)(i + a1) != *(&v2 + i) )
      return 0LL;
  }
  return 1LL;
}

发现judge函数主要是通过14个变量,每次与i进行异或,那么逆向脚本也就可以出来了:

v = [102,  109,  99,  100,  127,  107,  55,  100,  59,  86,  96,  59,  110,  112]
flag = ''
for i in range(14):
    flag += chr(v[i]^i)

print(flag)

得到最终的结果为:flag{n1c3_j0b}

0x04. 总结

tmd太难了,这个题,实在想不到为啥要用python还原代码,而且写法还那么奇葩。这个题做了两天,真的各种试错。难!!!

攻防世界REVERSE—高手进阶BABYRE
Nu1bzzi的博客
03-27 784
攻防世界REVERSE—高手进阶BABYRE 这道题真的是对新手的一个考验了,做了挺久的,脑瓜疼>m< 拿到文件先放进PEiD里查壳(养成好习惯) 应该是linux下的程序 放进IDA64里进行分析 找到main函数F5查看伪代码 if ( v5 == 14 && (*(unsigned int (__fastcall **)(char *)) judge)(s) ) 字符长度为14并且满足后面judge()函数条件即为正确,但是在点击judge函数时跳到了如下界面 判
攻防世界 web高手进阶 10分题 biscuiti-300
闵行小鱼塘
11-07 1272
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是biscuiti-300的writeup
[攻防世界]BABYRE
逆向萌新的博客
06-24 781
[攻防世界]BABYRE
攻防世界--->BABYRE
shdbehdvd的博客
09-19 374
因为call不能用在.data段,call一般是用于call函数的。说明其judge很大程度是一个函数,而非数据。总结:自我感觉考查对于数据段的识别,以及对汇编命令的理解、以及处理手段。(一般是调用了某个函数。call基本就是用于函数调用)很奇怪是一段.data(数据段)【ptr-一般是常数/局部变量】【ptr+一般是参数】
xctf攻防世界 REVERSE 高手进阶 re4-unvm-me
l8947943的博客
04-02 9726
0x01. 进入环境,下载附件 题目给出的是一个pyc文件,我们对其进行反编译 uncompyle6 c2eebf52980f444684130672c821d789.pyc > test1.py 在对应目录下找到反编译的python文件test1.py。我们将其打开,内容如下: # uncompyle6 version 3.8.0 # Python bytecode 2.7 (62211) # Decompiled from: Python 3.8.8 (default, Apr 13 2021,
攻防世界——BABYRE
Nike_name的博客
12-15 503
代码内部加密
xctf BABYRE
weixin_45701079的博客
10-10 604
xctf BABYRE 第一次做smc类型题目,利用idapython把源代码补全 首先确保idapro里有python插件(一般都有的),打开文件 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i &
XCTF攻防世界BABYRE逆向
云舒的博客
04-19 927
攻防世界BABYRE逆向 拿到题目,查壳如下: 拖拽IDA Pro7.5打开,查看main函数,代码如下: 可以看到: (*(unsigned int (__fastcall **)(char *))judge)(s), 再一看上面的judge是一个数组的形式,心想:这是哪门子的写法,,,。强制转换unsigned int????这不是函数返回结果才能这么写嘛,再看到后面的**__fastcall**猜测是函数的动态生成。。。写法高档,作者🐂就完事了。。。查看judge汇编代码,按下C(编码),P(
攻防世界XCTF 高手进阶 MISCall
enj0ym4
05-20 517
下载提供的附件,发现没有后缀,用010editor打开也没发现像样的文件头 然后把它放进kali 发现后缀为bzip2,其实放进kali的时候就可以知道它是bzip的文件 可直接修改后缀,或使用命令 解压得到 查看git 记录 有一个文件被上传,但在文件中找不到,然后查看修改列表,储存列表下有一条记录 校验列表的存储文件 有一个.py文件,把它复原 最后跑一下python得到flag:NCN4dd992213ae6b76f27d7340f0dde1222888df4d3 ...
攻防世界 web高手进阶 9分题 smarty
闵行小鱼塘
10-17 3511
继续ctf的旅程,开始攻防世界web高手进阶的9分题,本文是smarty的writeup
XCTF攻防世界misc难度一所有整合wp
最新发布
07-19
攻防世界XCTF推出的一项竞赛,其中misc类别是一个非常重要的部分,它涵盖了信息学、密码学、逆向工程、取证分析等多个方面的知识点。misc难度一所有整合wp即是指针对攻防世界中misc类别入门级别(难度一)的所有...
攻防世界 web高手进阶 8分题 love_math
闵行小鱼塘
10-03 1260
继续ctf的旅程,开始攻防世界web高手进阶的8分题,本文是love_math的writeup
XCTF BABYRE
lhk124的博客
08-04 410
用exeinfo查出是个elf文件,把后缀去了丢linux系统里 看汇编代码和F5(在judge函数里) 直接写脚本 运行至运算结束部分,直接查看寄存器。 """ 正向思路: 1.判断长度 2.逐位与i进行异或运算 逆向思路: 1.逐位异或回去 """ str_list =[0x66, 0x6D, 0x63, 0x64, 0x7F, 0x6B, 0x37, 0x64, 0x3B, 0x56, 0x60, 0x3B, 0x6E, 0x70] flag = list.
攻防世界-Reverse-BABYRE
P_Bloomberg的博客
08-08 618
附件是.exe文件,放入ExeInfoPE中,发现是linux可执行文件 放入IDA64中,F5查看伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { char s[24]; // [rsp+0h] [rbp-20h] BYREF int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i <= 181;
攻防世界 Reverse高手进阶 2分题 Shuffle
闵行小鱼塘
12-03 339
继续ctf的旅程,攻防世界Reverse高手进阶的2分题,本篇是Shuffle的writeup
攻防世界 Reverse高手进阶 2分题 666
闵行小鱼塘
12-24 476
继续ctf的旅程,攻防世界Reverse高手进阶的2分题,本篇是666的writeup
攻防世界RE——BABYRE
m0_53482319的博客
10-26 547
这段代码将judge函数的代码段进行了重构,我们需要嵌入脚本回复真正Judge函数代码段。回到之前的伪代码,然后双击judge即可看到恢复后的judge的伪代码。含义:unsigned int 是函数返回类型(无符号整型)无壳,64位elf,直接放到idapro(64位)里面。(char *)提取judge数组头字符串做函数名。这条代码的judge并非是数组而是一个函数。切记,要实现c p鼠标必须选中judge。完成上面的操作即可复现judge函数。得出flag{n1c3_j0b}
攻防世界 Reverse高手进阶 2分题 BABYRE
闵行小鱼塘
12-26 624
继续ctf的旅程,攻防世界Reverse高手进阶的2分题,本篇是BABYRE的writeup
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

l8947943

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值