CTF逆向-[SCTF2019]babyre-WP_简单去花指令和流程识别

原创 已于 2022-03-24 22:55:45 修改 · 5.1k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #c#

于 2022-03-24 22:41:26 首次发布
本文介绍了如何解决一个包含花指令的CTF逆向工程挑战。通过分析和去除汇编中的花指令,逐步揭示了三个解谜任务:迷宫问题、编码解码和更复杂的编码解密。迷宫问题要求棋子移动时不经过*字符,编码解码涉及base64的类似编码,而最后的解密则需要理解并逆运算编码过程。最终,通过组合解得的各个部分,得出完整flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CTF逆向-[SCTF2019]babyre-WP_简单去花指令和流程识别

来源:https://buuoj.cn/

内容:无

附件:https://pan.baidu.com/s/1pWTpezTXnr_NN4lY9xWzag?pwd=m2zv 提取码:m2zv

答案:flag{ddwwxxssxaxwwaasasyywwdd-c2N0Zl85MTAy(fl4g_is_s0_ug1y!)}

总体思路

发现汇编中出现有红色部分,则说明反汇编失败,通常是有花指令或者说SMC(程序自己修改自己的代码)。

去除花指令指令后得到三道题,逐一解决。
第一题是迷宫题,注意题意没有明确,但是实际上是希望棋子移动的时候要每一步走在*上面,即使是向下飞5格也是不能有其他符号的。
第二题是逆运算编码的问题,如果发现了是base64后可以取巧直接解题。如果没有发现,通过将值直接逆运算也能得到
第三题也是逆运算编码,难点在于反编译的代码稍微有些长。为了方便可以直接将题目中的伪代码复制到vs中调试,得到答案。
最终按题目给的样式,合并出flag

详细步骤

  • 检查文件信息

  • 发现了一些花指令

image-20220324161958184

image-20220324162212422

  • 发现有类似于迷宫maze的字符串

    image-20220324162442017

  • 输出地图,得到flag1的值为sxss

    • s:向下,x:飞到向下5格

    image-20220324195708136

  • 继续往下,发现有调用loc_22,按p键,控制台弹出报错位置,双击跟踪

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vE5dVrTh-1648132866440)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220324195826038.png)]

  • 发现这次是单个字节的花,花在0xE13处,使用Edit-Patch Program-Change Byte将0xE13改为nop(0x90)

    • 随后选中下面的数据,按下C键转换为代码。

    image-20220324195904031

  • 回到loc_22处按p转换为函数

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-04ExMCvd-1648132866440)(https://raw.githubusercontent.com/serfend/res.image.reference/main/image-20220324200316595.png)]

  • 进入f_encode函数,发现是一个编码函数,有点像base64的无table编码方式

    • 其实此处只是运气好猜对,但正规情况应该通过爆破去逐个匹配每个字符

    • #include <stdio.h>
unsigned int data[128] = {
    0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F,
    0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F,
    0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F,
    0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F,
    0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F,
    0x7F, 0x7F, 0x7F, 0x3E, 0x7F, 0x7F, 0x7F, 0x3F,
    0x34, 0x35, 0x36, 0x37, 0x38, 0x39, 0x3A, 0x3B,
    0x3C, 0x3D, 0x7F, 0x7F, 0x7F, 0x40, 0x7F, 0x7F,
    0x7F, 0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06,
    0x07, 0x08, 0x09, 0x0A, 0x0B, 0x0C, 0x0D, 0x0E,
    0x0F, 0x10, 0x11, 0x12, 0x13, 0x14, 0x15, 0x16,
    0x17, 0x18, 0x19, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F,
    0x7F, 0x1A, 0x1B, 0x1C, 0x1D, 0x1E, 0x1F, 0x20,
    0x21, 0x22, 0x23, 0x24, 0x25, 0x26, 0x27, 0x28,
    0x29, 0x2A, 0x2B, 0x2C, 0x2D, 0x2E, 0x2F, 0x30,
    0x31, 0x32, 0x33, 0x7F, 0x7F, 0x7F, 0x7F, 0x7F
};
int main()
{
    int sctf_9102[3] = { 0x736374,0x665f39,0x313032 };
    int i0, i1, i2, i3, i4, i5;
    for (i0 = 0; i0 < 3; i0++)
    {
        for(i1=32;i1<128;i1++)
            for (i2 = 32; i2 < 128; i2++)
                for (i3 = 32; i3 < 128; i3++)
                    for (i4 = 32; i4 < 128; i4++)
                    {
                        i5 = (((((data[i1] << 6) | data[i2]) << 6) | data[i3]) << 6) | data[i4];
                        if (i5 == sctf_9102[i0])
                            printf("组%d:%c%c%c%c\n", i0+1,i1, i2, i3, i4);
                            /**
最低0.47元/天 解锁文章

200万优质内容无限畅学
CTF逆向-[SCTF2019]creakme-WP-基于AES加密算法下的保护:反调试及except_handlerSMC
serfend's blog
04-10 1080
CTF逆向-[SCTF2019]creakme-WP-基于AES加密算法下的保护:反调试及except_handlerSMC 来源:https://buuoj.cn/ 内容:无 附件:链接:https://pan.baidu.com/s/16pQIqjmG2nUhGGDt8Iw-TQ?pwd=g965 提取码:g965 答案:sctf{Ae3_C8c_I28_pKcs79ad4} 总体思路 简单反调试的patch _except_handler的知识点 smc得到解密算法,得到题目的flag密文 使用c
BUUCTF逆向wp [HDCTF2019]Maze
2302_81740139的博客
07-17 1424
第二步 这里的 jnz 指令会实现一个跳转,并且下面的0EC85D78Bh被标红了,应该是一个不存在的地址,这些东西就会导致IDA无法正常反汇编出原始代码,也称为花指令。ex, ey 被定义为 -4 5。为了方便读者理解F的位置ex,ey =(5,-4)我在下面的图上标出了坐标轴,类似于把该迷宫放在第四象限。我们在代码中发现“a”“s”“d”“w”四个操作对应我们键盘上的四个按键,这是迷宫问题的典型特征。ad控制左右,ws控制上下,因此asc对应横着的第几列,dword对应竖着的第几行。
花指令除器
03-16
花指令 专杀 花指令除器
[SCTF2019]babyre
2302_79135465的博客
05-25 547
也就是将input2的每四位改成三位给v18,然后v18再与v8="sctf_9102"进行比较。它的v_output原始ida分析出来的是独立的变量,双击进按下。v8有9位,可知input2有16位。定义为下图这样的变量(int v_output[32])解除后首先pass1是解maze,好像又是三维的。x是+25,也就是向下跳五层,注意是立体的。第三组有多个解可以先动调来确定,是MTAY。最后一点位运算宏还需要再研究研究。提取出数据,写爆破脚本。调整为同一个数组,然后按下。打开看看还是有花指令
超详细教程[NewStarCTF 公开赛赛道]Baby_Re
最新发布
2401_84404094的博客
06-19 991
本文详细分析了一道逆向题目的解题过程。题目在main函数执行前通过.init_array修改了关键数据,导致直接异或得到的flag错误。作者发现final数组中的4个位置(6、11、22、30)被修改,需先修正这些值后再进行异或运算。解题步骤包括:1)在IDA中定位final数组并修正被篡改的值;2)编写脚本将修正后的数组值与对应索引异或得到flag。最终给出了Python破解脚本,通过遍历32位数组,按位异或索引值得到正确flag。文章揭示了.init_array段在程序初始化时的潜在影响,为逆向分析提供
BUUCTF-[SCTF2019]babyre1
weixin_61154173的博客
02-10 1020
我们发现后面有v11,v12,v13,v14。在根据这4个数据在堆栈中的位置,可以知道这四个就是v10[26],v10[27],v10[28],v10[29],知道这些,又是异或操作那不就可以向前异或求出v10的前四个元素了嘛。用户输入为v15,从操作可以看出w向上,s向下,a向左,d向右,x向下走一个迷宫大小,y向上走一个迷宫大小。这里是真没看出来是什么,经过查阅wp,部分师傅是用爆破求出,有的则看出这是base64的解密过程,我通过把'sctf_9102'进行base64加密就是正确的input2。
2019SCTF crackme复现
siphre
07-04 695
比赛没做出来,参考SU战队WP复现。 exeinfope查无壳 有反调试 运行程序显示: welcome to 2019 sctf please input your ticket: 需要输入特定的ticket Shift+F12查找字符串,跟踪到主函数sub_402540 sub_402540内部伪代码 开头调用两个可疑函数:sub_402320、sub_402...
2020SCTF PWN部分wp
starssgo的博客
07-06 1105
人在楼顶,感觉良好。 目前的自己还是只能做一些常规的Liunx下的PWN题,对其他的我就是个废物了。 这里写目录CoolCodesnake总结 CoolCode 这个题主要是shellcode非常的难构造。 比赛的时候whali3n51大师傅做出来的,我只是复现了他的payload。 本题目沙盒只剩下了0,1,5,9四个函数调用。 当我们想构造ORW的时候,没有open函数怎么办。 这个时候我们知道5在32位下是open。 那么我们考虑用retfq修改cs寄存器从而修改运行模式。 具体参考:https:/
CTF-Reverse】花指令
LeeOrange_45的博客
01-28 1541
学习笔记()整理
花指令清除工具
01-13
呵呵 自己在网上搜集的这个 软件是在破解之前 查出花指令 将他清除
[buuctf.reverse] 078_[SCTF2019]babyre
weixin_52640415的博客
05-12 577
3D迷宫 变表BASE64 SM4变形
CTF逆向Reverse 花指令介绍 and NSSCTF靶场入门题目复现
Sciurdae的博客
10-17 1349
本博客是参考了诸多大佬的文章而成的,博主本人也是菜鸟,可以看作是博主的学习笔记,因此我也会尽量写的详细,希望可以对你(萌新)有所帮助。路过大佬给个大腿抱抱/(ㄒoㄒ)/~~花指令又名垃圾代码、脏字节,英文名是junk code。花指令就是在不影响程序运行的情况下,往真实代码中插入一些垃圾代码,从而影响反汇编器的正常运行;或是起到干扰逆向分析人员的静态分析,增加分析难度分析时间。有句话,花指令的目的是阻挠逆向人员的分析,并不是阻止。
CTF逆向基础----花指令总结
热门推荐
一位非著名不专业的Re选手
03-13 1万+
什么是花指令? 花指令实质就是一串垃圾指令,它与程序本身的功能无关,并不影响程序本身的逻辑。在软件保护中,花指令被作为一种手段来增加静态分析的难度,花指令也可以被用在病毒或木马上,通过加入花指令改变程序的特征码,躲避杀软的扫描,从而达到免杀的目的,本文将介绍一些常见的花指令的形式,花指令一般被分为两类,被执行的不会被执行的。 不会被执行的花指令 花指令虽然被插入到了正常代码的中间,但是并不意味着它一定会得到执行,这类花指令通常形式为在代码中出现了类似数据的代码,或者IDA反汇编后为jmupout(xxxx
[SCTF2019]babyre 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-15 6522
buuctf-[SCTF2019]babyre 题解
[ CTF ] Reverse baby_re
ZXW_NUDT的博客
07-14 1063
CTF
ADworld reverse wp - BABYRE
fa1c4的blog
05-25 193
思路很明了, 逆向加密算法. 查看judge数组, 数据是硬编码到.data段的, 所以各个异或0x0C即可得到flag, 且flag长度为14. rev脚本 judge = [0x59, 0x44, 0x85, 0xE9, 0x44, 0x85, 0x71, 0x0D4, 0x0CA, 0x49, 0x0EC, 0x6A, 0x0CA, 0x49 ] flag = '' for num in judge: num ^= 0x0C ...
XCTF攻防世界BABYRE逆向
云舒的博客
04-19 927
攻防世界BABYRE逆向 拿到题目,查壳如下: 拖拽IDA Pro7.5打开,查看main函数,代码如下: 可以看到: (*(unsigned int (__fastcall **)(char *))judge)(s), 再一看上面的judge是一个数组的形式,心想:这是哪门子的写法,,,。强制转换unsigned int????这不是函数返回结果才能这么写嘛,再看到后面的**__fastcall**猜测是函数的动态生成。。。写法高档,作者🐂就完事了。。。查看judge汇编代码,按下C(编码),P(
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值