XCTF-Reverse-ExerciseArea-011-writeup

最新推荐文章于 2025-01-16 22:54:00 发布
最新推荐文章于 2025-01-16 22:54:00 发布
阅读量4.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: ctf 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35056292/article/details/99080927
本文详细解析了CSAW CTF 2014 Reverse新手第十一题的解题过程,通过逆向分析二进制文件csaw2013reversing2.exe,探讨了如何绕过反调试机制,利用Ollydbg和IDA Pro定位并解密flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 介绍

本题是xctf攻防世界中Reverse的新手第十一题。题目来源:CSAW CTF 2014

给了一个二进制文件csaw2013reversing2.exe,需要对该二进制文件进行逆向分析,找到flag

实验环境:IDA Pro 7.0,ollydbg

本题考查的是反调试,IsDebuggerPresent函数int 3中断

0x01 解题过程

1.1 文件分析

windows下的可执行文件,32位


root@kali:~/hzy/ctf-learning# file csaw2013reversing2.exe 
csaw2013reversing2.exe: PE32 executable (console) Intel 80386, for MS Windows
root@kali:~/hzy/ctf-learning#

1.2 逆向分析

  1. 在windows下运行该文件,发现是一坨乱码, = =||

在这里插入图片描述

  1. 能知道的就只有Flag中止重试忽略四个字符串,在这里我先在IDA和Ollydbg里搜索字符串Flag,找到引用它的地方。[ebp-0xC]是乱码字符串的起始地址

并且在IDA中可以发现基本块0x40108C ⇒ 0x401094处,调用了数据段ds(Data Segment)的IsDebuggerPresent函数,后面判断了返回值是否为0。因此,猜测这是检查程序是否在调试的,可以看到,调试和不在调试,程序执行流是往不同的方向进行跳转的。


.text:0040108C                 call    ds:IsDebuggerPresent
.text:00401092                 test    eax, eax
.text:00401094                 jz      short loc_4010B9
  1. 一开始我先修改了IsDebuggerPresent函数的返回值,将其改为0,发现显示的还是乱码;然后我发现基本块0x4010A5 ⇒ 0x4010B7是没有入口的,因此在修改了函数返回值的基础上又修改了.text:00401094 jz short loc_4010B9的跳转地址,跳转到基本块0x4010A5 ⇒ 0x4010B7

push    2               ; uType
push    offset Caption  ; "Flag"
push    [ebp+lpMem]     ; lpText
push    0               ; hWnd
call    ds:MessageBoxA
jmp     short loc_4010CD

发现还是乱码……

  1. 最后决定在ollydbg中测试运行调试的分支会有什么结果

在这里插入图片描述

可以看到基本块0x401096 ⇒ 0x4010A3中


.text:00401096 loc_401096:                             ; CODE XREF: _main+50↑j
.text:00401096                 inc     ecx
.text:00401097                 inc     ecx
.text:00401098                 inc     ecx
.text:00401099                 inc     ecx
.text:0040109A                 int     3               ; Trap to Debugger
.text:0040109B                 mov     edx, [ebp+lpMem]
.text:0040109E                 call    sub_401000
.text:004010A3                 jmp     short loc_4010EF

有个int 3中断,为调试断点指令。然后将字符串起始地址赋值给了edx寄存器,调用了函数sub_401000。最后直接跳转到进程结束的函数调用

在ollydbg中调试,可以看到当执行完调用函数sub_401000以后,edx寄存器中的乱码内容被解密出来了,拿到flag。。并且可以看到该函数sub_401000是解密用的函数

在这里插入图片描述

flag为:flag{reversing_is_not_that_hard!}

ps: 如果还要显示在messagebox中的话,就在ollydbg中,把下面指令中的跳转地址0x003D10EF修改为003D10B9即可


003D10A3    JMP SHORT 003D10EF
CTF刷题之旅】XCTF嘉年华体验赛逆向题re2的writeup
iqiqiya的博客
10-22 1482
这道题采用动静结合的方法尝试了一下 动态调试的时候想加快进度  跳过sleep()  遇到那两个jle跳转   直接修改SF标志位为0来修改执行流程  可以看到 左侧箭头会变成虚线 对了   第三个jle在sub_400C9A()中 main()函数如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { uns...
XCTF 逆向进阶区Windows_Reverse1——WriteUp
qq_43547885的博客
02-20 1201
题目链接: Windows_Reverse1 答题过程 脱壳 首先将程序拖入 Exeinfo PE 中查看相关信息: 发现程序有upx壳, 使用upx -d将壳脱去: 脱壳显示成功, 但奇怪的是程序一运行就闪退. 先不讨论该问题, 最后再来研究. IDA PRO 分析程序 用 IDA PRO 打开该程序, 直接查看反编译代码, 发现程序逻辑非常清晰:int __cdecl main(int...
XCTF-Reverse-ExerciseArea-012-writeup
y4ung
09-14 548
0x00 介绍 本题是xctf攻防世界中Reverse的新手第十二题。题目来源:NJUPT CTF 2017 题目描述:菜鸡想要走出菜狗设计的迷宫 这题是一道迷宫类型的题目,可以参考CTF-Wiki里的迷宫问题 0x01 解题过程 Linux下的可执行文件 $ file bdb2c015b0fd4f74bc4c3e5a6e54bcf4 bdb2c015b0fd4f74bc4c3e5a6e54bcf4: ELF 64-bit LSB executable, x86-64, version 1 (SYSV),
XCTF REVERSE csaw2013reversing2
qq_41743240的博客
04-13 321
把程序拖入 ida 发现可疑地方 , 默认这个 if 不成立 , 跳转到下面代码直接输出 flag, 即乱码 所以必须经过 sub_401000 函数进行解码 查看汇编 loc_401096 这里一个 int3 断点 , 而 loc_4010B9 为输出弹窗 所以解题思路为让程序跳转到 loc_401096 进行解码 , 把 int3 改为 nop(0x90), 再跳到 loc_4010B9 进...
xctf csaw2013reversing2
weixin_43600412的博客
10-27 460
先运行此程序: 窗口只认识一个 flag,除此都是乱码,初步猜测乱码内容是flag的密码,我们可以通过查找字符串flag来找到窗口输出函数,进一步确定乱码的信息。 接下来载入ida进行分析: 找到main函数,进行伪代码分析: 1.看到第16行代码,输出flag,lpMem中保存着flag值。 2.第8行代码,为lpMen申请内存空间。 3.第9行代码,为lpMem赋值。其中&unk_40...
re学习(34)攻防世界-csaw2013reversing2(修改汇编顺序)
m0_66039322的博客
08-17 993
所以我们把这个跳转也给nop掉,继续F8,执行完一个MessageBoxA(弹框)函数后,发现程序此时处于Running状态,弹出一个什么也没有的框,其实这是另外一个弹框函数,真正输出flag的弹框函数是后面那个,在我们之前那个ida的修改之后的汇编图也可以发现,确实是有一个没有被调用的弹框函数,所以我们之前可以那个nop掉的跳转改为跳转到下面那个弹框函数,但既然说了是nop大法,就nop到底。由于运行之后的是乱码,所以可以猜测生成flag的函数没有执行,所以需要跳到生成flag的函数执行,但是前面的。
XCTF-RE】新手练习区-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
guess-xsctf
07-28
- *1* [xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number](https://blog.youkuaiyun.com/l8947943/article/details/124064262)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...
170916 逆向-WHCTF(BabyRe/CrackMe)
whklhhhh的博客
09-16 3798
1625-5 王子昂 总结《2017年9月16日》 【连续第349天总结】 A. XCTF-Reverse B.CRACKME无壳,C++ 打开是一个简单的输入框和注册按钮 点击注册按钮会弹框“哎,注册码错了,你得换个新的哟!”IDA没有main函数,看起来是MFC写的 查找字符串、断GetDlgText等API都没有结果 说明字符串都被加密过了IDA逐个函数查找,发现有两个函数调用了
XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
[攻防世界]csaw2013reversing2
逆向萌新的博客
06-05 442
放入查壳软件中查壳,发现是32位无壳的软件,运行一下程序,看看有什么样的输出,得到的是乱码。 所以可能是里面的运算有问题,进入ida中进行查看,进入main函数,看汇编代码可能存在问题,进入反编译。 看到了,flag应该是在lpMen里面,但是返回去看汇编 按照逻辑图来看。 没有走flag的那里的逻辑,所以我们静态调试可能就会很费劲,所以用OD进行调试,在OD中查找flag,直接跳转过去。 这里是有需要修改的地方,看逻辑位置,在图片中标记出来。 按照正常的逻辑,这里flag的运算会被跳过,那么把跳转和
攻防世界逆向入门题之csaw2013reversing2
沐一 · 林 的博客
08-17 935
攻防世界逆向入门题之csaw2013reversing2 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向入门题的csaw2013reversing2 首先把下载的附件扔如exeinfope中查看信息: win32无壳,那么既然是windows的直接双击运行一下看看: 弹了个框,结合题目所说的: 听说运行就能拿到Flag,不过菜鸡运行的结果不知道为什么是乱码 那么这个就是乱码的flag了,乱码有好多种,base64加密等等这些,我们一个个排除,先扔入IDA中查看伪代码。要先看C或C++伪代码再分析反汇编
逆向攻防世界CTF系列10-csaw2013reversing2
LH1013886337的博客
10-15 863
32位无壳提示:听说运行就能拿到Flag,不过菜鸡运行的结果不知道为什么是乱码运行果然出乱码…
csaw2013reversing2
XFox_的博客
10-24 245
csaw2013reversing2 IDA分析写脚本 OD调试 IDA修改汇编代码 IDA分析写脚本 方法一:写脚本运行得到flag 查看main函数 hHeap = HeapCreate(0x40000u, 0, 0); lpMem = (CHAR *)HeapAlloc(hHeap, 8u, SourceSize + 1); memcpy_s(lpMem, SourceSize, &unk_409B10, SourceSize); //memcpy_s是memory cop
攻防世界reversecsaw2013reversing2
2402_87431173的博客
01-16 262
将汇编指令更改为以上后保存数据后运行得到flagflag{reversing_is_not_that_hard!静态分析后得出需要跳过检测动态调试的函数、中断函数、结束进程。
攻防世界-csaw2013reversing2
2301_77301535的博客
05-09 309
到了这里发现存在两个MessageBox但是目标走的是乱码的那个MessageBox所以这里将它的跳转条件修改以哦那位int3下面存在一个赋值,但是不知道给了什么内容所以将je改成jmp到mov edx 那里然后继续往下走。这题打开就是一堆乱码,这里的思路是猜测可能存在两个MessageBox并且真正输出flag的那个MessageBox并没有走进判断里面,ok有了思路直接上实操。到了这里发现jmp直接跳到结束去了,这里让它跳到messagebox的入栈出,最后得到最终flag
攻防世界reverse新手区整理
Lenard404的博客
07-29 638
小白终于过了新手区TUT insanity 查壳 打开IDA用万能的F5查看main函数 有效信息不足,再用万能的shift+F12查看字符串 得到flag: 9447{This_is_a_flag} pthon-trade pyc文件不能用IDA反编译,所以利用在线反编译工具。 在线反编译(python反编译 - 在线工具 (tool.lu)) #!/usr/bin/env python # visit https://tool.lu/pyc/ for more information impor
XCTF-WEB进阶-fakebook
最新发布
02-28
### XCTF WEB进阶 Fakebook 解题报告 #### 源码分析 Fakebook 类似于社交网络平台,在此环境中存在多个功能模块,包括但不限于用户注册、登录以及个人信息管理等功能。通过查看源代码发现,该应用可能存在多种安全漏洞。 对于假想的 `fakebook` 平台而言,其核心逻辑通常围绕着用户的会话管理和数据交互展开。假设存在如下简化版 PHP 伪代码表示部分关键业务流程: ```php <?php class User { public $username; public $password; function login($input_username, $input_password){ // 存在一个潜在的安全隐患:未对输入做严格验证 if ($this->username === $input_username && md5($input_password) === $this->password){ $_SESSION['logged_in'] = true; return "Login successful"; } return "Invalid credentials"; } } ?> ``` 上述代码片段展示了用户认证过程中可能存在的安全隐患——使用弱哈希算法 MD5 对密码进行了处理[^1]。 #### 安全问题剖析 基于以上描述可以推测出几个主要攻击面: - **弱哈希函数**:MD5 已经被证明不再适合用于保护敏感信息,因为它容易受到碰撞攻击的影响。 - **缺乏输入过滤机制**:未能有效防止恶意字符进入系统内部,这可能导致 SQL 注入或其他类型的注入攻击发生。 - **不恰当的错误消息返回**:当用户名或密码错误时给出的具体提示可能会帮助攻击者缩小猜测范围。 #### 利用技巧 针对这些弱点,参赛选手可以从以下几个方面入手尝试突破并解决问题: - 尝试暴力破解或者彩虹表查找已知 MD5 值对应的原始字符串; - 测试是否存在其他形式的数据注入风险点,比如 URL 参数、POST 请求体内的字段等位置; - 探索是否有任何地方暴露出过多调试信息给外部访问者利用; 成功完成挑战后一般可以获得 flag 或者进一步的操作权限作为奖励。 #### 复现过程 为了模拟真实的渗透测试场景,建议按照以下方式构建实验环境来进行练习: 1. 构建一个类似的 Web 应用程序框架,确保其中包含了所有必要的组件和服务依赖关系; 2. 实施相应的防护措施来抵御常见的Web 攻击手段,如 XSS 和 CSRF 等; 3. 使用工具辅助自动化执行某些特定任务,例如 Hydra 可以用来实施字典攻击尝试登陆接口; 4. 记录每一步操作细节以便后续总结经验教训,并分享给社区成员共同学习进步。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值