攻防世界 Reverse进阶区 BABYRE WP

原创

已于 2022-03-26 21:37:30 修改 · 394 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全

于 2022-03-24 22:27:06 首次发布

本文详细介绍了在攻防世界Reverse进阶区的一个挑战中，通过IDA分析反汇编代码理解程序逻辑的过程。文章揭示了如何将数据转化为代码执行，并在调试过程中发现了关键的异或操作和循环，最终找到了解密flag的步骤，解密后的flag为{n1c3_j0b}。

IDA下得到反汇编代码

显然，对于judge这个常量先与或处理，而后读取字符串s，判断s长度是否为14；

接下来这个judge（s）让我看不懂了，judge不是个数组吗，怎么可以这么使用？

<关键点>看了其他大佬的WP才知道，原来还有将data转为code执行的骚操作，所以这里其实是将judge数组的内容当成一个函数来执行，可以使用热键C将data转化为code，也可以用U恢复。

调试程序，先让其运行完字符串的初始处理，在if处下断点，观察judge函数的汇编代码

push rbp 和mov rbp，rsp是栈指针操作

鼠标移动到rdi上，可以知道rdi存储着我们输入的字符串s的内容，mov [rbp-28h],rdi 则是将其拷贝到[rbp-28h]上；接下来将一堆字符入栈，数了一下，刚好14个，对应flag的长度，接下来必有用处；然后给[rbp-4]赋值0，跳转到loc_600B71。

loc_600B71的汇编代码如下

比较[rbp-4]与14的大小，小于等于则进入loc_600B49，显然是个14次的循环，[rbp-4]即为i。

其大意如下：

rdx=eax=i ；rax=&s[i

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Pika呱

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

攻防世界-BABYRE

m0_51713041的博客

12-27

755

攻防世界-BABYRE 分析代码，很明显得出这个judge是关键，点过去发现反编译失败，很奇怪的一段代码后来尝试，使用idapython可以对这一串连续地址的数据，先进行代码所示的处理 a是那一串数...

攻防世界——BABYRE

Nike_name的博客

12-15

895

代码内部加密

参与评论您还未登录，请先登录后发表或查看评论

[攻防世界]BABYRE

逆向萌新的博客

06-24

828

[攻防世界]BABYRE

攻防世界 BABYRE wp

__ys的博客

01-21

455

BABYRE 丢进IDA，进入main函数很明显judge函数是关键，但显然judge函数被加密了而加密关键在main函数中有所体现很明显这是在调用judge函数之前改变了他的字节码，因此出现调用失败的情况，此时我们只需要用IDA Python进行解密即可代码如下：之后先undefine（快捷键U）一下，再重新创建函数（快捷键P），就可以F5了（此处代码可能与网上其他wp中代码不同，可能是IDA7.5的原因，但经过分析其实是一样的）分析过后发现就是简单的异或，写脚本得到flag即可

攻防世界-re-babyre

底层社会中的弱智

03-22

504

第一次手撕汇编

xctf攻防世界 REVERSE 高手进阶区 BABYRE

l8947943的博客

04-13

2766

0x01. 进入环境，下载附件给出的babyRE后缀文件，不懂是什么玩意，按照常规流程进行操作吧 0x02. 问题分析使用IDA打开，找到main函数，F5反编译，得到代码如下： int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h]

攻防世界—REVERSE—高手进阶区—BABYRE

Nu1bzzi的博客

03-27

850

攻防世界—REVERSE—高手进阶区—BABYRE 这道题真的是对新手的一个考验了，做了挺久的，脑瓜疼>m< 拿到文件先放进PEiD里查壳（养成好习惯）应该是linux下的程序放进IDA64里进行分析找到main函数F5查看伪代码 if ( v5 == 14 && (*(unsigned int (__fastcall **)(char *)) judge)(s) ) 字符长度为14并且满足后面judge()函数条件即为正确，但是在点击judge函数时跳到了如下界面判

xctf攻防世界 REVERSE 高手进阶区 Shuffle

l8947943的博客

03-31

9646

0x01. 进入环境，下载附件给出了一个无后缀文件，我们尝试用exeinfo PE查看一下文件，如图：发现结果如图，提示是32位的无加壳文件，使用32位IDA打开文件。 0x02. 问题分析我们将文件丢入IDA中，找到mian函数，F5反编译，查看伪代码： int __cdecl main(int argc, const char **argv, const char **envp) { time_t v3; // ebx __pid_t v4; // eax unsigned int

攻防世界Reverse进阶区-Shuffle-writeup

y4ung

09-19

656

1. 介绍本题是xctf攻防世界中Reverse的进阶区的题Shuffle 题目来源：SECCON-CTF-2014 题目描述：找到字符串在随机化之前 2. 分析 Linux下的32位可执行文件 $ file c792c7d80be7404ca9789da97406d2ad c792c7d80be7404ca9789da97406d2ad: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, inter

攻防世界-Reverse-BABYRE

P_Bloomberg的博客

08-08

684

附件是.exe文件，放入ExeInfoPE中，发现是linux可执行文件放入IDA64中，F5查看伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { char s[24]; // [rsp+0h] [rbp-20h] BYREF int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i <= 181;

攻防世界RE——BABYRE

m0_53482319的博客

10-26

669

这段代码将judge函数的代码段进行了重构，我们需要嵌入脚本回复真正Judge函数代码段。回到之前的伪代码，然后双击judge即可看到恢复后的judge的伪代码。含义：unsigned int 是函数返回类型（无符号整型）无壳，64位elf，直接放到idapro（64位）里面。(char *)提取judge数组头字符串做函数名。这条代码的judge并非是数组而是一个函数。切记，要实现c p鼠标必须选中judge。完成上面的操作即可复现judge函数。得出flag{n1c3_j0b}

攻防世界---＞BABYRE

shdbehdvd的博客

09-19

464

因为call不能用在.data段，call一般是用于call函数的。说明其judge很大程度是一个函数，而非数据。总结：自我感觉考查对于数据段的识别，以及对汇编命令的理解、以及处理手段。(一般是调用了某个函数。call基本就是用于函数调用)很奇怪是一段.data(数据段)【ptr-一般是常数/局部变量】【ptr+一般是参数】

攻防世界-XCTF 4th-WHCTF-2017 BABYRE

qq_45771413的博客

04-22

464

查壳 ELF文件，无壳 IDA 逻辑很简单，判断输入的字符串长度是否为14，然后是judge(s)的函数判断，都正确则输出right 那么重点就是judge函数。双击进入，发现是长度为181的字符串，将其ASCⅡ提取出来后转字符串，发现毫无意义。然后……只能看看别人的wp看看咋回事(#_<-)>) 这题是SMC，judge函数在运行时会进行自解密操作，否则静态分析时无法窥探其真正内容。 SMC虽然还没整太明白，但是可以动调试试。既然静态分析他不肯露面，那么动态分析它说不定会自己一层一层剥

攻防世界逆向高手题的BABYRE

沐一 · 林的博客

08-21

3920

攻防世界逆向高手题之BABYRE 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的BABYRE

攻防世界 Reverse高手进阶区 2分题 BABYRE

闵行小鱼塘

12-26

774

继续ctf的旅程，攻防世界Reverse高手进阶区的2分题，本篇是BABYRE的writeup

BABYRE 攻防世界

re1wn

04-29

1552

BABYRE 攻防世界

逆向攻防世界CTF系列34-BABYRE