攻防世界WP-reverse-getitcsaw2013reversing2

最新推荐文章于 2025-03-05 16:38:37 发布
原创 最新推荐文章于 2025-03-05 16:38:37 发布 · 238 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了通过逆向工程解决程序弹出乱码窗口的问题,从查壳、IDA伪代码分析到使用OD调试,逐步揭露隐藏的flag信息。通过对函数sub_40102A和sub_401000的研究,最终找到了关键的EDX值,成功揭示了flag。

打开之后弹乱码
在这里插入图片描述第一步还是查壳,没有。
第二步拖入IDA,直接看伪代码吧

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  int v3; // ecx
  CHAR *lpMem; // [esp+8h] [ebp-Ch]
  HANDLE hHeap; // [esp+10h] [ebp-4h]

  hHeap = HeapCreate(0x40000u, 0, 0);
  lpMem = (CHAR *)HeapAlloc(hHeap, 8u, MaxCount + 1);
  memcpy_s(lpMem, MaxCount, &unk_409B10, MaxCount);
  if ( sub_40102A() || IsDebuggerPresent() )
  {
    __debugbreak();
    sub_401000(v3 + 4, lpMem);
    ExitProcess(0xFFFFFFFF);
  }
  MessageBoxA(0, lpMem + 1, "Flag", 2u);
  HeapFree(hHeap, 0, lpMem);
  HeapDestroy(hHeap);
  ExitProcess(0);
}

最开始看到了IsDebuggerPresent,我以为要跳过这个检测,所以没有管它。注意到memcpy_s(lpMem, MaxCount, &unk_409B10, MaxCount);,然后看看&unk_409B10,结果发现这个就是乱码。
然后点开sub_40102A,发现这个函数永远return 0if判断永远不成立,推测if里面的这个函数sub_401000,很有可能出flag,我们看看这个函数。

unsigned int __fastcall sub_401000(int a1, int a2)
{
  int v2; // esi
  unsigned int v3; // eax
  unsigned int v4; // ecx
  unsigned int result; // eax

  v2 = dword_409B38;
  v3 = a2 + 1 + strlen((const char *)(a2 + 1)) + 1;
  v4 = 0;
  result = ((v3 - (a2 + 2)) >> 2) + 1;
  if ( result )
  {
    do
      *(_DWORD *)(a2 + 4 * v4++) ^= v2;
    while ( v4 < result );
  }
  return result;
}

但是我搞不清楚a1的值,也就是外面v3的值为多少,所以用OD直接跑一跑。
我们首先在IDA中rebase program,方便查看。在OD里面查看e模块,得到基址,然后在IDA中修改。
我们先在OD里面找这个if在哪
在这里插入图片描述可以看到在1221096附近,我们ctrl+g在OD中跳转。
在这里插入图片描述在上方JNZ处下一个断点,让程序跑到这。je会跳转,但是我们想要运行下面的函数,所以不让它跳。int3也要nop掉,不然程序会中断。
然后我们进入关键的函数
在这里插入图片描述
retn上面下一个断点。直接运行,查看EDX中的值
在这里插入图片描述可知flag。

攻防世界 REVERSE 新手区/csaw2013reversing2
ookami6497的博客
07-12 728
攻防世界 REVERSE 新手区/csaw2013reversing2 看题目描述,说是运行就能拿到flag,下载运行一下,看来不行 先查一下有没有加壳,这个没有加壳,而且是个32位的程序 用IDA32位打开,f5查看伪代码 接下来就是分析代码了 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h
[攻防世界]csaw2013reversing2
逆向萌新的博客
06-05 473
放入查壳软件中查壳,发现是32位无壳的软件,运行一下程序,看看有什么样的输出,得到的是乱码。 所以可能是里面的运算有问题,进入ida中进行查看,进入main函数,看汇编代码可能存在问题,进入反编译。 看到了,flag应该是在lpMen里面,但是返回去看汇编 按照逻辑图来看。 没有走flag的那里的逻辑,所以我们静态调试可能就会很费劲,所以用OD进行调试,在OD中查找flag,直接跳转过去。 这里是有需要修改的地方,看逻辑位置,在图片中标记出来。 按照正常的逻辑,这里flag的运算会被跳过,那么把跳转和
攻防世界csaw2013reversing2做法(简单版)
2303_80796023的博客
05-07 601
(a2+4*v4++)括号内表示的是一个地址,从a2的地址开始,4*v4++表示是从该地址所往后的位数,反编译中的代码,a2是从0,4,8这样跳跃的取着a2中的数,我们写代码,是挨个取a2中的数,并且与拆成4组的v2进行轮转异或,这边有一个小点,拆解后的v2应该逆序,因为栈是先进后出的,要记住,然后运行一下,就得到flag喽~~~提取完之后,再进入主函数,最关键的是主函数末尾的函数sub_401000,点进去看看。首先就是查个壳,发现没壳,是32bit,那就丢进ida32中进行反编译。
攻防世界 csaw2013reversing2 wp
__ys的博客
11-14 328
csaw2013reversing2 ——第一个动态调试题目 首先运行程序发现是乱码 由题目知运行就能拿到flag,那就直接载入OD动态调试 一直F8单步运行来确定弹窗的位置 发现执行到这里时出现弹窗 于是下断点后,F9直接运行至断点,F7进入call,然后F8单步 在这里发现jnz未跳转,je跳转(有关跳转知识请见这里) 此后分析可知程序执行的是错误路径,于是把断点改在jnz处并通过修改Z标志位让他跳转(jnz是当Z标志位为0时跳转) 继续F8单步运行到int3处发现退出,重载程序并将它nop掉(
csaw2013reversing2攻防世界新手区
m0_46357566的博客
07-23 384
1.拖入检查器看是否有壳以及几位 2.用IDA打开,看main函数的伪代码 3.分析发现 4.拖入od动态调试,字符串查找flag 5.设置断点,进行调试,发现第一个跳转跳过,对于某些指令进行更改,再次运行,得到 ...
Reverse(五):攻防世界WP--2
weixin_44122225的博客
06-06 388
1.re1: 获得re1的可执行文件,为windows下的32wei可执行程序,在cmd控制台下到达该文件所在目录,使用strings命令查看字符串信息 观察所有输出的字符串,可以轻松找到flag 2.
攻防世界REVERSE新手练习区 - csaw2013reversing2
m0_60377292的博客
08-08 289
csaw2013reversing2 - wp
攻防世界逆向刷题笔记(新手模式1-5)
wlmt666的博客
11-15 1017
发现是64位,直接丢IDA看看先。下代码经过分析,应该是当括号内容是false的时候,才会执行nice,估计就是正确的代码。接下来,我们点进去看看。有必要说明的是,sub_xxx一般指一个函数。以下是函数似乎实现了一个算法,我们目的是让他返回0,也就是让if不成立。那也就是让表达式里面的值等于1就行了。首先获取它们代表的整数到底是什么。这串代码用到了指针的概念,但是目前我还没咋掌握指针,参考了题解后大胆认为:它是获取减号前面表达式的字符,然后在获取减号后面的字符,估计后面的字符应该比前一个少一。
攻防世界XCTF逆向ReverseReversing-x64Elf-100动态调试flag
qq_45200829的博客
04-07 793
不能动态调试?
攻防世界reverse新手题wp(通俗易懂)
njh18790816639的博客
12-23 2089
目录前言insanity博客 前言 之所以写这些题解,有几点原因,一是怕自己忘记(防止自己忘掉,就算忘掉也有复习的东西,别到时候连看的都没有)。二是,想与诸君共勉,同时给后来者提供一些微薄之力。 insanity 博客 ...
攻防世界reversecsaw2013reversing2
2402_87431173的博客
01-16 282
将汇编指令更改为以上后保存数据后运行得到flag:flag{reversing_is_not_that_hard!静态分析后得出需要跳过检测动态调试的函数、中断函数、结束进程。
攻防世界-csaw2013reversing2
2301_77301535的博客
05-09 345
到了这里发现存在两个MessageBox但是目标走的是乱码的那个MessageBox所以这里将它的跳转条件修改以哦那位int3下面存在一个赋值,但是不知道给了什么内容所以将je改成jmp到mov edx 那里然后继续往下走。这题打开就是一堆乱码,这里的思路是猜测可能存在两个MessageBox并且真正输出flag的那个MessageBox并没有走进判断里面,ok有了思路直接上实操。到了这里发现jmp直接跳到结束去了,这里让它跳到messagebox的入栈出,最后得到最终flag。
csaw2013reversing2 WP
weixin_50569442的博客
08-09 272
首先有题目可知这是一段乱码,下载文件后打开 按照正常思路我们先用Exeinfo PE查看文件 我们可以看到这是一个VC++写的程序,并且我们发现提示让用ollydbg 1、首先我们先用ida静态分析修改指令 将文件在ida中打开,找到main函数F5查看伪代码 由于运行之后的是乱码,所以我们猜测生成flag的函数没有执行,因此我们应该把前边的中断函数给nop掉,并且后边退出程序的函数也不能执行,需要跳到弹框函数继续执行。 修改之前的代码 修改之后的代码 修...
攻防世界re:csaw2013reversing2
qq_43786458的博客
10-05 2898
1.查壳 无壳,32位文件 打开文件 如题目所说,弹出的是乱码 2.拖入IDA 老规矩,拖入IDA,找main函数,反编译查看伪代码 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h] [ebp-Ch]...
攻防世界Reverse第十一题csaw2013reversing2
weixin_52369224的博客
09-18 354
尝试运行一下 发现点击按钮都会推出 放入Exenifo PE中查看无壳 32位文件 放入IDApro 看到提示 Trap to Debugger 我们来破除这trap 第一种 patch大法 为确保if中函数可以实现 将jz short loc_401096改为jmpshort loc_401096 把int 3改为nop 阻止程序跳出将jmp short loc_4010EF改为jmp short 4010B9 保存之后运行程序得到flag ...
re学习笔记(27)攻防世界-re-csaw2013reversing2
逆向随笔
01-19 901
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:攻防世界-re-csaw2013reversing2 题目下载:点击下载 既然运行就能拿到flag,就直接载入OD动态调试吧 F8一点点单步向下,来找到确切弹窗的位置 发现执行到这里的时候出现了弹窗,在这个位置下断点,重新载入 然后F9直接运行到此地址,F7进入call 然后F8单步,来到这里,jnz跳转未实现,je跳...
逆向攻防世界CTF系列10-csaw2013reversing2
LH1013886337的博客
10-15 902
32位无壳提示:听说运行就能拿到Flag,不过菜鸡运行的结果不知道为什么是乱码运行果然出乱码…
攻防世界 csaw2013reversing2 CSAW CTF 2014
08-27 459
运行程序 flag显示乱码 IDA打开查看程序逻辑 1 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) 2 { 3 int v3; // ecx 4 CHAR *lpMem; // [esp+8h] [ebp-Ch] 5 HANDLE hH...
reverse攻防世界
最新发布
2403_87862296的博客
03-05 672
做点简单题提升信心用了...其实挺水的。
攻防世界Reversing-x64Elf-100
02-07
### CTF Reversing x64 ELF 100 Challenge Solution and Hints For the reversing challenge involving an x64 ELF file, understanding how to interpret hexadecimal strings as ASCII characters is crucial. When faced with a string that appears nonsensical at first glance but contains digits from `0` through `F`, it suggests dealing with hexadecimal encoding. Converting such hex values into their corresponding ASCII representations can reveal hidden messages or flags required by challenges. In this specific case, converting each pair of hexadecimal digits (like `66`) into decimal yields ASCII codes which translate directly into readable text characters; for instance, `66` becomes `102` in decimal, representing 'f' according to the ASCII standard[^1]. Following similar conversions (`6c` -> `110` -> 'n'), one might deduce part of the flag format expected within these types of puzzles—often enclosed between curly braces following "flag". Regarding handling ELF files specifically, knowledge about the structure including headers like `ELF64_Ehdr` and sections described via structures such as `ELF64_Shdr` proves beneficial when attempting reverse engineering tasks on binaries formatted under the Executable and Linkable Format specification used primarily across Unix-like systems[^2]. To tackle this particular level effectively: - Examine any provided binary using tools designed for analyzing ELF executables. - Look out for embedded strings or data segments containing potential clues encoded similarly to what was discussed earlier regarding hexadecimal-to-text conversion. - Utilize debugging utilities alongside disassemblers to trace execution flow while paying attention to operations manipulating input/output streams where flags could be checked against user-supplied answers during runtime. ```bash # Example command line tool usage for inspecting ELF binaries readelf -h your_binary_file # Display the ELF header information strings your_binary_file # Extract printable character sequences possibly hinting towards solutions ``` --related questions-- 1. What are common methods employed in decoding obfuscated texts found inside executable programs? 2. How does one approach decompiling or disassembling different architectures beyond just x86_64? 3. Can you explain more about the significance of various fields present within the ELF header concerning program loading and linking processes?
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wallacegen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值