XCTF-csaw2013reversing2

最新推荐文章于 2025-01-16 22:54:00 发布
最新推荐文章于 2025-01-16 22:54:00 发布
阅读量1.5k 收藏 8
点赞数 9
CC 4.0 BY-SA版权
分类专栏: XCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43784056/article/details/103655968

三种做法

1、ida静态分析修改指令

main函数反编译的代码

由于运行之后的是乱码,所以可以猜测生成flag的函数没有执行,所以需要跳到生成flag的函数执行,但是前面的中断函数不能执行,需要nop掉,并且后面退出程序的函数不能执行,需要跳到弹框函数继续执行。(修改的路径和文件名不要有中文,我用ida修改的时候踩了坑,大家可以试一试)

ida修改代码的方法:

1、鼠标停留在要修改的汇编代码上,然后点击Edit > Patch program > Assemble(中文:编辑 > 修补程序 > 汇编)

2、修改完成后:Edit > Patch program > Apply pathes to input file > OK(中文:编辑 > 修补程序 > 修补程序应用到输入文件 > 确定)

修改之前的汇编代码

修改之后的汇编代码

修改完成之后,直接运行文件,得到flag

2、ollydbg动态调试,nop大法

将文件导入ollydbg后,直接右键 > 中文搜索引擎 > 智能搜索,找到Flag

双击之后向上找到IsDebuggerPresent函数,点击这句汇编,F4让程序运行到此处

F8两次,发现一个跳转,根据之前ida的分析,这应该就是那个if语句的判断,跳过的中间部分就是生成flag的函数,所以我们把这个跳转nop掉

继续F8执行,执行到int 3,这是中断语句,所以也nop掉

F8执行完生成flag的函数后,后面有一个大跳转,跳到退出程序的函数

所以我们把这个跳转也给nop掉,继续F8,执行完一个MessageBoxA(弹框)函数后,发现程序此时处于Running状态,弹出一个什么也没有的框,其实这是另外一个弹框函数,真正输出flag的弹框函数是后面那个,在我们之前那个ida的修改之后的汇编图也可以发现,确实是有一个没有被调用的弹框函数,所以我们之前可以那个nop掉的跳转改为跳转到下面那个弹框函数,但既然说了是nop大法,就nop到底

点击中止之后,发现又要执行一个跳转,跳过了我们真正的弹框函数

将这个跳转nop掉,接着F8,就可以看到flag了

3、 分析代码写脚本

main函数代码

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  int v3; // ecx
  CHAR *lpMem; // [esp+8h] [ebp-Ch]
  HANDLE hHeap; // [esp+10h] [ebp-4h]

  hHeap = HeapCreate(0x40000u, 0, 0);
  lpMem = (CHAR *)HeapAlloc(hHeap, 8u, MaxCount + 1);
  memcpy_s(lpMem, MaxCount, &unk_409B10, MaxCount);
  if ( sub_40102A() || IsDebuggerPresent() )
  {
    __debugbreak();
    sub_401000(v3 + 4, lpMem);
    ExitProcess(0xFFFFFFFF);
  }
  MessageBoxA(0, lpMem + 1, "Flag", 2u);
  HeapFree(hHeap, 0, lpMem);
  HeapDestroy(hHeap);
  ExitProcess(0);
}

关键函数sub_401000的两个参数,v3后面没有用到,向上找lpMem的赋值语句,memcpy_s,将unk_409B10地址的值给了它,双击查看

进入sub_401000函数内部,代码

unsigned int __fastcall sub_401000(int a1, int a2)
{
  int v2; // esi
  unsigned int v3; // eax
  unsigned int v4; // ecx
  unsigned int result; // eax

  v2 = dword_409B38;
  v3 = a2 + 1 + strlen((const char *)(a2 + 1)) + 1;
  v4 = 0;
  result = ((v3 - (a2 + 2)) >> 2) + 1;
  if ( result )
  {
    do
      *(_DWORD *)(a2 + 4 * v4++) ^= v2;
    while ( v4 < result );
  }
  return result;
}

a2也就是lpMem,发现后面的异或语句有v2,向上找v2的赋值语句,找到v2 = dword_409B38,双击dword_409B38,找到内容

这里是四个字节显示的,又由于小端存储,所以顺序是颠倒的,我们可以将其转换成一个字节查看

然后根据源码写脚本,写的有点不太明白,记录一下

代码参照文章:https://www.cnblogs.com/DirWang/p/11420740.html

x=[0xbb,0xaa,0xcc,0xdd]
y=[0xBB,0xCC,0xA0,0xBC,0xDC,0xD1,0xBE,0xB8,0xCD,0xCF,0xBE,0xAE,0xD2,0xC4,0xAB,0x82,0xD2,0xD9,0x93,0xB3,0xD4,0xDE,0x93,0xA9,0xD3,0xCB,0xB8,0x82,0xD3,0xCB,0xBE,0xB9,0x9A,0xD7,0xCC,0xDD]
i=0
z=[]
while i<len(y):
    t=chr(y[i]^x[i%4])
    z.append(t)
    i+=1
print(z)
print(''.join(z))

 

['\x00', 'f', 'l', 'a', 'g', '{', 'r', 'e', 'v', 'e', 'r', 's', 'i', 'n', 'g', '_', 'i', 's', '_', 'n', 'o', 't', '_', 't', 'h', 'a', 't', '_', 'h', 'a', 'r', 'd', '!', '}', '\x00', '\x00']
flag{reversing_is_not_that_hard!}

这里就可以知道为什么调用第一个弹窗会输出空白,因为第一个弹窗函数,是直接从第一个字符输出的,但是第一个字符解码后为'\0',直接截断,所以会输出空白,第二个弹窗是从lpMem+1开始输出的

Xctf Reverse菜鸟题解之csaw2013reversing2
weixin_44007261的博客
10-20 349
Xctf Reverse菜鸟题解之csaw2013reversing2IDA Pro静态分析x32dbg动态调试分析绕过反调试机制 IDA Pro静态分析 x32dbg动态调试分析 绕过反调试机制 做了Xctf上的一道新手题,感觉坑不少,遂把自己的思路和步骤发上来分享一波,本人逆向菜鸟一只,大佬轻喷。 首先进入题目界面,看到简介上说,直接运行就可以拿到flag 我们先看一下文件的一些信息: 可以看到是windows下32位pe文件,我这里用wine先跑了一下,结果是一堆乱码: 这里可以看到这个mess
攻防世界--csaw2013reversing2
weixin_30876945的博客
08-30 975
测试文件:https://adworld.xctf.org.cn/media/task/attachments/3f35642056324371b913687e770e97e6.exe 1.准备 打开测试文件,flag内容为乱码。 检测文件信息 获得信息 32位文件 OllyDbg打开 2.IDA打开 将main函数反编译为C语言文件后,...
xctf csaw2013reversing2
weixin_43600412的博客
10-27 458
先运行此程序: 窗口只认识一个 flag,除此都是乱码,初步猜测乱码内容是flag的密码,我们可以通过查找字符串flag来找到窗口输出函数,进一步确定乱码的信息。 接下来载入ida进行分析: 找到main函数,进行伪代码分析: 1.看到第16行代码,输出flag,lpMem中保存着flag值。 2.第8行代码,为lpMen申请内存空间。 3.第9行代码,为lpMem赋值。其中&unk_40...
[攻防世界]csaw2013reversing2
逆向萌新的博客
06-05 434
放入查壳软件中查壳,发现是32位无壳的软件,运行一下程序,看看有什么样的输出,得到的是乱码。 所以可能是里面的运算有问题,进入ida中进行查看,进入main函数,看汇编代码可能存在问题,进入反编译。 看到了,flag应该是在lpMen里面,但是返回去看汇编 按照逻辑图来看。 没有走flag的那里的逻辑,所以我们静态调试可能就会很费劲,所以用OD进行调试,在OD中查找flag,直接跳转过去。 这里是有需要修改的地方,看逻辑位置,在图片中标记出来。 按照正常的逻辑,这里flag的运算会被跳过,那么把跳转和
XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar...
XCTF-HW-pipeline附件
11-09
附件
攻防世界re:csaw2013reversing2
qq_43786458的博客
10-05 2849
1.查壳 无壳,32位文件 打开文件 如题目所说,弹出的是乱码 2.拖入IDA 老规矩,拖入IDA,找main函数,反编译查看伪代码 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h] [ebp-Ch]...
XCTF REVERSE csaw2013reversing2
qq_41743240的博客
04-13 315
把程序拖入 ida 发现可疑地方 , 默认这个 if 不成立 , 跳转到下面代码直接输出 flag, 即乱码 所以必须经过 sub_401000 函数进行解码 查看汇编 loc_401096 这里一个 int3 断点 , 而 loc_4010B9 为输出弹窗 所以解题思路为让程序跳转到 loc_401096 进行解码 , 把 int3 改为 nop(0x90), 再跳到 loc_4010B9 进...
csaw2013reversing2
qq_61554462的博客
03-31 260
攻防世界
攻防世界-csaw2013reversing2
2301_77301535的博客
05-09 298
到了这里发现存在两个MessageBox但是目标走的是乱码的那个MessageBox所以这里将它的跳转条件修改以哦那位int3下面存在一个赋值,但是不知道给了什么内容所以将je改成jmp到mov edx 那里然后继续往下走。这题打开就是一堆乱码,这里的思路是猜测可能存在两个MessageBox并且真正输出flag的那个MessageBox并没有走进判断里面,ok有了思路直接上实操。到了这里发现jmp直接跳到结束去了,这里让它跳到messagebox的入栈出,最后得到最终flag。
攻防世界reversecsaw2013reversing2
2402_87431173的博客
01-16 255
将汇编指令更改为以上后保存数据后运行得到flag:flag{reversing_is_not_that_hard!静态分析后得出需要跳过检测动态调试的函数、中断函数、结束进程。
攻防世界——csaw2013reversing2
Nike_name的博客
12-29 515
基本反调试
攻防世界-新手区csaw2013reversing2
qq_43447375的博客
12-15 359
攻防世界-新手区csaw2013reversing2欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 #题目: csaw2013reversing2 ##题目来源
攻防世界csaw2013reversing2
weixin_52230368的博客
08-13 303
攻防世界csaw2013reversing2: 文件下载下来是一个可执行程序,先来运行一下是来干什么的: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上 一个小程序看见了Flag标题但是是一堆乱码。放进IDA查看伪代码,分析程序的基本思路: 在分析之前啊,我们要先了解几个函数是干什的: 1.HANDLE hheap;这个代码是定义一个句柄,实际上是一个数据,是一个Long类型的数据,是一种指向指针的指针。 1.Heap Create()函数,创建一个只有调用进程才能访问的私有堆。进程从
逆向-攻防世界-CSAW2013Reversing2
weixin_30701521的博客
04-25 253
运行程序乱码,OD载入搜索字符串,断电到弹窗Flag附近。 发现跳过00B61000函数,弹窗乱码,我们试试调用00B61000函数。将00B61094的指令修改为JE SHORT 00B6109b。然后跟进函数,单步执行。 拿到了flag。 原程序是在00B610B9处弹窗,我们将00B610A3的指令修改为JE SHORT 00B610B9。保存修改,然后就会弹窗真正的f...
攻防世界 REVERSE 新手区/csaw2013reversing2
ookami6497的博客
07-12 700
攻防世界 REVERSE 新手区/csaw2013reversing2 看题目描述,说是运行就能拿到flag,下载运行一下,看来不行 先查一下有没有加壳,这个没有加壳,而且是个32位的程序 用IDA32位打开,f5查看伪代码 接下来就是分析代码了 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h
XCTF-WEB进阶-fakebook
最新发布
02-28
### XCTF WEB进阶 Fakebook 解题报告 #### 源码分析 Fakebook 类似于社交网络平台,在此环境中存在多个功能模块,包括但不限于用户注册、登录以及个人信息管理等功能。通过查看源代码发现,该应用可能存在多种安全漏洞。 对于假想的 `fakebook` 平台而言,其核心逻辑通常围绕着用户的会话管理和数据交互展开。假设存在如下简化版 PHP 伪代码表示部分关键业务流程: ```php <?php class User { public $username; public $password; function login($input_username, $input_password){ // 存在一个潜在的安全隐患:未对输入做严格验证 if ($this->username === $input_username && md5($input_password) === $this->password){ $_SESSION['logged_in'] = true; return "Login successful"; } return "Invalid credentials"; } } ?> ``` 上述代码片段展示了用户认证过程中可能存在的安全隐患——使用弱哈希算法 MD5 对密码进行了处理[^1]。 #### 安全问题剖析 基于以上描述可以推测出几个主要攻击面: - **弱哈希函数**:MD5 已经被证明不再适合用于保护敏感信息,因为它容易受到碰撞攻击的影响。 - **缺乏输入过滤机制**:未能有效防止恶意字符进入系统内部,这可能导致 SQL 注入或其他类型的注入攻击发生。 - **不恰当的错误消息返回**:当用户名或密码错误时给出的具体提示可能会帮助攻击者缩小猜测范围。 #### 利用技巧 针对这些弱点,参赛选手可以从以下几个方面入手尝试突破并解决问题: - 尝试暴力破解或者彩虹表查找已知 MD5 值对应的原始字符串; - 测试是否存在其他形式的数据注入风险点,比如 URL 参数、POST 请求体内的字段等位置; - 探索是否有任何地方暴露出过多调试信息给外部访问者利用; 成功完成挑战后一般可以获得 flag 或者进一步的操作权限作为奖励。 #### 复现过程 为了模拟真实的渗透测试场景,建议按照以下方式构建实验环境来进行练习: 1. 构建一个类似的 Web 应用程序框架,确保其中包含了所有必要的组件和服务依赖关系; 2. 实施相应的防护措施来抵御常见的Web 攻击手段,如 XSS 和 CSRF 等; 3. 使用工具辅助自动化执行某些特定任务,例如 Hydra 可以用来实施字典攻击尝试登陆接口; 4. 记录每一步操作细节以便后续总结经验教训,并分享给社区成员共同学习进步。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值