buu-[RoarCTF2019]polyre(控制流平坦化,虚假控制流程)

已于 2022-02-18 13:42:10 修改
阅读量3.2k 收藏 4
点赞数 1
分类专栏: BUU刷题 文章标签: 安全
于 2022-01-16 20:05:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52369224/article/details/122524328
版权

这题一开始拿到人看麻了(不会),写篇wp记录新题型

这么一大大大串的函数图,是经过OLLVM 的控制流平坦化混肴.

控制流平坦化(Control Flow Flattening)的基本思想主要是通过一个主分发器来控制程序基本块的执行流程,例如下图是正常的执行流程:

经过控制流平坦化后的执行流程就如下图:

图片描述

混淆代码块之间的逻辑,将其之前的逻辑混肴成switch嵌套循环,增加分析难度。

下面我们需要使用 angr符号执行去除控制流平坦化

环境ubuntu20.4 defalt.py脚本 (之前配好过angr环境)

在defalt.py上加上第12行

 查看main函数地址

python deflat.py -f attachment --addr 0x400620

如此便为成功。

ida打开生成文件

逻辑清楚很多 ,分析代码。

 这里的条件横为0,不执行

mian结束的地方

idapython脚本删除这些代码

st = 0x0000000000400620 #main开始
end = 0x0000000000402144 #main结束

def patch_nop(start,end):
    for i in range(start,end):
        ida_bytes.patch_byte(i, 0x90)		#修改指定地址处的指令  0x90是最简单的1字节nop
 
def next_instr(addr):
    return addr+idc.get_item_size(addr)		#获取指令或数据长度,这个函数的作用就是去往下一条指令
    

 
addr = st
while(addr<end):
    next = next_instr(addr)
    if "ds:dword_603054" in GetDisasm(addr):	#GetDisasm(addr)得到addr的反汇编语句
        while(True):
            addr = next
            next = next_instr(addr)
            if "jnz" in GetDisasm(addr):
                dest = idc.get_operand_value(addr, 0)		#得到操作数,就是指令后的数
                ida_bytes.patch_byte(addr, 0xe9)     #0xe9 jmp后面的四个字节是偏移
                ida_bytes.patch_byte(addr+5, 0x90)   #nop第五个字节
                offset = dest - (addr + 5)  #调整为正确的偏移地址 也就是相对偏移地址 - 当前指令后的地址
                ida_bytes.patch_dword(addr + 1, offset) #把地址赋值给jmp后
                print("patch bcf: 0x%x"%addr)
                addr = next
                break
    else:
        addr = next

 算法分析:

输入一个48字节的数据。

第一部分:将空格换成0

第二部分:每次读取八个字节,如果大于0,则乘以2。如果小于0就乘以2再异或一个数。

CRC算法。

secret = [0xBC8FF26D43536296, 0x520100780530EE16, 0x4DC0B5EA935F08EC,
          0x342B90AFD853F450, 0x8B250EBCAA2C3681, 0x55759F81A2C68AE4]
key = 0xB0004B7679FA26B3

flag = ""

# 产生CRC32查表法所用的表
for s in secret:
    for i in range(64):
        sign = s & 1  #数乘以二,必为偶数,再异或上奇数,得奇数 所以最后一位为1的数还原前为负。
        if sign == 1:
            s ^= key
        s //= 2
        # 防止负值除2,溢出为正值
        if sign == 1:
            s |= 0x8000000000000000 #让数回到负数
    
    j = 0
    while j < 8:
        flag += chr(s&0xFF) #&0xff可以将高的24位置为0,低8位保持原样。
        s >>= 8
        j += 1
print(flag)

flag{6ff29390-6c20-4c56-ba70-a95758e3d1f8}

参考

https://blog.youkuaiyun.com/liuxiaohuai_/article/details/114369681

https://blog.youkuaiyun.com/weixin_50166464/article/details/121635877?spm=1001.2014.3001.5501

buuctf [RoarCTF2019]polyre
liuxiaohuai_的博客
03-04 1835
今天刷的这个题是关于平坦虚假控制流程的题目。第一次见到所以写篇wp记录一下。 1.处理文件 1.1 控制流平坦 将文件直接拖入ida64中,查看main函数的控制流程(CFG) 得到的代码是一个多重循环,我们需要对代码进行控制流平坦。 可以参考:https://security.tencent.com/index.php/blog/msg/112 deflat.py脚本 https://pan.baidu.com/s/1Tuw2ITns1bI05nWfTpwNag提取码:u2g0 使用时需要注意
BUU-RSA [RoarCTF2019]babyRSA(威尔逊定理)
晓寒的博客
07-21 3237
[RoarCTF2019]babyRSA(威尔逊定理) 题目 import sympy import random def myGetPrime(): A= getPrime(513) print(A) B=A-random.randint(1e3,1e5) print(B) return sympy.nextPrime((B!)%A) p=myGetPrime() #A1=2185696345246163043734827843419143400006607675
[RoarCTF2019]polyre
Nike_name的博客
07-15 295
控制流平坦,CRC加密?
控制流平坦(js逆向知识)
最新发布
2302_80729149的博客
03-19 849
平坦流就是把原来的js代码逻辑放到一个又一个case中,使用switch包括,然后再每一个case中处理逻辑,还可以在case中跳到下一个case语句中,从而实现代码的混淆。这里的u.sent是什么呢?这里的u.sent是上一个执行逻辑,也就是说这里的。
2019 RoarCTF--polyre
Hk_Mayfly的博客
10-22 629
测试文件:https://www.wocloud.com.cn/webclient/share/sindex.action?id=i9K_Br6TgE4ImHzH9IwB7mKcRy5TUdZ8U6_uiWwxDovNjPaT6IJAgRhtvqTOsW3w 1.准备 获取信息 64位文件 2.文件处理 2.1 控制流平坦 IDA打开后可以看到 ...
BUUCTF-[RoarCTF2019]polyre
weixin_61154173的博客
03-09 693
控制流平坦,然后代码流程:第一个for循环没用,从第二个看外循环6次,内循环64次,把flag看为8个字节一组,然后如果是非负数就乘2(相当左移),如果是负数就乘2(相当左移)在异或一个数。简单来说,OLLVM会添加一个用于控制跳转的状态变量和分发器:当一个真实块执行完成后,会把状态变量的值进行更新,回到分发器进行检查,再根据状态变量的值跳转到下一个真实块执行;提取码u2g0,下载完后注意:deflat.py文件中的sys.path.append()后的地址是你下载的am_graph.py的地址,
[RoarCTF 2019]Easy Calc
I_WORM的博客
02-29 786
构造payload:print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))构造payload:print_r(scandir(chr(47))) 读取根目录下的文件信息;file_get_contents() 将文件内容读取到字符串中;发现成功执行了phpinfo()函数;通过抓包测试发现了calc.php的一段源码信息;查看源码发现设置了waf;所以用chr()进行输入绕过;
buu-[2019红帽杯]easyRE
qaq517384的博客
03-05 667
查壳 64位ida 直接查看字符串能看到you found me和一些奇怪字符串 有些类似base的东西 先找you found me 跟进后CTRL+X交叉引用找到函数,f5查看伪代码 signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8
buu-[GUET-CTF2019]re
qaq517384的博客
02-28 342
64位upx壳
BUUCTF [RoarCTF 2019]Easy Calc1
qq_35874748的博客
10-19 3159
一.打开题目后: 二.Ctrl+U查看源代码: 发现存在WAF和一个文件calc.php,这里我们就需要简单的了解下什么是WAF了: WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。 那么WAF能做什么? WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。 WAF可以对Web应用进行安全审计 WAF可以防止CC攻击 应用交付 CC攻击:通过大量请求对应用程序资源消耗最大的应用,如...
解释控制流程平坦
weixin_35756690的博客
12-21 392
控制流程平坦是一种程序优技术,目的是将复杂的控制流程(如循环、分支和函数调用)为简单的顺序执行流程,以提高程序的执行效率。 举个例子,假设有一段代码如下: if (x >0) { y = 1; } else { y = -1; } z = y * y; 这段代码中有一个 if-else 语句,它根据 x 的值决定 y 的值。如果 x 大于 0,y 就变成 1,否则 y 就变...
初识ollvm控制流平坦
weixin_42545308的博客
10-26 1065
app:B站, 版本:随便搞了个最新版 目标:分析sign算法 1. 算法定位 B站的java层定位并不难找,直接搜索大法即可定位到生成sign的native函数。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编
【转载】基于LLVM Pass实现控制流平坦
ronnie88597的博客
03-01 1311
基于LLVM Pass实现控制流平坦 文章目录基于LLVM Pass实现控制流平坦0x00. 什么是LLVM和LLVM Pass0x01. 首先写一个能跑起来的LLVM Pass0x02. 控制流平坦的基本思想和实现思路0x03. 基于LLVM Pass实现控制流平坦0x04. 混淆效果测试 转载:https://mp.weixin.qq.com/s/FD5YRurcLGh_VlV9GlWB8w 提到代码混淆时,我首先想到的是著名的代码混淆工具OLLVM。OLLVM(Obfuscator-LLV
利用AST对抗js混淆() 控制流平坦(Control Flow Flattening)的处理
lacoucou的专栏
02-23 5521
控制流平坦 本文主要分享了两个控制流平坦的例子。
控制流平坦学习
szxpck的博客
07-14 5106
控制流平坦是OLLVM中使用到的一种代码保护方式,它还有2个兄弟-虚假控制流和指令替换,这3种保护方式可以累加,对于静态分析来说混淆后代码非常复杂。 控制流平坦的主要思想就是以基本块为单位,通过一个主分发器来控制程序的执行流程。 例如一个常见的if-else分支结构的程序可以是这样: 经过控制流平坦之后,得到了一个相当规整的流程图: 控制流平坦在代码上体现出来可以简要地理解为是while+switch的结构,其中的switch可以理解为主分发器。这一点在IDA的反汇编里面可以很明显地体现出来。 混
猿人学第二题,手撕OB混淆给你看(step06-控制流平坦)
小玉的小本本
03-16 835
前情回顾:猿人学第二题,手撕OB混淆给你看(Step1-开篇)猿人学第二题,手撕OB混淆给你看(step2-字符串数字回填)猿人学第二题,手撕OB混淆给你看(step3-函数调用还原)猿人学第二题,手撕OB混淆给你看(step4-对象调用还原)猿人学第二题,手撕OB混淆给你看(step5-分支流程判断)控制流平坦这一章会使用上一章生成的 02_ob_if_reload.json文件最终生成一份02_ob_sort_reload.js文件和一份 02_ob_sort_reload.jso
某酷ckey签名生成算法系列--(三)ast代码控制流平坦
zjq592767809的博客
12-26 1665
某酷ckey签名生成算法系列--(三)ast代码控制流平坦 观察三个switch的值分别是Ci、mi和Ai。而这三个值又因为li的确定而确定的。也就是说已知li的值,就可以分别计算出Ci、mi和Ai,就可以确定执行的是哪一条语句。那么反过来,如果已知Ci、mi和Ai三个值,也可以反向计算出li的值了。 那么按照这个思路。就可以把多重的case的值计算出其对应最上一层的值,变成最简单的switch结构,形如下面 ******省略代码****** for (var li = 16996; void 0 !=
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值