180420 逆向-DDCTF_WP(Re)

最新推荐文章于 2025-01-14 20:27:14 发布
最新推荐文章于 2025-01-14 20:27:14 发布
阅读量1.6k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/whklhhhh/article/details/80032874
这篇博客详述了在DDCTF逆向工程挑战中,作者如何解决从Baby MIPS的方程校验,到黑盒破解的复杂函数调用,再到解谜隐藏的真实,以及最后探索Atlantis文明的解密过程。文章涵盖了MIPS汇编分析、IDA调试技巧、字符串操作、比特币地址转换和反调试技术等多个方面。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Reverse

Baby MIPS

IDA打开发现几个字符串结构都很清晰,提供16个变量,然后进行16次方程校验
但是运行会发现在中间就因为段错误而异常
尝试许久以后发现几个不太对劲的指令,突兀出现的 t, t , sp, 跳转等等的机器码都为EB02开头,猜测为花指令,于是使用IDC脚本去花
注意MIPS为定长指令集,每个指令都为4字节,因此需要固定监测指令的头部,否则可能会误清除掉正常指令,例如方程参数的赋值(╯‵□′)╯︵┻━┻

#include <idc.idc>
static matchBytes(StartAddr, Match) 
{ 
auto Len, i, PatSub, SrcSub; 
Len = strlen(Match);

while (i < Len) 
{ 
   PatSub = substr(Match, i, i+1); 
   SrcSub = form("%02X", Byte(StartAddr)); 
   SrcSub = substr(SrcSub, i % 2, (i % 2) + 1); 

   if (PatSub != "?" && PatSub != SrcSub) 
   { 
    return 0; 
   } 

   if (i % 2 == 1) 
   { 
    StartAddr++; 
   } 
   i++; 
}

return 1; 
}


static main() 
{ 
   auto StartVa, SavedStartVa, StopVa, Size, i, j;

StartVa = 0x400420; 
StopVa = 0x403233;

Size = StopVa - StartVa; 
SavedStartVa = StartVa;

for (i = 0; i < Size/4; i++) 
{ 
   if (matchBytes(StartVa, "EB02????")) 
   { 
    Message("Find%x:%02x%02x%02x%02x\n", StartVa,Byte(StartVa),Byte(StartVa+1),Byte(StartVa+2),Byte(StartVa+3));
    for (j = 0; j < 4; j++) 
    { 

     PatchByte(StartVa, 0x00); 
     MakeCode(StartVa); 
     StartVa++; 
    } 
   } 
    else
    StartVa=StartVa+4; 
}

AnalyzeArea(SavedStartVa, StopVa); 
Message("Clear eb02 Opcode Ok "); 
}

去花后再次分析即可得到清晰的赋值和check过程
写了一个伪执行汇编的py脚本来得到参数,最后清洗一下即可得到方程,通过z3限制BitVec即可跑出整数解 

f = open("code.txt", "r")
flower = ["slti", "sdc1"]
a0 = 0x76ff270
v0 = 0xd0000
v1 = 8
fp = [0 for i in range(0x500)]
table = [0x0, 0x42d1f0, 0x0, 0x42d1f0,
0xa, 0xa, 0x0, 0x9,
0x4250bc, 0x9, 0x426630, 0x42d1f0,
0x40a3ec, 0x37343431, 0x363434, 0x0,
0x0, 0x42d1f0, 0x0, 0x4250bc,
0x0, 0x0, 0x425060, 0x42d1f0,
0x403ad0, 0x0, 0x0, 0x1000,
0x425088, 0x76fff184, 0x412fcd, 0x1,
0x410570, 0x425190, 0x40ca48, 0x0,
0x0, 0x42d1f0, 0x0, 0x42d1f0,
0x425088, 0xffffffff, 0x4106c4, 0xffffffff,
0x76fff184, 0x412fcd, 0x1, 0x42d1f0,
0x0, 0x425088, 0x40ccac, 0x0,
0x0, 0x0, 0x0, 0x42d1f0,
0x0, 0x425190, 0x76ffeef8, 0x425190,
0x10, 0x425088, 0x40baac, 0x42d1f0,
0x412fcd, 0x1, 0x425088, 0x40baac,
0x76fff184, 0x412fce, 0x40b684, 0x0,
0x0, 0x0, 0x0, 0x42d1f0,
0x0, 0x0, 0x0, 0x0,
0x0, 0x0, 0x0, 0x0,
0x0, 0x42d1f0, 0x0, 0x42d1f0,
0x0, 0x4250bc, 0x413081, 0x9,
0x403f24, 0x0, 0x0, 0x0,
0x0, 0x0, 0x0, 0x42d1f0,
0x0, 0x413078, 0x0, 0x0,
0x0, 0x0, 0xd0000, 0xf1f4,
0xcf8, 0xf5f1, 0x7883, 0xe2c6,
0x67, 0xeccc, 0xc630, 0xba2e,
0x6e41, 0x641d, 0x716d, 0x4505,
0x76fff224, 0x0, 0x0, 0x0,
0x0, 0x0, 0x0, 0x0,
0x0, 0x0, 0x0, 0x0,
0x0, 0x0, 0x0, 0x0,
0x0, 0x0, 0x0, 0x0,
0x0, 0x0, 0x0, 0x0,
0x0, 0x0, 0x0, 0x0,
0x0, 0x0, 0xfffffffe, 0x0,
0x76fff2ac, 0x412fcd, 0x1, 0x0,
0x6, 0x7fffffff, 0x1, 0x0,
0x0, 0x0, 0x0, 0x0,
0x0, 0x0, 0x0, 0x0,
0x0, 0x0, 0x0, 0x0,
0x0, 0x0, 0x0, 0x0,
0xa, 0xa, 0x425088, 0x8,
0x7ffffff8, 0x100, 0x413f38, 0x1,
0x413f38, 0x0, 0x2, 0x76fff0f8,
0x0, 0x0, 0x7fff
最低0.47元/天 解锁文章

200万优质内容无限畅学
Newstarctf week5逆向wp
weixin_66718841的博客
10-24 1252
NewStarCTF的week5逆向wp
2021虎符CTF逆向wp
FIshy000的博客
04-10 683
红明谷-g0 看名字就是go语言题目,用IDA-golang-helper还原符号表之后,看到只有几个函数,其中main_Encode就是加密函数 函数逻辑比较简单,输入长度等于20,打乱位置,进入main_Encode加密,最后进入main_fun1进行比较,直接看main_Encode中的加密算法 动态调试后发现一张表,表的长度为58位,判断为换表base58加密 进入main_fun1函数中找到加密后的字符串,注意 runtime_memequal这个比较的函数需要在汇编中寻找比较的字符串首地址
2021虎符CTF逆向WP
Whitebird的博客
04-06 1278
周六打了2021虎符的比赛,由于刚入门逆向,也就写出来了一题,赛后复现了一波,可能会有写错的地方,欢迎大佬指出。 一、redemption_code二、CrackMe三、GoEncrypt 一、redemption_code 首先,拿到这道题,我们查一下壳,并没有加壳。然后拉入ida32查看一下 看了下大概的流程,写了点注释,接下来我们的重点就是pre(v11);和server_check_redemption_code 两个函数 对pre函数写了点注释,我们看到pre的函数和main函数都有ser
GkCTF2020逆向部分wp
blog
06-16 798
GkCTF2020逆向部分wp
DDCTF-Bin部分wp
CharlesGodX的博客
04-21 682
Reverse1 查看文件,发现是upx壳,我们用命令直接脱壳 thunder@thunder-PC:~/Desktop/CTF/reverse/DDCTF2019$ file reverse1_final.exe reverse1_final.exe: PE32 executable (console) Intel 80386, for MS Windows, UPX compressed t...
BugKu---Easy_Re逆向题解
m0_63581842的博客
02-11 2339
_m128i 类型变量映射到XMM[0-7]寄存器,它的地址会自动对齐到16字节的边界, 即__m128i类型的变量的起始地址总是16的整数倍。由于IDA不提供撤销的功能,如果你不小心按到某个键,导致ida数据库发生了改变,就得重新来过,所以要记得在经常操作的时候,加上快照:file-->take database snapshot。输入flag v9,将v9和v5比较,得到v3可能大于0,小于0,等于0;【想找一个合适的将字符串倒序的代码,没怎么找到,有点复杂,直接倒序】
JS逆向-快手__NS_hxfalcon参数分析
最新发布
ckcookies的博客
01-14 2270
现在快手H5接口都需要__NS_hxfalcon这个参数,这篇文章就是逆向这个参数
CTF逆向-[WMCTF2020]easy_re-WP_虚机-perl加载器截取
serfend's blog
03-24 711
CTF逆向-[WMCTF2020]easy_re-WP_虚机-perl加载器截取 来源:BUUCTF在线评测/ 内容:无 附件:百度网盘 请输入提取码 提取码:jua5 答案:WMCTF{I_WAnt_dynam1c_F1ag} 总体思路 面对perl脚本加载的题,可以是从Shift+F12中搜索script找到其引用位置,则该引用位置为脚本加载的位置,按F8让脚本载入完成,则在下一个eax中就能看到脚本原文,根据原文分析perl代码得到flag。 详细步骤 检查文件信息
CTF逆向-[SCTF2019]babyre-WP_简单去花指令和流程识别
serfend's blog
03-24 5139
CTF逆向-[SCTF2019]babyre-WP_简单去花指令和流程识别 来源:https://buuoj.cn/ 内容:无 附件:https://pan.baidu.com/s/1pWTpezTXnr_NN4lY9xWzag?pwd=m2zv 提取码:m2zv 答案:flag{ddwwxxssxaxwwaasasyywwdd-c2N0Zl85MTAy(fl4g_is_s0_ug1y!)} 总体思路 发现汇编中出现有红色部分,则说明反汇编失败,通常是有花指令或者说SMC(程序自己修改自己的代码)。 去除
国赛ciscn2024-WP-re2-androidso-re(unidbg模拟执行Native层方法)
05-21
国赛ciscn2024-WP-re2-androidso_re(unidbg模拟执行Native层方法)
ctf——逆向新手题目4 (game) WP
qq_52842965的博客
07-29 1288
首先还是下载附件,这次是一个exe文件,先打开看一下 发现这是一个依次输入数字然后点亮所有的符号,得到flag的游戏,然后我们就用Exeinfo PE打开 发现是一个c++编写的32位程序,然后就用ida32打开 有时进来之后无法直接找到main函数,那就按 Alt+T 搜索文本 main 就能找到,然后就跟进main函数查看伪代码 继续跟进main_0函数,跟进后可以看到以下代码 这些代码是判断输入的数字是否在要求范围内,否则重新输入,下面的代码是根据输入的数字,改变字符 我们就先跟进 sub
DDCTF 2020 Web WP
h1nt的博客
09-07 1806
Web一堆题卡在最后一步出不来,难受。Go语言实乃知识盲区 这是一篇复现记录,赞美师傅wywwtwx 参考:DDCTF 2020 Writeup - 安全客,安全资讯平台 Web签到题 前面的相信大家都懂,是JWT爆破,但还是梳理一下 根据提示在用POST传参可以拿到JWT 在拿去爆破后可得到Secret值(似乎是你的用户名,然后群里有师傅用户名乱输然后没爆破出来。。) 爆破工具是c-jwt-cracker(需要的自取) 爆破后去网站https://jwt.io 篡改JWT后 就可以拿到client,
*CTF2023Reverse逆向详解wp
明人不说暗话
08-02 1329
*CTF2023Reverse逆向部分题目(flagfile,ez_code)wp
2019DDctfWP
BerL1n
12-29 633
Time: 2019-04-27 11:46 本来想挺进前三十呢,结果大佬们都太强了,无奈。。 web 滴~ 打开界面就一张图片。 注意url http://117.51.150.246/index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09 参数这经过一次base16,两次base64,加密,解密后也就是flag.jpg,因此可尝试读取index.php,经过加密后为TmprMlJUWTBOalUzT0RKRk56QTJPRGN3 访问源代码 base64解
2017-DDCTF-RE-evil
WocW的博客
04-18 473
分析 首先使用IDA分析,发现被加了壳。使用die查壳 为upx壳,使用脱壳软件脱壳失败后,开始使用手脱。 进入程序后就发现这里有一个jmp大跳,这是壳的特征。直接跟进 来到一个pushad,使用ESP定律。在执行完pushad后记录下堆栈顶 下硬件读断点,然后直接F9来到这里,看到还有一个jmp。跟进 这里就来到了OEP处了 然后使用ODdump脱壳,因为是UPX壳所以不需要修复I...
ctf——逆向新手题目1 (insanity) WP
qq_52842965的博客
07-16 685
第一步下载好所提供的的文件 按照正常做法先用ExeinfoPE去查看此文件的基本信息 从图中圈出的部分看出此文件非windows EXE文件,而是一个Linux的ELF的32位文件,接着用我们的ida32去打开这个文件 打开后进入点击左边的main函数,一般新手题目不会很难,直接进入即可 然后按F5变为伪代码 通过分析这些代码,发现其中的关键字符串str,我们点击str去进入这个字符串的具体内容 这时我我们看到了红线所圈住的地方发现本题的flag为 9447{This_is_a_flag} ..
BUUCTF逆向wp reverse_3
2302_81740139的博客
01-25 830
V5为str1字符串的长度,for循环是对string1的每个元素进行加法运算。将原来其中一些复杂的代码改成C语言的代码,方便简洁。第七步 双击str2,得到str2最初的字符串e3nifIH9b_C@n@dH。第二步 打开程序,在左边窗口中找到main函数,如图所示,双击打开。第六步 双击数组,发现了一长串字符串,推测为base64加密。第一步 使用exeinfo查壳,该题没有壳,为32位的。第八步 利用脚本工具运行,将运行后的结果进行解码结果如下。第五步 进入该界面,双击此数组。
BUUCTF逆向的一些WP(4)
qq_62188797的博客
07-06 724
目录[GWCTF 2019]pyre[ACTF新生赛2020]easyre[ACTF新生赛2020]romeCrackRTF[FlareOn4]login[2019红帽杯]easyRE是pyc文件,可以用反编译工具,我这里是在线反编译,地址。 直接写脚本: [ACTF新生赛2020]easyre upx壳脱掉后 v6 = "ACTF{}",v5为括号中的内容,至于为什么是,我认为是靠猜和经验,伪代码本身不难。_data_start是字符串(这样伪代码才合理),其中有几个十六进制数要转为字符脚本
BUUCTF逆向的一些wp(3)
qq_62188797的博客
06-15 366
目录java逆向解密[GXYCTF2019]luck_guy刮开有奖[BJDCTF2020]JustRE 简单注册器java的class文件,用jd-gui打开,是一个简单的程序 没什么可以说的,会一点java再查一查不懂的函数就行,写了个python脚本 flag{This_is_the_flag_!}查壳,64位elf无壳,放进IDA先看看Strings window,发现字符串"OK, it's flag:",跟进根据交叉引用进入get_flag()函数 从case1了解到flag是f1
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值