攻防世界逆向高手题之BabyXor

最新推荐文章于 2024-10-03 15:53:55 发布
最新推荐文章于 2024-10-03 15:53:55 发布
阅读量1k 收藏 3
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 逆向 CTF 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiao__1bai/article/details/120535158
本文讲述了作者在攻防世界逆向高手题中挑战BabyXor的过程,涉及手动脱壳、自定义函数分析、输入处理技巧和关键代码理解。通过ESP脱壳、getc函数解析,逐步揭示了程序的加密逻辑和字符串操作,最终解决flag的获取策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

攻防世界逆向高手题之BabyXor

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的BabyXor
在这里插入图片描述
.
.
下载附件,照例扔入exeinfope中查看信息,结果是不知名的壳,还叫我用DIE查看,结果也没分析出来:
在这里插入图片描述
在这里插入图片描述
.
.
.
(这里积累第一个经验)
那没办法只能手动脱壳了,回顾以前的crackme题中积累的ESP脱壳定律,在这里也同样可以借鉴一二:

https://blog.youkuaiyun.com/xiao__1bai/article/details/120230397
在这里插入图片描述

.
.
就是这里的popjmp代替retn,载入OD中我们可以发现开头处有相似的入栈出栈操作,只不过没有调用壳层函数,而是直接用代码解压缩而已:
在这里插入图片描述
.
.
断点执行到jmp处右键分析代码然后点击插件处的脱壳即可,最后按照以前的教程用importRCE修复导入表,虽然还是运行不了~
在这里插入图片描述
在这里插入图片描述
.
.
不管了,照例扔入IDA32中查看伪代码信息,有Main函数看main函数:
在这里插入图片描述
.
.
.
(这里积累第二个经验)
一开始这全都是自定义函数的操作属实把我吓倒了,唉~ 总归还是底气不足啊,应该耐性下来一个个分析才对,不会太难的。

首先红框中的_filbuf(&File);在博客https://www.cnblogs.com/volcanol/archive/2011/06/09/2076907.html中有很好的诠释。

提取一下就是getc()的一个实现,就是读取输入。
.
getc() 在VC 6.0中有两个get()的定义, 一个是宏,一个是函数
.
宏的定义如下:
#define getc(_stream) (–(_stream)->_cnt >= 0 ? 0xff & *(_stream)->_ptr++ : _filbuf(_stream))
.
函数定义如下:
_CRTIMP int __cdecl getc(FILE *);

在这里插入图片描述
.
.
前面是读取输入的,那么关键就在后面了,耐心一点一个个点进去分析一下。第一个自定义函数sub_40108C是简单的移位和异或操作,赋值给v3[i]
在这里插入图片描述
在这里插入图片描述
.
.
第二个函数sub_401041还是移位和异或操作,赋值给Buffer[i]
在这里插入图片描述
在这里插入图片描述
.
.
第三个函数sub_4010C3还是简单的移位、异或、拼接操作,最终赋值给destination
在这里插入图片描述
在这里插入图片描述
.
.
看最后一个函数sub_40101E,内部还有个sub_4010A5函数,也双击跟踪看一下,发现是简单的计算长度strlen操作,那么这个函数就是把前面生成的字符串都拼接在一起的操作。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
.
.
很耐性的分析完了,好像和输入没有什么关系,那么应该是和输入无关的存储型flag类型了,先静态写代码生成。

打印所有用于操作的数组:

addr=0x435dc0
list1=[]
for i in range(14):
    list1.append(Dword(addr+4*i))
print(list1)
addr2=0x435df8
list2=[]
for i in range(14):
    list2.append(Dword(addr2+4*i))
print(list2)
addr3=0x435e30
list3=[]
for i in range(14):
    list3.append(Dword(addr3+4*i))
print(list3)

在这里插入图片描述
.
.
然后仿照逻辑写脚本:

key1=[102, 109, 99, 100, 127, 55, 53, 48, 48, 107, 58, 60, 59, 32]
flag1=""
for i in range(14):
	flag1+=chr(i^key1[i])
#print(flag1)

key2=[55, 111, 56, 98, 54, 124, 55, 51, 52, 118, 51, 98, 100, 122]
flag2=""
flag2+=chr(key2[0])	#!!!!!!wocao
for i in range(1,14,1):
	flag2+=chr(key1[i]^key2[i]^key1[i-1])
#print(flag2)

key3=[26, 0, 0, 81, 5, 17, 84, 86, 85, 89, 29, 9, 93, 18]
flag4=""
for i in range(13):
	flag4+=chr(i^key3[i+1]^ord(flag2[i]))			#前面flag2错了,所以这里也错了!!!!

flag3=""
flag3=chr(key2[0]^key3[0])

print(flag1+flag2+flag3+flag4)

.
.
(这里积累第三个经验)
写脚本中遇到一个坑就是flag2sub_401041函数那里,Buffer[0]被赋了初始值啊,忽略的话对后面修改很大:
在这里插入图片描述
.
.
结果:
在这里插入图片描述
.
.
.
第二个方法,动态调试,在最后一个函数0x401712处下断点看寄存器即可:
在这里插入图片描述
在这里插入图片描述
.
.
.
总结:

1:
(这里积累第一个经验)
那没办法只能手动脱壳了,回顾以前的crackme题中积累的ESP脱壳定律,在这里也同样可以借鉴一二:
.
https://blog.youkuaiyun.com/xiao__1bai/article/details/120230397
在这里插入图片描述
.
就是这里的popjmp代替retn,载入OD中我们可以发现开头处有相似的入栈出栈操作,只不过没有调用壳层函数,而是直接用代码解压缩而已:
在这里插入图片描述

2:
(这里积累第二个经验)
一开始这全都是自定义函数的操作属实把我吓倒了,唉~ 总归还是底气不足啊,应该耐性下来一个个分析才对,不会太难的。
.
首先红框中的_filbuf(&File);在博客https://www.cnblogs.com/volcanol/archive/2011/06/09/2076907.html中有很好的诠释。

提取一下就是getc()的一个实现,就是读取输入。
.
getc() 在VC 6.0中有两个get()的定义, 一个是宏,一个是函数
. 宏的定义如下:
#define getc(_stream) (–(_stream)->_cnt >= 0 ? 0xff & *(_stream)->_ptr++ : _filbuf(_stream)) . 函数定义如下: _CRTIMP int __cdecl getc(FILE *);

前面是读取输入的,那么关键就在后面了,耐心一点一个个点进去分析一下。第一个自定义函数sub_40108C是简单的移位和异或操作,赋值给v3[i]
.
.
第二个函数sub_401041还是移位和异或操作,赋值给Buffer[i]
.
.
第三个函数sub_4010C3还是简单的移位、异或、拼接操作,最终赋值给destination
.
.
看最后一个函数sub_40101E,内部还有个sub_4010A5函数,也双击跟踪看一下,发现是简单的计算长度strlen操作,那么这个函数就是把前面生成的字符串都拼接在一起的操作。

3:
(这里积累第三个经验)
写脚本中遇到一个坑就是flag2sub_401041函数那里,Buffer[0]被赋了初始值啊,忽略的话对后面修改很大:
在这里插入图片描述

解毕!敬礼!

攻防世界逆向 BabyXor
chuxuezhewocao的博客
06-21 346
攻防世界逆向,此主要学习ESP定律法脱壳,一开始脱壳后程序有点问,无法运行,不知道是不是后续哪些步骤没有完成,但是不影响反汇编,代码逻辑也没那么复杂,所以不影响做,看了别人的WP都是动态调试出的结果,问出在了脱壳时我没有勾选掉重新输入表,虽然不知道为什么。查壳发现不知名壳,IDA载入程序什么也看不到,没办法用我的万能脱壳工具,这里学习使用ESP定律法进行手动脱壳。 OD载入程序,f8一次: 在esp寄存器这里右键设置硬件断点,然后f9运行,程序会被断在刚才下的断点的位置: 然后在这个位置利用ol
暑期CTF练习——第七周
AlienEowynWan的博客
08-21 320
攻防世界reverse进阶区babyxor 查壳 说是未知就很无奈,但是拖到ida分析不出来,还是有壳的,拖到OD脱壳 函数sub_40108C 函数sub_401041 函数sub_4010C3 这三个函数的操作与输入的字符串没有关系,所以在OD动态调试,分别在这三个函数中下断点,把三个字符串连起来即为flag flag是:flag{2378b077-7d6e-4564-bdca-7eec8eede9a2} ...
攻防世界BabyXor
yhfgs的博客
11-09 363
1.查壳,一开始以为没有壳,反编译之后发现没有什么函数推测可能有压缩壳。 2.OD脱壳。 f7步过后找到oep。 右键脱壳 3.IDA反编译。 关键函数sub_40108C,sub_401041,sub_4010C3,sub_40101E 分别跟进并分析可知前三个都是不同的异或操作,最后的sub_40101E是拼接操作 sprintf(a1,a2,a3):是把a3的值以a2的形式存入a1中。 sub_40108C sub_401041 sub_4010C3 ...
攻防世界逆向练习--babyxor
YANG12345_6的博客
09-23 483
babyxor dword_435DC0=[102, 109, 99, 100, 127, 55, 53, 48, 48, 107, 58, 60, 59, 32 ] dword_435DF8=[55, 111, 56, 98, 54, 124, 55, 51, 52, 118, 51, 98, 100, 122] dword_435E30=[26,0,0,81,5,17,84,86,85,89,29,9,93,18,0,0] sub_40108C() 化成代码: a1 = unk_435DC0 ch
攻防世界逆向高手之debug
沐一 · 林 的博客
08-22 1502
攻防世界逆向高手之debug 继续开启全栈梦想之逆向之旅~ 这攻防世界逆向高手的debug 下载附件,照例扔入exeinpefo中查看信息: .NET文件,无壳,好吧我也是现在才知道.NET文件不能用IDA解析的,因为IDA中会出现这个情景:(一开始吓到我了) 查了资料说.NET要用其它调试器,这也就是我分析.NET的里程碑了,值得纪念。下载了ILSPY和dnSPY,发现好像只有dnSPY能断点调试: ...
攻防世界 babyXor
m0_63000514的博客
07-15 169
大概分析一下有三个字符串v8,Src,v5,而最后一个函数就是三字符串拼一块。在这里可以看出来eax,edx,ecx存了三字符串的地址,下断。Jmp之后分析代码,利用dump工具dump出来。未知壳,叫我去看看DIE,DIE也看不出来。有个pushad和popad。很显然jmp之后就是源代码了。不出意外这个就是flag了。那么答案已经呼之欲出了。
基于攻防世界逆向编程挑战目集
最新发布
06-10
基于攻防世界逆向编程挑战目集
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此详细解博客:https://danbaku.blog.youkuaiyun.com/article/details/127953659
攻防世界 web高手进阶区 10分 xss1
闵行小鱼塘
11-10 886
继续ctf的旅程,开始攻防世界web高手进阶区的10分,本文是xss1的writeup
攻防世界 web高手进阶区 10分 TimeKeeper
闵行小鱼塘
10-19 1654
继续ctf的旅程,开始攻防世界web高手进阶区的10分,本文是TimeKeeper的writeup
[NewStarCTF 2023 公开赛道]babyxor
hengdonghui的博客
10-03 262
for i in range(0, l, 2): # 2个16进制字符=1个字节,所以,步长是2。既然key找到了,那我们就试着把密文中的每个字节与key做异或运算,看看能不能得到flag。密文的最后一个字节‘f2'对应明文的最后一个字母’}'。密文的第一个字节‘e9'对应明文的第一个字母’f';密文的第二个字节‘e3'对应明文的第一个字母’l';密文的第三个字节‘ee'对应明文的第一个字母’a';密文的第四个字节‘e8'对应明文的第一个字母’g';目中没有给出key的具体数值,怎么办呢?
UNCTF几个
weixin_43928140的博客
10-31 1591
0x01 Misc 亲爱的 目是亲爱的热爱的里的 李现唱海阔天空?? 开始试了音频隐写,无果。虚拟机看是否有隐藏文件,foremost一下出现一个名为zip的文件夹,里面有一个压缩包 爆破无果,4-6位都试了,winhex也看了,无果,然后strings命令看一下发现一句 开始以为可能是MP3stego解密用的,后面无果 最后,qq音乐翻评论区拿到 牛逼 ...
XCTF 进阶 RE zorropub
A_dmin的博客
09-28 856
XCTF 进阶 RE zorropub 好久没接触CTF了,今天做了一下XCTF中的逆向
2019UNCTF-竞技赛 部分WP
A_dmin的博客
10-30 3536
UNCTF-竞技赛 部分WP
攻防世界 —— Web高手进阶区1(baby_web)
Catherine_qingzhu的博客
04-05 1256
过程 目已经提示FLAG在index.php或index.html中了 所以就在浏览器的地址栏中试,结果发现 ...\index.html资源不存在 ...\index.php又会跳转到1.php 这就很迷,然后按F12键调试,重新在地址栏中输入...\index.php 看到Network中是介个样子 index.php返回的状态码是302,我们点击index.php看看这...
攻防世界-Misc萌新-5-1(xortool使用)-WDCTF-2017
Sea_Sand息禅
04-22 6585
拿到文件,照惯例winhex查看,未知类型文件,xortool尝试: 尝试出了key:GoodLuckToYou,对原文件进行异或,脚本如下: key = 'GoodLuckToYou' flag = '' with open('cipher') as f: con = f.read() for i in range(len(con)): flag +=...
BUUCTF RE xor
A_dmin的博客
06-05 2638
BUUCTF RE xor s = ['f',10,'k',12,'w&O.@',17,'x',13,'Z;U',17,'p',25,'F',31,'v"M#D',14,'g',6,'h',15,'G2O',0] ss = 'fkw&O.@xZ;UpFv"M#DghG2O' x = "f" a = [102, 10, 107, 12, 119, 38, 79, 46, 64...
记一次院赛CTF的Crypto和Re(入门)
CTF小白的博客
04-14 7794
目录Cryptoeasy cryptobAcOn敌军密报Reeasy re跳到对的地方简单的XOR多密码表替换 Crypto easy crypto 首先,这个可以很容易的看出这是一个base64加密一串密文,然后用base64解密后是 可以看出这就是flag的格式,所以一般就是凯撒加密了,但是因为有花括号下划线之类的,所以是凯撒的一个变形rot13 bAcOn 这是给了一个字符串baCo...
2017WHCTF REVERSE babyRE
ACdream
10-07 2989
这个其实比较简单,考察点是GDB调试与逆向分析 拖入OD分析,main无法F5,于是查看汇编代码以及汇编流程图 查看逻辑,很明显字符串的长度为0x0E(14个字符),然后调用了judge函数,判断字符串合法性 然后发现,IDA解析不了judge函数,肯定是有某些绕过静态反汇编的手段,于是开始GDB 直接在scanf的地方下断,开始进入judge的判断单步 注意这里0x4
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值