[网鼎杯 2020 青龙组]singal

已于 2024-03-09 16:07:57 修改
阅读量1.1k 收藏 24
点赞数 20
分类专栏: reverse 文章标签: 笔记
于 2024-03-09 15:59:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yjh_fnu_ltn/article/details/136584606
版权
文章讲述了如何通过分析网鼎杯2020青龙组的题目,逆向工程一个包含取指令、执行函数的vm_cpu函数,通过提取硬件编码和指令来解密flag的过程。作者详细展示了逆向过程和最终得出的flag值。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[网鼎杯 2020 青龙组]singal

题目出处:题目

  1. 进入到main函数,主函数的逻辑非常简单,一个copy函数将地址在 &byte_403040 处长度为456的数组付给v4,再调用一个vm_cpu函数,想必解题的关键就在vm_cpu函数:
  2. 观察vm_cpu函数的逻辑发现是一个取指令,然后执行相对应的函数,取指令的地址就在 &byte_403040 将该处的数组提取出来,再结合函数中对应的处理提取处指令(函数)的硬件码、长度、寄存器。在这里插入图片描述
  3. 分析完成vm_cpu函数后如下:在这里插入图片描述
  4. 编写脚本直接输出cpu实际执行的指令(伪指令):
opcode=[10,   
    4,  16,    
    8,   
    3, 5,
    1,   
    4,   32,   
    8, 
    5,   3,   
    1,    
    3,   2, 
    8,  
    11,   
    1,   
    12,   
    8, 
    4,   4,   
    1,    
    5,   
    3, 8,   
    3,  33,    
    1,  
    11, 
    8,  
    11,   
    1,    
    4,   9, 
    8,   
    3,  32,    
    1,   
    2, 81,   
    8,   
    4,   36,   
    1, 
   12,   
   8,  
   11,    
   1,   
   5, 2,   
   8,   
   2,   37,   
   1, 
    2,  54,   
    8,    
    4,  65, 
    1,   
    2,  32,    
    8,   
    5, 1,   
    1,   
    5,    3,   
    8, 
    2,  37,   
    1,    
    4,   9, 
    8,   
    3,  32,    
    1,   
    2, 65,   
    8,  
    12,    
    1,   
    7,  34,   
    7,  63,    
    7,  52, 
    7,  50,   
    7,  114,
    7,  51,  
    7,  24,   
    7,  167, 
    7,  49,  
    7,  241,  
    7,  40,  
    7,  132,    
    7,  193, 
    7,  30,  
    7,  122,
    114,200]
ip=0
print("mov reg_0,0")
print("mov reg_1,0")
print("mov reg_2,0")
print("mov reg_3,0")
print("mov reg_4,0")
while True:
    tmp=opcode[ip]
    if tmp>=114:
        break
 
    if tmp==1:
        print("(%d)"%(ip),end="")
        print("mov flag[reg_3 + 100],reg_0")
        print("inc reg_3")
        print("inc reg_1")
        ip+=1
    elif tmp==2:
        print("(%d)"%(ip),end="")
        print("reg_0 = %d + flag[reg_1]"%(opcode[ip + 1]))#为了避免来回繁琐的mov移动直接采取"="赋值,下同
        ip+=2
    elif tmp==3:
        print("(%d)"%(ip),end="")
        print("reg_0 = flag[reg_1] - %d"%(opcode[ip + 1]))
        ip+=2
    elif tmp==4:
        print("(%d)"%(ip),end="")
        print("reg_0 = %d ^ flag[reg_1]"%(opcode[ip + 1]))
        ip+=2
    elif tmp==5:
        print("(%d)"%(ip),end="")
        print("reg_0 = %d * flag[reg_1]"%(opcode[ip + 1]))
        ip+=2
    elif tmp==6:
        print("(%d)"%(ip),end="")
        ip+=1
    elif tmp==7:
        print("(%d)"%(ip),end="")
        print("cmp flag[reg_4 + 100],%d"%(opcode[ip + 1]))
        print("jnz exit")
        print("inc reg_4")
        ip+=2
    elif tmp==8:
        print("(%d)"%(ip),end="")
        print("mov flag[reg_2],reg_0")
        print("inc reg_2")
        ip+=1

    elif tmp==10:
        print("(%d)"%(ip),end="")
        print("read flag")
        ip+=1
    elif tmp==11:
        print("(%d)"%(ip),end="")
        print("reg_0 = flag[reg_1] - 1")
        ip+=1
    elif tmp==12:
        print("(%d)"%(ip),end="")
        print("reg_0 = flag[reg_1] + 1")
        ip+=1
  1. 输出后的伪指令如下,结合分析:
    mov reg_0,0
    mov reg_1,0
    mov reg_2,0
    mov reg_3,0
    mov reg_4,0
    (0)read flag 读取输入的flag
    每次reg_3寄存器加一都是一次对flag的操作,对输入的flag进行opration,然后放入到与flag相对偏移为100的位置
    第一次:
    (1)reg_0 = 16 ^ flag[reg_1]
    (3)mov flag[reg_2],reg_0
    inc reg_2
    (4)reg_0 = flag[reg_1] - 5
    (6)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第二次:
    (7)reg_0 = 32 ^ flag[reg_1]
    (9)mov flag[reg_2],reg_0
    inc reg_2
    (10)reg_0 = 3 * flag[reg_1]
    (12)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第三次:
    (13)reg_0 = flag[reg_1] - 2
    (15)mov flag[reg_2],reg_0
    inc reg_2
    (16)reg_0 = flag[reg_1] - 1
    (17)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第四次:
    (18)reg_0 = flag[reg_1] + 1
    (19)mov flag[reg_2],reg_0
    inc reg_2
    (20)reg_0 = 4 ^ flag[reg_1]
    (22)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第五次:
    (23)reg_0 = 3 * flag[reg_1]
    (25)mov flag[reg_2],reg_0
    inc reg_2
    (26)reg_0 = flag[reg_1] - 33
    (28)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第六次:
    (29)reg_0 = flag[reg_1] - 1
    (30)mov flag[reg_2],reg_0
    inc reg_2
    (31)reg_0 = flag[reg_1] - 1
    (32)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第七次:
    (33)reg_0 = 9 ^ flag[reg_1]
    (35)mov flag[reg_2],reg_0
    inc reg_2
    (36)reg_0 = flag[reg_1] - 32
    (38)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第八次:
    (39)reg_0 = 81 + flag[reg_1]
    (41)mov flag[reg_2],reg_0
    inc reg_2
    (42)reg_0 = 36 ^ flag[reg_1]
    (44)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第九次:
    (45)reg_0 = flag[reg_1] + 1
    (46)mov flag[reg_2],reg_0
    inc reg_2
    (47)reg_0 = flag[reg_1] - 1
    (48)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第十次:
    (49)reg_0 = 2 * flag[reg_1]
    (51)mov flag[reg_2],reg_0
    inc reg_2
    (52)reg_0 = 37 + flag[reg_1]
    (54)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第十一次:
    (55)reg_0 = 54 + flag[reg_1]
    (57)mov flag[reg_2],reg_0
    inc reg_2
    (58)reg_0 = 65 ^ flag[reg_1]
    (60)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第十二次:
    (61)reg_0 = 32 + flag[reg_1]
    (63)mov flag[reg_2],reg_0
    inc reg_2
    (64)reg_0 = 1 * flag[reg_1]
    (66)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第十三次:
    (67)reg_0 = 3 * flag[reg_1]
    (69)mov flag[reg_2],reg_0
    inc reg_2
    (70)reg_0 = 37 + flag[reg_1]
    (72)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第十四次:
    (73)reg_0 = 9 ^ flag[reg_1]
    (75)mov flag[reg_2],reg_0
    inc reg_2
    (76)reg_0 = flag[reg_1] - 32
    (78)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    第十五次:
    (79)reg_0 = 65 + flag[reg_1]
    (81)mov flag[reg_2],reg_0
    inc reg_2
    (82)reg_0 = flag[reg_1] + 1
    (83)mov flag[reg_3 + 100],reg_0
    inc reg_3
    inc reg_1
    接下来为比较操作,与提供的硬件opcode进行比较:
    (84)cmp flag[reg_4 + 100],34
    jnz exit
    inc reg_4
    (86)cmp flag[reg_4 + 100],63
    jnz exit
    inc reg_4
    (88)cmp flag[reg_4 + 100],52
    jnz exit
    inc reg_4
    (90)cmp flag[reg_4 + 100],50
    jnz exit
    inc reg_4
    (92)cmp flag[reg_4 + 100],114
    jnz exit
    inc reg_4
    (94)cmp flag[reg_4 + 100],51
    jnz exit
    inc reg_4
    (96)cmp flag[reg_4 + 100],24
    jnz exit
    inc reg_4
    (98)cmp flag[reg_4 + 100],167
    jnz exit
    inc reg_4
    (100)cmp flag[reg_4 + 100],49
    jnz exit
    inc reg_4
    (102)cmp flag[reg_4 + 100],241
    jnz exit
    inc reg_4
    (104)cmp flag[reg_4 + 100],40
    jnz exit
    inc reg_4
    (106)cmp flag[reg_4 + 100],132
    jnz exit
    inc reg_4
    (108)cmp flag[reg_4 + 100],193
    jnz exit
    inc reg_4
    (110)cmp flag[reg_4 + 100],30
    jnz exit
    inc reg_4
    (112)cmp flag[reg_4 + 100],122
    jnz exit
    inc reg_4
  2. 经过分析可以看出,前面对flag的操作共15次比较也是15次,read函数中也明确指出输入的flag长度为15:
  3. 提取出上面比较的数据(result),根据每次的加密操作反写出逆向操作,逆向代码如下:
res=[34,63,52, 50,114,51,24,167,49,241,40,132,193,30,122,]
flag=[]
flag.append((res[0]+5)^16)
flag.append((res[1]//3)^32)
flag.append((res[2]+2+1))
flag.append((res[3]^4)-1)
flag.append((res[4]+33)//3)
flag.append((res[5]+1+1))
flag.append((res[6]+32)^9)
flag.append((res[7]^36)-81)
flag.append((res[8]))
flag.append((res[9]-37)//2)
flag.append((res[10]^65)-54)
flag.append((res[11]-32))
flag.append((res[12]-37)//3)
flag.append((res[13]+32)^9)
flag.append((res[14]-1-65))
for i in flag:
    print(chr(i&0xFF),end="")
#757515121f3d478
最终flag{757515121f3d478}

总结本体和上一篇vm逆向类似,分析出指令的硬件编码后还原指令即可逆向出flag

[re]符号执行一把梭:2020青龙re_signal_wp
Breeze的博客
05-15 1万+
[re]符号执行一把梭:2020青龙re_signal_wp 这道题是2020青龙的一道逆向提signal,一道虚拟机逆向题目,题目本身不难,可以直接分析也可以符号执行秒掉。 题目分析 正常windows逆向,开局直接输flag,也不多bibi: 逆向分析程序: 程序开始将全局变量区的opcode作为参数给vm_operad函数,看名字也能看出是一个虚拟机分析的题目,先把opcode提取出来: \x0A \x04 \x10 \x08 \x03 \x05 \x01 \x04 \x20 \x
[ 2020 青龙]singal 1
qq_24481913的博客
12-01 579
在主函数中找到了一个vm的译码器,译码器主要是解释传入的opcode,然后对我们输入的字符操作,这里我们发现他是单字节比较的,方法很多可以使用单字节映射,也可以是使用符号化执行,当然也可以硬着头皮去看。
BUUCTF-[ 2020 青龙]singal 1(angr用法)
weixin_61154173的博客
02-10 644
angr用法这道题之前看了看,主要是个switch语句,但是没有看太懂,然后我发现有用angr解这道题的,那时候还没接触,也没安装angr库,基本操作也不会,浅学了一下,还是不太精通,但是这道题是最基本的angr解法,所以用angr做一做。发现vm_operad是主要函数,而puts("good,The answer format is:flag {}");是你想要得到的,看它的反汇编记住地址,写脚本要用到。即初始参数用变量代替,模拟程序执行过程,维护执行到各个位置时的状态(用各个变量之间的代数关系表示)。
re学习(16)[ 2020 青龙]singal1(魔法库:angr)
m0_66039322的博客
07-15 492
对于angr做法没有必要关注这些过程,我们只要知道我们想要得到puts("good,The answer format is:flag {}");并且不想得到 printf("what a shame..."),找到相应的地址。(刚开始是看这个视频做的,但是有点看不懂,后来发现了可以用angr库做,而且更加方便~)即最终的flag为flag{757515121f3d478}看不懂,转angr~~~进入这个函数里面看看。
Buuctf-Reverse(逆向) 2020 青龙-singal Write up
weixin_50166464的博客
10-14 545
做逆向题太快乐了。--10.14 0x00 日常查壳 无壳64位 0x01 分析主函数 0x02 vm_operad 于是现在可以手解第一位flag 是可以发现如果只是改变加变减 乘变除是不能逆向回去 只是现在思路就是爆破出来 1. 我们现在拥有加密后的数据 2. 加密的算法 3. 就可以进行遍历每一个数和加密后的数据比对 0x03 GetFlag! #include <stdio.h> #include <string.h> i
2020第二届 青龙部分writeup
weixin_44145820的博客
05-11 2193
jocker 前面是一个假的flag,直接跳过omg函数 下面这段代码把0x401500-0x4015ba都亦或了0x41(也就是说在运行时修改了text段的encrypt函数),从而得到真正的encrypt函数 这段代码会把输入与字符串hahahaha_do_you_find_me?亦或,如果等于0x403040的那一串值,就通过 这串是0x403040:[0x0e, 0x0d, 9, 6, 0x13, 5, 0x58, 0x56, 0x3e, 6, 0x0c, 0x3c, 0x1f, 0x57, 0
2021寒假MISC打卡DAY14
煤矿路口西的博客
03-01 2854
[INSHack2017]hiding-in-plain-sight foremost flag{l337_h4xx0r5_c0mmun1c473_w17h_PNGs} [ 2020 青龙]虚幻2 得到的 flag 请包上 flag{} 提交。 不明全部,稍做记录。 得到一张类似二维码的小图 将其分离出rgb三个通道(笔者用的stegsolve) 根据拼接,得到类似汉信码 存在一定的爆破和容差 from PIL import Image from random import r.
buu题解-[ 2020 青龙]singal
m0_73393932的博客
03-18 277
逆向
20200510.青龙.zip
06-10
2020 5 10 青龙 比赛题目 web没有附件 其他基本都有 , 感谢各位师傅的整理
[BUUCTF]REVERSE——[ 2020 青龙]singal
mcmuyanga的博客
03-03 1553
[ 2020 青龙]singal 附件 步骤 例行检查,32位程序,无壳 本地试运行一下程序 32位ida载入,首先是找到main函数确定了flag字符串的样式flag{……} 根据输入点的提示字符串,找到对应函数,确定了字符串的长度是15 右击该函数,找到调用该函数的地方,来到了vm_operad()函数处,看main函数可以知道,vm_operad里的参数v4在上面一行调用了qmemcpy函数,百度上说逆向里的qmemcpy=memcpy,memcpy在c语言里的拷贝函数,在unk_4
2020——青龙)signal
寻梦&之璐
03-30 9950
文章目录vm_operad函数功能read函数功能简介流程验证数据(逆向重点)逆向思维 vm_operad int __cdecl vm_operad(int *a1, int a2) { int result; // eax@2 char v3[100]; // [sp+13h] [bp-E5h]@4 char v4[100]; // [sp+77h] [bp-81h]@5 char v5; // [sp+DBh] [bp-1Dh]@5 int v6; // [sp+DCh] [bp-
BUUCTF-[ 2020 青龙]singal——angr学习记录
weixin_52369224的博客
11-14 1891
​​​​​​学习结合b站的视频 环境配置:Ubuntu20.04+python3 ​​​​​​angr安装教程 切换到angr环境:workon angr 退出angr环境:deactivate 什么是符号执行: 符号执行 (Symbolic Execution)是一种程序分析技术。其可以通过分析程序来得到让特定代码区域执行的输入。使用符号执行分析一个程序时,该程序会使用符号值作为输入,而非一般执行程序时使用的具体值。在达到目标代码时,分析器可以得到相应的路径约束,然后通过约束求解器来...
re -16 buuctf [ 2020 青龙]singal(angr使用)
weixin_45847059的博客
11-23 654
[ 2020 青龙]singal 前话:先记录下angr的使用。参考了大佬的文章:https://blog.youkuaiyun.com/Breeze_CAT/article/details/106139253 在cmd中使用,不能在pycharm中使用。 >>> import angr >>> p = angr.Project(r'C:\Users\ASUS\Desktop\signal.exe') #地址前必须加r >>> state = p.facto
buu练题记录7-[ 2020 青龙]singal
Asteri5m
04-17 285
0x00 查壳 首先拿到的是一个exe文件,所以先查壳,然后看看是32位还是64位的程序 32位的程序,无壳。进入IDA分析: 0x01 IDA分析 很容易就找到mian函数,逻辑简单,就一个函数。直接进入函数分析: int __cdecl vm_operad(int *a1, int a2) { int result; // eax char v3[100]; // [esp+13h] [ebp-E5h] char v4[100]; // [esp+77h] [ebp-81h] cha
2020 青龙 逆向signal
lhk124的博客
11-25 692
signin 虚拟机题目 1.用angr解决 In [1]: import angr In [2]: p = angr.Project("./signal.exe") In [3]: init_state = p.factory.entry_state()
3.16---2020青龙----signal----vm逆向
qq_73505302的博客
03-16 894
3.16
2020半决赛awdplus赛题精讲与技术要点
最新发布
weixin_32921023的博客
10-01 2044
本文还有配套的精品资源,点击获取 简介:2020半决赛awdplus题目是一个络安全竞赛,主要针对Pwn和Web两大类别。Pwn类别要求参赛者具备程序安全、逆向工程等技能,能够分析和利用底层程序中的漏洞。Web类别则要求参赛者熟悉Web应用安全、服务器端脚本和常见的Web攻击方法。此外,解压密码的提取和备用题目的处理也是比赛的一部分。本专题将深入探讨这些领域的关键知...
2020青龙络安全竞赛复盘
青龙”,这说明该压缩包内可能包含了与2020年5月10日举行的“”活动的青龙比赛相关的内容。 ### 深入知识点 - **络安全竞赛**:可能是一个络安全竞赛的名称,这类竞赛通常围绕着信息...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值