giantbranch 发表于 2016-8-22 22:04

合天网安实验室CTF练习赛之RE100,RE200

本帖最后由 giantbranch 于 2016-8-24 21:25 编辑

文章技术含量不高,是我最近申请id时的文章
我的博客原文:http://blog.csdn.net/u012763794/article/details/51737802


文末有附件下载
挑战地址:http://www.hetianlab.com/CTFrace.html


逆向100先把后缀改为.apk吧

安装看看吧,
输入密码,随便输入,点击Enter没任何反应,应该是输入正确后才会有提示flag什么的

http://img.blog.csdn.net/20160622232125351?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


那我们反编译看看
http://img.blog.csdn.net/20160622232413633?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


反编译就看到明文比较了
http://img.blog.csdn.net/20160622232545462?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


输入后直接出flag了
http://img.blog.csdn.net/20160622233158130?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center



逆向200
打开看看,应该是先输入第一个password,正确了才让你输入第二个password,第一个错误了就直接退出了
查壳没有加壳
http://img.blog.csdn.net/20160622233709248?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center

那我们下一个退出断点,其实下一个strcmp断点更快
http://img.blog.csdn.net/20160622234927926?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center

从反汇编跟随就可以找到用户领空的退出代码,ctrl+a分析一下,发现有个跳转跳过来,直接跟过去,
http://img.blog.csdn.net/20160622234941812?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center

下个断点,跟进去
http://img.blog.csdn.net/20160622235044439?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center

一直f8,都可以看到真的password了
http://img.blog.csdn.net/20160622235110611?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center

测试一下,确实是
http://img.blog.csdn.net/20160622235205081?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


当然借助一下ida,就更加容易看到了

http://img.blog.csdn.net/20160623004056087?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


看看过了level1后又会怎样

http://img.blog.csdn.net/20160623004153694?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


发现这个应该是反调试的
http://img.blog.csdn.net/20160623092926721?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


下面从某处复制的
新增的AddVectoredExceptionHandler 这个API将一个指向函数的指针作为参数,把这个函数的地址添加到已注册的异常处理程序链表中。

那么这里的int3异常会交给异常处理程序链表中第一个处理函数处理,假如调试器处理这个异常,我们就到不了那里了,所以od的设置一定要忽略所以异常,让程序或系统自己处理

具体是在哪设置的呢,其实这里不用知道也可以,知道就更好了,如下图,可以直接去到40157f,删除一下分析就可以看到代码了

http://img.blog.csdn.net/20160623094025156?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


不知道这个怎么办呢,我们可以用退出函数断点啊,也可以根据堆栈的反汇编跟随到达password2的代码

http://img.blog.csdn.net/20160623094547211?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


那么401547的代码肯定是关键了,f7跟进,我们可以看到作者设定的常量了

http://img.blog.csdn.net/20160623094639306?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


那么接下来做了什么呢,首先判断是否到达字符串的结尾,这里作者设定的是二进制的02为结尾

http://img.blog.csdn.net/20160623094900231?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


那么具体的算法下面已注射的比较清楚了

http://img.blog.csdn.net/20160623094828262?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


当然也可以借助ida,不过通过汇编看学得更多哦

http://img.blog.csdn.net/20160623095305669?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


弄懂这个简单的算法后,我们可以把je改为jmp

http://img.blog.csdn.net/20160623095028480?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


直接在cmp处下断点,不断f9,记下al中的每个字母,password2就出来了

http://img.blog.csdn.net/20160623095114203?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


成功

http://img.blog.csdn.net/20160623095226877?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


当然也可以写个脚本

http://img.blog.csdn.net/20160623095327832?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


最终flag: r0b0RUlez!_w3lld0ne



giantbranch 发表于 2016-11-15 15:18

1041218591 发表于 2016-11-15 13:53
LZ。基础题1的flag难道不是666C61677B68315F6337667D这个吗?

那个是源码中的ASCII码

Gnod 发表于 2016-11-15 13:53

LZ。基础题1的flag难道不是666C61677B68315F6337667D这个吗?

caroot1996 发表于 2016-8-23 13:25

mark一下,学习学习

Sound 发表于 2016-8-23 23:58


很不错的文章,希望再接再厉。期待你的更多作品。

suno 发表于 2016-8-24 08:49

涉及到的bin能不能一并放出?

giantbranch 发表于 2016-8-24 21:16

suno 发表于 2016-8-24 08:49
涉及到的bin能不能一并放出?

涉及到的文件已放出,方便下载

wgz001 发表于 2016-8-25 06:32

不错,第二个CM好像在哪里看到过

suno 发表于 2016-8-25 11:52

giantbranch 发表于 2016-8-24 21:16
涉及到的文件已放出,方便下载

谢谢,这样就方便多了

ryland 发表于 2016-8-26 17:55

看起来不错的

xiaohong 发表于 2016-8-28 19:35

学习学习

xiaohong 发表于 2016-8-29 16:34

期待你的更多作品
页: [1] 2
查看完整版本: 合天网安实验室CTF练习赛之RE100,RE200


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn