吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1859|回复: 4
收起左侧

[CTF] 网鼎杯2020青龙组jocker

[复制链接]
骑着驴子追宝马 发表于 2021-11-13 16:53
一.程序分析首先还是将程序进行查壳


IDA打开后尝试f5,发现因为堆栈不平衡,无法直接反编译,所以修改一下


勾选堆栈指针,快捷键alt+k,将SP修改为零,如果下面还遇到同理


二.伪代码分析 int __cdecl main(int argc, const char **argv, const char **envp)
[Asm] 纯文本查看 复制代码
{
  char v4; // [esp+12h] [ebp-96h]
  char v5; // [esp+44h] [ebp-64h]
  DWORD flOldProtect; // [esp+94h] [ebp-14h]
  size_t v7; // [esp+98h] [ebp-10h]
  int i; // [esp+9Ch] [ebp-Ch]
​
  __main();
  puts("please input you flag:");
  if ( VirtualProtect(encrypt, 0xC8u, 4u, &flOldProtect) == 0 )
    exit(1);
  scanf("%40s", &v4);
  v7 = strlen(&v4);
  if ( v7 != 24 )
  {
    puts("Wrong!");
    exit(0);
  }
  strcpy(&v5, &v4);
  wrong(&v4);
  omg(&v4);
  for ( i = 0; i <= 186; ++i )
    *((_BYTE *)encrypt + i) ^= 0x41u;
  if ( encrypt(&v5) != 0 )
    finally(&v5);
  return 0;
} 


查看伪代码,直接可以看出flag字符串长度是0x18也就是24,有两个加密函数,wrong和omgwrong:首先对输入的flag的每个字节根据并1后是否为真进行了亦或下标的操作char *__cdecl wrong(char *a1)
[Asm] 纯文本查看 复制代码
{
  char *result; // eax
  signed int i; // [esp+Ch] [ebp-4h]
&#8203;
  for ( i = 0; i <= 23; ++i )
  {
    if ( i & 1 )
    {
      result = &a1[i];
      a1[i] -= i;
    }
    else
    {
      result = &a1[i];
      a1[i] ^= i;
    }
  }
  return result;
}


omg:wrong得到的结果跟一个全局变量unk_4030C0比较int __cdecl omg(char *a1)
[Asm] 纯文本查看 复制代码
{
  int result; // eax
  int v2[24]; // [esp+18h] [ebp-80h]
  int i; // [esp+78h] [ebp-20h]
  int v4; // [esp+7Ch] [ebp-1Ch]
&#8203;
  v4 = 1;
  qmemcpy(v2, &unk_4030C0, sizeof(v2));
  for ( i = 0; i <= 23; ++i )
  {
    if ( a1[i] != v2[i] )
      v4 = 0;
  }
  if ( v4 == 1 )
    result = puts("hahahaha_do_you_find_me?");
  else
    result = puts("wrong ~~ But seems a little program");
  return result;
}


可以简单还原出来,但发现是一个假的flag


脚本:
[Python] 纯文本查看 复制代码
result="fkcd\x7fagd;Vka{&;Pc_MZq\x0c7f"i=0
flag=""
for j in result:
    if(i&1):
        flag+=chr(ord(j)+i)
    else:
        flag+=chr(ord(j)^i)
    i+=1
print flag


三.smc自修改代码在下面分析时,发现一个encrpt函数,但f5并不能反汇编成功


[C++] 纯文本查看 复制代码
for ( i = 0; i <= 186; ++i )
    *((_BYTE *)encrypt + i) ^= 0x41u;
  if ( encrypt(&v5) != 0 )
    finally(&v5);


这里的for循环应该是把程序里加壳的部分给脱壳,所以动态调试,也因为看到这么多次的循环,猜测为smc自修改代码 意思是自我修改的代码,使程序在运行时自我修改。
$$
用途包括:1) 使一些重要的跳转位置爆破无效化 (以 smc 对重要位置进行覆写)2) 使一些重要代码隐藏 (在必要时才实时产生重要代码段,防止程序被人静态分析,也防止一些透过搜寻的破解方法)
$$
在汇编视图的界面,可以看到对一个函数进行了一些操作,很明显可以看出右边的操作是循环对这个函数进行解密,解密之后直接调用,进去这个函数会发现是一堆乱码。




所以OD直接定位到这个函数,下断点,


这一部分对应的是刚才的for循环


f7进入call,会发现这里已经解密


用olldump直接脱壳


这时候就可以用IDA的f5静态调试了int __cdecl sub_401500(int a1)
[C++] 纯文本查看 复制代码
{
  int v2[19]; // [esp+1Ch] [ebp-6Ch]
  int v3; // [esp+68h] [ebp-20h]
  int i; // [esp+6Ch] [ebp-1Ch]
&#8203;
  v3 = 1;
  qmemcpy(v2, &unk_403040, sizeof(v2));
  for ( i = 0; i <= 18; ++i )
  {
    if ( (char)(*(_BYTE *)(i + a1) ^ aHahahahaDoYouF[i]) != v2[i] )
    {
      puts("wrong ~");
      v3 = 0;
      exit(0);
    }
  }
  if ( v3 == 1 )
    puts("come here");
  return v3;
} 


对输入的内容和hahahaha_do_you_find_me?这个字符串进行异或,然后和一个全局变量进行比较,注意只异或了19个字节,然后写出脚本还原一下:
[Python] 纯文本查看 复制代码
result2="\x0e\x0d\x09\x06\x13\x05\x58\x56\x3e\x06\x0c\x3c\x1f\x57\x14\x6b\x57\x59\x0d"
flag=""
haha="hahahaha_do_you_find_me?"
for i in range(19):
    flag+=chr(ord(haha[i])^ord(result2[i]))
print(flag)
&#8203;flag{d07abccf8a410c


只有十九个字节,还缺少五个,IDA中看程序的逻辑发现调用flag校验函数之后还有一个finally函数,这个函数正常执行是执行不到的,这个函数同样是加密的,从刚刚从OD中脱出来的程序中可以看到这个函数的明文:int __cdecl sub_40159A(_BYTE *a1)
[Python] 纯文本查看 复制代码
{
  unsigned int v1; // eax
  int result; // eax
  char v3; // [esp+13h] [ebp-15h]
  char v4; // [esp+14h] [ebp-14h]
  char v5; // [esp+15h] [ebp-13h]
  char v6; // [esp+16h] [ebp-12h]
  char v7; // [esp+17h] [ebp-11h]
  int v8; // [esp+18h] [ebp-10h]
  int v9; // [esp+1Ch] [ebp-Ch]
&#8203;
  v3 = '%';
  v4 = 't';
  v5 = 'p';
  v6 = '&';
  v7 = ':';
  v1 = time(0);
  srand(v1);
  v9 = rand() % 100;
  v8 = 0;
  if ( (*a1 != '%') == v9 )
    result = puts("Really??? Did you find it?OMG!!!");
  else
    result = puts("I hide the last part, you will not succeed!!!");
  return result;
} 


这里每次得数都是随机的,根本无法爆破,因为flag最后一个字节一定是‘}’,那么用‘:’^‘}’=0x47,然后使用“%tp&:”分别异或0x47得到最后5个字节。 完整的脚本:
[Python] 纯文本查看 复制代码
result2="\x0e\x0d\x09\x06\x13\x05\x58\x56\x3e\x06\x0c\x3c\x1f\x57\x14\x6b\x57\x59\x0d\x47\x47\x47\x47\x47"
flag=""
haha="hahahaha_do_you_fin%tp&:"
for i in range(24):
    flag+=chr(ord(haha[i])^ord(result2[i]))
print(flag)flag{d07abccf8a410cb37a}

免费评分

参与人数 1威望 +1 吾爱币 +20 热心值 +1 收起 理由
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

qiweiview 发表于 2021-11-18 22:19
酷,学习了
头像被屏蔽
yyspawn 发表于 2021-11-19 09:40
thams 发表于 2021-11-22 15:51
binghe01 发表于 2024-10-19 10:42
谢谢楼主学习到了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-22 11:02

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表