吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3104|回复: 6
收起左侧

[CTF] [GKCTF2021] SoMuchCode

  [复制链接]
Y1rannn 发表于 2022-1-28 15:05

很惭愧,这篇题解写的并不是很好,因为我平时刷题的题解都是做题笔记,并不像比赛上交的题解那样直入主题,做破解的时候肯定要尝试猜测,会走很多弯路,比赛题解不会记载这些弯路,而做题笔记会.

这样的笔记更能让读者了解到我到底是怎么做的,这也是我入门期期望能读到的东西. 直接向答案去的题解虽然能看懂,但是只是授之以鱼, 很难让我积累太多经验,当然,复现的时候也是经验的积累

为什么说这篇题解写的不好呢,因为走的弯路实在是有点多,把无效的分析当重点,最后才发现题的核心部分只有短短一段,而且很好识别,如果早些采用这个路线,这道题早就做出来了.但是我还是把它发出来了,希望各位师傅看到其中的缺点也能加以指导吧.

这是一道核心加密为XXTEA,并且加了大量混淆的普通加密逆向, 废话就说到这儿,下面上做题过程

屏幕截图 2022-01-28 110904.png

这题的名字叫SoMuchCode, 先来欣赏一下main的长度
屏幕截图 2022-01-28 111017.png

这是把最上面放大了的,可以看到跳转也不是特别清晰,跳来跳去的.

但是还是那句话,我们在做题而不是实战, 既然是题,它就是为了我们能做出来而生的. 类似这种超长的,难以人力分析的, 无非两种情况:有固定模式或规律/用自动化解题脚本.

否则大概只有刚学C++的新手才会把一个main写这么长吧(((

通过IDA的图, 我们把这个大概分成几段结构相似/相同的代码,一一去分析

首先是这部分:

屏幕截图 2022-01-28 122432.png

这三个黄框里的代码块结构大体相似,我们先分析上面独立的代码块,再分析这部分

独立代码块里主要完成了两部分工作, 一是给一些变量赋初值:0或0xF,二是给buf2和一段明文内存放进6160函数, 动调跟了一下感觉就是一个申请内存并memcpy, 并且还动了一个Size变量的值

屏幕截图 2022-01-28 122918.png

屏幕截图 2022-01-28 123201.png

Buf2附近的内存,可以猜测这还是一个String, size就是该string的size, 声明一个结构体

看到这儿内存的中文我认为应该先运行一下看看前面是不是都是输出,都是输出就没什么好看的了, 直接分析下面的代码块好了

接下来是这样的结构,我们结合动调看看
屏幕截图 2022-01-28 123938.png

给106一个定值,然后转成字符串塞到以432+5为末尾的内存, 有点类似栈的先进后出

屏幕截图 2022-01-28 124542.png

112和113分别是字符串的首地址和末地址, 16太短了,只有两个字节,我们跳过去分析下一部分

下一部分的转化是123123, 六个字节,好看一点

之后进入一个循环:

每次从最末尾取一个char ch, 使变量tmp为(ch-48) * pow(10, k) + tmp, 也就是..再转成int.

我有亿点没懂,这int转str再转int..我们这边叫脱了裤子放屁.凡是这种脱了裤子放屁的肯定不会是人写的,就是一个混淆,不用再看了

屏幕截图 2022-01-28 125855.png

之后它进了这样一个函数,这鬼东西也好长好长好长, 但是这个dword的值是前面设置过的, 用的也同样是刚才这种方式,既然输入无关我们就不管了,等到能用上的时候直接查内存, 这里改了11A6D0-11A6D3和A700-A704

屏幕截图 2022-01-28 134540.png

接下来是23个这样的代码块
屏幕截图 2022-01-28 135658.png

这么多函数调用,我才不分析呢...

直接往后看或者看输入到底用在了哪儿把
屏幕截图 2022-01-28 140348.png

这是最后判断成功失败,左支是成功右边失败,既然前往后难以进行下去,我们试试后往前.

最后这部分是每次判断424里面是不是数字,然后对比和给定数字一不一样.

屏幕截图 2022-01-28 141213.png

我们注意到这里要377等于383,且376大于等于32才能成功.

先看377和383
屏幕截图 2022-01-28 141654.png

62c0就是10^y, 这里也就还是一个str转十进制, 我们直接动调一波,发现这两个数第一次,一个是187, 一个是92, 这显然不符合我们的要求,但是看上去又不直接是输入,我们得找到这两个数字到底是从哪来的,这两个指针一个是5F80(v423), 一个是5F80(v424)... 还是有点无从下手, 我们转头尝试从输入下手好了.

给输入打上一个硬件断点

屏幕截图 2022-01-28 143510.png

断在了1310函数的这里

你看这..<<4, >>3, >>5, << 2, XXTEA, 捏妈妈的,终于找到了

接下来要翻一翻Key就是刚刚转的内存(0x36B0, 0x13816, 0x10, 0x1E0F3), Delta很容易就能找到是0x33445566,

最后要找一下密文. XXTEA加密之后应该是32, 对应着刚刚32次对比, 这样我们就能拿到密文了.

动调,直接拿到位于A6D0的密文(基址不一样,不同情况下地址可能也会不一样

#include <cstdint>
#include <cstdio>
#define DELTA 0x33445566
#define MX (((z>>5^y<<2) + (y>>3^z<<4)) ^ ((sum^y) + (key[(p&3)^e] ^ z))) 
uint8_t ida_chars[] =
{
  0x5C, 0xAB, 0x3C, 0x99, 0x29, 0xE1, 0x40, 0x3F, 0xDE, 0x91, 
  0x77, 0x77, 0xA6, 0xFE, 0x7D, 0x73, 0xE6, 0x59, 0xCF, 0xEC, 
  0xE3, 0x4C, 0x60, 0xC9, 0xA5, 0xC0, 0x82, 0x96, 0x1E, 0x2A, 
  0x6F, 0x55
};
uint32_t key[] = {
    0x36B0, 0x13816, 0x10, 0x1E0F3
};
void btea(uint32_t *v, int n, uint32_t const key[4])  
{  
    uint32_t y, z, sum;  
    unsigned p, rounds, e;  
    if (n > 1)            /* Coding Part */  
    {  
        rounds = 6 + 52/n;  
        sum = 0;  
        z = v[n-1];  
        do  
        {  
            sum += DELTA;  
            e = (sum >> 2) & 3;  
            for (p=0; p<n-1; p++)  
            {  
                y = v[p+1];  
                z = v[p] += MX;  
            }  
            y = v[0];  
            z = v[n-1] += MX;  
        }  
        while (--rounds);  
    }  
    else if (n < -1)      /* Decoding Part */  
    {  
        n = -n;  
        rounds = 6 + 52/n;  
        sum = rounds*DELTA;  
        y = v[0];  
        do  
        {  
            e = (sum >> 2) & 3;  
            for (p=n-1; p>0; p--)  
            {  
                z = v[p-1];  
                y = v[p] -= MX;  
            }  
            z = v[n-1];  
            y = v[0] -= MX;  
            sum -= DELTA;  
        }  
        while (--rounds);  
    }  
}
int main() {
    uint32_t *p = (uint32_t *)ida_chars;
    btea(p, -8, key);
    for(int i = 0; i < 32; i ++ ) {
        printf("%c", ida_chars[i]);
    }
}
9b34a61df773acf0e4dec25ea5fb0e29

免费评分

参与人数 7威望 +1 吾爱币 +24 热心值 +7 收起 理由
wgf4242 + 1 + 1 给变量打硬件断点怎么操作
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
又飘小雪 + 1 + 1 我很赞同!
jxyszxf + 1 我很赞同!
笙若 + 1 + 1 谢谢@Thanks!
sohuso + 1 + 1 我很赞同!
andytang866 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

andytang866 发表于 2022-1-28 15:18
虽然不知道干嘛用的,支持先
sohuso 发表于 2022-1-28 16:02
gxkv 发表于 2022-1-29 00:43
wgf4242 发表于 2022-4-23 21:06
今天尝试复现了一下。这里打断点是怎么操作的。没看懂。自己试了下也没成功。

怎么给变量打硬件断点

[Asm] 纯文本查看 复制代码
给输入打上一个硬件断点
 楼主| Y1rannn 发表于 2022-4-25 11:48
wgf4242 发表于 2022-4-23 21:06
今天尝试复现了一下。这里打断点是怎么操作的。没看懂。自己试了下也没成功。

怎么给变量打硬件断点

给内存地址打硬件断点
NYSECBao 发表于 2023-1-22 23:13
看不见图片,害
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-23 23:36

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表