吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4959|回复: 36
收起左侧

[CTF] 看雪2019的一道ctf题目的算法分析

  [复制链接]
Panel 发表于 2022-3-6 20:51
本帖最后由 2367765883 于 2022-3-7 13:02 编辑

算法分析:看雪CTF2019的一道逆向题目

1.查看程序的基本运行逻辑

1

1

出现一个窗口,有一个提示标签password、一个输入框,一个验证按钮

2

2

当再输入框内输入一些字符按下验证按钮后出现错误提示信息框
其运行逻辑大概可视为下图

3

3

2.查壳初探

MFC封装vc写的没壳

4

4

3.使用IDA Pro进行静态分析

①拖入程序,先打开函数调用情况窗口(方便函数跟踪)

5

5

②shift+F12查看引用字符

看到了刚才错误的提示字符“错了”,还有嫌疑字符“pass!”,那我们找到pass字符所在的位置查看引用情况

6

6

③查看引用,找到引用函数
发现pass!字符的引用的函数是sub_401770,跟进去

7

7

跟进来看到的信息可以直接判断sub_401770这个函数就是输入提示我们输入的password是正确的函数

8

8

④跟踪函数调用情况,直至找到最终调用者
(1)做一个小提示:在ida中我们看到的函数都是一个以sub_函数地址值来命名这个函数,不便于我们分析,所以我们只用将光标放在函数名字上按下n键就可以更改为我们便于理解和记住的名字(不可以用中文)
先将sub_401770改名为Tip_Success,通过函数调用表点击Caller字符函数名就会跳转Instruction字段函数的对应的调用者

9

9

(2)跟进发现sub_4017F0函数中有关键逻辑

10

10

将Str1与"KanXueCTF2019JustForhappy"作对比,如果相等则执行了提示成功的函数Tip_Success,那我们可以直接推测Str1就是Flag最后的变换值
(3)查找伪代码中的关于Str1的逻辑语句
单机Str1看到了Str1是一个字符型数组局部变量,大小为28,经历了一个while中的计算

11

11

代码中涉及了v4和a1,v4可以看到是一个初始化值为0的整型变量,a1则是一个该函数的形参,那说明此时我们要重点寻找a1.
分析循环体
 while ( *(_DWORD *)(a1 + 4 * v4) < 62 && *(_DWORD *)(a1 + 4 * v4) >= 0 )
  {
    Str1[v4] = aAbcdefghiabcde[*(_DWORD *)(a1 + 4 * v4)];
    ++v4;
  }
第二步我提到过Str1变量已经可以确定是Flag最后的变换值
查看循环体内,其意思便是只要a1 + 4 v4这个地址里面的内容小于62并且大于等于0则将a1 + 4 v4地址的值作为aAbcdefghiabcde数组的下标,然后将对应的aAbcdefghiabcde数组内容赋值给Str1
那么我们去查看一下aAbcdefghiabcde数组的元素是什么?算击aAbcdefghiabcde数组名字查看内容
原来就是一串字符

12

12

此时分析到这里基本这个函数就分析完了,我们如果要继续分析则必须先找出a1到底是什么?
继续通过函数调用表找到sub_4017F0(我们改名为Check_Encryption)函数的调用者
跟进来以后看到了Check_Encryption函数中的形参就是此时函数sub_401890中的一个整型数组v5的首地址(该数组大小为26)

13

13

那我们此时就重点跟踪v5的值了

14

14

红框框住的就是一些mfc组件的代码,不用管,可以看到,v5的变化初始化和变化来自于Str数组,
那么Str又是什么呢,仔细看从上往下第一个箭头指向的地方GetBuffer函数,这个函数会返回一个缓冲区指针,Str来接收了,说明Str很有可能就是我们输入的password所在的地址,再往GetBuffer下看一行遍看到了一个if语句
判断Str长度是否为0,也就是判断是否空,空的话就执行了return语句,不为空的话就进行了一系列关于v5和Str的计算,那么此时可以直接肯定Str就是我们输入的字符所在地址

15

15

通过代码又可以看出我们输入的password存到Str后进行了一系列if判断后计算赋值给了v5,而v5的值又作为了Check_Encryption函数的唯一实参
 if ( strlen(Str) )
  {
    for ( i = 0; Str[i]; ++i )
    {
      if ( Str[i] > 57 || Str[i] < 48 )
      {
        if ( Str[i] > 122 || Str[i] < 97 )
        {
          if ( Str[i] > 90 || Str[i] < 65 )
            sub_4017B0();
          else
            v5[i] = Str[i] - 29;
        }
        else
        {
          v5[i] = Str[i] - 87;
        }
      }
      else
      {
        v5[i] = Str[i] - 48;
      }
    }
    result = Check_Encryption((int)v5);
  }
  else
  {
    result = CWnd::MessageBoxA(v8, "请输入pass!", 0, 0);
  }
(4)梳理大概逻辑

16

16

(5)我们按照从头到尾的顺序来分析这个程序
既然我们知道了我们输入的password是被Str指向(可以理解为Str是个字符数组存了我们输入的password),那么我们试试是否可以从sub_401890这个函数推出Str

17

17

阅读代码,可以得到Str[i]在此时可以有三种情况,所以此时我们不可以确定Str的唯一性,也就是我们不可以在这里得到Str(我们输入的)具体是多少,只能得到范围,那么就继续分析后面一步,跟进Check_Encryption函数
(6)分析Check_Encryption关键代码
  v4 = 0;
  v3 = 0;
  while ( *(_DWORD *)(a1 + 4 * v4) < 62 && *(_DWORD *)(a1 + 4 * v4) >= 0 )
  {
    Str1[v4] = aAbcdefghiabcde[*(_DWORD *)(a1 + 4 * v4)];
    ++v4;
  }
阅读代码可知,(_DWORD )(a1 + 4 * v4)的作用便是遍历上一个函数v5的每一个元素,若每一个元素满足小于62并且大于0的话则将v5对应的每一个元素作为aAbcdefghiabcde数组的下角标,将对应的aAbcdefghiabcde元素赋值给Str1,之前提过Str1是最后的Flag变换结果
while ( *(_DWORD *)(a1 + 4 * v4) < 62 && *(_DWORD *)(a1 + 4 * v4) >= 0 )
  {
    Str1[v4] = aAbcdefghiabcde[*(_DWORD *)(a1 + 4 * v4)];
    ++v4;
  }
  Str1[v4] = 0;
  if ( !strcmp(Str1, "KanXueCTF2019JustForhappy") )
    result = Tip_Success();
  else
    result = sub_4017B0();
作者设计,如果最后的Flag遍结果等于“KanXueCTF2019JustForhappy”则提示成功,那由上我们就可以写脚本得到v5的值
char encryption[] = "KanXueCTF2019JustForhappy";
        char text[] = "abcdefghiABCDEFGHIJKLMNjklmn0123456789opqrstuvwxyzOPQRSTUVWXYZ";
        for (int i = 0; i <= strlen(encryption); i++)
        {
                for (int j = 0; j <= strlen(text); j++)
                {
                        if (encryption[i] == text[j])
                        {
                                //printf("%d--", j);
                                v5[i] = j;
                        }
                }
此时我们既然得到了v5的值那么就可以去分析上一个函数sub_401890得到Str(我们输入的password)了
 for ( i = 0; Str[i]; ++i )
    {
      if ( Str[i] > 57 || Str[i] < 48 )
      {
        if ( Str[i] > 122 || Str[i] < 97 )
        {
          if ( Str[i] > 90 || Str[i] < 65 )
            sub_4017B0();
          else
            v5[i] = Str[i] - 29;
        }
        else
        {
          v5[i] = Str[i] - 87;
        }
      }
      else
      {
        v5[i] = Str[i] - 48;
      }
    }
这个循环结构就是判断Strp[i]是否在一个规定的范围,通过Str[i]所属的范围来进行加密或者推=退出程序,因为v5是Str[i]-常数得到的,那么我们就可以用v5+常数来判断Str[i]的范围以及确却数值了,反推代码如下,input数组就是Str(用户输入)
for (int i = 0; i <= 26; i++)
        {
                if (48 <= (v5[i] + 48) && (v5[i] + 48) <= 57)
                {
                        input[i] = v5[i]+48;
                }
                if (97 <= (v5[i] + 87) && (v5[i] + 87) <= 122)
                {
                        input[i] = v5[i]+87;
                }
                if (65 <= (v5[i] + 29) && (v5[i] + 29) <= 90)
                {
                        input[i] = v5[i] + 29;
                }
        }
最后写出第一轮和第二轮的解密代码,即可得到flag
#include <stdio.h>
#include <Windows.h>
int main()
{
        int input[26] = { 1 };
        int v5[26] = {1};
        int Str[26] = { 1 };
        char encryption[] = "KanXueCTF2019JustForhappy";
        char text[] = "abcdefghiABCDEFGHIJKLMNjklmn0123456789opqrstuvwxyzOPQRSTUVWXYZ";
        for (int i = 0; i <= strlen(encryption); i++)
        {
                for (int j = 0; j <= strlen(text); j++)
                {
                        if (encryption[i] == text[j])
                        {
                                //printf("%d--", j);
                                v5[i] = j;
                        }
                }
        }
        for (int i = 0; i <= 26; i++)
        {
                if (48 <= (v5[i] + 48) && (v5[i] + 48) <= 57)
                {
                        input[i] = v5[i]+48;
                }
                if (97 <= (v5[i] + 87) && (v5[i] + 87) <= 122)
                {
                        input[i] = v5[i]+87;
                }
                if (65 <= (v5[i] + 29) && (v5[i] + 29) <= 90)
                {
                        input[i] = v5[i] + 29;
                }
        }
        for (int i = 0; i < 26; i++)
        {
                printf("%c",input[i]);
        }
        return 0;

}

cm.zip (4.83 KB, 下载次数: 6)

免费评分

参与人数 5威望 +1 吾爱币 +24 热心值 +5 收起 理由
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
liuqingyao + 1 + 1 非常感谢,学习一下
snakenba580 + 1 + 1 谢谢@Thanks!
dingallen216 + 1 + 1 我很赞同!
cyhcuichao + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Panel 发表于 2022-3-7 11:14
kw1983 发表于 2022-3-7 11:03
还以为找到str就差不多了 后面这一波操作看的头晕……

尝试着自己去分析下载根调用者函数中的for结构体
 楼主| Panel 发表于 2022-3-6 23:31
chinavy 发表于 2022-3-6 23:29
我什么时候能达到楼主这个水平?

慢慢来,我的这个其实很简单,我也是正在学习中
 楼主| Panel 发表于 2022-3-6 20:53
视频正在审核,大家先根据我的解密代码分析
northwindowo 发表于 2022-3-6 22:14
学习了学习了
wyn912005 发表于 2022-3-6 22:34
支持一下
chinavy 发表于 2022-3-6 23:29
我什么时候能达到楼主这个水平?
 楼主| Panel 发表于 2022-3-6 23:30
@Hmily 最后我还是决定写了贴,我想努力写贴到有朝一日某一贴的标题变红
miser 发表于 2022-3-6 23:50
感谢楼主分享,支持一下!
miser 发表于 2022-3-7 00:25
感谢楼主分享,支持一下!
CCQc 发表于 2022-3-7 06:38
感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-23 06:51

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表