CTF--2016XDCTF全国网络安全大赛之reverse5
0x01 题目介绍
题目名称
reverse5
题目描述
File: reverse5.exe
Size: 121344 bytes
File Version: 1.0.0.1
Modified: Friday, September 30, 2016, 01:24:54
MD5: 01C16460135B1BA4BCA48E3AB0173A17
SHA1: 06ACD42197A5F52A9CCFEC0B12EE52F647B1E71D
CRC32: 1D3A0115
0x02 解题要点
运行程序显示,随便输入数字字符串点击按钮,没有任何提示。
IDA载入看看,等待分析完成,选中代码部分,键盘F5实现伪代码转化。
然后找到入口函数_WinMain@16
进入之后到了主函数入口,红色标记位置是内部系统main函数的真正入口。
下面的才是真正的函数入口,也就是我们用户经常开发编写的代码入口函数winmain函数。
下图是进入主函数之后的主要代码部分
进入之后发现有线程函数创建,注意此处标记。跟踪进去,看线程函数实体。
也就是线程函数部分,是主要的执行体。
跟踪进去,看线程函数实体。发现主要是反调试和一些干扰花指令
IsDebuggerPresent函数 https://msdn.microsoft.com/en-us/library/ms680345.aspx
花指令函数和无用的代码分支
然后继续往下分析代码,左侧为命令参数,右侧为对话框入口。
说明程序接收了外部的命令行参数,实现了数据的输入。
底部有对应的窗口函数创建,就是一开始我们双击之后的用户输入编辑框和确认检查按钮。
注意DialogFunc函数,是一个窗口回调函数,实现的是消息的实体循环处理部分。不太懂的
可以看windows的消息机制。
进入窗体处理,ID为1001的情况下进入这个分支。发现有关键函数。
获取文本内容函数GetWindowTextA,
https://msdn.microsoft.com/en-us/library/windows/desktop/ms633520(v=vs.85).aspx
和计算文本长度函数GetWindowTextLengthA。
https://msdn.microsoft.com/en-us/library/windows/desktop/ms633521(v=vs.85).aspx
同样的,也发现使用了数据设置和退出函数。
SetWindowText函数 https://msdn.microsoft.com/en-us/library/windows/desktop/ms633546(v=vs.85).aspx
进入窗体处理,ID为2的情况下进入这个处理。发现有用户自定义的内部函数
进入窗体处理查看初始化,发现1001和1002为句柄赋值关键函数。
那么这之间到底有什么关联吗?多个ID可能触发多个事件。
文中没有解释的相关函数读者可以自己查阅微软官方文档。
https://msdn.microsoft.com/en-us/library/windows/desktop/ff468925(v=vs.85).aspx
然后联系前面的代码中出现的ID事件,那么分析发现1001的ID事件是个花指令干扰,
因为无论你怎么填写数据到输入框,都不能计算正确。因为没有获取此事件进行处理,
也就是根本没有读取你的输入窗口数据。因为1001标记是程序的按钮。
而1002才是输入框标记。
那么根据前面的分析,那么我们抛弃1001的思路,进入1002,发现并没有处理1002的事件代码。
于是陷入了死循环。此时,我们注意我们的程序前面分析的执行流程,发现有个窗口之前,
命令行指令数据操作,于是跳转到此处。byte_41B3B0可疑之处。
跟踪到此处变量引用的地方,发现在事件处理结束后,有代码操作。事件ID为无符号整数2。
进入此处,发现有对用户命令输入参数的代码处理过程,于是推断此处才是真正的逆向分析的考点。
经过程分析,跟踪调试。
过程和算法为des,base64算法和xor异或算法.执行顺序
sub_401020((int)&byte_41B3B0, v5, (int)&v7)//base64运算
sub_402DB0(&v7, (int)&v18)
//xor异或运算
sub_4024F0((int)&v7, v26, &v9, (int)v16)//des算法运算sub_402E20(&unk_41B370, v16)
//结果判断比较
密文数据比较追踪,&unk_41B370为静态存储的密文, v16则为用户输入之后进行运算后的密文。
相等即可。整理后为
对密文进行逆向解码,因为是对称加密算法可以还原。代码自行编写:
1 sub_4024F0((int)&v7, v26, &v9, (int)v16) //des算法运算
2 sub_402DB0(&v7, (int)&v18) //xor异或运算
3 sub_401020((int)&byte_41B3B0, v5, (int)&v7) //base64运算
结果输出为:
XDFLAG{this_1s_a_small_di8h_for_y0u_today!}
0x03 学习总结
此题目挖坑不少,选手必须清楚识别出干扰的花指令和冗余代码。
中间出现比较多的错误算法分支和事件消息处理。还有必须去除
反调试代码,方可减小阻力,实现快速解题。