2018年强网杯初赛 逆向题目 hide writeup (超详细)

这道题有壳,strings搜索是upx3.91。但是不能用upx -d。只好手动脱壳了。

难点在于本题目有反调试,有些函数不能步过。

首先研究壳。

2018年强网杯初赛 逆向题目 hide writeup (超详细)_第1张图片

第一句call必须步入。

2018年强网杯初赛 逆向题目 hide writeup (超详细)_第2张图片

Sub_44f1c5必须步入。

 

Sub_44F1C5中,

2018年强网杯初赛 逆向题目 hide writeup (超详细)_第3张图片

0x44f214的rep指令把0x400000到0x44f248复制到0x800000位置。

0x44f22c处,rbp是0x84efb5。这句话是start处的第二条指令。这里不必步入。如果步入,

在44EFCB处的call    sub_44F020,再步过就会卡死(不知道为什么,奇怪!如果卡死,按ctrl+c可以只是终止而不退出gdb);步入之后可以使用finish命令运行到函数外,即0x44F22E处pop     rcx。

在0x44f22f retn之后,到达0x84f248:  call   0x84f2ac。

0x84f2ac是一开始没有复制的地址,可以考虑是0x84efb5的代码形成的新代码。此处内存开辟是在系统调用mmap处,刚开辟后此处全为0.

此时可以dump出来0x800000处的内存,见dump2.(我修改了ep,va,filesize)

2018年强网杯初赛 逆向题目 hide writeup (超详细)_第4张图片

接着运行到0x84f31c:  call   0x84f782,可以步过。

在0x84f339:  jmp    QWORD PTR [r15],跳转到0x40000c

此时可以dump处0x400000处的内存,见文件bindump.so。这就是脱壳后的文件了,但是不能运行,不清楚原因。可以看到ep是0x400890。

 

0x40000c:     syscall(调用号11,sys_munmap,解除内存映射)

0x40000e:     ret   

上面两处是elf头部的padding中存储的,感叹做的壳之精准。

ret之后到达:

0x400890:     xor    ebp,ebp

 

下一部分,分析主逻辑。

2018年强网杯初赛 逆向题目 hide writeup (超详细)_第5张图片

发现Enter the flag出现了两次。

按照程序执行过程只会执行上面一个。

2018年强网杯初赛 逆向题目 hide writeup (超详细)_第6张图片

2018年强网杯初赛 逆向题目 hide writeup (超详细)_第7张图片

从流程图上可以看到左枝非正常退出,猜测和反调试有关,进入43f380函数,看到调用了ptrace的系统调用,确实是反调试。由于没有脱壳成功,这里没办法修改判断条件,只好用gdb脚本修改eflags寄存器了。

接着分析0x4009AE函数:


这个时候就应该认识到这是错误的分支了,毕竟告诉你是错的flag了。但是我继续分析了,


具体函数还没有写入。根据动态调试,最后比较字符串的函数是42D820.

2018年强网杯初赛 逆向题目 hide writeup (超详细)_第8张图片

仔细分析逻辑,需要保证输入地址的64字节和目标地址的64字节相等,而只能输入32字节,根本不能实现。

废了很久时间之后,想到了另一处Enter the flag。

2018年强网杯初赛 逆向题目 hide writeup (超详细)_第9张图片

这里并未被ida识别成函数,0x4c8ef4处是我标记的函数,从这里标记可以使函数能使用f5.由于原程序并不会执行到此处,需要gdb脚本中修改pc值。

2018年强网杯初赛 逆向题目 hide writeup (超详细)_第10张图片

下面是可以快速进入关键位置的gdb脚本。

#!/bin/bash
file hide
b *0x44f22f
r
si
si
d
b *0x84f339  
#jmp    QWORD PTR [r15];0x40000c
c
d
si
si
si
b* 0x4009EF
c
set $rip=0x4C8EBC
b *0x4c8f11
c
set $eflags = $eflags |(1<<6)
5
b *0x4C8D09
c
c
d
b *0x4C8DFB
c

下面是本题目的exp

#coding=utf-8
import struct
import string
def u32(data):
    return struct.unpack("> 5
        edx = v30 ^ v2c
        v30 = (v3 + edx) & 0xffffffff

        v28 = (v4_4_arr[i+1] >> 11) & 3
        edx = u32(CONST_STR[v28 * 4:(v28 + 1) * 4])
        v2c = (v4_4_arr[i+1] + edx) & 0xffffffff  # xxxx
        # print 'v2c',hex(v2c)
        print v30 ^ v2c
        v4 = (v4+0x100000000-(v30 ^ v2c)) & 0xffffffff

        v30 = (v4 << 4) & 0xffffffff
        v2c = v4 >> 5
        edx = v30 ^ v2c

        v30 = (v4 + edx) & 0xffffffff

        v28 = v4_4_arr[i] & 3
        edx = u32(CONST_STR[v28 * 4:(v28 + 1) * 4])
        v2c = (v4_4_arr[i] + edx) & 0xffffffff

        v3 = (v3+0x100000000-(v30 ^ v2c)) & 0xffffffff

        print 'round',i,v3,v4
    byte_arr_8[0:4] = p32(v3)
    byte_arr_8[4:8] = p32(v4)
    return byte_arr_8
def xor16(byte_arr_16):
    for i in range(0,16):
        byte_arr_16[i]^=i
def re_all(str16):
    byte_arr = bytearray(str16)
    xor16(byte_arr)#传入整个bytearray,就是传入地址
    byte_arr[0:8] = re_block(byte_arr[0:8])#传入部分bytearray,就是复制之后再传入
    byte_arr[8:16] = re_block(byte_arr[8:16])
    xor16(byte_arr)
    byte_arr[0:8] = re_block(byte_arr[0:8])
    byte_arr[8:16] = re_block(byte_arr[8:16])
    xor16(byte_arr)
    byte_arr[0:8] = re_block(byte_arr[0:8])
    byte_arr[8:16] = re_block(byte_arr[8:16])
    return str(byte_arr)


def block(str8):
    i=0
    input1=bytearray(str8)
    v3 = u32(input1[8 * i:8 * i + 4])
    v4 = u32(input1[8 * i + 4:8 * (i + 1)])
    v4_4 = 0  ##0000
    for j in range(0, 8):

        v30 = (v4 << 4) & 0xffffffff
        v2c = v4 >> 5
        edx = v30 ^ v2c

        v30 = (v4 + edx) & 0xffffffff

        v28 = v4_4 & 3
        edx = u32(CONST_STR[v28 * 4:(v28 + 1) * 4])
        v2c = (v4_4 + edx) & 0xffffffff

        v3 = ((v30 ^ v2c) + v3) & 0xffffffff


        v4_4 = (v4_4 + CONST) & 0xffffffff

        v30 = (v3 << 4) & 0xffffffff
        v2c = v3 >> 5
        edx = v30 ^ v2c
        v30 = (v3 + edx) & 0xffffffff

        v28 = (v4_4 >> 11) & 3
        edx = u32(CONST_STR[v28 * 4:(v28 + 1) * 4])
        v2c = (v4_4 + edx) & 0xffffffff  # xxxx
        print v30 ^ v2c
        v4 = ((v30 ^ v2c) + v4) & 0xffffffff

        print 'round', j, v3, v4

    input1[8 * i:8 * i + 4] = p32(v3)
    input1[8 * i + 4:8 * (i + 1)] = p32(v4)
    str8_1=str(input1)
    return str8_1
def block2(str8):
    input1 = bytearray(str8)
    for i in range(0,8):
        input1[i]=input1[1]^i
    return str(input1)
des = ('52B8137F358CF21B'+'F46386D2734F1E31').decode('hex')
print len(des)

print block('12345678').encode('hex')
des1 = '5b90ef3f91b58fe6'.decode('hex')
print re_all(bytearray(des))


你可能感兴趣的:(CTF,WP)