XCTF-Reverse-ExerciseArea-011-writeup

0x00 介绍

本题是xctf攻防世界中Reverse的新手第十一题。题目来源:CSAW CTF 2014

给了一个二进制文件csaw2013reversing2.exe,需要对该二进制文件进行逆向分析,找到flag

实验环境:IDA Pro 7.0,ollydbg

本题考查的是反调试,IsDebuggerPresent函数,int 3中断

0x01 解题过程

1.1 文件分析

windows下的可执行文件,32位


root@kali:~/hzy/ctf-learning# file csaw2013reversing2.exe 
csaw2013reversing2.exe: PE32 executable (console) Intel 80386, for MS Windows
root@kali:~/hzy/ctf-learning# 

1.2 逆向分析

  1. 在windows下运行该文件,发现是一坨乱码, = =||

XCTF-Reverse-ExerciseArea-011-writeup_第1张图片

  1. 能知道的就只有Flag中止重试忽略四个字符串,在这里我先在IDA和Ollydbg里搜索字符串Flag,找到引用它的地方。[ebp-0xC]是乱码字符串的起始地址

并且在IDA中可以发现基本块0x40108C ⇒ 0x401094处,调用了数据段ds(Data Segment)的IsDebuggerPresent函数,后面判断了返回值是否为0。因此,猜测这是检查程序是否在调试的,可以看到,调试和不在调试,程序执行流是往不同的方向进行跳转的。


.text:0040108C                 call    ds:IsDebuggerPresent
.text:00401092                 test    eax, eax
.text:00401094                 jz      short loc_4010B9

  1. 一开始我先修改了IsDebuggerPresent函数的返回值,将其改为0,发现显示的还是乱码;然后我发现基本块0x4010A5 ⇒ 0x4010B7是没有入口的,因此在修改了函数返回值的基础上又修改了.text:00401094 jz short loc_4010B9的跳转地址,跳转到基本块0x4010A5 ⇒ 0x4010B7

push    2               ; uType
push    offset Caption  ; "Flag"
push    [ebp+lpMem]     ; lpText
push    0               ; hWnd
call    ds:MessageBoxA
jmp     short loc_4010CD

发现还是乱码……

  1. 最后决定在ollydbg中测试运行调试的分支会有什么结果

XCTF-Reverse-ExerciseArea-011-writeup_第2张图片

可以看到基本块0x401096 ⇒ 0x4010A3中


.text:00401096 loc_401096:                             ; CODE XREF: _main+50↑j
.text:00401096                 inc     ecx
.text:00401097                 inc     ecx
.text:00401098                 inc     ecx
.text:00401099                 inc     ecx
.text:0040109A                 int     3               ; Trap to Debugger
.text:0040109B                 mov     edx, [ebp+lpMem]
.text:0040109E                 call    sub_401000
.text:004010A3                 jmp     short loc_4010EF

有个int 3中断,为调试断点指令。然后将字符串起始地址赋值给了edx寄存器,调用了函数sub_401000。最后直接跳转到进程结束的函数调用

在ollydbg中调试,可以看到当执行完调用函数sub_401000以后,edx寄存器中的乱码内容被解密出来了,拿到flag。。并且可以看到该函数sub_401000是解密用的函数

XCTF-Reverse-ExerciseArea-011-writeup_第3张图片

flag为:flag{reversing_is_not_that_hard!}

ps: 如果还要显示在messagebox中的话,就在ollydbg中,把下面指令中的跳转地址0x003D10EF修改为003D10B9即可


003D10A3    JMP SHORT 003D10EF

你可能感兴趣的:(ctf)