180728 逆向-SMC出题笔记

在某黑哥的指示下给他加紧出两个题目~

最先想到的就是34c3ctf时做过的SMC题目,那个随机数混杂着自解密真的是让我久久无法忘怀

SMC题目的核心就在于自解密时的key
如果key不提供,那么考点就在于大量x86汇编中一般\x00出现的是最多的
而这需要基于一定量的代码之上才能猜出,而且这种题目相对而言可玩的花招要少很多

于是选择了将key由一个.init_array中的函数动态生成

下一步是自解密代码如何加密放在程序中
由于我们只能写出解密代码(编译前的高级语言),因此有两种方法
一种是先写好代码,编译后令程序将其加密,然后作为data输出字节码,最后将字节码保存在目标程序中
第二种是直接写目标程序,将需要加密的代码段通过Patch来重写。这一点作为逆向选手来说,IDC/IDAPYTHON脚本的Patch是驾轻就熟了,所以我选择了后者

Patch的时候想起来IDC对数组的支持非常反人类,明明语法类C,却不具备数组功能,查了一下据说需要使用Array函数来创建,试了一下也没成功,直接换IDAPython
只要记住API,IDAPython好用多了嘛XD

脚本:

def patch(start, end, key):
    n = 0
    while(start + n!=end+1):
        addr = start + n
        PatchByte(addr, Byte(addr)^key[n%len(key)]
        n += 1
    print("%d Byte has been changed" % n-1)

搞好以后运行疯狂报SIGABRT
动调以后发现是.text段不具备写权限
同样的,如果使用第一种方法,那么.data段解密完成以后是不具备执行权限的

因此需要使用mprotect来修改页属性

理论上来说,应该可以直接修改section的属性,但是我用010Editor查看的时候并对不上号,不知道问题出在哪里..

而mprotect操作的单位必须是页,第一个参数必须指向页起始地址。
最坑的是这些系统函数执行失败并不会报异常,而是返回-1,并设定perror的值

纠结许久以后找到一个示例

  long pageSize = sysconf(_SC_PAGESIZE);
  void *pageStart = (void*)((long)p - (long)p % pageSize);

其中p是目标地址(的指针)

然后通过mprotect(pageStart, pageSize, PROT_WRITE|PROT_EXEC)即可设置可写可执行属性了

你可能感兴趣的:(CTF,CrackMe)