buuctf刷题记录25 [WUSTCTF2020]funnyre

太巧了,昨天刚看了有关angr的视频今天就碰到有关的题目了

这道题考察两点吧:1.简单的花指令去除 2.在有限域上简化

无壳,ida64打开,发现不能f5,而且也没有main函数,判断应该是用了混淆

从上往下看汇编代码,找到第一处问题

buuctf刷题记录25 [WUSTCTF2020]funnyre_第1张图片

这里jz和jnz一看就有问题,下面的数据也是胡扯,然后下面的这些没标红的地方都是一个样

buuctf刷题记录25 [WUSTCTF2020]funnyre_第2张图片

应该吧上面错误的地方改成下面的样子,大概有四五处吧,nop掉,p声明函数,得声明两处

然后f5得到反编译

buuctf刷题记录25 [WUSTCTF2020]funnyre_第3张图片

buuctf刷题记录25 [WUSTCTF2020]funnyre_第4张图片

定义了300多个变量,进行了好多好多运算,直接算肯定是算不出来的,

然后就想到符号执行

buuctf刷题记录25 [WUSTCTF2020]funnyre_第5张图片

正好昨天学了点angr,算是一次练习吧

更多angr的内容可以参考

[]: https://www.jianshu.com/p/5df6c4567a7d

就构造脚本

import angr
import claripy

p=angr.Project('./attachment',load_options={
     "auto_load_libs": False})
f=p.factory
state = f.entry_state(addr=0x400605)#设置state开始运行时的地址
flag = claripy.BVS('flag',8*32)#要求的内容有32个,用BVS转成二进制给flag变量
state.memory.store(0x603055+0x300+5,flag)#因为程序没有输入,所以直接把字符串设置到内存
state.regs.rdx=0x603055+0x300
state.regs.rdi=0x603055+0x300+5#然后设置两个寄存器

sm = p.factory.simulation_manager(state)#准备从state开始遍历路径


print("ready")

sm.explore(find=0x401DAE)#遍历到成功的地址

if sm.found:
    print("sucess")
    x=sm.found[0].solver.eval(flag,cast_to=bytes)
    print(x)
else:
    print('error')

得到[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cbEPdsny-1596279075066)(D:\markdown\文件\图片\7.28.6.png)]

flag为 flag{1dc20f6e3d497d15cef47d9a66d6f1af}

你可能感兴趣的:(ctf,逆向)