这道题是vm的题目。有两种方法做这道题目。本文可能需要配合其它wp来看。本文亮点在于angr解法,和更详细的指令翻译。
本题有假flag,有两个strcmp函数(sub_F00和sub_F83),一真一假。一个自然的思路是到真实strcmp函数下断点,但没有断下来。实际上,真实strcmp并不会执行。这让我有些意外,我原以为这两个strcmp都会执行。
指令序列存储于unk_202060,开始标志是F5(用户输入和长度检查),结束标志是F4。如果细心一些会发现,第一个F4之后不远,出现了第二个F5。这是真实的字符串处理函数。
因此,如果想用angr来解决这个问题,或者只是想动态调试一下,需要patch两处。第一处是eip(也就是a1+16)初始化,要让eip初始化为第二个F5的位置,也就是unk_202180。patch时使用常数偏移即可,lea rdx,[0x202180]。这样用户输入的字符串才会被真正的字符串处理函数处理。第二处是main函数中对假strcmp(也就是sub_F83)的调用,应当改为sub_F00。patch之后可以直接用angr解出真flag。
正道需要翻译指令序列。假的字符串处理函数是每一位与0x18异或。真的字符串处理函数则较为复杂,使用了多种处理方法,并且位与位之间存在耦合。
假的字符串处理函数,可以以一次写为基本单位进行分块。此处只展示了前三块,之后的处理逻辑是相同的。
//init state: r0=0, r1=18
0xF5, read
0xF1, 0xE1, 0x00, 0x00, 0x00, 0x00 r0=userinput[0]
0xF2 xor r0,r1
0xF1, 0xE4, 0x20, 0x00, 0x00, 0x00 userinput[32]=r0
0xF1, 0xE1, 0x01, 0x00, 0x00, 0x00 r0=userinput[1]
0xF2, xor r0,r1
0xF1, 0xE4, 0x21, 0x00, 0x00, 0x00, userinput[33]=r1
0xF1, 0xE1, 0x02, 0x00, 0x00, 0x00, r0=userinput[2]
0xF2, xor r0,r1
0xF1, 0xE4, 0x22, 0x00, 0x00, 0x00, userinput[34]=r0
0xF4
真的字符串处理函数如下,可以看出0~5、6~8、13~19使用了三种处理方法(分别是相邻位异或、线性组合、交换),而9~12则并未处理。
0xF5, read
0xF1, 0xE1, 0x00, 0x00, 0x00, 0x00, r0=userinput[0]
0xF1, 0xE2, 0x01, 0x00, 0x00, 0x00, r1=userinput[1]
0xF2, xor r0,r1
0xF1, 0xE4, 0x00, 0x00, 0x00, 0x00, userinput[0]=r0
0xF1, 0xE1, 0x01, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x02, 0x00, 0x00, 0x00,
0xF2,
0xF1, 0xE4, 0x01, 0x00, 0x00, 0x00,
0xF1, 0xE1, 0x02, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x03, 0x00, 0x00, 0x00,
0xF2,
0xF1, 0xE4, 0x02, 0x00, 0x00, 0x00,
0xF1, 0xE1, 0x03, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x04, 0x00, 0x00, 0x00,
0xF2,
0xF1, 0xE4, 0x03, 0x00, 0x00, 0x00,
0xF1, 0xE1, 0x04, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x05, 0x00, 0x00, 0x00,
0xF2,
0xF1, 0xE4, 0x04, 0x00, 0x00, 0x00,
0xF1, 0xE1, 0x05, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x06, 0x00, 0x00, 0x00,
0xF2,
0xF1, 0xE4, 0x05, 0x00, 0x00, 0x00,
0xF1, 0xE1, 0x06, 0x00, 0x00, 0x00, r0=userinput[6]
0xF1, 0xE2, 0x07, 0x00, 0x00, 0x00, r1=userinput[7]
0xF1, 0xE3, 0x08, 0x00, 0x00, 0x00, r2=userinput[8]
0xF1, 0xE5, 0x0C, 0x00, 0x00, 0x00, r3=userinput[12]
0xF6, r0=r2+2*r1+3*r0
0xF7, r0=r0*r3
0xF1, 0xE4, 0x06, 0x00, 0x00, 0x00, userinput[6]=r0
0xF1, 0xE1, 0x07, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x08, 0x00, 0x00, 0x00,
0xF1, 0xE3, 0x09, 0x00, 0x00, 0x00,
0xF1, 0xE5, 0x0C, 0x00, 0x00, 0x00,
0xF6,
0xF7,
0xF1, 0xE4, 0x07, 0x00, 0x00, 0x00,
0xF1, 0xE1, 0x08, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x09, 0x00, 0x00, 0x00,
0xF1, 0xE3, 0x0A, 0x00, 0x00, 0x00,
0xF1, 0xE5, 0x0C, 0x00, 0x00, 0x00,
0xF6,
0xF7,
0xF1, 0xE4, 0x08, 0x00, 0x00, 0x00,
0xF1, 0xE1, 0x0D, 0x00, 0x00, 0x00, r0=userinput[13]
0xF1, 0xE2, 0x13, 0x00, 0x00, 0x00, r1=userinput[19]
0xF8, r0,r1=r1,r0
0xF1, 0xE4, 0x0D, 0x00, 0x00, 0x00, userinput[13]=r0
0xF1, 0xE7, 0x13, 0x00, 0x00, 0x00, userinput[19]=r1
0xF1, 0xE1, 0x0E, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x12, 0x00, 0x00, 0x00,
0xF8,
0xF1, 0xE4, 0x0E, 0x00, 0x00, 0x00,
0xF1, 0xE7, 0x12, 0x00, 0x00, 0x00,
0xF1, 0xE1, 0x0F, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x11, 0x00, 0x00, 0x00,
0xF8,
0xF1, 0xE4, 0x0F, 0x00, 0x00, 0x00,
0xF1, 0xE7, 0x11, 0x00, 0x00, 0x00,
0xF4