攻防世界进阶Re(三)

0x00 APK-逆向2

用PEID查看，发现是c#，.net，用dnSpy打开得到如下代码。前面是一个TCP链接，看到IP和端口分别为127.0.0.1，31337。后面就是通过read()和search()函数对字符串“Super Secret Key”计算flag。但是我看不懂下面的计算方法，直接对字符串 i*1337%256 结果不对，看了WP用http.server来监控http服务得到flag。不得不赞叹大佬太强了！运行脚本再运行exe文件得到flag。Python BaseHTTPServer 模块解析

using System;
using System.Diagnostics;
using System.IO;
using System.Net.Sockets;
using System.Text;

namespace Rev_100
{
    // Token: 0x02000002 RID: 2
    internal class Program
    {
        // Token: 0x06000001 RID: 1 RVA: 0x00002050 File Offset: 0x00000250
        private static void Main(string[] args)
        {
            string hostname = "127.0.0.1";
            int port = 31337;
            TcpClient tcpClient = new TcpClient();
            try
            {
                Console.WriteLine("Connecting...");
                tcpClient.Connect(hostname, port);
            }
            catch (Exception)
            {
                Console.WriteLine("Cannot connect!\nFail!");
                return;
            }
            Socket client = tcpClient.Client;
            string text = "Super Secret Key";
            string text2 = Program.read();
            client.Send(Encoding.ASCII.GetBytes("CTF{"));
            string text3 = text;
            for (int i = 0; i < text3.Length; i++)
            {
                char x = text3[i];
                client.Send(Encoding.ASCII.GetBytes(Program.search(x, text2)));
            }
            client.Send(Encoding.ASCII.GetBytes("}"));
            client.Close();
            tcpClient.Close();
            Console.WriteLine("Success!");
        }

        // Token: 0x06000002 RID: 2 RVA: 0x0000213C File Offset: 0x0000033C
        private static string read()
        {
            string fileName = Process.GetCurrentProcess().MainModule.FileName;
            string[] array = fileName.Split(new char[]
            {
                '\\'
            });
            string path = array[array.Length - 1];
            string result = "";
            using (StreamReader streamReader = new StreamReader(path))
            {
                result = streamReader.ReadToEnd();
            }
            return result;
        }

        // Token: 0x06000003 RID: 3 RVA: 0x000021B0 File Offset: 0x000003B0
        private static string search(char x, string text)
        {
            int length = text.Length;
            for (int i = 0; i < length; i++)
            {
                if (x == text[i])
                {
                    int value = i * 1337 % 256;
                    return Convert.ToString(value, 16).PadLeft(2, '0');
                }
            }
            return "??";
        }
    }
}

脚本如下：

import http.server

server_address = ('127.0.0.1', 31337)
handler_class = http.server.BaseHTTPRequestHandler
httpd = http.server.HTTPServer(server_address, handler_class)
httpd.serve_forever()

0x01 notsequence

这道题有点意思哟，IDA打开，F5大法。

signed int __cdecl sub_80486CD(int a1)
{
  int j; // [esp+0h] [ebp-14h]
  int v3; // [esp+4h] [ebp-10h]
  int i; // [esp+8h] [ebp-Ch]
  int v5; // [esp+Ch] [ebp-8h]

  v5 = 0;
  for ( i = 0; i <= 1024 && *(_DWORD *)(4 * i + a1); i = v5 * (v5 + 1) / 2 )
  {

    v3 = 0;

    for ( j = 0; j <= v5; ++j )
      v3 += *(_DWORD *)(4 * (j + i) + a1);
    if ( 1 << v5 != v3 )
      return -1;
    ++v5;
  }
  return v5;
}

话不多说，先进check1的函数，发现是以 i= v5*(v5+1)/2 来循环的，又点奇怪啊。我们提出来试一试这种循环是怎样的,发现这打印出来是一个三角形啊，继续看下面的 ( 1 << v5 != v3 ) 是判断 三角形一行的数之和是否是2的幂。
在分析下check2，脑瓜子嗡嗡嗡的，看了WP,发现这是杨辉三角啊！！，还是太菜了。那么check2应该就是检查杨辉三角的性质了：上一行的左边加上一行的值为当前的值，即 a[ i ][ j ] = a[ i-1 ][ j-1 ] + a[ i-1 ][ j ]。又看到v2==20，所以这是有20行的杨辉三角。

# -*- coding: utf-8 -*-
v5=0
for i in range(21):
    if i==int(v5*(v5+1)/2):
        v5+=1
        print('\n')
    print(i,end=' ')

image.png

得到杨辉三角的值，去掉 多余符号和换行再计算MD5加上RCTF{}得到flag。

杨辉三角脚本如下：

# -*- coding: utf-8 -*-
def triangles():
    p = [1]
    while True:
        yield p#generator函数与普通函数的差别：在执行过程中，遇到yield就中断，下次又继续执行
        p = [1] + [p[i] + p[i+1] for i in range(len(p)-1)] + [1]
n = 0
for t in triangles():
    print(t)
    n = n + 1
    if n == 21:
        break

0x02 Catch-Me

下载的文件被压缩了两次，使用 file 命令查看文件，解压之后再使用file查看还是压缩包，这两次解压可以使用unzip和tar 命令，也可以直接再windows里改后缀名zip来解压。得到ELF文件用IDA打开。

image.png

F5主函数，分析到这里是关键代码。从下往上看，对haystack进行了异或，并且v4 & 7是八位一循环。在看到if的条件，getenv()函数是取环境变量。这里的逻辑是CTF和ASIS的环境变量异或v3后等于0xfeebfeeb，不然后面就会输出假的flag。

  v3 = sub_400820((unsigned int)dword_6012B4, a2, a3);
  byte_6012A8[0] = HIBYTE(v3);
  byte_6012A9 = BYTE2(v3) & 0xFD;
  byte_6012AA = BYTE1(v3) & 0xDF;
  byte_6012AB = v3 & 0xBF;
  if ( getenv("ASIS") && (*(_DWORD *)getenv("CTF") ^ v3) == -18088213 )
    dword_6012AC = *(_DWORD *)getenv("ASIS");
  v4 = 0LL;
  do
  {
    haystack[v4] ^= byte_6012A8[v4 & 7];
    ++v4;
  }

现在就是要找v3的值来求环境变量的值。使用gdb在sub_400820()下断点，查看寄存器rax的值为0xb11924e1。所以异或得到环境变量的值 0xb11924e1^0xfeebfeeb=0x4ff2da0a。

image.png

现在设置CTF,ASIS的环境变量为0x4ff2da0a。注意这里要从低位到高位设置。

export ASIS="$(printf "\x0a\xda\xf2\x4f")"
export CTF="$(printf "\x0a\xda\xf2\x4f")"

在使用IDA远程调试，运行得到flag。我也不知道为什么直接运行得不到flag。这道题我最先是用IDA动态调试，强行跳转，输出的是接近正确flag的值，但是有乱码，想了想其中有个异或操作，因为没有环境变量寄存器的值空的，我把它nop掉了，导致后面对haystack异或操作出现了部分乱码。这也是这道题出的比较巧妙的地方吧。

image.png