西普实验吧部分逆向题writeup(二)
1.考验你能力的时候到了
老规矩 PEID查壳 显示什么也没找到 先别管 拖到OD里搜索字符串看看
可以发现最上面的字符串,其实挺像KEY的,输入试试,发现这个并不是KEY。
进入字符串“这就是我要的flag!!!”上方下个断点,先让程序跑一下,然后断下来开始单步调试
单步了几下发现一个字符串的处理,我输入的是“1234”
注意左上角的EAX寄存器,我运行了几下发现程序在逐个处理我输入的字符串,这个循环我光看汇编看不懂,等会到IDA里分析去
再向下单步
又来到了一个字符串,这个字符串之前见过,7个kow,单步发现程序把kow的每个字符+1,变成了7个lpx
程序运行结束,顺手爆破了一下,并没有什么卵用
接下来用IDA分析
注意进去之后会看到这个_security_check_cookie(x)函数......我以前不懂,还以为这肯定就是存key的地方,后来查了查才知道这是为了保护堆栈平衡设立的,与key无关。
我们F5反汇编一下就可以看到程序大致怎么处理我们的字符串的:
int __usercall sub_401000@<eax>(char a1@<sil>)
{
signed int v1; // ecx@1
char *v2; // eax@2
__int128 *v3; // eax@8
int v4; // esi@10
char v5; // al@11
char v7; // [sp-4h] [bp-68h]@10
char ourinput[32]; // [sp+0h] [bp-64h]@1
__int128 v9; // [sp+20h] [bp-44h]@1
int v10; // [sp+30h] [bp-34h]@1
__int16 v11; // [sp+34h] [bp-30h]@1
__int64 v12; // [sp+36h] [bp-2Eh]@1
__int128 v13; // [sp+40h] [bp-24h]@1
__int64 v14; // [sp+50h] [bp-14h]@1
__int16 v15; // [sp+58h] [bp-Ch]@1
int v16; // [sp+5Ah] [bp-Ah]@1
v15 = 125;
_mm_storeu_si128((__m128i *)&v13, _mm_loadu_si128((const __m128i *)&xmmword_413E34));
v10 = 1869313903;
_mm_storel_epi64((__m128i *)&v14, _mm_loadl_epi64((const __m128i *)&qword_413E44));
v16 = 0;
_mm_storeu_si128((__m128i *)&v9, _mm_loadu_si128((const __m128i *)&xmmword_413E50));
v11 = 119;
_mm_storel_epi64((__m128i *)&v12, 0i64);
sub_4012D1("你懂的:", ourinput[0]);
sub_401127("%s", ourinput);
v1 = 0;
if ( ourinput[0] )
{
v2 = ourinput;
do
{
*v2++ += v1;
if ( v1 >= 5 )
v1 = 0;
else
++v1;
}
while ( *v2 );
}
if ( (_BYTE)v9 )
{
v3 = &v9;
do
{
++*(_BYTE *)v3;
v3 = (__int128 *)((char *)v3 + 1);
}
while ( *(_BYTE *)v3 );
}
v7 = a1;
v4 = 0;
if ( (_BYTE)v13 )
{
while ( 1 )
{
v5 = ourinput[v4];
if ( !v5 || *((_BYTE *)&v13 + v4) != v5 )
break;
++v4;
if ( !*((_BYTE *)&v13 + v4) )
goto LABEL_16;
}
sub_4012D1("flag不对呦,再试试呀,加油!\n", v7);
}
LABEL_16:
if ( !*((_BYTE *)&v13 + v4) )
sub_4012D1("这就是我要的flag!!!\n", ourinput[0]);
sub_4011C7("pause");
return 0;
}我把我们输入的字符串叫做ourinput,可以看到处理字符串的函数有三个,两个加密,一个验算答案,两个字符串的处理我们刚才都在OD里看过了,我们来看看具体是怎么处理的
第一个:
if ( ourinput[0] )
{
v2 = ourinput;
do
{
*v2++ += v1;
if ( v1 >= 5 )
v1 = 0;
else
++v1;
}
while ( *v2 );
}可以看到这个是把我们输入的字符串分成6个一组,每组每个字节加上该字节的索引值,这是处理我们输入的字符串的过程
第二个:
if ( (_BYTE)v9 )
{
v3 = &v9;
do
{
++*(_BYTE *)v3;
v3 = (__int128 *)((char *)v3 + 1);
}
while ( *(_BYTE *)v3 );
}这个就是每个字节加上1,很明显这就是kow变成lpx的过程
第三个:
if ( (_BYTE)v13 )
{
while ( 1 )
{
v5 = ourinput[v4];
if ( !v5 || *((_BYTE *)&v13 + v4) != v5 )
break;
++v4;
if ( !*((_BYTE *)&v13 + v4) )
goto LABEL_16;
}
sub_4012D1("flag不对呦,再试试呀,加油!\n", v7);
}可以看到这个是一个验算的函数,而且,这里面根本就没提到第二个函数中所用的字符串,其实那个字符串只是个障眼法
真正的对比字符串是v13,我们可以想办法找到v13的值,然后同样分成6个一组,减去各自的索引值即可。
还原结果如下:
2.bin100(ebCTF 2013)
查壳——C++写成——拖入OD
先打开程序玩一下,发现是个掷骰子游戏,要掷出特定的数字组合3-1-3-1-7。
很明显,永远也掷不出来的嘛。
搜一下字符串
这也太有规律了,让我有种想要爆破的冲动,然后嘛,我就爆破了,于是就成功了
只要把成功的语句:“You rolled a xx!!”上面的跳转改成相反的即可
一共要改5处,改完即可看到key,不过我不知道怎么把key直接复制下来……反正我是手打的,大神路过还请指教
然后嘛 提供个方法,可以在每个成功的语句的跳转前面那一句断下来,然后开始跑程序,此时直接可以看到你掷骰子的结果,假如不对直接把下面那个跳转改了,然后取消断点,断下一个成功的语句,就是这种作弊的感觉……key就到手了
3.你知道注册码吗?
拖到OD里一看,有个查字符串长度的函数,就断在这里吧。
程序跑到这里暂停,取消断点,开始单步调试。
这里说一个心得:就是OD里会用小箭头形象地显示跳转,一般在目标字符串附近看到向上的跳转,此时就要留意了,因为它很有可能就是一个for循环,用来逐字符处理我们输入的字符串,从而跟真正的key做比对,在本题中就是如此。
这里我试着分析还是失败了……所以我还是用IDA吧
可以看到程序是怎么处理我们的字符串的,字符串每个字符加上它们的索引值并减去输入字符串的长度,那么就是8
结果如下:
