题目

丢进Exeinfo PE里面,得到64bit,无壳

丢进IDA pro(x64)里面,找到主函数

代码中有一个花指令:*(unsigned int (__fastcall **)(char *))judge)(input)

  • unsigned int (__fastcall **)(char *):这是一个函数指针类型,指向一个接受char *类型参数并返回unsigned int类型的函数。__fastcall是一种调用约定,它指定了函数参数传递的方式。
  • (*):这表示函数指针的间接引用,即对函数指针judge进行解引用,获取其指向的函数。
  • (char *)judge:这是对函数指针judge的解引用,将其当作一个函数调用,并传递input作为参数。
  • 因此,(*(unsigned int (__fastcall **)(char *))judge)(input)的整体含义是:调用judge指向的函数,传递input作为参数,并期望该函数返回一个unsigned int类型的值

双击judge追踪看看,有的大佬说会双击跟踪不了报错,我的可以双击跟踪

一开始我还没发现有问题,以下内容参考大佬wp

选中public judge,按C,跳出“Directly convert to code?”-->Yes,变成了汇编

把红色区域全部框选起来,按P,试图重新生成function——这里会出现一个红色错误endp ; sp-analysis failed

打开IDA的Options--->General-->Disassembly,勾选“Stack pointer”,打开堆栈指针

发现出现负值,说明我的IDA7.7存在指针错误

我看几个大佬的wp,他们都没有去解决这个指针问题,可能是不影响解题吧,所以我也没去管它

这里放上解决错误的资料:IDA出现"sp-analysis failed"和F5(反编译)失败-CSDN博客

视线回到主函数,在第8行,judge是一个数组,但是在第12行,judge是一个函数指针

从二进制机器码的角度看,可以理解成这个judge函数的每个字节都被异或了

用人话说,这个函数被加密了

解决方式也是参考大佬的wp——使用IDApython脚本解决:file-->script command

大佬的脚本如下:

1 add=0x600b00

2 for i in range(182):

3     PatchByte(add+i,Byte(add+i)^0xC)

但是,我运行会报错,我的IDA没有这个函数,导入了ida_bytes模块也没有用

放下我这边能运行的代码(记得左下角Scripting language选python):

1 import idaapi

2

3 add = 0x600b00

4 for i in range(182):

5     idaapi.patch_byte(add + i, idaapi.get_byte(add + i) ^ 0xC)
  • idaapi.patch_byte函数用于修改指定地址的字节,它接受两个参数:地址和要写入的字节值。
  • idaapi.get_byte函数用于获取指定地址的字节值,它接受一个参数:地址,并返回该地址处的字节值

按一次就可以了,变成下面这样:

选中judge,按C(变成汇编),框选地址B00~BB5,也就是所有的红色区域,按P(重新生成function)

此时可以在左边找到judge函数内容

点进去,F5反汇编

这个代码不难理解,写逆向脚本也不难,但是我这里又犯了一个错

我以为只需要拿v2去异或解题,v3虽然也在代码中,但是后面都没再提及了,我以及单纯就是干扰,或者是没有用的乱码数据

我只用v2运行解题脚本的时候,结果就是一个:flag

我看到这个老开心了,证明我的代码是没有错误的,思路大方向也是没有错误了,但是之后就没有找到其他的东西了

看来看去,还是v3最可疑,单独用v3运行解密脚本,是一堆没有价值可读性的东西

后面看了大佬的脚本,要把v2与v3加在一起

啊?这是为什么??代码里没有体现啊????然后我就去找了资料

双击v2,点进去看看栈

双击v3,也是看看栈

20~1C:5个,刚好对的上v2的长度

1B~13:9个,也刚好对的上v3的长度

有没有发现,v2和v3用的是一块连续的空间啊啊啊

修改后的脚本如下:

 1 s1 = "fmcd"

 2 s2=chr(0x7F)

 3 s3="k7d;V`;np"

 4 key=s1+s2+s3

 5 input_str = ""

 6

 7 for i in range(len(key)):

 8     input_str += chr(ord(key[i]) ^ i)

 9

10 print(input_str)

运行结果: flag{n1c3_j0b}

BABYRE 【攻防世界】 Reverse的更多相关文章

  1. 攻防世界 reverse 进阶 10 Reverse Box

    攻防世界中此题信息未给全,题目来源为[TWCTF-2016:Reverse] Reverse Box 网上有很多wp是使用gdb脚本,这里找到一个本地还原关键算法,然后再爆破的 https://www ...

  2. 攻防世界 reverse evil

    这是2017 ddctf的一道逆向题, 挑战:<恶意软件分析> 赛题背景: 员工小A收到了一封邮件,带一个文档附件,小A随手打开了附件.随后IT部门发现小A的电脑发出了异常网络访问请求,进 ...

  3. 攻防世界 reverse tt3441810

    tt3441810 tinyctf-2014 附件给了一堆数据,将十六进制数据部分提取出来, flag应该隐藏在里面,(这算啥子re,) 保留可显示字符,然后去除填充字符(找规律 0.0) 处理脚本: ...

  4. 攻防世界 reverse 进阶 APK-逆向2

    APK-逆向2 Hack-you-2014 (看名以为是安卓逆向呢0.0,搞错了吧) 程序是.net写的,直接祭出神器dnSpy 1 using System; 2 using System.Diag ...

  5. 攻防世界 reverse BABYRE

    BABYRE   XCTF 4th-WHCTF-2017 int __cdecl main(int argc, const char **argv, const char **envp) { char ...

  6. 攻防世界 reverse Windows_Reverse2

    Windows_Reverse2   2019_DDCTF 查壳: 寻找oep-->dump-->iat修复   便可成功脱壳 int __cdecl main(int argc, con ...

  7. 攻防世界 reverse BabyXor

    BabyXor     2019_UNCTF 查壳 脱壳 dump 脱壳后 IDA静态分析 int main_0() { void *v0; // eax int v1; // ST5C_4 char ...

  8. 攻防世界 reverse parallel-comparator-200

    parallel-comparator-200 school-ctf-winter-2015 https://github.com/ctfs/write-ups-2015/tree/master/sc ...

  9. 攻防世界 reverse 进阶 8-The_Maya_Society Hack.lu-2017

    8.The_Maya_Society Hack.lu-2017 在linux下将时间调整为2012-12-21,运行即可得到flag. 下面进行分析 1 signed __int64 __fastca ...

  10. 攻防世界 reverse easy_Maze

    easy_Maze 从题目可得知是简单的迷宫问题 int __cdecl main(int argc, const char **argv, const char **envp) { __int64 ...

随机推荐

  1. Linux常用的20个命令(下)

    无论你是后端程序员还是前端程序员,都避免不了和Linux打交道.上篇介绍了Linux常用的20个命令其中的10个,本文继续介绍剩下的10个命令. 11.man 命令 manual的缩写,即使用手册的意 ...

  2. Java设计模式-迭代器模式Iterator

    介绍 根据GoF的定义,迭代器模式提供了一种顺序访问聚合对象的元素而不暴露其底层表示的方法.这是一种行为设计模式. 顾名思义,迭代器有助于以定义的方式遍历对象集合,这对客户端应用程序很有用.在迭代期间 ...

  3. Java中交换2个变量的三种方式

    这一题是我之前找Java工作时的笔试题,比较有代表性,拿出来和大家分享. package com.dylan.practice.interview; /** * 交换2个整形变量的几种方式 * * @ ...

  4. weblogic CVE-2024-20931分析

    weblogic 12.2.1.4.0安装 我的环境:ubuntu 22.04 + weblogic 12.2.1.4.0 + jdk8(注:weblogic不支持OpenJDK) jdk下载安装:h ...

  5. 实操开源版全栈测试工具RunnerGo安装(四)Windows安装

    以windows 10系统为例 视频教程:https://www.bilibili.com/video/BV14H4y1C71u/?spm_id_from=333.999.0.0 1.设置手动进入系统 ...

  6. win32 - 使用GDI+从资源中获取图像并加载

    很多时候我们习惯使用GDI+中Image类来加载本地文件,但是有时候我们需要资源中从加载png格式的图片时,却无法使用该类. 我们可以使用FindResource,LoadResource和LockR ...

  7. ThreadLocal的应用场景和注意事项有哪些?

    https://cloud.tencent.com/developer/article/1618405

  8. 用宝塔设立分发Directory.Build.props及其Import文件的网站

    新建站点 服务器名称我们约定是dev.amihome.cn 创建的默认站点有下面4个文件 把本地的文件,用宝塔上传 上图我们是把本地的Directory.Build.props文件上传到了网站的根目录 ...

  9. Glide源码解析三(注册组件)

    转载请标明出处,维权必究: https://www.cnblogs.com/tangZH/p/12900387.html Glide源码解析一,初始化 Glide源码解析二-into方法 Glide源 ...

  10. TCP和UDP可以使用同一个端口号吗?

    TCP和UDP可以使用同一个端口号吗? 首先说答案:可以.怎么理解呢? 我想这个问题要从计算机网络通信谈起,学过计算机网络的同学,可能都还记得7层或者4层网络模型,TCP/UDP属于其中的传输层协议, ...