buuoj[ACTF_Junior_2020]Splendid_MineCraft WriteUp
Splendid_MineCraft
题目标题就已经暗示这题是SMC了(self-modifying code)。
工具:exeinfo,x32dbg和IDA7.0
先丢进exeinfo里查看相关信息:
用IDA打开:
根据可以字符串“Wrong!\n”直接锁定sub_401080为main函数。
int sub_401080()
{
char *v0; // eax
char *v1; // eax
char *v2; // ST28_4
signed int i; // [esp+14h] [ebp-54h]
int v5; // [esp+20h] [ebp-48h]
char Str1; // [esp+24h] [ebp-44h]
char v7; // [esp+3Dh] [ebp-2Bh]
int v8; // [esp+44h] [ebp-24h]
__int16 v9; // [esp+48h] [ebp-20h]
char v10[4]; // [esp+4Ch] [ebp-1Ch]
__int16 v11; // [esp+50h] [ebp-18h]
int v12; // [esp+54h] [ebp-14h]
__int16 v13; // [esp+58h] [ebp-10h]
int v14; // [esp+5Ch] [ebp-Ch]
__int16 v15; // [esp+60h] [ebp-8h] sub_401020((const char *)&unk_404118, (unsigned int)"Welcome to ACTF_Splendid_MineCraft!");
sub_401050((const char *)&unk_40411C, (unsigned int)&Str1);
if ( strlen(&Str1) == 26 )
{
if ( !strncmp(&Str1, "ACTF{", 5u) && v7 == 125 )
{
v7 = 0;
v0 = strtok(&Str1, "_");
v12 = *(_DWORD *)(v0 + 5);
v13 = *(_WORD *)(v0 + 9);
v14 = *(_DWORD *)(v0 + 5);
v15 = *(_WORD *)(v0 + 9);
v1 = strtok(0, "_");
v8 = *(_DWORD *)v1;
v9 = *((_WORD *)v1 + 2);
v2 = strtok(0, "_");
*(_DWORD *)v10 = *(_DWORD *)v2;
v11 = *((_WORD *)v2 + 2);
dword_403354 = (int)dword_4051D8;
if ( ((int (__cdecl *)(int *))dword_4051D8[0])(&v12) )
{
v5 = SBYTE2(v14) ^ SHIBYTE(v15) ^ (char)v14 ^ SHIBYTE(v14) ^ SBYTE1(v14) ^ (char)v15;
for ( i = 256; i < 496; ++i )
byte_405018[i] ^= v5;
JUMPOUT(__CS__, &byte_405018[256]);
}
sub_401020("Wrong\n");
}
else
{
sub_401020("Wrong\n");
}
}
else
{
sub_401020("Wrong\n");
}
return 0;
}
由三个strtok函数可知,flag{}里的内容应该是被_分成了三个部分,根据输入长度猜测每个部分应该是6字节长(这三个部分我们分别称为flag_sec1,flag_sec2和flag_sec3)。
flag_sec1
因为是SMC基本上确定是要动态调试的,所以大致了解一下main函数的结构,就丢进x32dbg里开始调试。
先搜索字符串,直接进入main函数:
到call CB1050时调试会卡住,说明程序此时正在等待输入,于是我们可以得到:
先随便输入一个flag:ACTF{123456_ABCDEF_abcdef}
我们向下浏览会发现有三个strtok()函数,如图
正好与IDA反编译的结果相吻合,所以这三个函数后面应该是对flag内容的比较。
在最后一个strtok()函数后面打个断点,直接跳过中间的内容,然后进行单步调试,直到进入这个call。
进入call后会发现很多奇怪的指令,这才进入到我们这篇WP真正的主题:SMC
一步一步F7调试,会发现随着如下循环的进行,奇怪的汇编指令也会被改变:
跳过SMC循环继续调试,会发现又有一个大循环:
经过一遍又一遍的调试,会发现里面的三条关键指令:
异或和求和的过程中并没有用到我们的输入,结果都储存到ss:[ebp+eax-20]里,直接运行完follow in dump:
这就是上面循环得到的结果。
阅读循环可知:00CB5332的cmp edx,ecx就是比较用户输入和flag的过程。
flag_sec1 = yOu0y*
flag_sec2
这段也是SMC,修改后面jmp EAX里面的代码。
重新调试,输入flag_sec1正确的字符串继续调试。没啥好说的,知道调试到jmp eax:
一进去就遇到个循环,但是这个循环非常诡异,因为中间有多余代码,其实不断的调试就会发现,中间的多余代码是会被修改的!这其实就是SMC,但是本该是数据却被x32dbg识别成了代码而已,通过
右键->Analysis->Treat from section as byte就可以将其转化为数据了,如下图:
这个循环只是把用户输入的flag_sec2保存到了这个区域里(ABCDEF对应着41-46)。
后面有个循环:
(一边F7一边查看dump窗口。不好意思没看出来有啥用,估计是烟雾弹)
其实就是EAX[flag_sec2[i]^(0x83+i)] == EAX[EDI+166]
flag_sec2 = knowo3
flag_sec3
题目里直接明文strcmp,
flag_sec3 = 5mcsM<
综上:flag{yOu0y*_knowo3_5mcsM<}
buuoj[ACTF_Junior_2020]Splendid_MineCraft WriteUp的更多相关文章
- 2016第七季极客大挑战Writeup
第一次接触CTF,只会做杂项和一点点Web题--因为时间比较仓促,写的比较简略.以后再写下工具使用什么的. 纯新手,啥都不会.处于瑟瑟发抖的状态. 一.MISC 1.签到题 直接填入题目所给的SYC{ ...
- ISCC2016 WriteUp
日期: 2016-05-01~ 注:隔了好久才发布这篇文章,还有两道Pwn的题没放,过一阵子放上.刚开始做这个题,后来恰巧赶上校内CTF比赛,就把重心放在了那个上面. 这是第一次做类似于CTF的题,在 ...
- 参加 Tokyo Westerns / MMA CTF 2nd 2016 经验与感悟 TWCTF 2016 WriteUp
洒家近期参加了 Tokyo Westerns / MMA CTF 2nd 2016(TWCTF) 比赛,不得不说国际赛的玩法比国内赛更有玩头,有的题给洒家一种一看就知道怎么做,但是做出来还需要洒家拍一 ...
- 爱春秋之戏说春秋 Writeup
爱春秋之戏说春秋 Writeup 第一关 图穷匕见 这一关关键是给了一个图片,将图片下载到本地后,打开以及查看属性均无任何发现,尝试把图片转换为.txt格式.在文本的最后发现这样一串有规律的代码: 形 ...
- 《安全智库》:48H急速夺旗大战通关writeup(通关策略)
作者:ByStudent 题目名字 题目分值 地址 MallBuilder2 350 mall.anquanbao.com.cn MallBuilder1 200 mall.anquanbao.c ...
- iscc2016 pwn部分writeup
一.pwn1 简单的32位栈溢出,定位溢出点后即可写exp gdb-peda$ r Starting program: /usr/iscc/pwn1 C'mon pwn me : AAA%AAsAAB ...
- We Chall-Training: Encodings I -Writeup
MarkdownPad Document html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,ab ...
- We Chall-Encodings: URL -Writeup
MarkdownPad Document html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,ab ...
- We Chall-Training: ASCII—Writeup
MarkdownPad Document html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,ab ...
随机推荐
- hystrix源码之概述
概述 hystrix核心原理是通过代理执行用户命令,记录命令执行的metrics信息,通过这些metrics信息进行降级和熔断. 源码结构包括一下几个部分: 熔断器 熔断器就是hystrix用来判断调 ...
- Combine 框架,从0到1 —— 4.在 Combine 中执行异步代码
本文首发于 Ficow Shen's Blog,原文地址: Combine 框架,从0到1 -- 4.在 Combine 中执行异步代码. 内容概览 前言 用 Future 取代回调闭包 用输出类型( ...
- API测试-接口测试基础(1)
由于自己想学习API方面的测试,但是市面上搜不到相关的图书可以系统学习,网上的内容又零零散散,适合有点API开发基础的人去搜索.为了方面新手学习API测试,现在整理了他人的宝贵经验和自己的学习心得,尽 ...
- Java8之日期处理
简介 Java8除了有较大更新的 lambda. Stream ,还推出了全新的日期时间API.Java之前处理日期.日历和时间的不足之处主要有: 日期类型为可变类型,非线程安全使其应用非常受限 没有 ...
- 从 LRU Cache 带你看面试的本质
前言 大家好,这里是<齐姐聊算法>系列之 LRU 问题. 在讲这道题之前,我想先聊聊「技术面试究竟是在考什么」这个问题. 技术面试究竟在考什么 在人人都知道刷题的今天,面试官也都知道大家会 ...
- layui动态添加选项卡
<!DOCTYPE html><html xmlns:th="http://www.thymeleaf.org"><head> <meta ...
- Spring AOP系列(三) — 动态代理之JDK动态代理
JDK动态代理 JDK动态代理核心是两个类:InvocationHandler和Proxy 举个栗子 为便于理解,首先看一个例子: 希望实现这样一个功能:使用UserService时,只需关注自己的核 ...
- SQL实战——03. 查找各个部门当前(to_date='9999-01-01')领导当前薪水详情以及其对应部门编号dept_no
查找各个部门当前(to_date='9999-01-01')领导当前薪水详情以及其对应部门编号dept_noCREATE TABLE `dept_manager` (`dept_no` char(4) ...
- Python基础-列表、元组、字典、字符串(精简解析)
一.列表 =====================================================1.列表的定义及格式: 列表是个有序的,可修改的,元素用逗号隔开,用中括号包围的序列 ...
- C# 中的延时的方法。
转载:https://blog.csdn.net/caixiexin/article/details/5769121 System.Threading.Thread.Sleep(2000); 其中20 ...