本人第一篇随笔,就以一篇CTF逆向分析的文章开始吧!

链接:http://pan.baidu.com/s/1eS6xFIa 密码:u14d

因为re的分析比较琐碎,所以主要就挑一些重点东西来说。

据说这道题是谷歌的一道题目,然而我觉得题目不算很好,有很大程度上要靠猜测出题人的意图,有为了出题而出题的嫌疑,不过还是首先来上手分析吧

1.首先拿到程序用ida载入,会发现这是一个elf文件,程序的主体结构很简单,首先进入main函数,看到read_button函数,进入

2.简单分析一下read_button函数可得到这样一个对应关系

  U/u >0;   D/d>1;   L/l>2;   R/r>3;   A/a>4;   B/b>5

3.再回到main函数看到

v3 = read_button();
(*(&buttons + v3))();

而如图:

可知输入不同值分别对应运行up,down,left,right,a,b各个程序

4.再对up,down,left,right,a,b几个函数分别进行分析,在a函数中看到有out_flag函数,进入后发现这是一个输出flag的函数:

5.然后就是对各个函数算法漫长的分析了,由分析可以得到这样一个简化版本,

db check
db state=5
1.down:  check^=state
             state=state>>1*8-state>>1
2.up:    check^=state
            state=3state
3.left:  check^=state
            state=2state
4.right: check^=state
            state=state>>3 循环右移
5.b:     check^=state
           state=~state
6.a:     check^=state
          state=state>>4 循环右移
          if(*cross_ptr==check)
           check=0
           cross_ptr++

6.初始时pos=&buffer,state=5,每运行left,right等其中的一个程序,就会首先将_int8 state的值放入buffer数组中pos所对应的位置,然后pos++,接着是对state的演算变化,现在来看check,可以看到a函数中要想运行out_flag函数的最重要的一个条件就是:if ( *(_BYTE *)cross_ptr == check ),而cross_ptr所对应的值如下:

7.而check在bss段中,由分析有每运行一次a,b等函数,首先做的就是check^=state,所以check的值实际上就是运行到当前时所有state值异或的结果,而如果a中

if ( *(_BYTE *)cross_ptr == check )这样一个条件成立的话,首先check=0,即对check清零,然后cross_ptr++

8.然后每个函数中都有这样一个判断

if ( (_BYTE *)pos - (_BYTE *)&buffer > 32 )
pos = &buffer;

即当buffer长度>32时即对其进行重写

9.a中最后一重判断:

if ( (_BYTE *)pos - (_BYTE *)&buffer > 29 )
output_flag();

即buffer到pos所指位置处长度>29时输出,由于条件8的存在所以输入字符串的长度其实并没有限制

10.再看out_flag函数,可以看到输出结果为flag数组和buffer各位异或的输出,而flag长度为30位:

11.这样一来,整个程序的结构就很清楚了,这道题的重点并不在程序的逆向,而主要在于算法的逆向分析,分析到这里,我就卡住了很久很久,因为就我的分析来看,这道题目基本无解,因为首先程序的输入长度就不能确定,其次对程序的爆破也不可行

12,坑爹的地方来了,我的一个学长这时候提醒我,注意各个函数的名称,我看了看,上下左右ab,这不是魂斗罗的大招吗,上上下下左右左右ba,因为flag长度为30

所以我就尝试了下uuddlrlrbauuddlrlrbauuddlrlrba,结果正是:

13,当然并不只有这样一种方法,如果揣测出题人意图的话,会发现,cross数组长度为3,而flag长度为30,而要想输出的话,最后以为肯定是a字符,这样一来,可以推测出这样一个关系:字符串长度为30,第十,二十,三十个字符分别为a,这样一来可以分十组,分别进行爆破,结合输出的ascii的范围,可以进一步缩小范围,以下的python代码是由我得学长所写,因为是他提供的第二种思路,我自己也尝试用c来写了下,当然c的话是很不好写,最好用python,有时间我会贴上自己的c代码

14.这道题目的确是不大好,如我开始所说,很大一部分要靠冒着很大风险来猜测,如果是打比赛如果我忘记了魂斗罗的大招的话,我肯定是不会做这道题的,当然这道题还是有很意义的,首先,加强了我算法分析的能力,这道题的算法还是有一定算法复杂度的,其次,python的编写,python绝对是最好用的脚本语言之一,我还在学习用好它的路上,最后,揣测出题人的意图,有时候能事半功倍,当然不要为了做题而做题

15.就写到这里吧!写篇随笔真的很耗时间。。。

 alp = '1234567890_{ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz}'

 flag = [0x46,0x5b,0x6b,0xe1,0x6f,0x5e,0xa3,0xd3,0xa2,0x1c,0x82,0xed,0x62,0x24,0x67,0x71,0xdd,0x6d,0xf3,0x20,0x83,0x8d,0xca,0x3e,0x33,0xc8,0x75,0x5a,0x68,0x87]

 cross = [0x25,0x68,0xef]

 cross_ptr = 0

 Buf = [0 for i in xrange(30)]

 State = 5

 Pos = 0

 Check = 0

 find = 0

 def up(pos,state,check,buf):

     buf[pos] = state

     pos += 1

     pos %= 33

     check ^= state

     state *= 3

     state &= 0xff

     return pos,state,check,buf

 def down(pos,state,check,buf):

     buf[pos] = state

     pos += 1

     pos %= 33

     check ^= state

     state >>= 1

     tmp = state

     state *= 8

     state -= tmp

     state &= 0xff

     return pos,state,check,buf

 def left(pos,state,check,buf):

     buf[pos] = state

     pos += 1

     pos %= 33

     check ^= state

     state *= 2

     state &= 0xff

     return pos,state,check,buf

 def right(pos,state,check,buf):

     buf[pos] = state

     pos += 1

     pos %= 33

     check ^= state

     tmp = 32*state

     state >>= 3

     state |= tmp

     state &= 0xff

     return pos,state,check,buf

 def b(pos,state,check,buf):

     buf[pos] = state

     pos += 1

     pos %= 33

     check ^= state

     state ^= 0xff

     state &= 0xff

     return pos,state,check,buf

 def a(pos,state,check,buf):

     global cross

     global cross_ptr

     buf[pos] = state

     pos += 1

     pos %= 33

     check ^= state

     tmp = state >> 4

     state *= 16

     state |= tmp

     state &= 0xff

     correct = 0

     if cross[cross_ptr] == check:

         check = 0

         correct = 1

         cross_ptr += 1

         if pos == 30:

             output_flag(buf)

     return pos,state,check,buf,correct

 def output_flag(buf):

     global flag

     s = ''

     for i in xrange(30):

         s += chr(flag[i]^buf[i])

     print s

 func = [up,down,left,right,b]

 def force(pos,state,check,buf):

     global find

     global flag

     global alp

     if find == 1:

         return

     if (pos+1)%10 == 0:

         pos,state,check,buf,c = a(pos,state,check,buf)

         if c == 0:

             return

         if pos == 30:

             find = 1

             return

     for v in func:

         tmp1,tmp2,tmp3,tmp4 = v(pos,state,check,buf)

         tmp = chr(flag[tmp1]^tmp2)

         if tmp in alp:

             force(tmp1,tmp2,tmp3,tmp4)

 force(Pos,State,Check,Buf)

reverse-daily(1)-audio_visual_receiver_code的更多相关文章

  1. HNU 13411 Reverse a Road II(最大流+BFS)经典

    Reverse a Road II Time Limit: 10000ms, Special Time Limit:25000ms, Memory Limit:65536KB Total submit ...

  2. LeetCode 7. Reverse Integer

    Reverse digits of an integer. Example1: x = 123, return 321 Example2: x = -123, return -321 Have you ...

  3. 【uwp】浅谈China Daily 中划词翻译的实现

    学习uwp开发也有一段时间了,最近上架了一个小应用(China Daily),现在准备将开发中所学到的一些东西拿出来跟大家分享交流一下. 先给出应用的下载链接:China Daily , 感兴趣的童鞋 ...

  4. js sort() reverse()

    数组中存在的两个方法:sort()和reverse() 直接用sort(),如下: ,,,,,,,,,,,]; console.log(array.sort());ps:[0, 1, 2, 2, 29 ...

  5. [LeetCode] Reverse Vowels of a String 翻转字符串中的元音字母

    Write a function that takes a string as input and reverse only the vowels of a string. Example 1:Giv ...

  6. [LeetCode] Reverse String 翻转字符串

    Write a function that takes a string as input and returns the string reversed. Example: Given s = &q ...

  7. [LeetCode] Reverse Linked List 倒置链表

    Reverse a singly linked list. click to show more hints. Hint: A linked list can be reversed either i ...

  8. [LeetCode] Reverse Bits 翻转位

    Reverse bits of a given 32 bits unsigned integer. For example, given input 43261596 (represented in ...

  9. [LeetCode] Reverse Words in a String II 翻转字符串中的单词之二

    Given an input string, reverse the string word by word. A word is defined as a sequence of non-space ...

  10. [LeetCode] Reverse Words in a String 翻转字符串中的单词

    Given an input string, reverse the string word by word. For example, Given s = "the sky is blue ...

随机推荐

  1. Unity3D The Blacksmith Demo部分内容学习

    1.Plane Reflection 平面反射 在角色包的例子里可以看到,该脚本使用一个特定的相机渲染反射内容 官方介绍说这是优于反射探头的一种做法 2.HairRenderer 毛发渲染器 单独写的 ...

  2. ubuntu如何以删除文件夹?

    rm [选项] 文件 -f, --force 强力删除,不要求确认 -i 每删除一个文件或进入一个子目录都要求确认 -I 在删除超过三个文件或者递归删除前要求确认 -r, -R 递归删除子目录 -d, ...

  3. 又见JavaWeb的中文乱码

    简单翻了一下记录,我已经写了至少4篇关于编码和乱码的博客了,每次都觉得自己懂了. 实际上,这次的遭遇证明了"真懂"是一种很难达到的境界,吾辈仍需努力! 一.背景是这样子的: .一个 ...

  4. 解决打开CHM文件后,右侧空白

    在网上下了一个chm的文件,打开后只有目录,右侧不显示内容. 不知道是文件有问题,还是系统有问题. <ignore_js_op> 右键点击文件–属性 看到 最下面有一个提示 说是这个文件是 ...

  5. [linux] shellshock

    1> Test if the system is vulnerable env X="() { :;} ; echo vulnerable" /bin/sh -c " ...

  6. C#综合笔记

    AspNetPager分页控件 UrlPaging="true" 利用get方式page?=1进行分页. UrlPaging="false"利用post方式进行 ...

  7. js string to int

    一.js中string转int有两种方式 Number() 和 parseInt() <script>     var   str='1250' ;  alert( Number(str) ...

  8. Linux shell中单引号,双引号及不加引号的简单区别

    简要总结: 单引号: 可以说是所见即所得:即将单引号内的内容原样输出,或者描述为单引号里面看见的是什么就会输出什么. 双引号: 把双引号内的内容输出出来:如果内容中有命令,变量等,会先把变量,命令解析 ...

  9. vs 2005 使用 boost regex

    第一步: Boost 入门及其VS2005下编译boost库  boost.regex库安装指南  深入浅出之正则表达式(一)  C++中三种正则表达式比较(C regex,C ++regex,boo ...

  10. stm32cube--IWDG使用

    IWDG使用的是32芯片内部的40k独立晶振,该晶振为rtc和iwdg提供时钟,即使是主时钟坏了也不影响它们. 主要用到三个寄存器, IWDG_KR    键值寄存器 IWDG_PR     预分频寄 ...