本人第一篇随笔,就以一篇CTF逆向分析的文章开始吧!

链接:http://pan.baidu.com/s/1eS6xFIa 密码:u14d

因为re的分析比较琐碎,所以主要就挑一些重点东西来说。

据说这道题是谷歌的一道题目,然而我觉得题目不算很好,有很大程度上要靠猜测出题人的意图,有为了出题而出题的嫌疑,不过还是首先来上手分析吧

1.首先拿到程序用ida载入,会发现这是一个elf文件,程序的主体结构很简单,首先进入main函数,看到read_button函数,进入

2.简单分析一下read_button函数可得到这样一个对应关系

  U/u >0;   D/d>1;   L/l>2;   R/r>3;   A/a>4;   B/b>5

3.再回到main函数看到

v3 = read_button();
(*(&buttons + v3))();

而如图:

可知输入不同值分别对应运行up,down,left,right,a,b各个程序

4.再对up,down,left,right,a,b几个函数分别进行分析,在a函数中看到有out_flag函数,进入后发现这是一个输出flag的函数:

5.然后就是对各个函数算法漫长的分析了,由分析可以得到这样一个简化版本,

db check
db state=5
1.down:  check^=state
             state=state>>1*8-state>>1
2.up:    check^=state
            state=3state
3.left:  check^=state
            state=2state
4.right: check^=state
            state=state>>3 循环右移
5.b:     check^=state
           state=~state
6.a:     check^=state
          state=state>>4 循环右移
          if(*cross_ptr==check)
           check=0
           cross_ptr++

6.初始时pos=&buffer,state=5,每运行left,right等其中的一个程序,就会首先将_int8 state的值放入buffer数组中pos所对应的位置,然后pos++,接着是对state的演算变化,现在来看check,可以看到a函数中要想运行out_flag函数的最重要的一个条件就是:if ( *(_BYTE *)cross_ptr == check ),而cross_ptr所对应的值如下:

7.而check在bss段中,由分析有每运行一次a,b等函数,首先做的就是check^=state,所以check的值实际上就是运行到当前时所有state值异或的结果,而如果a中

if ( *(_BYTE *)cross_ptr == check )这样一个条件成立的话,首先check=0,即对check清零,然后cross_ptr++

8.然后每个函数中都有这样一个判断

if ( (_BYTE *)pos - (_BYTE *)&buffer > 32 )
pos = &buffer;

即当buffer长度>32时即对其进行重写

9.a中最后一重判断:

if ( (_BYTE *)pos - (_BYTE *)&buffer > 29 )
output_flag();

即buffer到pos所指位置处长度>29时输出,由于条件8的存在所以输入字符串的长度其实并没有限制

10.再看out_flag函数,可以看到输出结果为flag数组和buffer各位异或的输出,而flag长度为30位:

11.这样一来,整个程序的结构就很清楚了,这道题的重点并不在程序的逆向,而主要在于算法的逆向分析,分析到这里,我就卡住了很久很久,因为就我的分析来看,这道题目基本无解,因为首先程序的输入长度就不能确定,其次对程序的爆破也不可行

12,坑爹的地方来了,我的一个学长这时候提醒我,注意各个函数的名称,我看了看,上下左右ab,这不是魂斗罗的大招吗,上上下下左右左右ba,因为flag长度为30

所以我就尝试了下uuddlrlrbauuddlrlrbauuddlrlrba,结果正是:

13,当然并不只有这样一种方法,如果揣测出题人意图的话,会发现,cross数组长度为3,而flag长度为30,而要想输出的话,最后以为肯定是a字符,这样一来,可以推测出这样一个关系:字符串长度为30,第十,二十,三十个字符分别为a,这样一来可以分十组,分别进行爆破,结合输出的ascii的范围,可以进一步缩小范围,以下的python代码是由我得学长所写,因为是他提供的第二种思路,我自己也尝试用c来写了下,当然c的话是很不好写,最好用python,有时间我会贴上自己的c代码

14.这道题目的确是不大好,如我开始所说,很大一部分要靠冒着很大风险来猜测,如果是打比赛如果我忘记了魂斗罗的大招的话,我肯定是不会做这道题的,当然这道题还是有很意义的,首先,加强了我算法分析的能力,这道题的算法还是有一定算法复杂度的,其次,python的编写,python绝对是最好用的脚本语言之一,我还在学习用好它的路上,最后,揣测出题人的意图,有时候能事半功倍,当然不要为了做题而做题

15.就写到这里吧!写篇随笔真的很耗时间。。。

 alp = '1234567890_{ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz}'

 flag = [0x46,0x5b,0x6b,0xe1,0x6f,0x5e,0xa3,0xd3,0xa2,0x1c,0x82,0xed,0x62,0x24,0x67,0x71,0xdd,0x6d,0xf3,0x20,0x83,0x8d,0xca,0x3e,0x33,0xc8,0x75,0x5a,0x68,0x87]

 cross = [0x25,0x68,0xef]

 cross_ptr = 0

 Buf = [0 for i in xrange(30)]

 State = 5

 Pos = 0

 Check = 0

 find = 0

 def up(pos,state,check,buf):

     buf[pos] = state

     pos += 1

     pos %= 33

     check ^= state

     state *= 3

     state &= 0xff

     return pos,state,check,buf

 def down(pos,state,check,buf):

     buf[pos] = state

     pos += 1

     pos %= 33

     check ^= state

     state >>= 1

     tmp = state

     state *= 8

     state -= tmp

     state &= 0xff

     return pos,state,check,buf

 def left(pos,state,check,buf):

     buf[pos] = state

     pos += 1

     pos %= 33

     check ^= state

     state *= 2

     state &= 0xff

     return pos,state,check,buf

 def right(pos,state,check,buf):

     buf[pos] = state

     pos += 1

     pos %= 33

     check ^= state

     tmp = 32*state

     state >>= 3

     state |= tmp

     state &= 0xff

     return pos,state,check,buf

 def b(pos,state,check,buf):

     buf[pos] = state

     pos += 1

     pos %= 33

     check ^= state

     state ^= 0xff

     state &= 0xff

     return pos,state,check,buf

 def a(pos,state,check,buf):

     global cross

     global cross_ptr

     buf[pos] = state

     pos += 1

     pos %= 33

     check ^= state

     tmp = state >> 4

     state *= 16

     state |= tmp

     state &= 0xff

     correct = 0

     if cross[cross_ptr] == check:

         check = 0

         correct = 1

         cross_ptr += 1

         if pos == 30:

             output_flag(buf)

     return pos,state,check,buf,correct

 def output_flag(buf):

     global flag

     s = ''

     for i in xrange(30):

         s += chr(flag[i]^buf[i])

     print s

 func = [up,down,left,right,b]

 def force(pos,state,check,buf):

     global find

     global flag

     global alp

     if find == 1:

         return

     if (pos+1)%10 == 0:

         pos,state,check,buf,c = a(pos,state,check,buf)

         if c == 0:

             return

         if pos == 30:

             find = 1

             return

     for v in func:

         tmp1,tmp2,tmp3,tmp4 = v(pos,state,check,buf)

         tmp = chr(flag[tmp1]^tmp2)

         if tmp in alp:

             force(tmp1,tmp2,tmp3,tmp4)

 force(Pos,State,Check,Buf)

reverse-daily(1)-audio_visual_receiver_code的更多相关文章

  1. HNU 13411 Reverse a Road II(最大流+BFS)经典

    Reverse a Road II Time Limit: 10000ms, Special Time Limit:25000ms, Memory Limit:65536KB Total submit ...

  2. LeetCode 7. Reverse Integer

    Reverse digits of an integer. Example1: x = 123, return 321 Example2: x = -123, return -321 Have you ...

  3. 【uwp】浅谈China Daily 中划词翻译的实现

    学习uwp开发也有一段时间了,最近上架了一个小应用(China Daily),现在准备将开发中所学到的一些东西拿出来跟大家分享交流一下. 先给出应用的下载链接:China Daily , 感兴趣的童鞋 ...

  4. js sort() reverse()

    数组中存在的两个方法:sort()和reverse() 直接用sort(),如下: ,,,,,,,,,,,]; console.log(array.sort());ps:[0, 1, 2, 2, 29 ...

  5. [LeetCode] Reverse Vowels of a String 翻转字符串中的元音字母

    Write a function that takes a string as input and reverse only the vowels of a string. Example 1:Giv ...

  6. [LeetCode] Reverse String 翻转字符串

    Write a function that takes a string as input and returns the string reversed. Example: Given s = &q ...

  7. [LeetCode] Reverse Linked List 倒置链表

    Reverse a singly linked list. click to show more hints. Hint: A linked list can be reversed either i ...

  8. [LeetCode] Reverse Bits 翻转位

    Reverse bits of a given 32 bits unsigned integer. For example, given input 43261596 (represented in ...

  9. [LeetCode] Reverse Words in a String II 翻转字符串中的单词之二

    Given an input string, reverse the string word by word. A word is defined as a sequence of non-space ...

  10. [LeetCode] Reverse Words in a String 翻转字符串中的单词

    Given an input string, reverse the string word by word. For example, Given s = "the sky is blue ...

随机推荐

  1. YOU KNOW NOTHING , SNOW

    JVM运行时数据区域 方法区: 用 于存储虚拟机加载的类信息,常量,静态变量,JIT编译后的代码,所有线程共享 堆:所有线程共享,用来存储实例对象. 虚拟机栈:线程私有,生命周期与线程相同,每个方法被 ...

  2. noi 2718 移动路线

    题目链接: http://noi.openjudge.cn/ch0206/2718/ 右上角的方案数 f(m,n) = f(m-1,n) + f(m,n-1); http://paste.ubuntu ...

  3. Hadoop安装指引

    pre.ctl { font-family: "Liberation Mono", monospace } p { margin-bottom: 0.25cm; line-heig ...

  4. Popwindow

    popwindow的使用方法 View contentView = LayoutInflater.from(mContext).inflate( R.layout.dialog_homelist_vi ...

  5. 【OOAD】面向对象设计原则概述

    软件的可维护性和可复用性 知名软件大师Robert C.Martin认为一个可维护性(Maintainability) 较低的软件设计,通常由于如下4个原因造成: 过于僵硬(Rigidity)  ...

  6. 手势抽取过程&代码复用

    public abstract class BaseSetupActivity extends Activity { private GestureDetector gestureDetector; ...

  7. springMVC的两种下载方式

    1:通过httpServletResponse对象实现下载,觉得LOW的自行跳过 2:有人觉得既然使用的是MVC就要使用spring的方式

  8. intellij中编译报错: The packaging for this project did not assign a file to the build artifact

    原因是run configuration -> maven -> preject name -> Parameters -> command line中是install:ins ...

  9. Android Studio UML 插件 PlantUML 使用语法

    活动标签(activity label)以冒号开始,以分号结束. 文本格式支持creole wiki语法. 活动默认安装它们定义的顺序就行连接. @startuml :Hello world; :Th ...

  10. ubuntu如何卸载apt-get install安装的软件

    1.sudo apt-get remove xxxxx  sudo apt-get autoremove2.对于用命令sudo aptitude install xxx安装的软件可以用sudo apt ...