入门向:南邮CTF_ReadAsm2_WP
题目链接:http://ctf.nuptzj.cn/challenges#ReadAsm2
我比较菜,所以把思路全部敲上来了。
题目很明确告诉我们,这道题考察阅读汇编代码的能力。
在对编译环境和调用约定进行说明之后,只有一个文件和一段C语言代码:
int main(int argc, char const *argv[])
{
char input[] = {0x0, 0x67, 0x6e, 0x62, 0x63, 0x7e, 0x74, 0x62, 0x69, 0x6d,
0x55, 0x6a, 0x7f, 0x60, 0x51, 0x66, 0x63, 0x4e, 0x66, 0x7b,
0x71, 0x4a, 0x74, 0x76, 0x6b, 0x70, 0x79, 0x66 , 0x1c};
func(input, 28);
printf("%s\n",input+1);
return 0;
}
快速浏览文件(用notepad++打开),得知,文件内是func函数的汇编代码,而这段C是生成flag的主函数。
input的末尾不是'\0',而之后又用printf输出。所以若程序正常,执行func之后,input末尾的0x1c会变成0x00
因此,input是输入的数组,在经过func的一顿操作之后,就变成了答案。
下载附件,逐句分析func函数
00000000004004e6 <func>:
4004e6: 55 push rbp
4004e7: 48 89 e5 mov rbp,rsp
先把rbp压入栈,然后把rsp的内容覆盖到rbp。
这样栈帧就向上移动了一节。
其实是func函数的调用。
4004ea: 48 89 7d e8 mov QWORD PTR [rbp-0x18],rdi
4004ee: 89 75 e4 mov DWORD PTR [rbp-0x1c],esi
然后把寄存器rdi和esi的内容压到内存里,从之后的调用来看,应该是两个局部变量。
凭直觉,这是在调用func时传过来的两个参数,但为什么要放在rdi和esi??
回顾一下之前提示的函数调用说明,在洋文里发现了原因。 //System V AMD64 ABI calling conventions
很简洁,读起来非常舒适,大概是说,
调用函数时,前六个指针或者整型参数,在寄存器RDI,RSI,RDX,RCX,R8和R9中传递。
这里有两个参数,所以放在RDI和RSI寄存器内。
用esi而不用rsi的原因是DWORD是双字,是三十二位。
ESI是32位,RSI是64位的寄存器,所以需要用esi。
注,两个字节为一个字(Word),两个字为一个双字(Dword)(4Bytes),四个字为一个四字(Qword)(8bytes)
于是,字符串的指针"input"存在了[rbp-0x18];整型28被存在了[rbp-0x1c]。
那么,这些变量到底是如何在内存中存储的呢……
注:内存内数据的存储: //小端字节序
1、最小存储单位为字节,不是位。
2、栈底的地址大,栈顶的地址小。
3、数据的地址为最低位。
4、高位存高字/低字节,低位存低字/低字节。 //如,0x1234,则12是高位,34是低位
如图:
4004f1: c7 45 fc 01 00 00 00 mov DWORD PTR [rbp-0x4],0x1
把0x1丢给一个局部变量。从之后的表现来看,这是个控制循环的指针变量。姑且称为 " i " 。
4004f8: eb 28 jmp 400522 <func+0x3c>
跳转了跳转了!于是跳过中间步骤直接看400522
400522: 8b 45 fc mov eax,DWORD PTR [rbp-0x4]
400525: 3b 45 e4 cmp eax,DWORD PTR [rbp-0x1c]
400528: 7e d0 jle 4004fa <func+0x14>
把i拿出来,再把28拿出来,一比较,如果i<=28,那么就跳到4004fa //4004fa是4004f8的下一条指令
否则(即i>28)则继续运行,
若继续运行,则如下:
40052a: 90 nop
40052b: 5d pop rbp
40052c: c3 ret
显而易见的return。
回来看4004f8
4004fa: 8b 45 fc mov eax,DWORD PTR [rbp-0x4]
4004fd: 48 63 d0 movsxd rdx,eax
400500: 48 8b 45 e8 mov rax,QWORD PTR [rbp-0x18]
400504: 48 01 d0 add rax,rdx
400507: 8b 55 fc mov edx,DWORD PTR [rbp-0x4]
40050a: 48 63 ca movsxd rcx,edx
40050d: 48 8b 55 e8 mov rdx,QWORD PTR [rbp-0x18]
400511: 48 01 ca add rdx,rcx
把i和字符串指针的地址拿出来倒腾来倒腾去,也不知道有什么结果,一步步跑。
4004fa: eax = i;
4004fd: rdx = eax; // i ;
400500: rax = input;
400504: rax += rdx; //rax += i; //rax = input + i ;
400507: edx = i;
40050a: rcx = edx; //rcx = i;
40050d: rdx = input;
400511: rdx += rcx; //rdx += i; //rdx = input + i ;
经过如上分析,可知这一段代码执行之后,rdx和rax内存储的都是input[i]的地址。
//注:movsxd是带符号位扩展寄存器。在这里就是把32位寄存器的内容丢到一个64位寄存器里,带着符号位。//eax是32位,rdx是64位。
400514: 0f b6 0a movzx ecx,BYTE PTR [rdx]
这句实锤了,把rdx指向(input[i])的那个字节拿出来丢到ecx里。
我们知道,char类型的字符恰好是一字节,所以这个就是字符串的某部分。
//注:movzx也是不带符号位扩展寄存器。在这里就是把那个char丢到ecx里,高位用0补足,因为都是英文字符,ASCII码均非负,所以问题不大。
//movsx和movsxd的区别:http://book.51cto.com/art/201210/359678.htm //使用对象不同。
400517: 8b 55 fc mov edx,DWORD PTR [rbp-0x4]
40051a: 31 ca xor edx,ecx
在把字符串的某个字符放到ecx之后,又拿出i,和ecx异或,放在了edx里。
40051c: 88 10 mov BYTE PTR [rax],dl
此时,edx的第八位(dl)是被i异或之后的某字符,放回rax里。 //我盯着"dl"看了半天不知道是啥……还以为是大佬的简写??
//rax_eax_ax_ah_al 64位寄存器的组成
40051e: 83 45 fc 01 add DWORD PTR [rbp-0x4],0x1
最后,i++,然后判断条件,(jle那句)。
看到这里,很显然这就是个for循环.
翻译过来就是:
for(i=1; i<=28; i++) { input[i] ^= i; }
因为异或的逆运算还是异或,所以解密函数也是这个。
所以……
#include<stdio.h>
int main() {
char input[] = {0x0, 0x67, 0x6e, 0x62, 0x63, 0x7e, 0x74, 0x62, 0x69, 0x6d,
0x55, 0x6a, 0x7f, 0x60, 0x51, 0x66, 0x63, 0x4e, 0x66, 0x7b,
0x71, 0x4a, 0x74, 0x76, 0x6b, 0x70, 0x79, 0x66 , 0x1c};
for(int i=; i<=; i++) input[i] ^= i;
printf("%s\n",input+);
return ;
}
运行,得到:
flag{read_asm_is_the_basic}
入门向:南邮CTF_ReadAsm2_WP的更多相关文章
- 南邮ctf-web的writeup
WEB 签到题 nctf{flag_admiaanaaaaaaaaaaa} ctrl+u或右键查看源代码即可.在CTF比赛中,代码注释.页面隐藏元素.超链接指向的其他页面.HTTP响应头部都可能隐藏f ...
- 南邮CTF--SQL注入题
南邮CTF--SQL注入题 题目:GBK SQL injection 解析: 1.判断注入点:加入单引号发现被反斜杠转移掉了,换一个,看清题目,GBK,接下来利用宽字节进行注入 2.使用'%df' ' ...
- 南邮CTF--bypass again
南邮CTF--bypass again 提示:依旧弱类型,来源hctf 解析: 源代码: if (isset($_GET['a']) and isset($_GET['b'])) { if ($_G ...
- 南邮CTF--md5_碰撞
南邮CTF--难题笔记 题目:md5 collision (md5 碰撞) 解析: 经过阅读源码后,发现其代码是要求 a !=b 且 md5(a) == md5(b) 才会显示flag,利用PHP语言 ...
- 南邮JAVA程序设计实验1 综合图形界面程序设计
南邮JAVA程序设计实验1 综合图形界面程序设计 实验目的: 学习和理解JAVA SWING中的容器,部件,布局管理器和部件事件处理方法.通过编写和调试程序,掌握JAVA图形界面程序设计的基本方法. ...
- 南邮CTF - Writeup
南邮CTF攻防平台Writeup By:Mirror王宇阳 个人QQ欢迎交流:2821319009 技术水平有限~大佬勿喷 ^_^ Web题 签到题: 直接一梭哈-- md5 collision: 题 ...
- 南邮平台之Hello,RE!
小白闲逛了一下南邮平台看到了逆向这题,小白在网上看了一下别人的write up发现有点复杂.于是小白就试试看,直接Underfine然后结果就出来了.....有点意外...... 结果flag{Wel ...
- 南邮CTF隐写之丘比龙的女神
刚开始下载下图片来 习惯性的binwalk一下 没发现东西 formost一下也没分离出来 扔进c32asm中发现有nvshen.jpg 于是改后缀名字为.zip 解压nvshen.jpg发现无法解压 ...
- 南邮oj[1401] 乘车费用
Description lqp家离学校十分十分远,同时他又没有钱乘taxi.于是他不得不每天早早起床,匆匆赶到公交车站乘车到学校.众所周知CZ是个公交车十分发达的地方,但是CZ的公交车十分的奇怪,lq ...
随机推荐
- Odoo作为后端时如何返回数据给webapp、移动端app
转载请注明原文地址:https://www.cnblogs.com/cnodoo/p/9307315.html 使用jinja2渲染的页面,可以直接在调用template.render()时传递参数 ...
- 【招聘123】Some good open positions
Software Engineer III - Java, REST, Agile/Kanban https://jobs.cmegroup.com/jobs/3679794-software-eng ...
- regex_match
原型:bool regex_match(InputSequence[,MatchResults] , Regex[ , Flags]); 当模式匹配整个输入序列成功时,返回的是true,否则返回fal ...
- Plugin with id 'com.novoda.bintray-release' not found的解决方法
我们一般在在github上下载下来的代码,有时候会提示Plugin with id ‘com.novoda.bintray-release’ not found的错误,这个怎么解决呢,其实很简单,只要 ...
- Spring事务(二)事务自定义标签
摘要: 本文结合<Spring源码深度解析>来分析Spring 5.0.6版本的源代码.若有描述错误之处,欢迎指正. 目录 一.注册 InfrastructureAdvisorAutoPr ...
- 树上差分学习笔记 + [USACO15DEC]最大流$Max \ \ Flow \ \ By$
#\(\mathcal{\color{red}{Description}}\) \(Link\) \(FJ\)给他的牛棚的\(N(2≤N≤50,000)\)个隔间之间安装了\(N-1\)根管道,隔间编 ...
- C语言程序设计I—第七周教学
第七周教学总结(14/10-20/10) 教学内容 第二章 用C语言编写程序 2.5 生成乘方表和阶乘表 课前准备 在蓝墨云班课发布资源: PTA:2018秋第七周作业 分享码:FE065DC5D8C ...
- 解决安装macports更新失败问题
安装 macports 先是卡在开始,xcode的路径指定错误,重新指定一下,然后再sudo port selfupdate,就卡再ports.tar那里不动了.经过google和百度查到参考网 ...
- vue父组件为子组件传值传不过去?vue为数组传值,不能直接用等于的方式,要用循环加push的方式
父组件为子组件传值不成功,子组件拿不到值,不能直接赋值,要用循环加push的方式赋值.
- SAP交货单增强MV50AFZ1问题
在MV50AFZ1这个出口的子程序FORM USEREXIT_SAVE_DOCUMENT_PREPARE.中进行了一些控制 当VL01N创建交货单点击保存的时候检查行项目的信息,如果有问题给出TYPE ...