题目链接:http://ctf.nuptzj.cn/challenges#ReadAsm2


我比较菜,所以把思路全部敲上来了。

题目很明确告诉我们,这道题考察阅读汇编代码的能力。

在对编译环境和调用约定进行说明之后,只有一个文件和一段C语言代码:

int main(int argc, char const *argv[])
{
char input[] = {0x0, 0x67, 0x6e, 0x62, 0x63, 0x7e, 0x74, 0x62, 0x69, 0x6d,
0x55, 0x6a, 0x7f, 0x60, 0x51, 0x66, 0x63, 0x4e, 0x66, 0x7b,
0x71, 0x4a, 0x74, 0x76, 0x6b, 0x70, 0x79, 0x66 , 0x1c};
func(input, 28);
printf("%s\n",input+1);
return 0;
}

快速浏览文件(用notepad++打开),得知,文件内是func函数的汇编代码,而这段C是生成flag的主函数。

input的末尾不是'\0',而之后又用printf输出。所以若程序正常,执行func之后,input末尾的0x1c会变成0x00

因此,input是输入的数组,在经过func的一顿操作之后,就变成了答案。

下载附件,逐句分析func函数

00000000004004e6 <func>:
4004e6: 55 push rbp
4004e7: 48 89 e5 mov rbp,rsp

先把rbp压入栈,然后把rsp的内容覆盖到rbp。

这样栈帧就向上移动了一节。

其实是func函数的调用。

4004ea: 48 89 7d e8 mov QWORD PTR [rbp-0x18],rdi
4004ee: 89 75 e4 mov DWORD PTR [rbp-0x1c],esi

然后把寄存器rdi和esi的内容压到内存里,从之后的调用来看,应该是两个局部变量。

凭直觉,这是在调用func时传过来的两个参数,但为什么要放在rdi和esi??

回顾一下之前提示的函数调用说明,在洋文里发现了原因。  //System V AMD64 ABI calling conventions

很简洁,读起来非常舒适,大概是说,

调用函数时,前六个指针或者整型参数,在寄存器RDI,RSI,RDX,RCX,R8和R9中传递。

这里有两个参数,所以放在RDI和RSI寄存器内。

用esi而不用rsi的原因是DWORD是双字,是三十二位。

ESI是32位,RSI是64位的寄存器,所以需要用esi。

注,两个字节为一个字(Word),两个字为一个双字(Dword)(4Bytes),四个字为一个四字(Qword)(8bytes)

于是,字符串的指针"input"存在了[rbp-0x18];整型28被存在了[rbp-0x1c]。

那么,这些变量到底是如何在内存中存储的呢……

注:内存内数据的存储:  //小端字节序

  1、最小存储单位为字节,不是位。

  2、栈底的地址大,栈顶的地址小。

  3、数据的地址为最低位。

  4、高位存高字/低字节,低位存低字/低字节。  //如,0x1234,则12是高位,34是低位

如图:

4004f1: c7 45 fc 01 00 00 00 mov DWORD PTR [rbp-0x4],0x1

把0x1丢给一个局部变量。从之后的表现来看,这是个控制循环的指针变量。姑且称为 " i " 。

4004f8: eb 28 jmp 400522 <func+0x3c>

跳转了跳转了!于是跳过中间步骤直接看400522

400522: 8b 45 fc mov eax,DWORD PTR [rbp-0x4]
400525: 3b 45 e4 cmp eax,DWORD PTR [rbp-0x1c]
400528: 7e d0 jle 4004fa <func+0x14>

把i拿出来,再把28拿出来,一比较,如果i<=28,那么就跳到4004fa  //4004fa是4004f8的下一条指令

否则(即i>28)则继续运行,

若继续运行,则如下:

40052a: 90 nop
40052b: 5d pop rbp
40052c: c3 ret

显而易见的return。

回来看4004f8

4004fa: 8b 45 fc mov eax,DWORD PTR [rbp-0x4]
4004fd: 48 63 d0 movsxd rdx,eax
400500: 48 8b 45 e8 mov rax,QWORD PTR [rbp-0x18]
400504: 48 01 d0 add rax,rdx
400507: 8b 55 fc mov edx,DWORD PTR [rbp-0x4]
40050a: 48 63 ca movsxd rcx,edx
40050d: 48 8b 55 e8 mov rdx,QWORD PTR [rbp-0x18]
400511: 48 01 ca add rdx,rcx

把i和字符串指针的地址拿出来倒腾来倒腾去,也不知道有什么结果,一步步跑。

4004fa:  eax = i;

4004fd:  rdx = eax;  // i ;

400500:  rax = input;

400504:  rax += rdx;  //rax += i;  //rax = input + i ;

400507:  edx = i;

40050a:  rcx = edx;  //rcx = i;

40050d:  rdx = input;

400511:  rdx += rcx;  //rdx += i;  //rdx = input + i ;

经过如上分析,可知这一段代码执行之后,rdx和rax内存储的都是input[i]的地址。

//注:movsxd是带符号位扩展寄存器。在这里就是把32位寄存器的内容丢到一个64位寄存器里,带着符号位。//eax是32位,rdx是64位。

400514: 0f b6 0a movzx ecx,BYTE PTR [rdx]

这句实锤了,把rdx指向(input[i])的那个字节拿出来丢到ecx里。

我们知道,char类型的字符恰好是一字节,所以这个就是字符串的某部分。

//注:movzx也是不带符号位扩展寄存器。在这里就是把那个char丢到ecx里,高位用0补足,因为都是英文字符,ASCII码均非负,所以问题不大。

//movsx和movsxd的区别:http://book.51cto.com/art/201210/359678.htm  //使用对象不同。

400517: 8b 55 fc mov edx,DWORD PTR [rbp-0x4]
40051a: 31 ca xor edx,ecx

在把字符串的某个字符放到ecx之后,又拿出i,和ecx异或,放在了edx里。

40051c: 88 10 mov BYTE PTR [rax],dl

此时,edx的第八位(dl)是被i异或之后的某字符,放回rax里。  //我盯着"dl"看了半天不知道是啥……还以为是大佬的简写??

//rax_eax_ax_ah_al  64位寄存器的组成

40051e: 83 45 fc 01 add DWORD PTR [rbp-0x4],0x1

最后,i++,然后判断条件,(jle那句)。

看到这里,很显然这就是个for循环.  

翻译过来就是:

  for(i=1; i<=28; i++) { input[i] ^= i; }

因为异或的逆运算还是异或,所以解密函数也是这个。

所以……

#include<stdio.h>
int main() {
char input[] = {0x0, 0x67, 0x6e, 0x62, 0x63, 0x7e, 0x74, 0x62, 0x69, 0x6d,
0x55, 0x6a, 0x7f, 0x60, 0x51, 0x66, 0x63, 0x4e, 0x66, 0x7b,
0x71, 0x4a, 0x74, 0x76, 0x6b, 0x70, 0x79, 0x66 , 0x1c};
for(int i=; i<=; i++) input[i] ^= i;
printf("%s\n",input+);
return ;
}

运行,得到:

flag{read_asm_is_the_basic}

入门向:南邮CTF_ReadAsm2_WP的更多相关文章

  1. 南邮ctf-web的writeup

    WEB 签到题 nctf{flag_admiaanaaaaaaaaaaa} ctrl+u或右键查看源代码即可.在CTF比赛中,代码注释.页面隐藏元素.超链接指向的其他页面.HTTP响应头部都可能隐藏f ...

  2. 南邮CTF--SQL注入题

    南邮CTF--SQL注入题 题目:GBK SQL injection 解析: 1.判断注入点:加入单引号发现被反斜杠转移掉了,换一个,看清题目,GBK,接下来利用宽字节进行注入 2.使用'%df' ' ...

  3. 南邮CTF--bypass again

    南邮CTF--bypass again 提示:依旧弱类型,来源hctf 解析: 源代码: if (isset($_GET['a']) and isset($_GET['b'])) {​ if ($_G ...

  4. 南邮CTF--md5_碰撞

    南邮CTF--难题笔记 题目:md5 collision (md5 碰撞) 解析: 经过阅读源码后,发现其代码是要求 a !=b 且 md5(a) == md5(b) 才会显示flag,利用PHP语言 ...

  5. 南邮JAVA程序设计实验1 综合图形界面程序设计

    南邮JAVA程序设计实验1  综合图形界面程序设计 实验目的: 学习和理解JAVA SWING中的容器,部件,布局管理器和部件事件处理方法.通过编写和调试程序,掌握JAVA图形界面程序设计的基本方法. ...

  6. 南邮CTF - Writeup

    南邮CTF攻防平台Writeup By:Mirror王宇阳 个人QQ欢迎交流:2821319009 技术水平有限~大佬勿喷 ^_^ Web题 签到题: 直接一梭哈-- md5 collision: 题 ...

  7. 南邮平台之Hello,RE!

    小白闲逛了一下南邮平台看到了逆向这题,小白在网上看了一下别人的write up发现有点复杂.于是小白就试试看,直接Underfine然后结果就出来了.....有点意外...... 结果flag{Wel ...

  8. 南邮CTF隐写之丘比龙的女神

    刚开始下载下图片来 习惯性的binwalk一下 没发现东西 formost一下也没分离出来 扔进c32asm中发现有nvshen.jpg 于是改后缀名字为.zip 解压nvshen.jpg发现无法解压 ...

  9. 南邮oj[1401] 乘车费用

    Description lqp家离学校十分十分远,同时他又没有钱乘taxi.于是他不得不每天早早起床,匆匆赶到公交车站乘车到学校.众所周知CZ是个公交车十分发达的地方,但是CZ的公交车十分的奇怪,lq ...

随机推荐

  1. 红米5/红米5 Plus逼出最强魅蓝Note6?降价后已成性价比神机

    从品牌到产品命名,小米旗下的红米与魅族旗下的魅蓝似乎是一对天生的对手,如今小米即将发布千元全面屏的红米5/红米5 Plus,暂时没有全面屏手机推出的魅蓝也拿出了自己的应对策略,魅蓝的办法简单粗暴:直接 ...

  2. 论文笔记 Pose-driven Deep Convolutional Model for Person Re-identification_tianqi_2017_ICCV

    1. 摘要 为解决姿态变化的问题,作者提出Pose-driven-deep convolutional model(PDC),结合了global feature跟local feature, 而loc ...

  3. P2196 挖地雷

    题目背景 NOIp1996提高组第三题 题目描述 在一个地图上有N个地窖(N<=20),每个地窖中埋有一定数量的地雷.同时,给出地窖之间的连接路径.当地窖及其连接的数据给出之后,某人可以从任一处 ...

  4. C3P0与DBUtil配合实现DAO层的开发

    写在前面:菜鸟拙见,望请纠正 一:为什么需要连接池 普通的JDBC数据库连接使用 DriverManager 来获取,每次向数据库建立连接的时候都要将 Connection 加载到内存中,需要数据库连 ...

  5. php数组函数array_column:不用循环就能提取多维数组内容

    作为一个有多年PHP开发经验的码农,我也是前段时间才发现PHP处理数组有这么好用的函数, 至此之前,我处理数组的数据基本都是使用循环,记录一下两个函数的用法: array_column() 函数 返回 ...

  6. spark上的一些常用命令(一)

    1. 加速跑 spark-sql --name uername --num-executors --driver-memory 8G --executor-memory 8G 2. 上传数据 建表 ) ...

  7. GoLand(三)数据类型、变量和常量

    Infi-chu: http://www.cnblogs.com/Infi-chu/ 一.数据类型 数据类型的出现是为了把数据分成所需内存大小不同的数据,编程的时候需要用大数据的时候才需要申请大内存, ...

  8. Scala_标识符

    用于对象,类,变量和方法的名称称为标识符.关键字不能用作标识符,标识符区分大小写. 类名首字母大写 方法名称第一个字母小写 程序文件名应该与对象名称完全匹配 1.字母数字标识符 以字母或下划线开头,后 ...

  9. Scala-元组操作

    package com.bigdata object TupleMapO { def main(args: Array[String]): Unit = { // 元组:Tuple,就是由()包起来, ...

  10. JavaWeb基础—JSP

    一.什么是JSP JSP 全称是 Java Server Pages,是一种开发动态web资源的技术 在原HTML上添加JAVA脚本(灵魂工程师,为页面添加灵魂),可以说 jsp = html + j ...