看雪.TSRC 2017CTF秋季赛第三题 wp

这是一道很简单的题,反调试的坑略多。这道题采用了很多常用的反调试手段,比如调用IsDebuggerPresent、进程名检查等等。另外也有利用SEH的非常规检测方法。现在的OD插件能轻松对付常规反调试,暗坑还需手动处理,我的工具太原始了。

我做这道题,猜+Python直接输出了答案,有了答案再对程序做了详细点的分析。猜是把算法和输入数据猜对了。所以有一定运气成分。

代码定位

首先通过对GetDlgItemTextA 下断点定位到关键函数434EF0(Base:400000).

在这个函数的开头,有常规反调试,可以无视。接着会调用GetDlgItemTextA获取用户输入的字符串并将输入的字符串进行两次变换,经过我测试发现,大部分输入经过两次变换后内存都是00(缓冲区长度1024左右),然后将变换后的结果取前3个字节送入一段数字摘要算法,该数字摘要算法的结果为32字节,转换HEX String后应当有64个ASCII字符,最后将64位长度的签名与用户输入进行比较。

初次看来,这段算法既然是摘要算法,那么输入怎么可能等于输出?这道题连续两次调用一个转换函数,会把任意字符串转成00,又因为每次固定取3字节签名,所以送入算法的数据恒定为:00 00 00. 后面会对这段摘要算法进行分析。

关键部分代码如下:

      String[0] = 0;

      memset1(&String[1], 0, 1023);

      a3 = 0;

      memset1(&v22, 0, 1023);

      v4 = GetDlgItemTextA(hDlg, 1001, String, 1025);

      v24 = runtimecheck(&v11 == &v11, v4);

      v19 = 0;

      memset1(&v20, 0, 1023);

      j_translate(String, 0x400u, &a3);

      v17 = 0;

      memset1(&v18, 0, 1023);

      j_translate(&a3, 0x400u, &v19);

      sub_42D96A(&v19, &v17, 1024);

      v16 = 3;

      j_sm3(&v19, 3, v15);

      for ( i = 0; i < 32; ++i )

        springf1(&v14[2 * i], "%02x", v15[i]);

      v5 = strlen1(v14);

      v6 = &String[strlen1(String)];

      v7 = strlen1(v14);

      if ( !memcmp(v14, &v6[-v7], v5) )// &v6[-v7]实际是指向String,也就是输入的字符串 V5=0X40,V14是定值

      {

        sub_42D0B4();

        if ( sub_42D9AB(&dword_49B000, &v17) == 1 )// aa

        {

          v8 = MessageBoxA(0, "ok", "CrackMe", 0);

          runtimecheck(&v11 == &v11, v8);

        }

      }

    }

这段算法应该属于OpenSSL的一部分,有明显的OPenSSL风格,但是作者在算法内部内嵌了很多非常规的异常反调试手段,一共有4块,手动修改EIP绕过即可。

以下代码片段是作者封装的sm3算法函数:

int __cdecl sm3(int a1, int a2, int a3)

{

  int v3; // eax@1

  char v5; // [sp+Ch] [bp-1B4h]@1

  char v6; // [sp+D0h] [bp-F0h]@1

  unsigned int v7; // [sp+1BCh] [bp-4h]@1

  int savedregs; // [sp+1C0h] [bp+0h]@1

  memset(&v5, 0xCCu, 0x1B4u);

  v7 = &savedregs ^ dword_49B344;

  sub_42D294(&v6);   // init 初始化ctx

  sub_42DF2D(&v6, a1, a2); //update  传入加密数据

  sub_42D15E(&v6, a3); //final 获取结果

  memset1(&v6, 0, 232);

  sub_42D65E(&savedregs, &dword_437F18);

  v3 = sub_42D1E5(&savedregs ^ v7);

  return runtimecheck(1, v3);

}

作者分别在sub_42D294、sub_42DF2D、sub_42D15E插入了反调试代码,代码非常显眼。

几乎所有反调试相关的代码都是这种判断格式,汇编特征更加明显:

在动态调试时,直接强制修改EIP到pop edi处实现绕过,后面几处同样的方法处理,一定要注意别跳错了,我就因为跳错了,程序没报错,算出来的结果是错的。

特征大概是call xxx,mov [XXX],eax,cmp eax,0 类似的指令序列。

那么我是如何判断这个算法的呢?这个算法是sm3算法,在百度上有很多资料。 通过搜索关键常量,就可以在百度上找到相关实现代码。

*(a1 + 8) = 0x7380166F;

*(a1 + 12) = 0x4914B2B9;

*(a1 + 16) = 0x172442D7;

*(a1 + 20) = 0xDA8A0600;

*(a1 + 24) = 0xA96F30BC;

*(a1 + 28) = 0x163138AA;

*(a1 + 32) = 0xE38DEE4D;

*(a1 + 36) = 0xB0FB0E4E;

Python实现如下:

import struct

IV="7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aa e38dee4d b0fb0e4e"

IV = int(IV.replace(" ", ""), 16)

a = []

for i in range(0, 8):

        a.append(0)

        a[i] = (IV >> ((7 - i) * 32)) & 0xFFFFFFFF

IV = a 

def out_hex(list1):

        for i in list1:

                print "%08x" % i,

        print "\n", 

def rotate_left(a, k):

        k = k % 32

        return ((a << k) & 0xFFFFFFFF) | ((a & 0xFFFFFFFF) >> (32 - k)) 

T_j = []

for i in range(0, 16):

        T_j.append(0)

        T_j[i] = 0x79cc4519

for i in range(16, 64):

        T_j.append(0)

        T_j[i] = 0x7a879d8a 

def FF_j(X, Y, Z, j):

        if 0 <= j and j < 16:

                ret = X ^ Y ^ Z

        elif 16 <= j and j < 64:

                ret = (X & Y) | (X & Z) | (Y & Z)

        return ret 

def GG_j(X, Y, Z, j):

        if 0 <= j and j < 16:

                ret = X ^ Y ^ Z

        elif 16 <= j and j < 64:

                #ret = (X | Y) & ((2 ** 32 - 1 - X) | Z)

                ret = (X & Y) | ((~ X) & Z)

        return ret 

def P_0(X):

        return X ^ (rotate_left(X, 9)) ^ (rotate_left(X, 17)) 

def P_1(X):

        return X ^ (rotate_left(X, 15)) ^ (rotate_left(X, 23)) 

def CF(V_i, B_i):

        W = []

        for j in range(0, 16):

                W.append(0)

                unpack_list = struct.unpack(">I", B_i[j*4:(j+1)*4])

                W[j] = unpack_list[0]

        for j in range(16, 68):

                W.append(0)

                W[j] = P_1(W[j-16] ^ W[j-9] ^ (rotate_left(W[j-3], 15))) ^ (rotate_left(W[j-13], 7)) ^ W[j-6]

                str1 = "%08x" % W[j]

        W_1 = []

        for j in range(0, 64):

                W_1.append(0)

                W_1[j] = W[j] ^ W[j+4]

                str1 = "%08x" % W_1[j] 

        A, B, C, D, E, F, G, H = V_i

        """

        print "00",

        out_hex([A, B, C, D, E, F, G, H])

        """

        for j in range(0, 64):

                SS1 = rotate_left(((rotate_left(A, 12)) + E + (rotate_left(T_j[j], j))) & 0xFFFFFFFF, 7)

                SS2 = SS1 ^ (rotate_left(A, 12))

                TT1 = (FF_j(A, B, C, j) + D + SS2 + W_1[j]) & 0xFFFFFFFF

                TT2 = (GG_j(E, F, G, j) + H + SS1 + W[j]) & 0xFFFFFFFF

                D = C

                C = rotate_left(B, 9)

                B = A

                A = TT1

                H = G

                G = rotate_left(F, 19)

                F = E

                E = P_0(TT2) 

                A = A & 0xFFFFFFFF

                B = B & 0xFFFFFFFF

                C = C & 0xFFFFFFFF

                D = D & 0xFFFFFFFF

                E = E & 0xFFFFFFFF

                F = F & 0xFFFFFFFF

                G = G & 0xFFFFFFFF

                H = H & 0xFFFFFFFF

                """

                str1 = "%02d" % j

                if str1[0] == "0":

                        str1 = ' ' + str1[1:]

                print str1,

                out_hex([A, B, C, D, E, F, G, H])

                """ 

        V_i_1 = []

        V_i_1.append(A ^ V_i[0])

        V_i_1.append(B ^ V_i[1])

        V_i_1.append(C ^ V_i[2])

        V_i_1.append(D ^ V_i[3])

        V_i_1.append(E ^ V_i[4])

        V_i_1.append(F ^ V_i[5])

        V_i_1.append(G ^ V_i[6])

        V_i_1.append(H ^ V_i[7])

        return V_i_1 

def hash_msg(msg):

        len1 = len(msg)

        reserve1 = len1 % 64

        msg = msg + chr(0x80)

        reserve1 = reserve1 + 1

        for i in range(reserve1, 56):

                msg = msg + chr(0x00) 

        bit_length = (len1) * 8

        bit_length_string = struct.pack(">Q", bit_length)

        msg = msg + bit_length_string 

        #print len(msg)

        group_count = len(msg) / 64 

        m_1 = B = []

        for i in range(0, group_count):

                B.append(0)

                B[i] = msg[i*64:(i+1)*64] 

        V = []

        V.append(0)

        V[0] = IV

        for i in range(0, group_count):

                V.append(0)

                V[i+1] = CF(V[i], B[i]) 

        return V[i+1]

输出答案:

y = hash_msg("\x00\x00\x00")

print out_hex(y)

183920f0 0e15a043 3ee3a8fc 90dd9ac1 64c4142c cf63ca18 9a8f645e c96ff8de

看雪.TSRC 2017CTF秋季赛第三题的更多相关文章

  1. 2019看雪CTF 晋级赛Q2第四题wp

    上次参加2019看雪CTF 晋级赛Q2卡在了这道题上,虽然逆出算法,但是方程不会解,哈哈哈哈,果然数学知识很重要呀,现在记录一下. 首先根据关键信息,根据错误提示字符串定位到这里: 1 int __t ...

  2. 1-m*n循环填数(用标记数组)blibli2018秋招第三题一个类型

    #include <iostream> #include<string> #include<algorithm> using namespace std; ; in ...

  3. ECC加密算法入门介绍 --- 看雪

    标 题:ECC加密算法入门介绍 作 者:zmworm 时 间:2003/05/04 08:32pm 链 接:http://bbs.pediy.com ECC加密算法入门介绍 作者  :ZMWorm[C ...

  4. 看雪论坛 破解exe 看雪CTF2017第一题分析-『CrackMe』-看雪安全论坛

    韩梦飞沙  韩亚飞  313134555@qq.com  yue31313  han_meng_fei_sha 逆向 黑客 破解 学习 论坛 『CrackMe』 http://bbs.pediy.co ...

  5. 看雪CTF第十题

    __int64 sub_140006F50() { __int64 v0; // r8@1 __int64 v1; // r9@1 signed __int64 len; // rax@1 __int ...

  6. 如何实现 Https拦截进行 非常规“抓包” 珍惜Any 看雪学院 今天 前段时间在自己做开发的时候发现一个很好用的工具,OKHttp的拦截器(何为拦截器?就是在每次发送网络请求的时候都会走的一个回调)大概效果如下:

    如何实现 Https拦截进行 非常规“抓包” 珍惜Any 看雪学院 今天 前段时间在自己做开发的时候发现一个很好用的工具,OKHttp的拦截器(何为拦截器?就是在每次发送网络请求的时候都会走的一个回调 ...

  7. 看雪hello

    在看雪做了一道题目很简单,但是还是记录一下自己的学习. 用ida打开,然后shift+F12查看 这里可以看到基本的结构,转到pass查看 发现ATA XREF: sub_401770+Bo打开这里 ...

  8. 阿里聚安全攻防挑战赛第三题Android PwnMe解题思路

    阿里聚安全攻防挑战赛第三题Android PwnMe解题思路 大家在聚安全挑战赛正式赛第三题中,遇到android app 远程控制的题目.我们今天带你一探究竟,如何攻破这道题目. 一.题目 购物应用 ...

  9. NOIP2005-普及组复赛-第三题-采药

    题目描述 Description 辰辰是个天资聪颖的孩子,他的梦想是成为世界上最伟大的医师.为此,他想拜附近最有威望的医师为师.医师为了判断他的资质,给他出了一个难题.医师把他带到一个到处都是草药的山 ...

随机推荐

  1. A + B Problem II(大数加法)

    http://acm.hdu.edu.cn/showproblem.php?pid=1002 A + B Problem II Time Limit: 2000/1000 MS (Java/Other ...

  2. bean的作用域 :singleton和prototype

  3. 调用webService的几种方式

    转自:http://blog.csdn.net/u011165335/article/details/51345224 一.概览 方式1: HttpClient:可以用来调用webservie服务,也 ...

  4. N的N次方

    题目描述 现给你一个正整数N,请问N^N的最左边的数字是什么? 输入 输入包含多组测试数据.每组输入一个正整数N(N<=1000000). 输出 对于每组输入,输出N^N的最左边的数字. 样例输 ...

  5. 【深度学习系列】PaddlePaddle可视化之VisualDL

    上篇文章我们讲了如何对模型进行可视化,用的keras手动绘图输出CNN训练的中途结果,本篇文章将讲述如何用PaddlePaddle新开源的VisualDL来进行可视化.在讲VisualDL之前,我们先 ...

  6. 关于OELD屏显示电池电量的简易方法

    如何采集电源电压大家可能都熟悉,stm32的ADC+DMA能很方便迅速的帮我们采集到自己想要的电压数据.使用DMA进行数据搬运也能很好的减轻CPU的一部分压力.但是这样只是第一步--数据. 用户想看到 ...

  7. linux 下查看有当前文件夹有多少个文件

    ls |wc -w

  8. https和http有什么区别

    在URL前加https://前缀表明是用SSL加密的. 你的电脑与服务器之间收发的信息传输将更加安全. Web服务器启用SSL需要获得一个服务器证书并将该证书与要使用SSL的服务器绑定. http和h ...

  9. 关于Vuex的初步使用

    store.js文件中定义各个访问状态和方法 import Vue from "vue" import Vuex from "vuex" Vue.use(Vue ...

  10. Flexbox学习总结

    flex语法 采用Flex布局的元素,称为Flex容器(flex container),简称"容器".它的所有子元素自动成为容器成员,称为Flex项目(flex item),简称& ...