看雪.TSRC 2017CTF秋季赛第三题
看雪.TSRC 2017CTF秋季赛第三题 wp
这是一道很简单的题,反调试的坑略多。这道题采用了很多常用的反调试手段,比如调用IsDebuggerPresent、进程名检查等等。另外也有利用SEH的非常规检测方法。现在的OD插件能轻松对付常规反调试,暗坑还需手动处理,我的工具太原始了。
我做这道题,猜+Python直接输出了答案,有了答案再对程序做了详细点的分析。猜是把算法和输入数据猜对了。所以有一定运气成分。
代码定位
首先通过对GetDlgItemTextA 下断点定位到关键函数434EF0(Base:400000).
在这个函数的开头,有常规反调试,可以无视。接着会调用GetDlgItemTextA获取用户输入的字符串并将输入的字符串进行两次变换,经过我测试发现,大部分输入经过两次变换后内存都是00(缓冲区长度1024左右),然后将变换后的结果取前3个字节送入一段数字摘要算法,该数字摘要算法的结果为32字节,转换HEX String后应当有64个ASCII字符,最后将64位长度的签名与用户输入进行比较。
初次看来,这段算法既然是摘要算法,那么输入怎么可能等于输出?这道题连续两次调用一个转换函数,会把任意字符串转成00,又因为每次固定取3字节签名,所以送入算法的数据恒定为:00 00 00. 后面会对这段摘要算法进行分析。
关键部分代码如下:
String[0] = 0;
memset1(&String[1], 0, 1023);
a3 = 0;
memset1(&v22, 0, 1023);
v4 = GetDlgItemTextA(hDlg, 1001, String, 1025);
v24 = runtimecheck(&v11 == &v11, v4);
v19 = 0;
memset1(&v20, 0, 1023);
j_translate(String, 0x400u, &a3);
v17 = 0;
memset1(&v18, 0, 1023);
j_translate(&a3, 0x400u, &v19);
sub_42D96A(&v19, &v17, 1024);
v16 = 3;
j_sm3(&v19, 3, v15);
for ( i = 0; i < 32; ++i )
springf1(&v14[2 * i], "%02x", v15[i]);
v5 = strlen1(v14);
v6 = &String[strlen1(String)];
v7 = strlen1(v14);
if ( !memcmp(v14, &v6[-v7], v5) )// &v6[-v7]实际是指向String,也就是输入的字符串 V5=0X40,V14是定值
{
sub_42D0B4();
if ( sub_42D9AB(&dword_49B000, &v17) == 1 )// aa
{
v8 = MessageBoxA(0, "ok", "CrackMe", 0);
runtimecheck(&v11 == &v11, v8);
}
}
}
这段算法应该属于OpenSSL的一部分,有明显的OPenSSL风格,但是作者在算法内部内嵌了很多非常规的异常反调试手段,一共有4块,手动修改EIP绕过即可。
以下代码片段是作者封装的sm3算法函数:
int __cdecl sm3(int a1, int a2, int a3)
{
int v3; // eax@1
char v5; // [sp+Ch] [bp-1B4h]@1
char v6; // [sp+D0h] [bp-F0h]@1
unsigned int v7; // [sp+1BCh] [bp-4h]@1
int savedregs; // [sp+1C0h] [bp+0h]@1
memset(&v5, 0xCCu, 0x1B4u);
v7 = &savedregs ^ dword_49B344;
sub_42D294(&v6); // init 初始化ctx
sub_42DF2D(&v6, a1, a2); //update 传入加密数据
sub_42D15E(&v6, a3); //final 获取结果
memset1(&v6, 0, 232);
sub_42D65E(&savedregs, &dword_437F18);
v3 = sub_42D1E5(&savedregs ^ v7);
return runtimecheck(1, v3);
}
作者分别在sub_42D294、sub_42DF2D、sub_42D15E插入了反调试代码,代码非常显眼。
几乎所有反调试相关的代码都是这种判断格式,汇编特征更加明显:
在动态调试时,直接强制修改EIP到pop edi处实现绕过,后面几处同样的方法处理,一定要注意别跳错了,我就因为跳错了,程序没报错,算出来的结果是错的。
特征大概是call xxx,mov [XXX],eax,cmp eax,0 类似的指令序列。
那么我是如何判断这个算法的呢?这个算法是sm3算法,在百度上有很多资料。 通过搜索关键常量,就可以在百度上找到相关实现代码。
*(a1 + 8) = 0x7380166F;
*(a1 + 12) = 0x4914B2B9;
*(a1 + 16) = 0x172442D7;
*(a1 + 20) = 0xDA8A0600;
*(a1 + 24) = 0xA96F30BC;
*(a1 + 28) = 0x163138AA;
*(a1 + 32) = 0xE38DEE4D;
*(a1 + 36) = 0xB0FB0E4E;
Python实现如下:
import struct
IV="7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aa e38dee4d b0fb0e4e"
IV = int(IV.replace(" ", ""), 16)
a = []
for i in range(0, 8):
a.append(0)
a[i] = (IV >> ((7 - i) * 32)) & 0xFFFFFFFF
IV = a
def out_hex(list1):
for i in list1:
print "%08x" % i,
print "\n",
def rotate_left(a, k):
k = k % 32
return ((a << k) & 0xFFFFFFFF) | ((a & 0xFFFFFFFF) >> (32 - k))
T_j = []
for i in range(0, 16):
T_j.append(0)
T_j[i] = 0x79cc4519
for i in range(16, 64):
T_j.append(0)
T_j[i] = 0x7a879d8a
def FF_j(X, Y, Z, j):
if 0 <= j and j < 16:
ret = X ^ Y ^ Z
elif 16 <= j and j < 64:
ret = (X & Y) | (X & Z) | (Y & Z)
return ret
def GG_j(X, Y, Z, j):
if 0 <= j and j < 16:
ret = X ^ Y ^ Z
elif 16 <= j and j < 64:
#ret = (X | Y) & ((2 ** 32 - 1 - X) | Z)
ret = (X & Y) | ((~ X) & Z)
return ret
def P_0(X):
return X ^ (rotate_left(X, 9)) ^ (rotate_left(X, 17))
def P_1(X):
return X ^ (rotate_left(X, 15)) ^ (rotate_left(X, 23))
def CF(V_i, B_i):
W = []
for j in range(0, 16):
W.append(0)
unpack_list = struct.unpack(">I", B_i[j*4:(j+1)*4])
W[j] = unpack_list[0]
for j in range(16, 68):
W.append(0)
W[j] = P_1(W[j-16] ^ W[j-9] ^ (rotate_left(W[j-3], 15))) ^ (rotate_left(W[j-13], 7)) ^ W[j-6]
str1 = "%08x" % W[j]
W_1 = []
for j in range(0, 64):
W_1.append(0)
W_1[j] = W[j] ^ W[j+4]
str1 = "%08x" % W_1[j]
A, B, C, D, E, F, G, H = V_i
"""
print "00",
out_hex([A, B, C, D, E, F, G, H])
"""
for j in range(0, 64):
SS1 = rotate_left(((rotate_left(A, 12)) + E + (rotate_left(T_j[j], j))) & 0xFFFFFFFF, 7)
SS2 = SS1 ^ (rotate_left(A, 12))
TT1 = (FF_j(A, B, C, j) + D + SS2 + W_1[j]) & 0xFFFFFFFF
TT2 = (GG_j(E, F, G, j) + H + SS1 + W[j]) & 0xFFFFFFFF
D = C
C = rotate_left(B, 9)
B = A
A = TT1
H = G
G = rotate_left(F, 19)
F = E
E = P_0(TT2)
A = A & 0xFFFFFFFF
B = B & 0xFFFFFFFF
C = C & 0xFFFFFFFF
D = D & 0xFFFFFFFF
E = E & 0xFFFFFFFF
F = F & 0xFFFFFFFF
G = G & 0xFFFFFFFF
H = H & 0xFFFFFFFF
"""
str1 = "%02d" % j
if str1[0] == "0":
str1 = ' ' + str1[1:]
print str1,
out_hex([A, B, C, D, E, F, G, H])
"""
V_i_1 = []
V_i_1.append(A ^ V_i[0])
V_i_1.append(B ^ V_i[1])
V_i_1.append(C ^ V_i[2])
V_i_1.append(D ^ V_i[3])
V_i_1.append(E ^ V_i[4])
V_i_1.append(F ^ V_i[5])
V_i_1.append(G ^ V_i[6])
V_i_1.append(H ^ V_i[7])
return V_i_1
def hash_msg(msg):
len1 = len(msg)
reserve1 = len1 % 64
msg = msg + chr(0x80)
reserve1 = reserve1 + 1
for i in range(reserve1, 56):
msg = msg + chr(0x00)
bit_length = (len1) * 8
bit_length_string = struct.pack(">Q", bit_length)
msg = msg + bit_length_string
#print len(msg)
group_count = len(msg) / 64
m_1 = B = []
for i in range(0, group_count):
B.append(0)
B[i] = msg[i*64:(i+1)*64]
V = []
V.append(0)
V[0] = IV
for i in range(0, group_count):
V.append(0)
V[i+1] = CF(V[i], B[i])
return V[i+1]
输出答案:
y = hash_msg("\x00\x00\x00")
print out_hex(y)
183920f0 0e15a043 3ee3a8fc 90dd9ac1 64c4142c cf63ca18 9a8f645e c96ff8de
看雪.TSRC 2017CTF秋季赛第三题的更多相关文章
- 2019看雪CTF 晋级赛Q2第四题wp
上次参加2019看雪CTF 晋级赛Q2卡在了这道题上,虽然逆出算法,但是方程不会解,哈哈哈哈,果然数学知识很重要呀,现在记录一下. 首先根据关键信息,根据错误提示字符串定位到这里: 1 int __t ...
- 1-m*n循环填数(用标记数组)blibli2018秋招第三题一个类型
#include <iostream> #include<string> #include<algorithm> using namespace std; ; in ...
- ECC加密算法入门介绍 --- 看雪
标 题:ECC加密算法入门介绍 作 者:zmworm 时 间:2003/05/04 08:32pm 链 接:http://bbs.pediy.com ECC加密算法入门介绍 作者 :ZMWorm[C ...
- 看雪论坛 破解exe 看雪CTF2017第一题分析-『CrackMe』-看雪安全论坛
韩梦飞沙 韩亚飞 313134555@qq.com yue31313 han_meng_fei_sha 逆向 黑客 破解 学习 论坛 『CrackMe』 http://bbs.pediy.co ...
- 看雪CTF第十题
__int64 sub_140006F50() { __int64 v0; // r8@1 __int64 v1; // r9@1 signed __int64 len; // rax@1 __int ...
- 如何实现 Https拦截进行 非常规“抓包” 珍惜Any 看雪学院 今天 前段时间在自己做开发的时候发现一个很好用的工具,OKHttp的拦截器(何为拦截器?就是在每次发送网络请求的时候都会走的一个回调)大概效果如下:
如何实现 Https拦截进行 非常规“抓包” 珍惜Any 看雪学院 今天 前段时间在自己做开发的时候发现一个很好用的工具,OKHttp的拦截器(何为拦截器?就是在每次发送网络请求的时候都会走的一个回调 ...
- 看雪hello
在看雪做了一道题目很简单,但是还是记录一下自己的学习. 用ida打开,然后shift+F12查看 这里可以看到基本的结构,转到pass查看 发现ATA XREF: sub_401770+Bo打开这里 ...
- 阿里聚安全攻防挑战赛第三题Android PwnMe解题思路
阿里聚安全攻防挑战赛第三题Android PwnMe解题思路 大家在聚安全挑战赛正式赛第三题中,遇到android app 远程控制的题目.我们今天带你一探究竟,如何攻破这道题目. 一.题目 购物应用 ...
- NOIP2005-普及组复赛-第三题-采药
题目描述 Description 辰辰是个天资聪颖的孩子,他的梦想是成为世界上最伟大的医师.为此,他想拜附近最有威望的医师为师.医师为了判断他的资质,给他出了一个难题.医师把他带到一个到处都是草药的山 ...
随机推荐
- AtCoder Grand Contest 015
传送门 A - A+...+B Problem 题意:n个数最大值a,最小值b,求和的可能数量. #include<cstdio> #include<algorithm> us ...
- C语言缓冲区(缓存)详解
缓冲区又称为缓存,它是内存空间的一部分.也就是说,在内存空间中预留了一定的存储空间,这些存储空间用来缓冲输入或输出的数据,这部分预留的空间就叫做缓冲区.缓冲区根据其对应的是输入设备还是输出设备,分为输 ...
- 【老司机经验】CC2530&STM8S105二合一嵌入式学习板设计思路与经验分享
CC2530&STM8S105二合一嵌入式学习板设计思路与经验分享 1.缘起 这些年来一直在其他公司的实验箱和别人的开发板上进行教学与开发工作,总是觉得功能设计不那么合意.心里突然冒出个 ...
- setTimeout,setInterval运行原理
function a() { setTimeout(function(){alert(1)},0); alert(2); } a(); 和其他的编程语言一样,Javascript中的函数调用也是通 ...
- Oracle_字段数据类型
Oracle_字段数据类型 数据库表字段的数据类型 字符数据类型 CHAR:存储固定长度的字符串 VARCHAR2 :存储可变长度的字符串 数值数据类型 NUMBER:存储整数和浮点数,格式为NUMB ...
- 从零开始学习前端开发 — 10、HTML5新标签及表单控件属性和属性值
一.html5新增标签 1.结构性标签 header 定义网页的头部 nav 定义网页的导航 footer 定义网页的底部 section 定义网页的某个区域 article 定义网页中的一篇文章 a ...
- SSL证书安装指引
https://cloud.tencent.com/document/product/400/4143 下载得到的 www.domain.com.zip 文件,解压获得3个文件夹,分别是Apache. ...
- dedecms 封面模板和列表模板有什么不同
封面模板,相当于你一个大栏目的封面.举例:你有一个栏目叫做"建站"而下面有很多子栏目,例如代码教程.模板下载.seo经验等,那么封面就相当于这个大栏目的首页,然后您可以在这个页面展 ...
- 急!!ftp登录错误,提示 530 not logged in,连接失败 ,,是怎么回事啊
愤怒地青鸟 | 浏览 68533 次 发布于2017-04-11 00:44 最佳答案 核心提示:Ftp登陆不了是很经常碰到的事,很多人常常是不加分析就发贴询问.老实说,这样既浪费自己时间,又浪费别人 ...
- iOS的相对路径和绝对路径
iOS程序有固定的文件访问限制,只能在自己的沙盒内. UIImage *img=[UIImage imageNamed:@"cellicon.png"]; 这段代码从相对路径加载了 ...