看雪.TSRC 2017CTF秋季赛第三题 wp

这是一道很简单的题,反调试的坑略多。这道题采用了很多常用的反调试手段,比如调用IsDebuggerPresent、进程名检查等等。另外也有利用SEH的非常规检测方法。现在的OD插件能轻松对付常规反调试,暗坑还需手动处理,我的工具太原始了。

我做这道题,猜+Python直接输出了答案,有了答案再对程序做了详细点的分析。猜是把算法和输入数据猜对了。所以有一定运气成分。

代码定位

首先通过对GetDlgItemTextA 下断点定位到关键函数434EF0(Base:400000).

在这个函数的开头,有常规反调试,可以无视。接着会调用GetDlgItemTextA获取用户输入的字符串并将输入的字符串进行两次变换,经过我测试发现,大部分输入经过两次变换后内存都是00(缓冲区长度1024左右),然后将变换后的结果取前3个字节送入一段数字摘要算法,该数字摘要算法的结果为32字节,转换HEX String后应当有64个ASCII字符,最后将64位长度的签名与用户输入进行比较。

初次看来,这段算法既然是摘要算法,那么输入怎么可能等于输出?这道题连续两次调用一个转换函数,会把任意字符串转成00,又因为每次固定取3字节签名,所以送入算法的数据恒定为:00 00 00. 后面会对这段摘要算法进行分析。

关键部分代码如下:

      String[0] = 0;
memset1(&String[1], 0, 1023);
a3 = 0;
memset1(&v22, 0, 1023);
v4 = GetDlgItemTextA(hDlg, 1001, String, 1025);
v24 = runtimecheck(&v11 == &v11, v4);
v19 = 0;
memset1(&v20, 0, 1023);
j_translate(String, 0x400u, &a3);
v17 = 0;
memset1(&v18, 0, 1023);
j_translate(&a3, 0x400u, &v19);
sub_42D96A(&v19, &v17, 1024);
v16 = 3;
j_sm3(&v19, 3, v15);
for ( i = 0; i < 32; ++i )
springf1(&v14[2 * i], "%02x", v15[i]);
v5 = strlen1(v14);
v6 = &String[strlen1(String)];
v7 = strlen1(v14);
if ( !memcmp(v14, &v6[-v7], v5) )// &v6[-v7]实际是指向String,也就是输入的字符串 V5=0X40,V14是定值
{
sub_42D0B4();
if ( sub_42D9AB(&dword_49B000, &v17) == 1 )// aa
{
v8 = MessageBoxA(0, "ok", "CrackMe", 0);
runtimecheck(&v11 == &v11, v8);
}
}
}

这段算法应该属于OpenSSL的一部分,有明显的OPenSSL风格,但是作者在算法内部内嵌了很多非常规的异常反调试手段,一共有4块,手动修改EIP绕过即可。

以下代码片段是作者封装的sm3算法函数:

int __cdecl sm3(int a1, int a2, int a3)
{
int v3; // eax@1
char v5; // [sp+Ch] [bp-1B4h]@1
char v6; // [sp+D0h] [bp-F0h]@1
unsigned int v7; // [sp+1BCh] [bp-4h]@1
int savedregs; // [sp+1C0h] [bp+0h]@1 memset(&v5, 0xCCu, 0x1B4u);
v7 = &savedregs ^ dword_49B344;
sub_42D294(&v6); // init 初始化ctx
sub_42DF2D(&v6, a1, a2); //update 传入加密数据
sub_42D15E(&v6, a3); //final 获取结果
memset1(&v6, 0, 232);
sub_42D65E(&savedregs, &dword_437F18);
v3 = sub_42D1E5(&savedregs ^ v7);
return runtimecheck(1, v3);
}

作者分别在sub_42D294、sub_42DF2D、sub_42D15E插入了反调试代码,代码非常显眼。

几乎所有反调试相关的代码都是这种判断格式,汇编特征更加明显:

在动态调试时,直接强制修改EIP到pop edi处实现绕过,后面几处同样的方法处理,一定要注意别跳错了,我就因为跳错了,程序没报错,算出来的结果是错的。

特征大概是call xxx,mov [XXX],eax,cmp eax,0 类似的指令序列。

那么我是如何判断这个算法的呢?这个算法是sm3算法,在百度上有很多资料。 通过搜索关键常量,就可以在百度上找到相关实现代码。

*(a1 + 8) = 0x7380166F;

*(a1 + 12) = 0x4914B2B9;

*(a1 + 16) = 0x172442D7;

*(a1 + 20) = 0xDA8A0600;

*(a1 + 24) = 0xA96F30BC;

*(a1 + 28) = 0x163138AA;

*(a1 + 32) = 0xE38DEE4D;

*(a1 + 36) = 0xB0FB0E4E;

Python实现如下:

import struct
IV="7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aa e38dee4d b0fb0e4e"
IV = int(IV.replace(" ", ""), 16)
a = []
for i in range(0, 8):
a.append(0)
a[i] = (IV >> ((7 - i) * 32)) & 0xFFFFFFFF
IV = a def out_hex(list1):
for i in list1:
print "%08x" % i,
print "\n", def rotate_left(a, k):
k = k % 32
return ((a << k) & 0xFFFFFFFF) | ((a & 0xFFFFFFFF) >> (32 - k)) T_j = []
for i in range(0, 16):
T_j.append(0)
T_j[i] = 0x79cc4519
for i in range(16, 64):
T_j.append(0)
T_j[i] = 0x7a879d8a def FF_j(X, Y, Z, j):
if 0 <= j and j < 16:
ret = X ^ Y ^ Z
elif 16 <= j and j < 64:
ret = (X & Y) | (X & Z) | (Y & Z)
return ret def GG_j(X, Y, Z, j):
if 0 <= j and j < 16:
ret = X ^ Y ^ Z
elif 16 <= j and j < 64:
#ret = (X | Y) & ((2 ** 32 - 1 - X) | Z)
ret = (X & Y) | ((~ X) & Z)
return ret def P_0(X):
return X ^ (rotate_left(X, 9)) ^ (rotate_left(X, 17)) def P_1(X):
return X ^ (rotate_left(X, 15)) ^ (rotate_left(X, 23)) def CF(V_i, B_i):
W = []
for j in range(0, 16):
W.append(0)
unpack_list = struct.unpack(">I", B_i[j*4:(j+1)*4])
W[j] = unpack_list[0]
for j in range(16, 68):
W.append(0)
W[j] = P_1(W[j-16] ^ W[j-9] ^ (rotate_left(W[j-3], 15))) ^ (rotate_left(W[j-13], 7)) ^ W[j-6]
str1 = "%08x" % W[j]
W_1 = []
for j in range(0, 64):
W_1.append(0)
W_1[j] = W[j] ^ W[j+4]
str1 = "%08x" % W_1[j] A, B, C, D, E, F, G, H = V_i
"""
print "00",
out_hex([A, B, C, D, E, F, G, H])
"""
for j in range(0, 64):
SS1 = rotate_left(((rotate_left(A, 12)) + E + (rotate_left(T_j[j], j))) & 0xFFFFFFFF, 7)
SS2 = SS1 ^ (rotate_left(A, 12))
TT1 = (FF_j(A, B, C, j) + D + SS2 + W_1[j]) & 0xFFFFFFFF
TT2 = (GG_j(E, F, G, j) + H + SS1 + W[j]) & 0xFFFFFFFF
D = C
C = rotate_left(B, 9)
B = A
A = TT1
H = G
G = rotate_left(F, 19)
F = E
E = P_0(TT2) A = A & 0xFFFFFFFF
B = B & 0xFFFFFFFF
C = C & 0xFFFFFFFF
D = D & 0xFFFFFFFF
E = E & 0xFFFFFFFF
F = F & 0xFFFFFFFF
G = G & 0xFFFFFFFF
H = H & 0xFFFFFFFF
"""
str1 = "%02d" % j
if str1[0] == "0":
str1 = ' ' + str1[1:]
print str1,
out_hex([A, B, C, D, E, F, G, H])
""" V_i_1 = []
V_i_1.append(A ^ V_i[0])
V_i_1.append(B ^ V_i[1])
V_i_1.append(C ^ V_i[2])
V_i_1.append(D ^ V_i[3])
V_i_1.append(E ^ V_i[4])
V_i_1.append(F ^ V_i[5])
V_i_1.append(G ^ V_i[6])
V_i_1.append(H ^ V_i[7])
return V_i_1 def hash_msg(msg):
len1 = len(msg)
reserve1 = len1 % 64
msg = msg + chr(0x80)
reserve1 = reserve1 + 1
for i in range(reserve1, 56):
msg = msg + chr(0x00) bit_length = (len1) * 8
bit_length_string = struct.pack(">Q", bit_length)
msg = msg + bit_length_string #print len(msg)
group_count = len(msg) / 64 m_1 = B = []
for i in range(0, group_count):
B.append(0)
B[i] = msg[i*64:(i+1)*64] V = []
V.append(0)
V[0] = IV
for i in range(0, group_count):
V.append(0)
V[i+1] = CF(V[i], B[i]) return V[i+1]

输出答案:

y = hash_msg("\x00\x00\x00")

print out_hex(y)

183920f0 0e15a043 3ee3a8fc 90dd9ac1 64c4142c cf63ca18 9a8f645e c96ff8de

看雪.TSRC 2017CTF秋季赛第三题的更多相关文章

  1. 2019看雪CTF 晋级赛Q2第四题wp

    上次参加2019看雪CTF 晋级赛Q2卡在了这道题上,虽然逆出算法,但是方程不会解,哈哈哈哈,果然数学知识很重要呀,现在记录一下. 首先根据关键信息,根据错误提示字符串定位到这里: 1 int __t ...

  2. 1-m*n循环填数(用标记数组)blibli2018秋招第三题一个类型

    #include <iostream> #include<string> #include<algorithm> using namespace std; ; in ...

  3. ECC加密算法入门介绍 --- 看雪

    标 题:ECC加密算法入门介绍 作 者:zmworm 时 间:2003/05/04 08:32pm 链 接:http://bbs.pediy.com ECC加密算法入门介绍 作者  :ZMWorm[C ...

  4. 看雪论坛 破解exe 看雪CTF2017第一题分析-『CrackMe』-看雪安全论坛

    韩梦飞沙  韩亚飞  313134555@qq.com  yue31313  han_meng_fei_sha 逆向 黑客 破解 学习 论坛 『CrackMe』 http://bbs.pediy.co ...

  5. 看雪CTF第十题

    __int64 sub_140006F50() { __int64 v0; // r8@1 __int64 v1; // r9@1 signed __int64 len; // rax@1 __int ...

  6. 如何实现 Https拦截进行 非常规“抓包” 珍惜Any 看雪学院 今天 前段时间在自己做开发的时候发现一个很好用的工具,OKHttp的拦截器(何为拦截器?就是在每次发送网络请求的时候都会走的一个回调)大概效果如下:

    如何实现 Https拦截进行 非常规“抓包” 珍惜Any 看雪学院 今天 前段时间在自己做开发的时候发现一个很好用的工具,OKHttp的拦截器(何为拦截器?就是在每次发送网络请求的时候都会走的一个回调 ...

  7. 看雪hello

    在看雪做了一道题目很简单,但是还是记录一下自己的学习. 用ida打开,然后shift+F12查看 这里可以看到基本的结构,转到pass查看 发现ATA XREF: sub_401770+Bo打开这里 ...

  8. 阿里聚安全攻防挑战赛第三题Android PwnMe解题思路

    阿里聚安全攻防挑战赛第三题Android PwnMe解题思路 大家在聚安全挑战赛正式赛第三题中,遇到android app 远程控制的题目.我们今天带你一探究竟,如何攻破这道题目. 一.题目 购物应用 ...

  9. NOIP2005-普及组复赛-第三题-采药

    题目描述 Description 辰辰是个天资聪颖的孩子,他的梦想是成为世界上最伟大的医师.为此,他想拜附近最有威望的医师为师.医师为了判断他的资质,给他出了一个难题.医师把他带到一个到处都是草药的山 ...

随机推荐

  1. js面向对象学习笔记(二):工厂方式:封装函数

    //工厂方式:封装函数function test(name) { var obj = new Object(); obj.name = name; obj.sayName = function () ...

  2. CTF---密码学入门第七题 杯酒人生

    杯酒人生分值:10 来源: Veneno 难度:易 参与人数:2633人 Get Flag:790人 答题人数:963人 解题通过率:82% 使用古典密码 一喵星人要想喵星发送一段不知道干什么用的密码 ...

  3. hdu_1014(竟然真的还有更水的)

    注意输出就没了... #include<cstdio> #include<cstring> using namespace std; int gcd(int a, int b) ...

  4. CSS3动画属性和flex弹性布局各个属性

    [CSS3动画的使用] 1.声明一个关键帧(动画): @keynames name{ from{} to{} } 每个阶段的写法: ①可以直接使用from-to的写法 ②可以设置0%-100%的写法, ...

  5. jqgrid 分页 (基于ashx)

    1:数据库表创建并往中插入200000条数据: 复制代码 CREATE TABLE [dbo].[T_School]( [ID] [int] IDENTITY(1,1) NOT NULL, [Scho ...

  6. [国嵌攻略][097][U-Boot新手入门]

    嵌入式软件层次 1.Bootloader 2.Linux内核 3.文件系统 编译U-Boot 1.解压uboot tar zxvf uboot.tar.gz 2.清除uboot make distcl ...

  7. [国嵌笔记][023][ARM寻址方式]

    寻找方式 1.处理器根据指令中给出的信息来找到指令所需操作数的方式 2.立即数寻址 操作数本身在指令中给出,立即数前加”#”表示立即数寻址,操作数在指令中 3.寄存器寻址 利用寄存器中的数值作为操作数 ...

  8. 注意SSIS中的DT_NUMERIC类型转换为字符类型(比如DT_WSTR)时,会截断小数点前的0

    我们知道SSIS中有许多数据类型,如下图所示: 但是DT_NUMERIC这个类型有个陷进要注意,我们来做个实验,随便定义一个String类型的SSIS包变量,然后打开该变量表达式窗口: 在变量表达式窗 ...

  9. 程序员之殇 —— (The Beginning of the End)噩梦、崩坏

    Look at all those faces out there (当我环视周遭的一张张脸孔) We are so different(我们是如此的不同) But we have one thing ...

  10. PHP 获得当前页面所有变量常量的值

    get_defined_vars() - 返回由所有已定义变量所组成的数组,这个函数在二次开发的时候用起来非常给力: get_defined_constants();可以返回当前的所有常量 zend的 ...