前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >中国顶级CTF竞赛网络安全大赛--2022网鼎杯re2解题思路来了,快来围观!

中国顶级CTF竞赛网络安全大赛--2022网鼎杯re2解题思路来了,快来围观!

原创
作者头像
极安御信安全研究院
发布2022-10-20 18:31:38
8870
发布2022-10-20 18:31:38
举报
文章被收录于专栏:极安御信安全研究院

作者:黑蛋

一、脱壳

PEID查不出来,用了die,显示是UPX3.96的壳,用了脱壳机,脱不了,只能手动脱壳,拖入x64dbg,F9运行到程序领空,很明显的特征,push:

无脑使用ESP定律大法,对ESP下硬件访问断点:

F9运行,在pop处停下:

F4运行到下面第一个jmp,F8,进去又是一个jmp,继续F8,到达OEP:

使用x64dbg插件dump:

第一步先dump保存,然后第二步,第三步,第四步选择刚才dump保存的程序:

脱壳成功,但是运行一闪而过,这是动态基址搞的鬼,手法很多,有脱壳机有禁用动态基址选项,这里我们直接把程序拖入010Editor修改标志位,改为20即关闭动态基址,保存退出:

可正常运行,接下来分析算法。

二、算法分析

1、进入主函数(很明显是vs写的程序,根据步骤找主函数就行) F9进入程序领空,进入第一个call:

再进入第二个call:

找特征码,进入标记的call:

进入第四个call:

走过一个跳转,进入主函数:

2.动态调试 标记的函数是输入flag后第一个call,并且传参进去,所以这里可以跟进去看一看:

随便输入一部分数,回车并跟进标记函数:

从下面可以看到这边传入我们输入flag,是关键函数,跟进去:

分析函数:

可以猜到flag的长度为20,如果不是20,直接到打印错误的地方,继续向下看,下面对字符串进行第一次处理。亦或66,继续看下去,又是一个比较长度函数,之后没什么了,这个函数结束,直到返回主函数:

下面就是打印wrong,长度为20会跳过这个打印:

我们看当前标记的函数,传入参数是我们flag亦或66之后的字符串,绝对关键函数,跟进去,F8一直运行:

我们发现又对字符串处理,先+A,再亦或50:

继续运行发现关键函数,F8走过直接失败,重新到这个位置,发现传入处理后的第一个字符,跟进去:

我们发现一个cmp,和我们字符串第一个字母比较:

查看另一个地址的值:

继续跟,会发现直接退出,所以这里是比较函数,直接写脚本:

#include  int main() { unsigned int dword_14001D000[20] = { 0x0000004B, 0x00000048, 0x00000079, 0x00000013, 0x00000045, 0x00000030, 0x0000005C, 0x00000049, 0x0000005A, 0x00000079, 0x00000013, 0x00000070, 0x0000006D, 0x00000078, 0x00000013, 0x0000006F, 0x00000048, 0x0000005D, 0x00000064, 0x00000064 }; char flag[21] = { 0 }; for (int i = 0; i < 20; i++) {        flag[i] = ((dword_14001D000[i] ^ 0x50) - 10) ^ 0x66; }     printf(flag); return 0; }

flag:why_m0dify_pUx_SheLL

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、脱壳
  • 二、算法分析
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档