DDCTF 2018 逆向 baby

0x00 背景

最近一直在研究IoT设备的安全,而在IoT设备上程序很多都是MIPS架构的。所以对MIPS指令有一定研究,而在DDCTF 2018中刚好有一道逆向题目是MIPS程序,于是尝试做了一下。

0x01 环境搭建

由于我们通常的操作系统指令集都是x86的,所以无法跑MIPS程序。这时候就需要装QEMU来模拟,QEMU通过源码编译较为复杂,我们又没有特殊的需求,所以直接使用的APT进行安装即可。

由于MIPS架构有两种——大端MIPS和小端MIPS。所以,我们需要确定这个程序是大端MIPS还是小端MIPS。

很明显,这个程序是32位小端的MIPS。所以,我们使用来运行这个程序。因为我们需要远程调试MIPS程序,所以要加上参数,,此时用IDA pro就可以通过来调试这个MIPS程序。

0x02 题目分析

直接打开IDA来载入程序,搜索字符串,可以看到

查找这个字符串的交叉引用,直接到。

可以看到一个简单的流程,程序根据函数的返回结果来判断是否为正确的。那么,到这里我们需要理解具体干了什么。进入函数之后,代码比较乱而且还有很多无法识别的代码块。

这时候为了方便我们理解,就得来远程调试这个MIPS程序。随后,在虚拟机中使用QEMU启动该程序,使用IDA连接虚拟机的服务,然后让程序跑起来。在输入完key后,程序会在这里崩溃掉。

当我们把这条指令以数据的形式展示后,发现指令为0xEB023DC5。而且我们发现,识别不出来的代码段。都有个特点,就是指令的头两个字节为,且在x86指令集中为跳转指令。我们把操作码反汇编成汇编代码后发现第一条指令是,刚好MIPS指令集每条指令大小为4字节。

于是做出猜测,是不是程序让我们遇到这个指令就跳转四字节呢?然后我们把以开头的指令全部替换为。

替换好之后,我们再使用IDA载入程序,发现已经没有不能识别的代码段了。然后,为了方便我们了解key比对函数的功能,我们可以需要对MIPS进行反编译,目前可以反编译MIPS程序的工具有两个。

Retdec

JEB-mips

我们首先使用Retdec来反编译该程序

接着我们尝试使用JEB-mips来反编译改程序

可以很轻易的看出,这块其实就是一个16元1次方程组,我们写一个python脚本来解这个方程组。

结果如下

四舍五入后输入程序中,得到最终的flag如下

0x03 Refer

https://wenku.baidu.com/view/1908905f178884868762caaedd3383c4bb4cb469.htmlhttps://blog.csdn.net/KoalaZB/article/details/52733910?locationNum=3https://zhuanlan.zhihu.com/p/24893371

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180428G1W3V800?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券