DDCTF 2018 逆向 baby

0x00 背景

最近一直在研究IoT设备的安全，而在IoT设备上程序很多都是MIPS架构的。所以对MIPS指令有一定研究，而在DDCTF 2018中刚好有一道逆向题目是MIPS程序，于是尝试做了一下。

0x01 环境搭建

由于我们通常的操作系统指令集都是x86的，所以无法跑MIPS程序。这时候就需要装QEMU来模拟，QEMU通过源码编译较为复杂，我们又没有特殊的需求，所以直接使用的APT进行安装即可。

由于MIPS架构有两种——大端MIPS和小端MIPS。所以，我们需要确定这个程序是大端MIPS还是小端MIPS。

很明显，这个程序是32位小端的MIPS。所以，我们使用来运行这个程序。因为我们需要远程调试MIPS程序，所以要加上参数，，此时用IDA pro就可以通过来调试这个MIPS程序。

0x02 题目分析

直接打开IDA来载入程序，搜索字符串，可以看到

查找这个字符串的交叉引用，直接到。

可以看到一个简单的流程，程序根据函数的返回结果来判断是否为正确的。那么，到这里我们需要理解具体干了什么。进入函数之后，代码比较乱而且还有很多无法识别的代码块。

这时候为了方便我们理解，就得来远程调试这个MIPS程序。随后，在虚拟机中使用QEMU启动该程序，使用IDA连接虚拟机的服务，然后让程序跑起来。在输入完key后，程序会在这里崩溃掉。

当我们把这条指令以数据的形式展示后，发现指令为0xEB023DC5。而且我们发现，识别不出来的代码段。都有个特点，就是指令的头两个字节为，且在x86指令集中为跳转指令。我们把操作码反汇编成汇编代码后发现第一条指令是，刚好MIPS指令集每条指令大小为4字节。

于是做出猜测，是不是程序让我们遇到这个指令就跳转四字节呢？然后我们把以开头的指令全部替换为。

替换好之后，我们再使用IDA载入程序，发现已经没有不能识别的代码段了。然后，为了方便我们了解key比对函数的功能，我们可以需要对MIPS进行反编译，目前可以反编译MIPS程序的工具有两个。

Retdec

JEB-mips

我们首先使用Retdec来反编译该程序

接着我们尝试使用JEB-mips来反编译改程序

可以很轻易的看出，这块其实就是一个16元1次方程组，我们写一个python脚本来解这个方程组。

结果如下

四舍五入后输入程序中，得到最终的flag如下

0x03 Refer

https://wenku.baidu.com/view/1908905f178884868762caaedd3383c4bb4cb469.htmlhttps://blog.csdn.net/KoalaZB/article/details/52733910?locationNum=3https://zhuanlan.zhihu.com/p/24893371