昨天打完的MAR DASCTF,來複個盤~
不過就re做了3/4然後有事提前開溜了hhh,拿了drinkSomeTea和replace的三血心滿意足(蜜汁三血執念。
感覺這回的出題人好喜歡TEA啊(正好最近在整理加解密演算法),就是TEA和XTEA都出了卻不帶XXTEA玩有點可惜/doge。
掃雷也覆盤完了!好耶!
Reverse
drinkSomeTea
是一個邏輯超級明顯但是超——坑的題。
鑑於這是覆盤,那就直擊要害吧,懶得把當時兜兜轉轉的心路歷程複述一遍了>^<。
邏輯很簡單,就是將./tea.png(FileName=“./tea.png”)的內容以二進位制形式讀入到unk_409988中,然後以8位元組為單位(v7+=8)對其進行處理(loc_4010A0這裡),再寫入./tea.png.out中。而題目附件給了這個最後輸出的./tea.png.out,需要我們還原./tea.png。
loc_4010A0這裡沒有轉函式的原因是出現了花指令干擾靜態分析,nop掉(74 03 75 01 E8改成90 90 90 90 90)再重新轉程式碼轉函式即可。
然後我們就得到了sub_4010A0()。
很明顯地可以看到是TEA加密,就是說tea.png經過TEA加密以後得到了tea.png.out。
a2是加密時的key,退回到上一層可以發現是dword_407030:
但是如果拿平時的TEA解密指令碼跑根本就行不通,當時多用了兩三倍的時間去調(patch掉exit,走一遍加密流程進行對比),最後才發現是int的問題,一般TEA加解密都是uint_32的(。就是這個細節浪費了超多時間TvT
最後上解密指令碼,基本上把unsigned int改成int就好(改自TEA、XTEA、XXTEA加密解密演算法_gsls200808的專欄-CSDN部落格):
#include <stdio.h>
#include <stdint.h>
//加密函式
void encrypt (int* v, int* k) {
int v0=v[0], v1=v[1], sum=0, i; /* set up */
int delta=0x9e3779b9; /* a key schedule constant */
int k0=k[0], k1=k[1], k2=k[2], k3=k[3]; /* cache key */
for (i=0; i < 32; i++) { /* basic cycle start */
sum += delta;
v0 += ((v1<<4) + k0) ^ (v1 + sum) ^ ((v1>>5) + k1);
v1 += ((v0<<4) + k2) ^ (v0 + sum) ^ ((v0>>5) + k3);
} /* end cycle */
v[0]=v0; v[1]=v1;
}
//解密函式
void decrypt (int* v, int* k) {
int v0=v[0], v1=v[1], sum=0xC6EF3720, i; /* set up */
int delta=0x9e3779b9; /* a key schedule constant */
int k0=k[0], k1=k[1], k2=k[2], k3=k[3]; /* cache key */
for (i=0; i<32; i++) { /* basic cycle start */
v1 -= ((v0<<4) + k2) ^ (v0 + sum) ^ ((v0>>5) + k3);
v0 -= ((v1<<4) + k0) ^ (v1 + sum) ^ ((v1>>5) + k1);
sum -= delta;
} /* end cycle */
v[0]=v0; v[1]=v1;
}
int main()
{
int v[14656]={0},k[4]={0x67616C66, 0x6B61667B, 0x6C665F65, 0x7D216761};
FILE *p1 = fopen("./tea.png.out", "rb");
fread(&v, 4, 14656, p1);
fclose(p1);
for(int i=0;i<14656;i+=2){
decrypt(&v[i], k);
}
FILE *p2 = fopen("./tea.png", "wb");
fwrite(&v, 4, 14656, p2);
fclose(p2);
return 0;
}
得到./tea.png:
得到flag:DASCTF{09066cbb91df55502e6fdc83bf84cf45}
Enjoyit-1
又一道TEA。
附件用ExEinfoPE可以看到
說明是.NET逆向,於是用ILSpy開啟。
看到不尋常字串DotfuscatorAttribute,用搜尋引擎一查可以發現是使用Dotfuscator加密混淆程式的產物(使用Dotfuscator加密混淆程式以及如何脫殼反編譯_qwsf01115的專欄-CSDN部落格)。
所以根據文章指引用de4dot(可用release:Release de4dot mod · CodingGuru1989/de4dot)進行反混淆,得到Enjoyit-1-cleaned.exe,再用ILSpy開啟,就可以看到混淆前在Class0裡的main函式。
這個邏輯也很簡單,無非就是輸入text正確以後執行100000秒就會輸出flag。
(當然肯定不可能這麼走啊,100000s=1666.67min=27.78h,必然是等不起的。
flag產生的邏輯是先用uint_和text進行method_3()的處理,然後再與array3按位元組異或。
而text相當於是已知的,關鍵在 method_1()這裡。
可以看出是一個base64換表,Table在string_0這裡:
於是可以先寫指令碼得到text:
import base64
from binascii import *
src='yQXHyBvN3g/81gv51QXG1QTBxRr/yvXK1hC='
table='abcdefghijklmnopqrstuvwxyz0123456789+/ABCDEFGHIJKLMNOPQRSTUVWXYZ'
b64table='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
text=base64.b64decode(src.translate(str.maketrans(table,b64table)).encode())
print(text)
# text=b'combustible_oolong_tea_plz'
然後在主函式往下看,來到了第二個關鍵函式method_3():
顯而易見是個改了delta的XTEA加密,傳進來的uint_0是主函式的uint_,byte_0是text的前四位元組。
依舊是用上面部落格的XTEA指令碼改了一下,得到XTEA加密後的uint_:
#include <stdio.h>
#include <stdint.h>
/* take 64 bits of data in v[0] and v[1] and 128 bits of key[0] - key[3] */
void encipher(unsigned int num_rounds, uint32_t v[2], uint32_t const key[4]) {
unsigned int i;
uint32_t v0=v[0], v1=v[1], sum=0, delta=2654435464;
for (i=0; i < num_rounds; i++) {
v0 += (((v1 << 4) ^ (v1 >> 5)) + v1) ^ (sum + key[sum & 3]);
sum += delta;
v1 += (((v0 << 4) ^ (v0 >> 5)) + v0) ^ (sum + key[(sum>>11) & 3]);
}
v[0]=v0; v[1]=v1;
}
void decipher(unsigned int num_rounds, uint32_t v[2], uint32_t const key[4]) {
unsigned int i;
uint32_t v0=v[0], v1=v[1], delta=2654435464, sum=delta*num_rounds;
for (i=0; i < num_rounds; i++) {
v1 -= (((v0 << 4) ^ (v0 >> 5)) + v0) ^ (sum + key[(sum>>11) & 3]);
sum -= delta;
v0 -= (((v1 << 4) ^ (v1 >> 5)) + v1) ^ (sum + key[sum & 3]);
}
v[0]=v0; v[1]=v1;
}
int main()
{
uint32_t v[2]={288,369};
uint32_t const k[4]={0x63,0x6f,0x6d,0x62};
unsigned int r=32;
encipher(r, v, k);
printf("%8x%8x\n",v[0],v[1]);
return 0;
}
因為主函式裡後續處理是把8 bit十六進位制的兩個結果往str裡填,所以輸出採用十六進位制形式。
得到str="6308fe34b7fe6fdb"
最後進行xor處理即可,上exp:
xtea="6308fe34b7fe6fdb"
arr3=[2,5,4,13,3,84,11,4,87,3,86,3,80,7,83,3,0,4,83,94,7,84,4,0,1,83,3,84,6,83,5,80]
flag=""
for i in range(len(arr3)):
flag+=chr(arr3[i]^ord(xtea[i%len(xtea)]))
print("flag{"+flag+"}")
得到flag:flag{4645e180540ffa7a67cfa174cde105a2}
replace
u1s1不知道這個標級怎麼標的,居然是比StrangeMine還高的困難,也有可能是我tcl吧(
主邏輯還是很簡單,輸入長度為24的flag並且以"flag{}"包裹(check在sub_401550()),然後經過某些處理(sub_401AE7()、sub_401925()還有可能的IsDebuggerPresent())等於某已知字串(check在sub_401883())即可。
最後check這裡byte_4080E0是輸入後經過處理存放的關鍵位置。
從頭開始捋處理函式,這裡sub_401AE7()的作用是把輸入和已知陣列進行xor以後放進byte_4080E0中。
真的有這麼簡單嗎?
當然不會,困難題目誒。(從這裡逆向解的話會得到假flag。
真正的奧祕在下一個函式sub_401925()這裡,看到VirtualProtectEx()這個改記憶體讀寫許可權的關鍵函式,DNA瞬間動了 (別什麼奇怪的東西都往DNA裡刻啊喂 。
這裡很像之前做過的一個題(RE套路/從EASYHOOK學inline hook | c10udlnk_Log),這種函式一般是搭配WriteProcessMemory()在執行時對記憶體進行修改(從而達到跳轉到某些函式的目的)。
靜態分析的話那篇blog也有講,但是為了做題方便直接動態除錯走起。
因為這裡有超——多的反除錯,懶得一個個patch了,直接把exit(0)裡的功能給patch掉(偷懶大法好。
即把這裡六個位元組直接patch成90 90 90 90 90 90,全部nop掉。
變成這個樣子:
別忘了動態除錯前要把patch的位元組儲存進exe裡(Edit->Patch program->Apply patches to input file)。
然後開調,斷點下到sub_401925()和IsDebuggerPresent()這裡,記得要隨便輸入一個符合前兩個check的字串。
從sub_401925()可以大致看到修改的是IsDebuggerPresent()的內容。
所以我們按F9直接走到IsDebuggerPresent()這裡,F7步入。
可以看到跳轉到了一個函式,而再往裡走可以看到這是個被花指令處理的函式所以靜態分析down掉了。
很容易就能找到三個跟第一題相同原理的花指令(注意+2那裡要nop多一個位元組),所以直接patch,然後把資料按c轉成code。
最後得到反編譯結果:
void sub_4015C3()
{
int v0[128]; // [rsp+30h] [rbp-50h] BYREF
__int64 v1[5]; // [rsp+230h] [rbp+1B0h]
char *v2; // [rsp+258h] [rbp+1D8h]
int v3; // [rsp+264h] [rbp+1E4h]
int j; // [rsp+268h] [rbp+1E8h]
int i; // [rsp+26Ch] [rbp+1ECh]
VirtualProtectEx(hProcess, IsDebuggerPresent_0, 0x10ui64, 0x40u, &flNewProtect);
WriteProcessMemory(hProcess, IsDebuggerPresent_0, Destination, 0x10ui64, 0i64);
VirtualProtectEx(hProcess, IsDebuggerPresent_0, 0x10ui64, flNewProtect, 0i64);
if ( !IsDebuggerPresent() )
{
j = 0;
v3 = 0;
v1[0] = 0i64;
v1[1] = 0i64;
v1[2] = 0i64;
v1[3] = 0i64;
memcpy(v0, &unk_404020, sizeof(v0));
v2 = Str;
for ( i = 1; i <= 5; ++i )
{
for ( j = 0; j <= 23; ++j )
v2[j] = v0[(unsigned __int8)v2[j]];
}
for ( i = 0; i <= 5; ++i )
*((_DWORD *)v1 + i) = ((unsigned __int8)v2[i + 12] << 8) | ((unsigned __int8)v2[i + 6] << 16) | ((unsigned __int8)v2[i] << 24) | (unsigned __int8)v2[i + 18];
for ( i = 0; i <= 5; ++i )
sprintf(&byte_4080E0[8 * i], "%x", *((unsigned int *)v1 + i));
}
}
就是先把IsDebuggerPresent()裡的內容還原,然後在非除錯情況下將輸入經過一些處理放到byte_4080E0中。
這!才是真正的加密函式!
然後這個邏輯也很好逆啦,順著就是先在unk_404020盒裡換五次,然後柵欄密碼得到最後的字串。
寫出exp有:
from binascii import *
from hashlib import md5
ans=unhexlify("416f6b116549435c2c0f1143174339023d4d4c0f183e7828")
tmps=[0,6,12,18]
seq=[]
for i in range(6):
tmpl=[x+i for x in tmps]
seq=seq+tmpl
arr1=[0 for i in range(24)]
for i in range(24):
arr1[seq[i]]=ans[i]
box=[0x00000080, 0x00000065, 0x0000002F, 0x00000034, 0x00000012, 0x00000037, 0x0000007D, 0x00000040, 0x00000026, 0x00000016, 0x0000004B, 0x0000004D, 0x00000055, 0x00000043, 0x0000005C, 0x00000017, 0x0000003F, 0x00000069, 0x00000079, 0x00000053, 0x00000018, 0x00000002, 0x00000006, 0x00000061, 0x00000027, 0x00000008, 0x00000049, 0x0000004A, 0x00000064, 0x00000023, 0x00000056, 0x0000005B, 0x0000006F, 0x00000011, 0x0000004F, 0x00000014, 0x00000004, 0x0000001E, 0x0000005E, 0x0000002D, 0x0000002A, 0x00000032, 0x0000002B, 0x0000006C, 0x00000074, 0x00000009, 0x0000006E, 0x00000042, 0x00000070, 0x0000005A, 0x00000071, 0x0000001C, 0x0000007B, 0x0000002C, 0x00000075, 0x00000054, 0x00000030, 0x0000007E, 0x0000005F, 0x0000000E, 0x00000001, 0x00000046, 0x0000001D, 0x00000020, 0x0000003C, 0x00000066, 0x0000006B, 0x00000076, 0x00000063, 0x00000047, 0x0000006A, 0x00000029, 0x00000025, 0x0000004E, 0x00000031, 0x00000013, 0x00000050, 0x00000051, 0x00000033, 0x00000059, 0x0000001A, 0x0000005D, 0x00000044, 0x0000003E, 0x00000028, 0x0000000F, 0x00000019, 0x0000002E, 0x00000005, 0x00000062, 0x0000004C, 0x0000003A, 0x00000021, 0x00000045, 0x0000001F, 0x00000038, 0x0000007F, 0x00000057, 0x0000003D, 0x0000001B, 0x0000003B, 0x00000024, 0x00000041, 0x00000077, 0x0000006D, 0x0000007A, 0x00000052, 0x00000073, 0x00000007, 0x00000010, 0x00000035, 0x0000000A, 0x0000000D, 0x00000003, 0x0000000B, 0x00000048, 0x00000067, 0x00000015, 0x00000078, 0x0000000C, 0x00000060, 0x00000039, 0x00000036, 0x00000022, 0x0000007C, 0x00000058, 0x00000072, 0x00000068]
arr2=[0 for i in range(24)]
for i in range(5):
for j in range(24):
arr2[j]=box.index(arr1[j])
arr1=arr2
myInput=''.join(map(chr,arr1))
print(myInput)
flag=myInput.encode()
print(md5(flag).hexdigest()) # 別忘了最後提交md5
得到flag:flag{Sh1t_you_dec0d3_it}
奇怪的掃雷
這道題賽中沒怎麼做,賽後覆盤靜態硬剛+動態調沒搞出來,終於等到了帶掃雷玩的wp(MAR DASCTF明御攻防賽 PWN、RE Writeup - 安全客,安全資訊平臺),感覺思路大概沒錯、關鍵函式也找對了,但是忽略了一個小地方:
我當時還在納悶為什麼是用程式碼段的資料來計算md5值,原來是為了檢測有沒有patch啊(
以及請教隊裡大佬以後才發現還忽略了一個點,就是md5的update是拼接的,沒認真學md5的我一直以為是覆蓋的(慚愧,真的要好好學雜湊演算法。
編寫用來hook的dll檔案對我來說還是有點難(tcl),就試著用自己的方法做一下好了。
(啊其實就是直接靜態硬解,從頭捋捋怎麼發現函式的。
首先直接findcrypt,找到md5的常數。
通過交叉引用找到上一層。
發現這裡有一個前面題目提到的花指令,照例nop掉,轉函式,看虛擬碼。
感覺這是個自己寫的處理異常的函式(TopLevelExceptionFilter這個名字引起警覺)。
然後往下看,先根據交叉引用+識別演算法給MD5的一系列函式命個名,方便靜態分析。
(也可以盲找AfxMessageBox的交叉引用,畢竟能出flag的地方一般都在MessageBox。)
更何況這題是賽後覆盤,根據大家群裡零零散散發出來的截圖可以判斷flag用AfxMessageBox給出,而查AfxMessageBox的交叉引用可以發現就這裡是放了變數的。
主要邏輯在:
很明顯地看到,v12裝著最後的md5(也就是flag。
整體邏輯是:
- 先把
IUnknown::operator=()函式首地址開始的12288位元組(0x402000-0x405000)放到Src裡,然後根據觸發異常時的eax、ebx、ecx、edx的值修改部分位置(Src[4101]、Src[128]、Src[256]、Src[0x2000]),最後把Src丟進MD5Update裡。 - 把
&loc_404FFE + 2開始的12288位元組(0x405000-0x408000)放到Src裡,再Src丟進MD5Update裡。 - 最後算出MD5,此MD5值即為flag。
慶幸這個MD5演算法沒有被魔改,不然還得找魔改的地方(癱。
現在缺的資料就是觸發異常時的eax、ebx、ecx、edx的值了,只要找到check一切好說,可以從時間的增加入手找到操縱遊戲的邏輯部分。
遊戲類果斷上CE(Cheat Engine)找關鍵記憶體,先綁上執行的exe檔案,調整掃描設定後點選“首次掃描”。
在介面隨便點一下開始遊戲(讓遊戲開始計時),然後調整CE右側設定,一直點“再次掃描”(注意點選間隔在1s以上,不然時間根本就沒動過就掃描不出來了),直到左側只剩少數地址(並且有一個地址的當前值和計時器的相同)為止。
雙擊這條地址,選中記錄,按F6,檢視改寫這個地址的位置。
可以看到
在IDA的反彙編視窗中按g跳到這個地址(0x408803)
再反編譯可以看到
這就是時間增加的函式。
依次查交叉引用,可以發現check應該存在於這個右鍵鬆開的函式裡,並且可以猜是sub_403D30()。
為什麼我篤定是這個呢,因為這個函式不僅是以if框著的形式呼叫,而且裡面還會觸發一個異常:
也就是我們常說的CC斷點
這邊的邏輯可以猜測是迴圈check,一旦有不對的地方就直接return 0;,全部通過以後可觸發斷點,進而走到TopLevelExceptionFilter並給flag。
而我們需要的正是這裡的eax、ebx、ecx、edx的值。
而觀察整個check函式的彙編可以發現,最後是直接用變數給四個暫存器賦值的,並且在之前的程式碼中這些變數幾乎沒有變動(具體可以自己琢磨琢磨,看目的暫存器的位置;只可意會不可言傳.jpg),所以可以通過把函式開始的jmp short loc_403D55patch成jmp short loc_403D9E。
這樣直接跳過迴圈來到關鍵位置loc_403D9E,動態除錯時即可在觸發int3斷點時看到四個暫存器的值。
然後開調,老規矩,記得除錯之前要把patch的位元組儲存進exe裡(Edit->Patch program->Apply patches to input file)。
選高階以後隨便點個右鍵插旗子,然後放任程式走,走到斷點時有提示,關掉提示以後可以看到右上角:
四個暫存器的值也拿到了!
接下來就差記憶體了。因為前面靜態分析的時候我們patch了不少地方(花指令+這波跳轉),所以要拿最最開始的附件來dump。
開啟最最開始的附件,選擇File->Script command,分別在IDC下輸入以下指令碼dump出兩塊記憶體:
static main(){
auto i,fp;
fp=fopen("./dump_0x402000","wb");
auto start=0x402000;
auto size=12288;
for(i=start;i<start+size;i++){
fputc(Byte(i),fp);
}
}
static main(){
auto i,fp;
fp=fopen("./dump_0x405000","wb");
auto start=0x405000;
auto size=12288;
for(i=start;i<start+size;i++){
fputc(Byte(i),fp);
}
}
然後編寫python3指令碼,按照我們最開始分析的邏輯得到flag:
from hashlib import md5
with open("./dump_0x402000",'rb') as fp:
data_0x402000_list=list(fp.read())
with open("./dump_0x405000",'rb') as fp:
data_0x405000=fp.read()
eax=0
v9=eax//2
ebx=0x10
ecx=0x1E
edx=0x64
data_0x402000_list[4101]=ebx
data_0x402000_list[128]=ecx
data_0x402000_list[256]=edx
data_0x402000_list[0x2000]=v9
data_0x402000=b''
for b in data_0x402000_list:
data_0x402000+=b.to_bytes(1,'little')
md5=md5()
md5.update(data_0x402000)
md5.update(data_0x405000)
print(md5.hexdigest())
flag:4a468b1a17760d263b0969963e0a6c9b