[原创]第一题 helloctf IDA-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

[原创]第一题 helloctf IDA

发表于: 2018-6-17 22:41 5335

[原创]第一题 helloctf IDA

格式化法

2018-6-17 22:41

5335

这个是多次尝试得到的表然后对应破解的,

对汇编不太熟悉，下面的理解可能有误，希望大神指出

打开提示输入序列号，尝试几次后发现

输入长度大于17时程序直接退出

开始分析

拖入IDA中

打开后，找到main函数

可以看到刚才程序里的please input那些


这是自己的一些理解，最后还是要靠动态调试出来的
.text:00401009 push    ebp
.text:0040100A push    esi
.text:0040100B push    edi
.text:0040100C mov     esi, offset a437261636b4d65     ; "437261636b4d654a757374466f7246756e"
.text:00401011 lea     edi, [esp+70h+var_24]
.text:00401015 rep movsd
.text:00401017 movsw
.text:00401019 movsb
.text:0040101A
.text:0040101A loc_40101A:                             ; CODE XREF: _main+F6j
.text:0040101A                                         ; _main+108j
.text:0040101A mov     ecx, 8
.text:0040101F xor     eax, eax
.text:00401021 lea     edi, [esp+70h+var_48]
.text:00401025 push    offset aPleaseInputYou          ; "please input your serial:"
.text:0040102A rep stosd
.text:0040102C stosw
.text:0040102E stosb
.text:0040102F call    sub_40134B
.text:00401034 lea     eax, [esp+74h+var_5C]
.text:00401038 push    eax
.text:00401039 push    offset aS                       ; "%s"
.text:0040103E call    _scanf
.text:00401043 lea     edi, [esp+7Ch+var_5C]
.text:00401047 or      ecx, 0FFFFFFFFh
.text:0040104A xor     eax, eax
.text:0040104C add     esp, 0Ch
.text:0040104F repne scasb
.text:00401051 not     ecx
.text:00401053 dec     ecx
.text:00401054 cmp     ecx, 11h                        ; 11h,就是hex值为11，对应10进制为17，就是输入时的那个
.text:00401057 ja      loc_40110D                      ; jump if above，如果ecx大于17就跳转到loc_xxx那个位置
.text:0040105D xor     ebx, ebx
.text:0040105F
.text:0040105F loc_40105F:                             ; CODE XREF: _main+AEj
.text:0040105F mov     al, [esp+ebx+70h+var_5C]        ; 这里应该就是计算的算法，不过这里不会分析。。。。，不过还是按照自己理解注释一下
.text:00401063 test    al, al                          ; 上面这个mov al,[esp+ebs+70h+var_5C]就是取出输入字符的第几个字符，那个ebx的值一开始是0，之后会循环一次就+1
.text:00401065 jz      short loc_4010B0                ; 上面那个tset判断获取到的字符是否到了尾巴，jz结果为零时，就到下面那个地址
.text:00401067 movsx   ecx, al                         ; ：带符号扩展传送指令，al就是刚才的字符，就是付给ecx,然后下面push吧
.text:0040106A push    ecx                             ; 第一个参数？
.text:0040106B lea     edx, [esp+74h+var_5E]
.text:0040106F push    offset asc_408044               ; 第一个参数 %x
.text:00401074 push    edx                             ; char *，ida自动提示是char*了，这个最后的push应该就是第一个参数
.text:00401075 call    _sprintf                        ; 调用sprintf参数，我们知道sprintf是sprintf(char*,格式，参数，所以怀疑push是一个个参数
.text:0040107A lea     edi, [esp+7Ch+var_5E]
.text:0040107E or      ecx, 0FFFFFFFFh
.text:00401081 xor     eax, eax
.text:00401083 add     esp, 0Ch
.text:00401086 repne scasb
.text:00401088 not     ecx
.text:0040108A sub     edi, ecx
.text:0040108C lea     edx, [esp+70h+var_48]
.text:00401090 mov     esi, edi
.text:00401092 mov     ebp, ecx
.text:00401094 mov     edi, edx
.text:00401096 or      ecx, 0FFFFFFFFh
.text:00401099 repne scasb
.text:0040109B mov     ecx, ebp
.text:0040109D dec     edi
.text:0040109E shr     ecx, 2
.text:004010A1 rep movsd
.text:004010A3 mov     ecx, ebp
.text:004010A5 and     ecx, 3
.text:004010A8 inc     ebx
.text:004010A9 cmp     ebx, 11h                        ; 这里还有个判断，应该是作为循环条件的
.text:004010AC rep movsb
.text:004010AE jl      short loc_40105F                ; jump less, ebs小于17时就跳到上面，达到循环的效果
.text:004010B0
.text:004010B0 loc_4010B0:                             ; CODE XREF: _main+65j
.text:004010B0 lea     esi, [esp+70h+var_24]           ; 这里又是一段，这两句lea是处理后的，下面对比用的
.text:004010B4 lea     eax, [esp+70h+var_48]
.text:004010B8
.text:004010B8 loc_4010B8:                             ; CODE XREF: _main+DAj
.text:004010B8 mov     dl, [eax]
.text:004010BA mov     bl, [esi]
.text:004010BC mov     cl, dl
.text:004010BE cmp     dl, bl
.text:004010C0 jnz     short loc_4010E0
.text:004010C2 test    cl, cl
.text:004010C4 jz      short loc_4010DC
.text:004010C6 mov     dl, [eax+1]
.text:004010C9 mov     bl, [esi+1]
.text:004010CC mov     cl, dl
.text:004010CE cmp     dl, bl
.text:004010D0 jnz     short loc_4010E0
.text:004010D2 add     eax, 2
.text:004010D5 add     esi, 2
.text:004010D8 test    cl, cl
.text:004010DA jnz     short loc_4010B8
.text:004010DC
.text:004010DC loc_4010DC:                             ; CODE XREF: _main+C4j
.text:004010DC xor     eax, eax
.text:004010DE jmp     short loc_4010E5
.text:004010E0 ; ---------------------------------------------------------------------------
.text:004010E0

调试开始,点Debugger，然后选择win32平台那个

调试窗口

在几个可疑的地方断点（上面那个循环也断了）

乱输入注册码，看看

17个1

可以在General register窗口里看到寄存器的值,循环那个断点对应循环了17次

到断点时，

循环时的

那个作为edx的第一个参数，在那对应的是RDX寄存器鼠标放上去可以看到值，或者双击进入

判断之后的代码

.text:004010B8 loc_4010B8:                             ; CODE XREF: _main+DAj

.text:004010B8 mov     dl, [eax]

.text:004010BA mov     bl, [esi]

.text:004010BC mov     cl, dl

.text:004010BE cmp     dl, bl

.text:004010C0 jnz     short loc_4010E0

.text:004010C2 test    cl, cl

.text:004010C4 jz      short loc_4010DC

.text:004010C6 mov     dl, [eax+1]

.text:004010C9 mov     bl, [esi+1]

.text:004010CC mov     cl, dl

.text:004010CE cmp     dl, bl

.text:004010D0 jnz     short loc_4010E0

.text:004010D2 add     eax, 2

.text:004010D5 add     esi, 2

.text:004010D8 test    cl, cl

.text:004010DA jnz     short loc_4010B8

.text:004010DC

.text:004010DC loc_4010DC:                             ; CODE XREF: _main+C4j

.text:004010DC xor     eax, eax

.text:004010DE jmp     short loc_4010E5

.text:004010E0 ; ---------------------------------------------------------------------------

.text:004010E0

.text:004010E0 loc_4010E0:                             ; CODE XREF: _main+C0j

.text:004010E0                                         ; _main+D0j

.text:004010E0 sbb     eax, eax

.text:004010E2 sbb     eax, 0FFFFFFFFh

.text:004010E5

.text:004010E5 loc_4010E5:                             ; CODE XREF: _main+DEj

.text:004010E5 test    eax, eax                        ; 想要test的结果是0,那么eax就要是0

.text:004010E7 jnz     short loc_4010FB                ; jump no zero 当上面的test结果是0时就输出成功

.text:004010E9 push    offset aSuccess                 ; 这里是成功时的

.text:004010EE call    sub_40134B

.text:004010F3 add     esp, 4

.text:004010F6 jmp     loc_40101A

.text:004010FB ; ---------------------------------------------------------------------------

.text:004010FB

.text:004010FB loc_4010FB:                             ; CODE XREF: _main+E7j

.text:004010FB push    offset aWrong                   ; "wrong!\n"

.text:00401100 call    sub_40134B

.text:00401105 add     esp, 4

.text:00401108 jmp     loc_40101A

.text:0040110D ; ---------------------------------------------------------------------------

.text:0040110D

.text:0040110D loc_40110D:                             ; CODE XREF: _main+57j

.text:0040110D push    offset aWrong                   ; "wrong!\n"

.text:00401112 call    sub_40134B

.text:00401117 mov     eax, stru_408090._cnt

.text:0040111C add     esp, 4

.text:0040111F dec     eax

.text:00401120 pop     edi

.text:00401121 pop     esi

.text:00401122 pop     ebp

.text:00401123 mov     stru_408090._cnt, eax

.text:00401128 pop     ebx

.text:00401129 js      short loc_401135

.text:0040112B inc     stru_408090._ptr

.text:00401131 add     esp, 60h

.text:00401134 retn

当输入17个1时eax对应的是，34个这个，可以推测，1对应的是3 1,

然后输入1234那些测试发现每个都有对应的，接下来就是暴力把表对应出来，目标是0-9,a-z,A-Z,写了个python，每17个输出一个，然后放到程序里输出对应的，得到ida里复制来的，再解析

0   3 , 0
1   3 , 1
2   3 , 2
3   3 , 3
4   3 , 4
5   3 , 5
6   3 , 6
7   3 , 7
8   3 , 8
9   3 , 9
A   4 , 1
B   4 , 2
C   4 , 3
D   4 , 4
E   4 , 5
F   4 , 6
G   4 , 7
H   4 , 8
I   4 , 9
J   4 , a
K   4 , b
L   4 , c
M   4 , d
N   4 , e
O   4 , f
P   5 , 0
Q   5 , 1
R   5 , 2
S   5 , 3
T   5 , 4
U   5 , 5
V   5 , 6
W   5 , 7
X   5 , 8
Y   5 , 9
Z   5 , a
a   6 , 1
b   6 , 2
c   6 , 3
d   6 , 4
e   6 , 5
f   6 , 6
g   6 , 7
h   6 , 8
i   6 , 9
j   6 , a
k   6 , b
l   6 , c
m   6 , d
n   6 , e
o   6 , f
p   7 , 0
q   7 , 1
r 7 , 2
s   7 , 3
t   7 , 4
u   7 , 5
v   7 , 6
w   7 , 7
x   7 , 8
y   7 , 9
z   7 , a
"   2 , 2

然后解析esi寄存器的那个"437261636b4d654a757374466f7246756e"

最后输出为CrackMeJustForFun,一看就是肯定是他了，毕竟是一句自己看得懂的句子，输进去，success!

写的比较乱，毕竟自己也是新手

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2018-6-17 22:43 被格式化法编辑，原因：加个代码框

收藏・1

免费・0

支持

最新回复 (2)
晴天aa 雪币： 794 活跃值： (986) 能力值： ( LV5，RANK：60 ) 在线值：发帖 16 回帖 28 粉丝 0 关注私信	晴天aa 2 楼 good 2018-6-18 21:06 0
s1ber 雪币： 870 活跃值： (2264) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 175 粉丝 0 关注私信	s1ber 3 楼写的好 2018-7-27 14:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

格式化法

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (2)
晴天aa 雪币： 794 活跃值： (986) 能力值： ( LV5，RANK：60 ) 在线值：发帖 16 回帖 28 粉丝 0 关注私信	晴天aa 2 楼 good 2018-6-18 21:06 0
s1ber 雪币： 870 活跃值： (2264) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 175 粉丝 0 关注私信	s1ber 3 楼写的好 2018-7-27 14:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复