-
-
[原创]看雪 2022·KCTF 秋季赛 > 第二题 盗贼作乱 by 心学
-
发表于: 2022-11-19 00:31 13667
-
1、IDA77
2、WinDBG Preview【可以不用】
3、Python
结论:输入错误的序列号,直接返回 Error
提示:先打开CMD窗口,然后将文件拖入窗口运行。
在IDA里,反编译之后,程序的主函数main结构比较简单,Text或Graph视图都可以清晰的看到 Error 和 Success 信息,能快速定位到程序运行失败或成功的关键判断之处。
从后往前推:
如果要运行到 sub_40284A((int)aSuccess),则必须保证 dword_40A9F8 == 0xA;【作者埋了一个坑】,此时想当然认为 循环要进行十遍(错了)。
关注:全局变量 dword_40A9F8
约束条件1:序列号长度小于等于 0x40
约束条件2:序列号内存在一个 '-' 字符。v3 记录 '-' 的位置
约束条件3:序列号部分转换满足要求(2处)
约束条件4:内置字符串转换满足要求
约束条件5:序列号(2处)及内置字符串相互比较要满足要求
约束条件6:dword_40A9F8 == 0xA
总结一下:有6个约束条件,在不深入到子函数细节的情况下进行分析。
约束条件1:序列号长度小于等于 0x40
约束条件2:序列号内存在一个 '-' 字符。v3 记录 '-' 的位置
约束条件3:序列号部分转换满足要求(2处)
约束条件4:内置字符串转换满足要求
约束条件5:序列号(2处)及内置字符串相互比较要满足要求
约束条件6:dword_40A9F8 == 0xA
我们遇到了很多函数,目前,还不清楚每个函数的细节,但是对于大佬老说,此时已经猜测是利用高进制进行大整数的运算。接下来我主要从经验值较低的角度来分析函数功能,主要方法是通过参数及变量(内存区域)的变化,来猜测或推测函数的大概功能。
输入四个参数,返回结果要大于0
输入的参数:最后一个参数是固定的内置字符串,即Base62;第二个参数是字符串,有的是用户输入的字符串、程序内置字符串;第三个参数是整数;第一个参数是一个全局变量。
现在猜测这个函数应该只对第一个参数全局变量做修改。
现在开始数据驱动测试,我们构造序列号:
IDA调试:
SN:0123456789abcdef-0123456789abcdef
结果:
0040A940 和 0040A964 结果一样,这与我们输入的序列号相关,初步判断是用 - 进行了分割,然后分别进行计算。
0040A9D0 与 内置字符串相关 'IRtzloZ6iuB'
但是 这些全局变量值与输入的字符串有什么关联,直接看代码是一种方式,但是通过数据测试也可以才出来。用最小的值依次判断。
SN:0-0
程序非正常退出
在sub_4014D0内return 0 直接返回0,不满足条件,退出了。全局变量没有值,这个子函数不支持0数据转换
SN:1-1
那看来输入1,返回1
SN:11-12
0x3F = 63 对应 11
0x7D = 125 对应 12
我们与62进制来对照,11(62进制) = 63;21(62进制) = 125
初步猜测该函数是 62进制 的字符串序列与整数的转换,不过字符串是倒序存放的。可以进一步分析
'IRtzloZ6iuB' ==》8, 89E80000h, 8AC72304h
第一个 DWORD = 8 是后面的字节序列长度。可以猜测出来。
可以跟踪函数的运行前后,两个全局变量的变化,基本可以判断这是一个赋值操作,用0来给全局变量赋值,类似于初始化。
用上面的方法,可以判断出这是一个比较方法,其返回值有1、0、-1 分别表示大于、等于、小于
我在这儿构造了一个结构resultA,它是大整数计算的结构,第一个DWORD是大整数的字节长度,之后就是大整数的字节序列。我们可以通过前述的0040A940进行分析,当我们给定更大的值,就可以得出上述结构构造。
用上面方法分析,这是一个 加法运算
dest = a2 + source
这是取模运算,最后一个参数都是固定的,dword_40A9D0 ,存储的是内置字符串的62进制值。
这是 赋值操作,给第一个参数赋第二个参数值,即赋值1
这是 减法操作,实际上 减去了1 (dword_40A988)
dword_40A988 = dword_40A9FC - dword_40A988
它的运算比较复杂,如果用参数前后对照,会发现它是一个 乘法运算
dword_40A988 = dword_40A988 * dword_40A940
dword_40A988 在每次循环后都会置初始值1,其不会对其他造成干扰
dword_40A940 是固定值。貌似这个乘法用处不大。
这是除法运算
dword_40A9AC = dword_40A9D0 / dword_40A964
dword_40A9AC 在每次循环后都会置初始值1,其不会对其他造成干扰
dword_40A9D0 、dword_40A964 是固定值。
这个除法貌似没法用。它没有对我们关注的全局变量进行修改【实际有坑】
经过上面分析,基本上对逻辑计算有了一定理解,
dword_40A940:序列号前半部分值 partA
dword_40A964:序列号后半部分值 partB
dword_40A9D0:内置字符串值 interValue
条件判断:
partA < partB
partA < interValue
partB < interValue
经过if条件判断之后,开始while循环处理
dword_40A9F8:记录两个 cmp 相等的次数【坑,还有其他地方对其影响】,满足10即可
dword_40A9F4:记录当前循环的次数 cnt
cmp(dword_40A988, dword_40A940)
比较相等即成功给 dword_40A9F8 加 1
数学表达式就是
一个数乘以一个倍数,减去 1 然后等于自身
这是第一处判断。。。。。。
dword_40A9AC = 1
dword_40A9AC = dword_40AA20 + dword_40A9AC = dword_40AA20 +1
cmp(dword_40A9AC, dword_40A964)
比较相等即成功给 dword_40A9F8 加 1
数学表达式就是
一个数乘以一个倍数,加上 1 然后等于自身
这是第二处判断。。。。。。
然后这些需要经过 10次 才能满足要求【坑】,
这种情况可能吗?cnt 有上限 0x200000; interValue模数已知,要求 partA 和 partB,直觉不可能,如果具有一定的数论知识,联想到 模N求逆,只能有一个结果。
模N 求A 的 逆元B =》 A × B == 1 mod(N),只有在A或B与N互质的情况下才存在,如果 不互质,那么就不可能存在逆元 B。存在的情况下也只有一个结果。
那么,问题如何解决了?这需要更进一步查看、深究代码。
重点关注cmp比较之后的代码,也就是上面分析出来的乘法和除法函数,为什么?一是此段代码执行比较少,应优先判断去排查;二是循环体的外侧代码功能性强,运算的结果都有一定的影响,影响的全局变量值目的性强,且未发现对其他的全局变量进行更改。
关键隐藏之处1
乘法:
if语句的两个判断:
dword_40A9F8 > 0 显然无问题 4
dword_40A9D0[0].value[32] == 32
这里要满足32,才执行里面的语句,此处分析两个问题:
1、怎么满足条件?
2、满足条件后,执行了啥?有什么用?
第一个问题,进一步查看全局变量的位置
dword_40A9D0[0].value[32] ==>
dword_40A9D0 + 4 + 32 = dword_40A9F4
+4 是略过了第一个双字(字节序列长度)
我们发现,这种操作之后,实际内存位置是 dword_40A9F4
它是什么,我们回看main里面的while循环,他是循环累计次数,即进行到了第几次循环,也就说,我们得循环到第32次(从1开始计数)才能进入,此时要够在序列号,使其满足前述的5个约束条件,特别是两个 cmp 运算,即满足while里的cmp运算。
一个数乘以一个倍数,减去 1 然后等于自身
第二个问题,满足条件了,执行了啥?
dword_40A988 = dword_40A988 + dword_40A9AC = 4+32 = 36
dword_40A988[0].value[0]] = 36
dword_40A9D0[0].value[(unsigned __int8)dword_40A988[0].value[0]] = dword_40A9D0[0].value[4]==>
dword_40A9D0 + 4 + 36 = dword_40A9F8
这是 关键的全局变量,它等于0xA才能输出success。
除法方法类似。这两个方法是关键的隐藏之处。
梳理一下思路:
序列号的前后两个部分:
1、执行到32次,满足判断条件,此时 dword_40A9F8 各计入1次
partA × 32 mod(interValue) - 1 == partA
partB × 32 mod(interValue) + 1 == partB
2、进入乘法或除法方法后,dword_40A9F8 各累加4
此时,就可以满足 dword_40A9F8 == 10 == 0xA
主要是对 求出序列号的前后两部分 进行优化
可以通过循环,逐个从1开始计算,找到结果。
有一种快速方法,可以利用求模N的逆来快速得到结果。
可以利用pow方法求出
C:\Users\surface>
"C:\Users\surface\OneDrive\Crack\CTF\看雪 2022·KCTF 秋季赛\02\cm2022\cm2022.exe"
Input
:
0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef
Error.
C:\Users\surface>
"C:\Users\surface\OneDrive\Crack\CTF\看雪 2022·KCTF 秋季赛\02\cm2022\cm2022.exe"
Input
:
11111111111111
Error.
C:\Users\surface>
C:\Users\surface>
"C:\Users\surface\OneDrive\Crack\CTF\看雪 2022·KCTF 秋季赛\02\cm2022\cm2022.exe"
Input
:
0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef
Error.
C:\Users\surface>
"C:\Users\surface\OneDrive\Crack\CTF\看雪 2022·KCTF 秋季赛\02\cm2022\cm2022.exe"
Input
:
11111111111111
Error.
C:\Users\surface>
int
__cdecl main(
int
argc, const char
*
*
argv, const char
*
*
envp)
{
int
v3;
/
/
edi
int
v4;
/
/
eax
int
v6;
/
/
esi
int
v7;
/
/
eax
char inputSN;
/
/
[esp
+
8h
] [ebp
-
40h
] BYREF
char v10[
60
];
/
/
[esp
+
9h
] [ebp
-
3Fh
] BYREF
__int16 v11;
/
/
[esp
+
45h
] [ebp
-
3h
]
char v12;
/
/
[esp
+
47h
] [ebp
-
1h
]
inputSN
=
0
;
memset(v10,
0
, sizeof(v10));
v11
=
0
;
v12
=
0
;
sub_40284A((
int
)aInput);
gets(&inputSN);
v3
=
-
1
;
v4
=
0
;
if
( !inputSN )
goto LABEL_20;
do
{
if
( v4 >
=
0x40
)
break
;
if
( v10[v4
-
1
]
=
=
'-'
)
v3
=
v4;
}
while
( v10[v4
+
+
] );
if
( v3 >
0
&& (v6
=
v4
-
v3, v4
-
v3 >
0
)
&& sub_4014D0(dword_40A940, &inputSN, v3, Base62) >
0
/
/
'-'
前半部分
&& sub_4014D0(dword_40A964, &v10[v3], v6
-
1
, Base62) >
0
/
/
'-'
后半部分
&& (sub_4014D0(
dword_40A9D0,
aIrtzloz6iub,
strlen(aIrtzloz6iub),
Base62),
/
/
处理固定字符
sub_401630(
dword_40A9FC,
0
),
/
/
初始化 为
0
sub_401630(
dword_40AA20,
0
),
/
/
初始化 为
0
cmp
(dword_40A940, dword_40A964) <
0
)
/
/
前半部分 < 后半部分
&&
cmp
(dword_40A940, dword_40A9D0) <
0
/
/
前半部分 < 内置
8
&&
cmp
(dword_40A964, dword_40A9D0) <
0
)
/
/
后半部分 < 内置
8
{
v7
=
0
;
while
(
1
)
{
dword_40A9F4
=
v7
+
1
;
/
/
处理的标志位?
sub_401730(dword_40A9FC, dword_40A9FC, dword_40A940);
/
/
累加
sub_401730(dword_40AA20, dword_40AA20, dword_40A964);
/
/
累加
sub_4021A0(dword_40A9FC, dword_40A9FC, dword_40A9D0);
/
/
取余
sub_4021A0(dword_40AA20, dword_40AA20, dword_40A9D0);
/
/
取余
sub_401630(dword_40A988,
1
);
/
/
初始化 为
1
,此处会重新赋值
sub_401820(dword_40A988, dword_40A9FC, dword_40A988);
/
/
减
1
if
( !
cmp
(dword_40A988, dword_40A940) )
/
/
判断两个数要相等才行。相等返回
0
,大于返回
1
,小于返回
-
1
{
+
+
dword_40A9F8;
sub_401CF0(dword_40A988, dword_40A988, dword_40A940);
/
/
乘法?
}
sub_401630(dword_40A9AC,
1
);
sub_401730(dword_40A9AC, dword_40AA20, dword_40A9AC);
/
/
加
1
if
( !
cmp
(dword_40A9AC, dword_40A964) )
{
+
+
dword_40A9F8;
sub_401F30(dword_40A9AC, dword_40A9D0, dword_40A964);
/
/
除法?
}
if
( dword_40A9F8
=
=
0xA
)
/
/
需要命中
10
次(只要使其等于
10
即可)才行
break
;
v7
=
dword_40A9F4;
if
( dword_40A9F4 >
=
0x200000
)
goto LABEL_20;
}
sub_40284A((
int
)aSuccess);
return
0
;
}
else
{
LABEL_20:
sub_40284A((
int
)aError);
return
0
;
}
}
程序分为四大块:
一是:获取用户输入
二是:IF条件判断,需满足
三是:
while
循环,一大堆计算
四是:输出结果
### 3、全局查看结构,锁定成功失败
int
__cdecl main(
int
argc, const char
*
*
argv, const char
*
*
envp)
{
int
v3;
/
/
edi
int
v4;
/
/
eax
int
v6;
/
/
esi
int
v7;
/
/
eax
char inputSN;
/
/
[esp
+
8h
] [ebp
-
40h
] BYREF
char v10[
60
];
/
/
[esp
+
9h
] [ebp
-
3Fh
] BYREF
__int16 v11;
/
/
[esp
+
45h
] [ebp
-
3h
]
char v12;
/
/
[esp
+
47h
] [ebp
-
1h
]
inputSN
=
0
;
memset(v10,
0
, sizeof(v10));
v11
=
0
;
v12
=
0
;
sub_40284A((
int
)aInput);
gets(&inputSN);
v3
=
-
1
;
v4
=
0
;
if
( !inputSN )
goto LABEL_20;
do
{
if
( v4 >
=
0x40
)
break
;
if
( v10[v4
-
1
]
=
=
'-'
)
v3
=
v4;
}
while
( v10[v4
+
+
] );
if
( v3 >
0
&& (v6
=
v4
-
v3, v4
-
v3 >
0
)
&& sub_4014D0(dword_40A940, &inputSN, v3, Base62) >
0
/
/
'-'
前半部分
&& sub_4014D0(dword_40A964, &v10[v3], v6
-
1
, Base62) >
0
/
/
'-'
后半部分
&& (sub_4014D0(
dword_40A9D0,
aIrtzloz6iub,
strlen(aIrtzloz6iub),
Base62),
/
/
处理固定字符
sub_401630(
dword_40A9FC,
0
),
/
/
初始化 为
0
sub_401630(
dword_40AA20,
0
),
/
/
初始化 为
0
cmp
(dword_40A940, dword_40A964) <
0
)
/
/
前半部分 < 后半部分
&&
cmp
(dword_40A940, dword_40A9D0) <
0
/
/
前半部分 < 内置
8
&&
cmp
(dword_40A964, dword_40A9D0) <
0
)
/
/
后半部分 < 内置
8
{
v7
=
0
;
while
(
1
)
{
dword_40A9F4
=
v7
+
1
;
/
/
处理的标志位?
sub_401730(dword_40A9FC, dword_40A9FC, dword_40A940);
/
/
累加
sub_401730(dword_40AA20, dword_40AA20, dword_40A964);
/
/
累加
sub_4021A0(dword_40A9FC, dword_40A9FC, dword_40A9D0);
/
/
取余
sub_4021A0(dword_40AA20, dword_40AA20, dword_40A9D0);
/
/
取余
sub_401630(dword_40A988,
1
);
/
/
初始化 为
1
,此处会重新赋值
sub_401820(dword_40A988, dword_40A9FC, dword_40A988);
/
/
减
1
if
( !
cmp
(dword_40A988, dword_40A940) )
/
/
判断两个数要相等才行。相等返回
0
,大于返回
1
,小于返回
-
1
{
+
+
dword_40A9F8;
sub_401CF0(dword_40A988, dword_40A988, dword_40A940);
/
/
乘法?
}
sub_401630(dword_40A9AC,
1
);
sub_401730(dword_40A9AC, dword_40AA20, dword_40A9AC);
/
/
加
1
if
( !
cmp
(dword_40A9AC, dword_40A964) )
{
+
+
dword_40A9F8;
sub_401F30(dword_40A9AC, dword_40A9D0, dword_40A964);
/
/
除法?
}
if
( dword_40A9F8
=
=
0xA
)
/
/
需要命中
10
次(只要使其等于
10
即可)才行
break
;
v7
=
dword_40A9F4;
if
( dword_40A9F4 >
=
0x200000
)
goto LABEL_20;
}
sub_40284A((
int
)aSuccess);
return
0
;
}
else
{
LABEL_20:
sub_40284A((
int
)aError);
return
0
;
}
}
程序分为四大块:
一是:获取用户输入
二是:IF条件判断,需满足
三是:
while
循环,一大堆计算
四是:输出结果
### 3、全局查看结构,锁定成功失败
sub_40284A((
int
)aSuccess);
return
0
;
}
else
{
LABEL_20:
sub_40284A((
int
)aError);
return
0
;
}
sub_40284A((
int
)aSuccess);
return
0
;
}
else
{
LABEL_20:
sub_40284A((
int
)aError);
return
0
;
}
do
{
if
( v4 >
=
0x40
)
break
;
if
( v10[v4
-
1
]
=
=
'-'
)
v3
=
v4;
}
while
( v10[v4
+
+
] );
if
( v3 >
0
do
{
if
( v4 >
=
0x40
)
break
;
if
( v10[v4
-
1
]
=
=
'-'
)
v3
=
v4;
}
while
( v10[v4
+
+
] );
if
( v3 >
0
sub_4014D0(dword_40A940, &inputSN, v3, Base62) >
0
sub_4014D0(dword_40A964, &v10[v3], v6
-
1
, Base62) >
0
sub_4014D0(dword_40A940, &inputSN, v3, Base62) >
0
sub_4014D0(dword_40A964, &v10[v3], v6
-
1
, Base62) >
0
(sub_4014D0(dword_40A9D0,aIrtzloz6iub,strlen(aIrtzloz6iub),Base62)
(sub_4014D0(dword_40A9D0,aIrtzloz6iub,strlen(aIrtzloz6iub),Base62)
cmp
(dword_40A940, dword_40A964) <
0
&&
cmp
(dword_40A940, dword_40A9D0) <
0
&&
cmp
(dword_40A964, dword_40A9D0) <
0
cmp
(dword_40A940, dword_40A964) <
0
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课