首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. CTF对抗
    3. 发新帖
[原创]DASCTF-2024暑期赛-Reverse-wp
发表于: 2024-7-21 13:31 5488

[原创]DASCTF-2024暑期赛-Reverse-wp

嘎嘎真的很棒 活跃值
2024-7-21 13:31
5488

image.png
程序运行后发现是个贪吃蛇,可以猜测到应该是到达某个分数后会出现信息提示,IDA打开分析
image.png
通过字符串定位快速找到关键代码,这段代码就是flag的地方了
取aDasctf+6开始处的字符与aDasctf进行异或,直到aDasctf+6字符串全部处理完毕,看下这两处的字符
image.png
DASCTF是第一处,下面的是DASCTF+6处,循环异或DASCTF,脚本解密

PS:其实还可以直接修改程序判断逻辑直接输出FLAG,
image.png
cmp改为cx,cx
image.png
修改cmp改为ax,ax。
运行程序输出flag:
image.png

PE32文件,直接IDA+OD分析
image.png
通过字符串快速定位到主函数,逻辑清晰直接查看 aDasctfIAmFakeB 的值
image.png
显然,假的flag,尝试输入这个字符串看程序输出结果:
image.png
显然,程序 hook 了 j_memcmp函数,这个函数其实就是 memcmp,比较字符串,如果相同则返回0.
0取反后为1,此时程序应该输出“Right”但程序输出了“Wrong”!,所以可以猜到大概率是hook了这个函数。如果直接在IDA中调试的话我没有找到hook的入口,我是在OD中分析的

通过字符串快速定位到主要函数:
PS:调式的时候要输入长度为40的字符串,后面会说为什么是40。
image.png
call 004115AA显然是输入函数了,输入后字符串保存到了0x422580地址中,0x422000保存的是那个假的flag。
接着进入 00411122 函数,这个函数就是 memcmp,跟进分析
image.png
经过几层跳转后可以发现最终是去到了用户函数,由此更加确定是 hook 了这个比较函数。
跟进分析:
0x0041D250到0x0041D282行不用分析,用不到的,0x0041D283到0x0041D39B是局部变量赋值,有40个。
image.png
第一个主要代码块,0x0041D3E4 判断了输入字符串长度,如果不是40,那么eax赋值1后跳到 0x0041D59B,这里就是函数结束代码了。
4个字节为一组取前8个字节作为数据进行TEA加密,密钥存储在 0x422100 地址处:
image.png
把第一次TEA加密的结果存储到0x422580,0x0041D4CE处又对前两个数据块进行了TEA加密,所以前两个数据块加密了两次后存储到 0x0041D59B 处。接着来到了关键代码块:
image.png
这一堆代码干的事其实就是个:异或。
解释:取3,4数据块对1,2数据块进行异或后存储,异或完后继续对1,2数据块进行TEA加密,接着5,6数据块在对1,2数据块进行异或后存储,异或完后继续对1,2数据块进行TEA加密,接着7,8数据块对1,2数据块进行异或后存储,异或完成后在对1,2数据块加密,在对9,10数据块对1,2数据块进行异或后存储。
总体来说,这堆代码就干了些操作。注意:第一次的1,2数据块是TEA加密两次后的数据。
跟进TEA加密分析一下
image.png
TEA加密代码是直接在用户模块中的,在IDA中可以反汇编,在OD中复制TEA函数的首地址,IDA调试起来让 memcmp 函数执行后跳转到 TEA地址处,此时是一堆数据,需要按C识别为函数
image.png
刚好也看到密文了,这个在OD中也有,只是OD中不好提取出来。
image.png
TEA函数,跟进后反汇编查看
image.png
就魔改了轮次,标准的是32轮,这里是16轮。
这样就差不多分析完了,直接搓代码解密

flag:DASCTF{I4TH0ok_I5S0ooFunny_Isnotit?????}
PS:代码水平有限,望理解。

#include<iostream>
 
unsigned char byte_10324[6] = {
0x44, 0x41, 0x53, 0x43, 0x54, 0x46
};
 
unsigned char data[31] = {
0x3F, 0x09, 0x63, 0x34, 0x32, 0x13, 0x2A, 0x2F, 0x2A, 0x37, 0x3C,
0x23, 0x00, 0x2E, 0x20, 0x10, 0x3A, 0x27, 0x2F, 0x24, 0x3A, 0x30, 0x75, 0x67, 0x65, 0x3C
};
 
unsigned char flag[31] = { 0 };
int main()
{
    for (int i = 0; i < sizeof(data) / sizeof(data[0]); i++)
        {
            flag[i] = data[i] ^ byte_10324[i % 6];
            printf("%c", flag[i]);
        }
}
#include<iostream>
 
unsigned char byte_10324[6] = {
0x44, 0x41, 0x53, 0x43, 0x54, 0x46
};
 
unsigned char data[31] = {
0x3F, 0x09, 0x63, 0x34, 0x32, 0x13, 0x2A, 0x2F, 0x2A, 0x37, 0x3C,
0x23, 0x00, 0x2E, 0x20, 0x10, 0x3A, 0x27, 0x2F, 0x24, 0x3A, 0x30, 0x75, 0x67, 0x65, 0x3C
};
 
unsigned char flag[31] = { 0 };
int main()
{
    for (int i = 0; i < sizeof(data) / sizeof(data[0]); i++)
        {
            flag[i] = data[i] ^ byte_10324[i % 6];
            printf("%c", flag[i]);
        }
}
#include<stdio.h>
#include<stdint.h>
#include<string.h>
 
//解密函数
void decrypt_tea(uint32_t* v, uint32_t* k) {
    uint32_t v0 = v[0], v1 = v[1], sum = 16 * 0x9e3779b9, i;     /* set up */
    uint32_t delta = 0x9e3779b9;                            /* a key schedule constant */
    uint32_t k0 = k[0], k1 = k[1], k2 = k[2], k3 = k[3];    /* cache key */
    for (i = 0; i < 16; i++) {
        sum -= delta;
        v1 -= ((v0 << 4) + k2) ^ (v0 + sum) ^ ((v0 >> 5) + k3);
        v0 -= ((v1 << 4) + k0) ^ (v1 + sum) ^ ((v1 >> 5) + k1);
    }                                                           /* end cycle */
    v[0] = v0; v[1] = v1;
}
 
int main()
{
    int k = 6, s = 7;
    uint32_t key[5] = { 0x12345678, 0x09101112, 0x13141516, 0x15161718 };
    uint32_t data[] = {
                    0xBC2B4DF9,
                    0x6213DD13,
 
                    0x89FFFCC9,
                    0x0FC94F7D,
 
                    0x526D1D63,
                    0xE341FD50,
 
                    0x97287633,
                    0x6BF93638,
 
                    0x83143990,
                    0x1F2CE22C
    };
    data[8] ^= data[0];
    data[9] ^= data[1];
 
    //  求出data[0],data[1]解密5次的数据;
    for (int i = 0; i < 5; ++i)
    {
        decrypt_tea(data, key);
        if (i == 0)
        {
            data[6] ^= data[0];
            data[7] ^= data[1];
        }
        else if (i == 1)
        {
            data[4] ^= data[0];
            data[5] ^= data[1];
        }
        else if (i == 2) {
            data[2] ^= data[0];
            data[3] ^= data[1];
        }
        //printf("%#x %#x\n", data[0], data[1]);
    }
 
    printf("----------------------------------------\n");
    
    for (int i = 0; i < 10; i++) {
        printf("%c%c%c%c", *((char*)&data[i] + 0), *((char*)&data[i] + 1), *((char*)&data[i] + 2), *((char*)&data[i] + 3));
    }
}
#include<stdio.h>
#include<stdint.h>
#include<string.h>
 
//解密函数
void decrypt_tea(uint32_t* v, uint32_t* k) {
    uint32_t v0 = v[0], v1 = v[1], sum = 16 * 0x9e3779b9, i;     /* set up */
    uint32_t delta = 0x9e3779b9;                            /* a key schedule constant */
    uint32_t k0 = k[0], k1 = k[1], k2 = k[2], k3 = k[3];    /* cache key */
    for (i = 0; i < 16; i++) {
        sum -= delta;
        v1 -= ((v0 << 4) + k2) ^ (v0 + sum) ^ ((v0 >> 5) + k3);
        v0 -= ((v1 << 4) + k0) ^ (v1 + sum) ^ ((v1 >> 5) + k1);
    }                                                           /* end cycle */
    v[0] = v0; v[1] = v1;
}
 
int main()
{
    int k = 6, s = 7;
    uint32_t key[5] = { 0x12345678, 0x09101112, 0x13141516, 0x15161718 };

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//