昨晚躺尸的時(shí)候看到群里大佬發(fā)了一張DDCTF戰(zhàn)況的圖就起床做了一下明场,也就有了這個(gè)題解灰羽,RE2跟RE1其實(shí)核心思想是差不多的躏精,只是多了一些移位操作罷了渣刷,算是彌補(bǔ)上個(gè)月0CTF、“西湖論劍”逆向零的突破吧
終究還是太菜了矗烛,另外一道CPP逆向也是看得頭疼
——2019.4.13
0x00 查殼
一看是UPX殼辅柴,修復(fù)一下然后直接脫!
0x01 分析
1.載入IDA X86
- main函數(shù)偽代碼
int __cdecl main(int argc, const char **argv, const char **envp)
{
int result; // eax@2
char v4; // [sp+4h] [bp-804h]@1
char v5; // [sp+5h] [bp-803h]@1
char v6; // [sp+404h] [bp-404h]@1
char Dst; // [sp+405h] [bp-403h]@1
v6 = 0;
memset(&Dst, 0, 0x3FFu);
v4 = 0;
memset(&v5, 0, 0x3FFu);
printf("please input code:");
scanf("%s", &v6);
sub_401000(&v6);
if ( !strcmp(&v4, "DDCTF{reverseME}") )
{
printf("You've got it!!%s\n", &v4);
result = 0;
}
else
{
printf("Try again later.\n");
result = 0;
}
return result;
}
- sub_401000函數(shù)偽代碼
unsigned int __cdecl sub_401000(const char *a1)
{
_BYTE *v1; // ecx@0
unsigned int v2; // edi@1
unsigned int result; // eax@1
int v4; // ebx@2
v2 = 0;
result = strlen(a1);
if ( result )
{
v4 = a1 - v1;
do
{
*v1 = byte_402FF8[v1[v4]];
++v2;
++v1;
result = strlen(a1);
}
while ( v2 < result );
}
return result;
}
程序大致就是將輸入字符串在函數(shù)sub_401000中進(jìn)行簡(jiǎn)單變換后與"DDCTF{reverseME}"比較
2.載入OD
直接在變換函數(shù)前斷點(diǎn)
然后動(dòng)態(tài)調(diào)試
偽代碼中的變換就是401020~40103E的內(nèi)容
核心代碼無(wú)非就三條
……
movsx eax,byte ptr ds:[ebx+eax]//ds:[ebx+eax]尋址獲得的數(shù)據(jù)即為將要處理的數(shù)據(jù),并將其字?jǐn)U展存入eax中
mov dl,byte ptr ds:[eax+0x402FF8]//通過(guò)eax和0x402FF8相對(duì)寄存器存址獲得的字節(jié)數(shù)據(jù)存入dl中
……
mov byte ptr ds:[ecx],dl//dl數(shù)據(jù)寫(xiě)入數(shù)據(jù)段
……
//循環(huán)執(zhí)行
所以該函數(shù)就是將輸入的字符串逐個(gè)字符的hex作為偏移量在數(shù)據(jù)段中尋址獲得的字符逐個(gè)拼接并寫(xiě)入數(shù)據(jù)段
即偽代碼是
flag=""
for i in input
flag+=ds:[hex(i)+0x402FF8]
查看地址為0x402FF8起的數(shù)據(jù)段內(nèi)容
.rdata:00402FF8 ; char byte_402FF8[]
.rdata:00402FF8 byte_402FF8 db ? ; DATA XREF: sub_401000+24?r
.rdata:00402FF9 align 10h
.rdata:00402FF9 _rdata ends
.rdata:00402FF9
.data:00403000 ; Section 3. (virtual address 00003000)
.data:00403000 ; Virtual size : 000003E4 ( 996.)
.data:00403000 ; Section size in file : 00000200 ( 512.)
.data:00403000 ; Offset to raw data for section: 00001600
.data:00403000 ; Flags C0000040: Data Readable Writable
.data:00403000 ; Alignment : default
.data:00403000 ; ===========================================================================
.data:00403000
.data:00403000 ; Segment type: Pure data
.data:00403000 ; Segment permissions: Read/Write
.data:00403000 _data segment para public 'DATA' use32
.data:00403000 assume cs:_data
.data:00403000 ;org 403000h
.data:00403000 ___security_cookie dd 0BB40E64Eh ; DATA XREF: _main+6?r
.data:00403000 ; __security_check_cookie(x)?r ...
.data:00403004 dword_403004 dd 44BF19B1h ; DATA XREF: ___report_gsfailure+B0?r
.data:00403004 ; ___security_init_cookie+2B?w ...
.data:00403008 db 0FFh
.data:00403009 db 0FFh
.data:0040300A db 0FFh
.data:0040300B db 0FFh
.data:0040300C db 0FFh
.data:0040300D db 0FFh
.data:0040300E db 0FFh
.data:0040300F db 0FFh
.data:00403010 dword_403010 dd 0FFFFFFFEh ; DATA XREF: .text:004013E2?r
.data:00403014 dword_403014 dd 1 ; DATA XREF: .text:004013C8?r
.data:00403018 aZyxwvutsrqponm db '~}|{zyxwvutsrqponmlkjihgfedcba`_^]\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>'
.data:00403018 db '=<;:9876543210/.-,+*)(',27h,'&%$#"! ',0
.data:00403078 ; int argc
注意到0x403018起定義了這么一段字符
~}|{zyxwvutsrqponmlkjihgfedcba`_^]\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>'=<;:9876543210/.-,+*)(',27h,'&%$#"!
到此就可以解題了瞭吃,直接逆算法遍歷目標(biāo)字符串獲得輸入
dst="DDCTF{reverseME}"
str="~}|{zyxwvutsrqponmlkjihgfedcba`_^]\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>'=<;:9876543210/.-,+*)(',27h,'&%$#\"!"
flag=""
for i in dst:
index=str.find(i)
flag+=chr(index+(0x403018-0x402FF8))
print("flag:"+flag)
獲得flag是ZZ[JX#,9(9,+9QY!
最后包裹上DDCTF{}提交即可
