攻防世界进阶Re(三)

0x00 APK-逆向2


用PEID查看,发现是c#,.net,用dnSpy打开得到如下代码。前面是一个TCP链接,看到IP和端口分别为127.0.0.1,31337。后面就是通过read()和search()函数对字符串“Super Secret Key”计算flag。但是我看不懂下面的计算方法,直接对字符串 i*1337%256 结果不对,看了WP用http.server来监控http服务得到flag。不得不赞叹大佬太强了!运行脚本再运行exe文件得到flag。Python BaseHTTPServer 模块解析

using System;
using System.Diagnostics;
using System.IO;
using System.Net.Sockets;
using System.Text;

namespace Rev_100
{
    // Token: 0x02000002 RID: 2
    internal class Program
    {
        // Token: 0x06000001 RID: 1 RVA: 0x00002050 File Offset: 0x00000250
        private static void Main(string[] args)
        {
            string hostname = "127.0.0.1";
            int port = 31337;
            TcpClient tcpClient = new TcpClient();
            try
            {
                Console.WriteLine("Connecting...");
                tcpClient.Connect(hostname, port);
            }
            catch (Exception)
            {
                Console.WriteLine("Cannot connect!\nFail!");
                return;
            }
            Socket client = tcpClient.Client;
            string text = "Super Secret Key";
            string text2 = Program.read();
            client.Send(Encoding.ASCII.GetBytes("CTF{"));
            string text3 = text;
            for (int i = 0; i < text3.Length; i++)
            {
                char x = text3[i];
                client.Send(Encoding.ASCII.GetBytes(Program.search(x, text2)));
            }
            client.Send(Encoding.ASCII.GetBytes("}"));
            client.Close();
            tcpClient.Close();
            Console.WriteLine("Success!");
        }

        // Token: 0x06000002 RID: 2 RVA: 0x0000213C File Offset: 0x0000033C
        private static string read()
        {
            string fileName = Process.GetCurrentProcess().MainModule.FileName;
            string[] array = fileName.Split(new char[]
            {
                '\\'
            });
            string path = array[array.Length - 1];
            string result = "";
            using (StreamReader streamReader = new StreamReader(path))
            {
                result = streamReader.ReadToEnd();
            }
            return result;
        }

        // Token: 0x06000003 RID: 3 RVA: 0x000021B0 File Offset: 0x000003B0
        private static string search(char x, string text)
        {
            int length = text.Length;
            for (int i = 0; i < length; i++)
            {
                if (x == text[i])
                {
                    int value = i * 1337 % 256;
                    return Convert.ToString(value, 16).PadLeft(2, '0');
                }
            }
            return "??";
        }
    }
}
脚本如下:
import http.server

server_address = ('127.0.0.1', 31337)
handler_class = http.server.BaseHTTPRequestHandler
httpd = http.server.HTTPServer(server_address, handler_class)
httpd.serve_forever()

0x01 notsequence

这道题有点意思哟,IDA打开,F5大法。

signed int __cdecl sub_80486CD(int a1)
{
  int j; // [esp+0h] [ebp-14h]
  int v3; // [esp+4h] [ebp-10h]
  int i; // [esp+8h] [ebp-Ch]
  int v5; // [esp+Ch] [ebp-8h]

  v5 = 0;
  for ( i = 0; i <= 1024 && *(_DWORD *)(4 * i + a1); i = v5 * (v5 + 1) / 2 )
  {

    v3 = 0;

    for ( j = 0; j <= v5; ++j )
      v3 += *(_DWORD *)(4 * (j + i) + a1);
    if ( 1 << v5 != v3 )
      return -1;
    ++v5;
  }
  return v5;
}

话不多说,先进check1的函数,发现是以 i= v5*(v5+1)/2 来循环的,又点奇怪啊。我们提出来试一试这种循环是怎样的,发现这打印出来是一个三角形啊,继续看下面的 ( 1 << v5 != v3 ) 是判断 三角形一行的数之和是否是2的幂。
在分析下check2,脑瓜子嗡嗡嗡的,看了WP,发现这是杨辉三角啊!!,还是太菜了。那么check2应该就是检查杨辉三角的性质了:上一行的左边加上一行的值为当前的值,即 a[ i ][ j ] = a[ i-1 ][ j-1 ] + a[ i-1 ][ j ]。又看到v2==20,所以这是有20行的杨辉三角。

# -*- coding: utf-8 -*-
v5=0
for i in range(21):
    if i==int(v5*(v5+1)/2):
        v5+=1
        print('\n')
    print(i,end=' ')
image.png

得到杨辉三角的值,去掉 多余符号和换行再计算MD5加上RCTF{}得到flag。

杨辉三角脚本如下:

# -*- coding: utf-8 -*-
def triangles():
    p = [1]
    while True:
        yield p#generator函数与普通函数的差别:在执行过程中,遇到yield就中断,下次又继续执行
        p = [1] + [p[i] + p[i+1] for i in range(len(p)-1)] + [1]
n = 0
for t in triangles():
    print(t)
    n = n + 1
    if n == 21:
        break

0x02 Catch-Me

下载的文件被压缩了两次,使用 file 命令查看文件,解压之后再使用file查看还是压缩包,这两次解压可以使用unzip和tar 命令,也可以直接再windows里改后缀名zip来解压。得到ELF文件用IDA打开。


image.png

F5主函数,分析到这里是关键代码。从下往上看,对haystack进行了异或,并且v4 & 7是八位一循环。在看到if的条件,getenv()函数是取环境变量。这里的逻辑是CTF和ASIS的环境变量异或v3后等于0xfeebfeeb,不然后面就会输出假的flag。

  v3 = sub_400820((unsigned int)dword_6012B4, a2, a3);
  byte_6012A8[0] = HIBYTE(v3);
  byte_6012A9 = BYTE2(v3) & 0xFD;
  byte_6012AA = BYTE1(v3) & 0xDF;
  byte_6012AB = v3 & 0xBF;
  if ( getenv("ASIS") && (*(_DWORD *)getenv("CTF") ^ v3) == -18088213 )
    dword_6012AC = *(_DWORD *)getenv("ASIS");
  v4 = 0LL;
  do
  {
    haystack[v4] ^= byte_6012A8[v4 & 7];
    ++v4;
  }

现在就是要找v3的值来求环境变量的值。使用gdb在sub_400820()下断点,查看寄存器rax的值为0xb11924e1。所以异或得到环境变量的值 0xb11924e1^0xfeebfeeb=0x4ff2da0a。


image.png

现在设置CTF,ASIS的环境变量为0x4ff2da0a。注意这里要从低位到高位设置。

export ASIS="$(printf "\x0a\xda\xf2\x4f")"
export CTF="$(printf "\x0a\xda\xf2\x4f")"

在使用IDA远程调试,运行得到flag。我也不知道为什么直接运行得不到flag。这道题我最先是用IDA动态调试,强行跳转,输出的是接近正确flag的值,但是有乱码,想了想其中有个异或操作,因为没有环境变量寄存器的值空的,我把它nop掉了,导致后面对haystack异或操作出现了部分乱码。这也是这道题出的比较巧妙的地方吧。


image.png
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,904评论 6 497
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,581评论 3 389
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,527评论 0 350
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,463评论 1 288
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,546评论 6 386
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,572评论 1 293
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,582评论 3 414
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,330评论 0 270
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,776评论 1 307
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,087评论 2 330
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,257评论 1 344
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,923评论 5 338
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,571评论 3 322
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,192评论 0 21
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,436评论 1 268
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,145评论 2 366
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,127评论 2 352

推荐阅读更多精彩内容