码迷,mamicode.com
首页 > 其他好文 > 详细

简单的Elf逆向Writeup

时间:2017-02-04 18:10:25      阅读:291      评论:0      收藏:0      [点我收藏+]

标签:back   etc   imp   print   cal   max   实验室   rac   脚本   

ElfCrackMe1

简单的Elf逆向Writeup

题目来源:IDF实验室 CTF训练营;题目链接http://ctf.idf.cn/index.php?g=game&m=article&a=index&id=39
题目下载:http://pan.baidu.com/s/1kTl5wxD

解法1:

IDA查看伪代码法:

  1. 下载文件,现在Linux环境下运行,可以看到关键字符串u r wrongplz enter the flag:
    技术分享
  2. 把文件拖到IDA中,shift+F12查找字符串,双击u r right跳转到相应位置技术分享
  3. 如下图,双击调用关键字符串u r right的函数,技术分享
    跳转后F5查看伪代码如下
    技术分享
     1 int __cdecl main(int argc, const char **argv, const char **envp)
     2 {
     3   int v3; // ebx@6
     4   const char **v4; // rdx@22
     5   __int64 v6; // [sp+0h] [bp-C0h]@1
     6   __int64 v7; // [sp+8h] [bp-B8h]@1
     7   __int64 v8; // [sp+10h] [bp-B0h]@1
     8   __int64 v9; // [sp+18h] [bp-A8h]@1
     9   __int64 v10; // [sp+20h] [bp-A0h]@1
    10   __int64 v11; // [sp+28h] [bp-98h]@1
    11   __int64 v12; // [sp+30h] [bp-90h]@1
    12   __int64 v13; // [sp+38h] [bp-88h]@1
    13   int v14; // [sp+40h] [bp-80h]@1
    14   char v15[17]; // [sp+80h] [bp-40h]@2
    15   char v16; // [sp+91h] [bp-2Fh]@14
    16   char v17; // [sp+92h] [bp-2Eh]@15
    17   char v18; // [sp+93h] [bp-2Dh]@16
    18   char v19; // [sp+94h] [bp-2Ch]@17
    19   char v20; // [sp+95h] [bp-2Bh]@18
    20   int v21; // [sp+A4h] [bp-1Ch]@1
    21   int v22; // [sp+A8h] [bp-18h]@7
    22   int i; // [sp+ACh] [bp-14h]@9
    23 
    24   v21 = 0;
    25   memset(&v6, 0, 0x58uLL);
    26   v6 = 854698492143LL;
    27   v7 = 880468295913LL;
    28   v8 = 597000454391LL;
    29   v9 = 605590388953LL;
    30   v10 = 932007903423LL;
    31   v11 = 760209211613LL;
    32   v12 = 579820585151LL;
    33   v13 = 940597838039LL;
    34   v14 = 191;
    35   printf(
    36     "plz enter the flag:",
    37     argv,
    38     11LL,
    39     854698492143LL,
    40     880468295913LL,
    41     597000454391LL,
    42     605590388953LL,
    43     932007903423LL,
    44     760209211613LL,
    45     579820585151LL,
    46     940597838039LL,
    47     *(_QWORD *)&v14);
    48   while ( 1 )
    49   {
    50     v3 = v21;
    51     v15[v3] = getch();
    52     if ( !v15[v3] || v15[v21] == 10 )
    53       break;
    54     if ( v15[v21] == 8 )
    55     {
    56       printf("\b\b", v6, v7, v8, v9, v10, v11, v12, v13, *(_QWORD *)&v14);
    57       --v21;
    58     }
    59     else
    60     {
    61       putchar(v15[v21++]);
    62     }
    63   }
    64   v22 = 0;
    65   if ( v21 != 22 )
    66     v22 = 1;
    67   for ( i = 0; i <= 16; ++i )
    68   {
    69     if ( v15[i] != (*((_DWORD *)&v6 + i) - 1) / 2 )
    70     {
    71       v22 = 1;
    72       argv = (const char **)((*((_DWORD *)&v6 + i) - 1) / 2);
    73       printf("%d", argv, v6, v7, v8, v9, v10, v11, v12, v13, *(_QWORD *)&v14);
    74     }
    75   }
    76   if ( v16 != 48 || v17 != 56 || v18 != 50 || v19 != 51 || v20 != 125 )
    77     v22 = 1;
    78   v15[v21] = 0;
    79   puts("\r");
    80   if ( v22 )
    81   {
    82     puts("u r wrong\r\n\r");
    83     main((unsigned __int64)"u r wrong\r\n\r", argv, v4);
    84   }
    85   else
    86   {
    87     puts("u r right!\r");
    88   }
    89   return 0;
    90 }
    View Code

     

分析这段伪代码,可以得到关键部分如下:

技术分享

  • v22需为0,按‘/‘随手注释
    技术分享
  • 如上图中所示,要使v22==0,所有v22=1的语句均不能运行,则需要:v21==22,69行判断均不进入,既要 v15[i] != (*((_DWORD *)&v6 + i) - 1) / 2,同时,v16~v20依次等于48,56,50,51,125,即字符0823}(在相应数字上按r键把相应的ASCII码转换为字符)
    同样按‘/‘键随手注释
    技术分享
  • 找到定义v15的代码处,则根据上述的关键条件,初步猜测需要输入22位字符,其中前17位存入字符串v15中,后5位覆盖v16~v20的取值,使v16~v20分别等于0823}
    技术分享
  • 继续向下分析,找到输入的代码块,经过分析可得到关键信息如上图,其中v21即为输入的长度,通过关键条件v21==22验证了猜测输入字符串长度为22,同时需要保证输入的后五位为0823}
    技术分享
  • 向下分析v15需要满足的条件,着重分析v15[i] != (*((_DWORD *)&v6 + i) - 1) / 2

    &v6为取v6的地址;(_DWORD *)&v6强制转化为_DWORD型指针,即两个字节;((_DWORD *)&v6 + i)为从&v6向后取sizeof(_DWORD)*i个字节;*((_DWORD *)&v6 + i) - 1)为取从&v6向后取4i个字节的值
    关于地址与指针加减问题http://www.cnblogs.com/WangAoBo/p/6365114.html

    技术分享

  • 如上,分析v6的赋值段代码,v6~v13为_int64型,占8个字节,int型为4个字节,化为16进制如上图
    技术分享
  • v6~v14通过小端存储方式在内存中的存储情况如上

则可写出python脚本解得flag: wctf{ElF_lnX_Ckm_0823}

技术分享
python脚本如下:

 1 v6=[0x0EF, 0x0C7, 0x0E9, 0x0CD, 0x0F7, 0x8B, 0x0D9,
 2     0x8D, 0x0BF, 0x0D9, 0x0DD, 0x0B1, 0x0BF, 0x87,
 3     0x0D7, 0x0DB, 0x0BF]
 4 
 5 L=[]
 6 for i in range(17):
 7     num = (v6[i] - 1)/2
 8     ans = chr(int(num))
 9     L.append(ans)
10 
11 
12 flag = ‘‘.join(L)
13 flag+=0823}
14 
15 print(flag)

 


解法2:

通过汇编代码分析,整理中:
2017-2-4 14:37;41

 

 

 

 

 

 

简单的Elf逆向Writeup

标签:back   etc   imp   print   cal   max   实验室   rac   脚本   

原文地址:http://www.cnblogs.com/WangAoBo/p/6365987.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!