攻防世界 reverse evil
这是2017 ddctf的一道逆向题,
挑战:《恶意软件分析》
赛题背景: 员工小A收到了一封邮件,带一个文档附件,小A随手打开了附件。随后IT部门发现小A的电脑发出了异常网络访问请求,进一步调查发现小A当时所打开的附件其实是一个伪装成word文档的恶意可执行文件。
赛题描述: 请在试着分析evil.exe和其所下载的x.jpg, 从中找出key.
评分标准: 密钥正确则可进入下一题。
攻防世界只给了exe文件,没有给x.jpg文件,(每个人的x.jpg文件是不同的,解得的flag也是不一样的。)
查壳: UPX(3.91)[NRV,best]
脱壳:
工具脱壳失败,手动脱壳。
两次esp脱壳法,dump。
(第一次脱没脱干净,但发现可以静态分析,0.0)
具体分析可参考:
【CTF习题】恶意软件分析
https://www.52pojie.cn/thread-679122-1-1.html
(出处: 吾爱破解论坛)
1 int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd)
2 {
3 char *new_data; // ST10_4
4 int key[67]; // [esp+4h] [ebp-118h]
5 size_t dwSize; // [esp+114h] [ebp-8h]
6 void *jpg_data; // [esp+118h] [ebp-4h]
7
8 if ( sub_401370(hInstance) == 6 )
9 return 0;
10 sub_401620();
11 jpg_data = download_xjpg_4018F0(&dwSize);
12 if ( jpg_data )
13 {
14 if ( dwSize )
15 {
16 new_data = malloc(dwSize);
17 init_key_401740(key, 0x4A8754F5745174ui64);
18 decrypt_401800(key, jpg_data, new_data, dwSize);
19 exec_shellcode_401220(new_data, dwSize);
20 }
21 free(jpg_data);
22 }
23 return 0;
24 }
在decrypt_401800函数中,我把参数一定义成了个结构体,两个int型成员,一个byte[256]数组
00000000 key_struct struc ; (sizeof=0x108, mappedto_22)
00000000 x dd ?
00000004 y dd ?
00000008 key_data db 256 dup(?)
00000108 key_struct ends
这样再看清晰了一些
1 void __cdecl decrypt_401800(key_struct *key, char *jpg_data, char *new_data, unsigned int dwsize)
2 {
3 unsigned __int8 v4; // ST02_1
4 unsigned __int8 v5; // ST03_1
5 unsigned int i; // [esp+4h] [ebp-4h]
6
7 for ( i = 0; i < dwsize; ++i )
8 {
9 key->x = (key->x + 1) % 256;
10 key->y = (key->key_data[key->x] + key->y) % 256;
11 v4 = key->key_data[key->x];
12 v5 = key->key_data[key->y];
13 key->key_data[key->x] = v5;
14 key->key_data[key->y] = v4;
15 new_data[i] = key->key_data[(v5 + v4) % 256] ^ jpg_data[i];
16 }
17 }
wp:
1 key=[]
2 a=0x4A8754F5745174
3 temp=[0 for i in range(8)]
4 for i in range(8):
5 temp[i]=a
6 a=a>>8
7 for i in range(256):
8 key.append((i+temp[i%8])&0xff)
9
10
11 f=open('x.jpg','rb')
12 jpg_data=f.read()
13 new_data=[]
14 f.close()
15 x=0
16 y=0
17 for i in range(len(jpg_data)):
18 x=(x+1)%256
19 y=(key[x]+y)%256
20 key[x],key[y]=key[y],key[x]
21 new_data.append(((key[(key[x]+key[y])%256]^jpg_data[i])^i)&0xff)
22 # print(new_data)
23 mf=open('mydecrypt','wb')
24 mf.write(bytes(new_data))
25 mf.close()
26
27 new_data=bytes(new_data)
28 flag = []
29 i = 0
30 while(i<len(new_data)):
31 if(new_data[i]==0x68):#这里是解析push指令,保存压栈数据
32 flag.append(new_data[i+1:i+5])
33 i += 3
34 i += 1
35
36 for i in flag[::-1]: #输出压栈数据
37 print(str(i)[2:-1], end='')
38 print()
输出:
Key: DDCTF-cc49badacb1c4d69bd4ae7173d9e9ade@didichuxing.comXCongratsX user32.dll A\x8eN\x0e\xec
这题做的话最简单的方法就是搭本地服务,然后动态调试,省时省力。
整体上程序流程清晰,算法还原也不复杂。
脱壳请参考:https://www.cnblogs.com/dliv3/p/6909066.html
攻防世界 key来源:https://blog.csdn.net/qq_38025365/article/details/89389311
DDCTF-01c981e4d5ea4da6b38b2990abbaf411@didichuxing.com
(滴滴的题还是蛮有趣的)
攻防世界 reverse evil的更多相关文章
- 攻防世界 reverse 进阶 10 Reverse Box
攻防世界中此题信息未给全,题目来源为[TWCTF-2016:Reverse] Reverse Box 网上有很多wp是使用gdb脚本,这里找到一个本地还原关键算法,然后再爆破的 https://www ...
- 攻防世界 reverse tt3441810
tt3441810 tinyctf-2014 附件给了一堆数据,将十六进制数据部分提取出来, flag应该隐藏在里面,(这算啥子re,) 保留可显示字符,然后去除填充字符(找规律 0.0) 处理脚本: ...
- 攻防世界 reverse 进阶 APK-逆向2
APK-逆向2 Hack-you-2014 (看名以为是安卓逆向呢0.0,搞错了吧) 程序是.net写的,直接祭出神器dnSpy 1 using System; 2 using System.Diag ...
- 攻防世界 reverse Windows_Reverse2
Windows_Reverse2 2019_DDCTF 查壳: 寻找oep-->dump-->iat修复 便可成功脱壳 int __cdecl main(int argc, con ...
- 攻防世界 reverse BabyXor
BabyXor 2019_UNCTF 查壳 脱壳 dump 脱壳后 IDA静态分析 int main_0() { void *v0; // eax int v1; // ST5C_4 char ...
- 攻防世界 reverse parallel-comparator-200
parallel-comparator-200 school-ctf-winter-2015 https://github.com/ctfs/write-ups-2015/tree/master/sc ...
- 攻防世界 reverse 进阶 8-The_Maya_Society Hack.lu-2017
8.The_Maya_Society Hack.lu-2017 在linux下将时间调整为2012-12-21,运行即可得到flag. 下面进行分析 1 signed __int64 __fastca ...
- 攻防世界 reverse easy_Maze
easy_Maze 从题目可得知是简单的迷宫问题 int __cdecl main(int argc, const char **argv, const char **envp) { __int64 ...
- 攻防世界 reverse seven
seven hctf2018 这是一个驱动文件 ida载入,查找字符串 根据字符串来到函数:sub_1400012F0 __int64 __fastcall sub_1400012F0(__int6 ...
随机推荐
- canvas画布基本知识点总结
HTML5的canvas元素使用JavaScript画图: <canvas width="600" height="400"> </canva ...
- Redis in Action : Redis 实战学习笔记
1 1 1 Redis in Action : Redis 实战学习笔记 1 http://redis.io/ https://github.com/antirez/redis https://ww ...
- Android vs iOS vs Web
Android vs iOS vs Web UI view Android ViewGroup ImageView TextView iOS UIView ImageView TextView Web ...
- Vue 组件之间通信 All in One
Vue 组件之间通信 All in One 组件间通信 1. 父子组件之间通信 https://stackblitz.com/edit/vue-parent-child-commutation?fil ...
- Redux Middleware All in One
Redux Middleware All in One https://redux.js.org/advanced/middleware https://redux.js.org/api/applym ...
- Typescript & React & Vue
Typescript & React & Vue Typescript & React https://facebook.github.io/create-react-app/ ...
- 小程序 web-view
小程序 web-view https://opendocs.alipay.com/mini/component/web-view https://opendocs.alipay.com/mini/ap ...
- VAST上线后,如何提升NGK算力生态的收益和流动性?
自比特币诞生以来,"挖矿"一词就成功地步入了大众的视野,也成为了加密货币领域最重要的组成部分之一.无论是早前基于比特币和以太坊为主的算力挖矿,还是逐步进入大众视野的质押挖矿,亦或是 ...
- SPC算力空投来袭!对话NGK!华盛顿金融特别报道
近日华盛顿金融时报联合波士顿商业报等多家知名金融媒体专访了NGK. NGK代表马特彼得森就表示NGK在新的一年里将会继续以生态建设者为中心,以打造高倍币孵化器为目标,不断推进NGK项目的落地,踏踏实实 ...
- std::unordered_map与std::map
前者查找更快.后者自动排序,并可指定排序方式. 资料参考: https://blog.csdn.net/photon222/article/details/102947597