OtterCTF - Reverse - Msg Me This
原文地址:Msg Me This
题目
Category: Reverse Engineering Points: 500 Solves: 15 Description:
Rick created another vicious program
Could you get the correct flag?
为了方便下载,我把exe文件后缀改成了jpg,下载下来改回去即可。
二进制文件:
解题过程
这个文件是在debug模式下编译的window 32位C++程序,把它拖进IDA Pro里
在main
函数里,通过使用我在这里IDA Pro - 如何得到比较清楚的逆向伪代码提到的一些技巧,得到以下代码
int __cdecl main(int argc, const char **argv, const char **envp)
{
int v3; // edx
int v4; // ecx
int v5; // edx
int v6; // ecx
int v7; // edx
int v8; // ST0C_4
LPVOID v10; // [esp+D0h] [ebp-148h]
char v11; // [esp+DCh] [ebp-13Ch]
char v12; // [esp+DDh] [ebp-13Bh]
char v13; // [esp+DEh] [ebp-13Ah]
char v14; // [esp+DFh] [ebp-139h]
int j; // [esp+E8h] [ebp-130h]
unsigned __int8 *i; // [esp+F4h] [ebp-124h]
void (*v17)(); // [esp+100h] [ebp-118h]
int v18; // [esp+10Ch] [ebp-10Ch]
LPVOID lpAddress; // [esp+118h] [ebp-100h]
DWORD flOldProtect; // [esp+124h] [ebp-F4h]
char shellcode[223]; // [esp+130h] [ebp-E8h]
int v22; // [esp+214h] [ebp-4h]
int savedregs; // [esp+218h] [ebp+0h]
qmemcpy(shellcode, f_shellcode, sizeof(shellcode));
flOldProtect = 0;
v18 = 222;
v17 = (sub_42AB72 + 1);
for ( i = sub_42AB72 + *(sub_42AB72 + 1); *i == 0xCC; ++i )
;
i += 30;
for ( j = 0; i[j] != 0x90; ++j )
;
lpAddress = sub_42C413(shellcode, v18);
sub_42B112(lpAddress, (j + v18) | -__CFADD__(j, v18));
VirtualProtect(lpAddress, j + v18, 0x40u, &flOldProtect);
sub_42B33D(v4, v3);
sub_42ACEE(lpAddress + j, lpAddress, v18);
v11 = v18;
v12 = 0;
v13 = 0;
v14 = 0;
sub_42ACEE(lpAddress, i, j);
sub_42ACEE(lpAddress + 20, &v11, 4);
v10 = lpAddress;
(lpAddress)();
sub_42B33D(v6, v5);
sub_42C2BF(&savedregs, &dword_43024C, 0, v7);
return sub_42B33D(&savedregs ^ v22, v8);
}
当然我们可以分析并理解这段代码是在干什么,但我们有更简单的方法。
注意这行代码
qmemcpy(shellcode, f_shellcode, sizeof(shellcode));
我们可以先分析f_shellcode
int f_shellcode()
{
int v0; // ebx
_DWORD *v1; // edx
int *v2; // esi
int v3; // ecx
int v4; // eax
_DWORD *v5; // eax
int (__stdcall *v6)(int, int *, signed int, signed int, signed int, _DWORD, _DWORD, int, int (__cdecl *)(_DWORD, _DWORD, _DWORD, _DWORD)); // edx
int (__cdecl *v7)(int, _DWORD *, signed int, signed int); // eax
int v8; // ecx
int v9; // eax
int v10; // eax
int v12; // [esp-Ch] [ebp-20h]
int v13; // [esp-4h] [ebp-18h]
int v14; // [esp+0h] [ebp-14h]
int v15; // [esp+4h] [ebp-10h]
int v16; // [esp+8h] [ebp-Ch]
int v17; // [esp+Ch] [ebp-8h]
int v18; // [esp+10h] [ebp-4h]
int (__cdecl *savedregs)(int, _DWORD *, signed int, signed int); // [esp+14h] [ebp+0h]
v0 = *(***(*(__readfsdword(0x30u) + 12) + 20) + 16);
v1 = (v0 + *(v0 + *(v0 + 60) + 120));
v2 = (v0 + v1[8]);
v3 = 0;
do
{
do
{
++v3;
v4 = *v2;
++v2;
v5 = (v0 + v4);
}
while ( *v5 != 0x50746547 );
}
while ( v5[1] != 0x41636F72 || v5[2] != 0x65726464 );
LOWORD(v3) = *(v0 + v1[9] + 2 * v3);
v6 = (v0 + *(v0 + v1[7] + 4 * (v3 - 1)));
v7 = v6(v0, &v13, 0x64616F4C, 0x7262694C, 0x41797261, 0, v6, v0, savedregs);
v8 = savedregs;
savedregs = v7;
v18 = v8;
LOWORD(v8) = 0x6C6C;
v9 = v7(&v15, 0x72657375, 0x642E3233, v8);
v17 = 0;
v16 = 0x41786F;
v10 = savedregs(v9, &v14, 0x7373654D, 0x42656761);
v15 = 0;
return (v10)(0, &v12, &v12, 0, v10 ^ 0x67616C66, v10 ^ 0x6568537B, v10 ^ 0x6F436C6C, v10 ^ 0x7D646564);
}
注意这行
return (v10)(0, &v12, &v12, 0, v10 ^ 0x67616C66, v10 ^ 0x6568537B, v10 ^ 0x6F436C6C, v10 ^ 0x7D646564);
如果我们吧这些十六进制数转换成ASCII就会发现
return (v10)(0, &v12, &v12, 0, v10 ^ 'galf', v10 ^ 'ehS{', v10 ^ 'oCll', v10 ^ '}ded');
galf
是flag
颠倒过来
flag
{She
llCo
ded}
所以flag就是flag{ShellCoded}
OtterCTF - Reverse - Msg Me This的更多相关文章
- noip2016十连测题解
以下代码为了阅读方便,省去以下头文件: #include <iostream> #include <stdio.h> #include <math.h> #incl ...
- EntityFramework Reverse POCO Code First 生成器
功能强大的(免费)实体框架工具 Julie Lerman 实体框架是开源的,因此开发社区可以在 entityframework.codeplex.com 上共享代码. 但是不要将自己局限在那里寻找工具 ...
- SystemCheckError: System check identified some issues: ERRORS: users.Test.groups: (fields.E304) Reverse accessor for 'Test.groups' clashes with reverse accessor for 'User.groups'.
Error Msg: SystemCheckError: System check identified some issues: ERRORS: users.Test.groups: (fields ...
- LeetCode 7. Reverse Integer
Reverse digits of an integer. Example1: x = 123, return 321 Example2: x = -123, return -321 Have you ...
- js sort() reverse()
数组中存在的两个方法:sort()和reverse() 直接用sort(),如下: ,,,,,,,,,,,]; console.log(array.sort());ps:[0, 1, 2, 2, 29 ...
- [LeetCode] Reverse Vowels of a String 翻转字符串中的元音字母
Write a function that takes a string as input and reverse only the vowels of a string. Example 1:Giv ...
- [LeetCode] Reverse String 翻转字符串
Write a function that takes a string as input and returns the string reversed. Example: Given s = &q ...
- [LeetCode] Reverse Linked List 倒置链表
Reverse a singly linked list. click to show more hints. Hint: A linked list can be reversed either i ...
- [LeetCode] Reverse Bits 翻转位
Reverse bits of a given 32 bits unsigned integer. For example, given input 43261596 (represented in ...
随机推荐
- mac上如何搜索文件?
在Mac上如果你用会了搜索功能那绝对是个事半功倍的技巧.因为Mac本身有强大的文件索引能力, 可以帮你快速的找到你需要的文件.就好比我要找到上周修改过的word文档应该怎么办? * 使用语音命令让Si ...
- js arguments参数
在调用函数时,浏览器每次都会传递进两个隐含的参数: 1.函数的上下文对象 this 2.封装实参的对象 arguments - arguments是一个类数组对象, ...
- Selenium-Switch与SelectApi介绍
Switch 我们在UI自动化测试时,总会出现新建一个tab页面,弹出一个浏览器级别的弹框或者是出现一个iframe标签,这时我们用WebDriver提供的Api接口就无法处理这些情况了.需要用到Se ...
- Linux内核设计与实现 总结笔记(第五章)系统调用
系统调用 内核提供了用户进程和内核交互的接口,使得应用程序可以受限制的访问硬件设备. 提供这些接口主要是为了保证系统稳定可靠,避免应用程序恣意妄行. 一.内核通信 系统调用在用户空间进程和硬件设备之间 ...
- 【CDN+】 Spark 的入门学习与运行流程
前言 上文已经介绍了与Spark 息息相关的MapReduce计算模型,那么相对的Spark的优势在哪,有哪些适合大数据的生态呢? Spark对比MapReduce,Hive引擎,Storm流式计算引 ...
- 【大前端攻城狮之路·二】Javascript&QA⼯程师
今天给大家分享的主题的是Javascript&QA⼯程师.看到这个主题,可能有人问:前端开发完就OK了,剩下的丢给测试就行,哪里还需要关心这些?但事实上呢,测试是前端开发非常重要的环节,也是迈 ...
- Web安全测试——常见的威胁攻防
SQL注入 部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患.用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL In ...
- Vagrant 入门 - 项目设置
原文地址 配置 Vagrant 项目的第一步是创建 Vagrantfile 文件.Vagrantfile 文件的目的有两个: 设置项目的根目录.Vagrant 中的许多配置选项是相对于这个根目录的. ...
- Unity3D热更新方案网摘总结
参考:http://blog.csdn.net/guofeng526/article/details/52662994 http://blog.csdn.net/u010019717/article/ ...
- SQL Server 分页语句查询
--查询第10页的数据(15条) SELECT TEMP1.* FROM( SELECT TOP 15 ROW_NUMBER() OVER(ORDER BY ID ASC) AS ROWID,* FR ...