原文地址:Msg Me This

题目

Category: Reverse Engineering Points: 500 Solves: 15 Description:

Rick created another vicious program

Could you get the correct flag?

为了方便下载,我把exe文件后缀改成了jpg,下载下来改回去即可。

二进制文件:

解题过程

这个文件是在debug模式下编译的window 32位C++程序,把它拖进IDA Pro里

main函数里,通过使用我在这里IDA Pro - 如何得到比较清楚的逆向伪代码提到的一些技巧,得到以下代码

int __cdecl main(int argc, const char **argv, const char **envp)
{
int v3; // edx
int v4; // ecx
int v5; // edx
int v6; // ecx
int v7; // edx
int v8; // ST0C_4
LPVOID v10; // [esp+D0h] [ebp-148h]
char v11; // [esp+DCh] [ebp-13Ch]
char v12; // [esp+DDh] [ebp-13Bh]
char v13; // [esp+DEh] [ebp-13Ah]
char v14; // [esp+DFh] [ebp-139h]
int j; // [esp+E8h] [ebp-130h]
unsigned __int8 *i; // [esp+F4h] [ebp-124h]
void (*v17)(); // [esp+100h] [ebp-118h]
int v18; // [esp+10Ch] [ebp-10Ch]
LPVOID lpAddress; // [esp+118h] [ebp-100h]
DWORD flOldProtect; // [esp+124h] [ebp-F4h]
char shellcode[223]; // [esp+130h] [ebp-E8h]
int v22; // [esp+214h] [ebp-4h]
int savedregs; // [esp+218h] [ebp+0h] qmemcpy(shellcode, f_shellcode, sizeof(shellcode));
flOldProtect = 0;
v18 = 222;
v17 = (sub_42AB72 + 1);
for ( i = sub_42AB72 + *(sub_42AB72 + 1); *i == 0xCC; ++i )
;
i += 30;
for ( j = 0; i[j] != 0x90; ++j )
;
lpAddress = sub_42C413(shellcode, v18);
sub_42B112(lpAddress, (j + v18) | -__CFADD__(j, v18));
VirtualProtect(lpAddress, j + v18, 0x40u, &flOldProtect);
sub_42B33D(v4, v3);
sub_42ACEE(lpAddress + j, lpAddress, v18);
v11 = v18;
v12 = 0;
v13 = 0;
v14 = 0;
sub_42ACEE(lpAddress, i, j);
sub_42ACEE(lpAddress + 20, &v11, 4);
v10 = lpAddress;
(lpAddress)();
sub_42B33D(v6, v5);
sub_42C2BF(&savedregs, &dword_43024C, 0, v7);
return sub_42B33D(&savedregs ^ v22, v8);
}

当然我们可以分析并理解这段代码是在干什么,但我们有更简单的方法。

注意这行代码

qmemcpy(shellcode, f_shellcode, sizeof(shellcode));

我们可以先分析f_shellcode

int f_shellcode()
{
int v0; // ebx
_DWORD *v1; // edx
int *v2; // esi
int v3; // ecx
int v4; // eax
_DWORD *v5; // eax
int (__stdcall *v6)(int, int *, signed int, signed int, signed int, _DWORD, _DWORD, int, int (__cdecl *)(_DWORD, _DWORD, _DWORD, _DWORD)); // edx
int (__cdecl *v7)(int, _DWORD *, signed int, signed int); // eax
int v8; // ecx
int v9; // eax
int v10; // eax
int v12; // [esp-Ch] [ebp-20h]
int v13; // [esp-4h] [ebp-18h]
int v14; // [esp+0h] [ebp-14h]
int v15; // [esp+4h] [ebp-10h]
int v16; // [esp+8h] [ebp-Ch]
int v17; // [esp+Ch] [ebp-8h]
int v18; // [esp+10h] [ebp-4h]
int (__cdecl *savedregs)(int, _DWORD *, signed int, signed int); // [esp+14h] [ebp+0h] v0 = *(***(*(__readfsdword(0x30u) + 12) + 20) + 16);
v1 = (v0 + *(v0 + *(v0 + 60) + 120));
v2 = (v0 + v1[8]);
v3 = 0;
do
{
do
{
++v3;
v4 = *v2;
++v2;
v5 = (v0 + v4);
}
while ( *v5 != 0x50746547 );
}
while ( v5[1] != 0x41636F72 || v5[2] != 0x65726464 );
LOWORD(v3) = *(v0 + v1[9] + 2 * v3);
v6 = (v0 + *(v0 + v1[7] + 4 * (v3 - 1)));
v7 = v6(v0, &v13, 0x64616F4C, 0x7262694C, 0x41797261, 0, v6, v0, savedregs);
v8 = savedregs;
savedregs = v7;
v18 = v8;
LOWORD(v8) = 0x6C6C;
v9 = v7(&v15, 0x72657375, 0x642E3233, v8);
v17 = 0;
v16 = 0x41786F;
v10 = savedregs(v9, &v14, 0x7373654D, 0x42656761);
v15 = 0;
return (v10)(0, &v12, &v12, 0, v10 ^ 0x67616C66, v10 ^ 0x6568537B, v10 ^ 0x6F436C6C, v10 ^ 0x7D646564);
}

注意这行

return (v10)(0, &v12, &v12, 0, v10 ^ 0x67616C66, v10 ^ 0x6568537B, v10 ^ 0x6F436C6C, v10 ^ 0x7D646564);

如果我们吧这些十六进制数转换成ASCII就会发现

return (v10)(0, &v12, &v12, 0, v10 ^ 'galf', v10 ^ 'ehS{', v10 ^ 'oCll', v10 ^ '}ded');

galfflag颠倒过来

flag
{She
llCo
ded}

所以flag就是flag{ShellCoded}

OtterCTF - Reverse - Msg Me This的更多相关文章

  1. noip2016十连测题解

    以下代码为了阅读方便,省去以下头文件: #include <iostream> #include <stdio.h> #include <math.h> #incl ...

  2. EntityFramework Reverse POCO Code First 生成器

    功能强大的(免费)实体框架工具 Julie Lerman 实体框架是开源的,因此开发社区可以在 entityframework.codeplex.com 上共享代码. 但是不要将自己局限在那里寻找工具 ...

  3. SystemCheckError: System check identified some issues: ERRORS: users.Test.groups: (fields.E304) Reverse accessor for 'Test.groups' clashes with reverse accessor for 'User.groups'.

    Error Msg: SystemCheckError: System check identified some issues: ERRORS: users.Test.groups: (fields ...

  4. LeetCode 7. Reverse Integer

    Reverse digits of an integer. Example1: x = 123, return 321 Example2: x = -123, return -321 Have you ...

  5. js sort() reverse()

    数组中存在的两个方法:sort()和reverse() 直接用sort(),如下: ,,,,,,,,,,,]; console.log(array.sort());ps:[0, 1, 2, 2, 29 ...

  6. [LeetCode] Reverse Vowels of a String 翻转字符串中的元音字母

    Write a function that takes a string as input and reverse only the vowels of a string. Example 1:Giv ...

  7. [LeetCode] Reverse String 翻转字符串

    Write a function that takes a string as input and returns the string reversed. Example: Given s = &q ...

  8. [LeetCode] Reverse Linked List 倒置链表

    Reverse a singly linked list. click to show more hints. Hint: A linked list can be reversed either i ...

  9. [LeetCode] Reverse Bits 翻转位

    Reverse bits of a given 32 bits unsigned integer. For example, given input 43261596 (represented in ...

随机推荐

  1. mac上如何搜索文件?

    在Mac上如果你用会了搜索功能那绝对是个事半功倍的技巧.因为Mac本身有强大的文件索引能力, 可以帮你快速的找到你需要的文件.就好比我要找到上周修改过的word文档应该怎么办? * 使用语音命令让Si ...

  2. js arguments参数

    在调用函数时,浏览器每次都会传递进两个隐含的参数:      1.函数的上下文对象 this      2.封装实参的对象 arguments         - arguments是一个类数组对象, ...

  3. Selenium-Switch与SelectApi介绍

    Switch 我们在UI自动化测试时,总会出现新建一个tab页面,弹出一个浏览器级别的弹框或者是出现一个iframe标签,这时我们用WebDriver提供的Api接口就无法处理这些情况了.需要用到Se ...

  4. Linux内核设计与实现 总结笔记(第五章)系统调用

    系统调用 内核提供了用户进程和内核交互的接口,使得应用程序可以受限制的访问硬件设备. 提供这些接口主要是为了保证系统稳定可靠,避免应用程序恣意妄行. 一.内核通信 系统调用在用户空间进程和硬件设备之间 ...

  5. 【CDN+】 Spark 的入门学习与运行流程

    前言 上文已经介绍了与Spark 息息相关的MapReduce计算模型,那么相对的Spark的优势在哪,有哪些适合大数据的生态呢? Spark对比MapReduce,Hive引擎,Storm流式计算引 ...

  6. 【大前端攻城狮之路·二】Javascript&QA⼯程师

    今天给大家分享的主题的是Javascript&QA⼯程师.看到这个主题,可能有人问:前端开发完就OK了,剩下的丢给测试就行,哪里还需要关心这些?但事实上呢,测试是前端开发非常重要的环节,也是迈 ...

  7. Web安全测试——常见的威胁攻防

    SQL注入 部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患.用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL In ...

  8. Vagrant 入门 - 项目设置

    原文地址 配置 Vagrant 项目的第一步是创建 Vagrantfile 文件.Vagrantfile 文件的目的有两个: 设置项目的根目录.Vagrant 中的许多配置选项是相对于这个根目录的. ...

  9. Unity3D热更新方案网摘总结

    参考:http://blog.csdn.net/guofeng526/article/details/52662994 http://blog.csdn.net/u010019717/article/ ...

  10. SQL Server 分页语句查询

    --查询第10页的数据(15条) SELECT TEMP1.* FROM( SELECT TOP 15 ROW_NUMBER() OVER(ORDER BY ID ASC) AS ROWID,* FR ...