2. 程式人生 > >CTF 【每日一題20160626】簡單的PE檔案逆向

CTF 【每日一題20160626】簡單的PE檔案逆向

阿新 發佈:2019-01-02

剛接觸,不明白PE為何物或逆向分析不甚明瞭的同學,請參考下列文章:

本題解析:

1.言歸正傳,我下載的pecrackme1.exe,在windows xp下執行沒有結果,所以無法像文章:http://blog.csdn.net/calmegm/article/details/49009867 中通過現象有一個初步判斷;但通常,對於一般exe檔案的逆向分析都是用IDA pro開啟,本題也不例外,開啟看看。然後按F5呼叫C語言轉換外掛(將彙編程式轉換為偽C語言)。

這裡寫圖片描述

2.通過依次點選左側function 那麼列中的sub_**, 觀察左側偽C編碼,可以發現一個function name為sub_4113A0函式,裡面內容豐富,前面是一堆變數定義(可先忽略),後面有判斷邏輯(這是重點)。

##Pseudocode-A檢視模式下
int sub_4113A0()
{
  int v1; // [sp+Ch] [bp-194h]@1
  int i; // [sp+D4h] [bp-CCh]@8
  int v3; // [sp+E0h] [bp-C0h]@8
  int v4; // [sp+ECh] [bp-B4h]@1
  int v5; // [sp+F0h] [bp-B0h]@1
  int v6; // [sp+F4h] [bp-ACh]@1
  int v7; // [sp+F8h] [bp-A8h]@1
  int v8; // [sp+FCh] [bp-A4h]@1
  int v9; // [sp+100h] [bp-A0h]@1
 

  int v10; // [sp+104h] [bp-9Ch]@1
  int v11; // [sp+108h] [bp-98h]@1
  int v12; // [sp+10Ch] [bp-94h]@1
  int v13; // [sp+110h] [bp-90h]@1
  int v14; // [sp+114h] [bp-8Ch]@1
  int v15; // [sp+118h] [bp-88h]@1
  int v16; // [sp+11Ch] [bp-84h]@1
  int v17; // [sp+120h] [bp-80h]@1
  int v18; // [sp+124h] [bp-7Ch]@1
  int v19; // [sp+128h] [bp-78h]@1
 

  int v20; // [sp+12Ch] [bp-74h]@1
  int v21; // [sp+130h] [bp-70h]@1
  int v22; // [sp+134h] [bp-6Ch]@1
  int v23; // [sp+138h] [bp-68h]@1
  int v24; // [sp+13Ch] [bp-64h]@1
  int v25; // [sp+140h] [bp-60h]@1
  char v26; // [sp+14Fh] [bp-51h]@1
  char v27[17]; // [sp+178h] [bp-28h]@2
  char v28; // [sp+189h] [bp-17h]@13
  char v29; // [sp+18Ah] [bp-16h]@14
  char v30; // [sp+18Bh] [bp-15h]@15
  char v31; // [sp+18Ch] [bp-14h]@16
  char v32; // [sp+18Dh] [bp-13h]@17
  unsigned int v33; // [sp+19Ch] [bp-4h]@1
  int savedregs; // [sp+1A0h] [bp+0h]@1

  memset(&v1, 0xCCu, 0x194u);
  v33 = (unsigned int)&savedregs ^ dword_417000;
  v26 = 0;
  v4 = 1;
  v5 = 4;
  v6 = 14;
  v7 = 10;
  v8 = 5;
  v9 = 36;
  v10 = 23;
  v11 = 42;
  v12 = 13;
  v13 = 19;
  v14 = 28;
  v15 = 13;
  v16 = 27;
  v17 = 39;
  v18 = 48;
  v19 = 41;
  v20 = 42;
  v21 = 26;
  v22 = 20;
  v23 = 59;
  v24 = 4;
  v25 = 0;
  printf("plz enter the flag:");
  sub_411136();
  while ( 1 )
  {
    getch();
    v1 = sub_411136();
    v27[v26] = v1;
    if ( !(_BYTE)v1 || v27[v26] == 13 )
      break;
    if ( v27[v26] == 8 )
    {
      printf("\b\b");
      sub_411136();
      --v26;
    }
    else
    {
      printf("%c", v27[v26]);
      sub_411136();
      ++v26;
    }
  }
  v3 = 0;
  for ( i = 0; i < 17; ++i )
  {
    if ( v27[i] != byte_415768[*(&v4 + i)] )
      v3 = 1;
  }
  if ( v28 != 49 || v29 != 48 || v30 != 50 || v31 != 52 || v32 != 125 )
    v3 = 1;
  v27[v26] = 0;
  printf("\r\n");
  sub_411136();
  if ( v3 )
  {
    printf("u r wrong\r\n\r\n");
    sub_411136();
    sub_41113B();
  }
  else
  {
    printf("u r right!\r\n");
    sub_411136();
  }
  system("pause");
  sub_411136();
  sub_411082(&savedregs, &dword_411678);
  sub_411014(v1);
  return sub_411136();
}

3.可以發現下面語句,應該是要求輸入金鑰字元,然後匹配判斷。其中關鍵是if(v3)。v3==1時,就會報錯。那麼v3什麼時候等於1?看之前v3的賦值部分。
4.v3賦值有兩部分,第一部分是:

for ( i = 0; i < 17; ++i )
  {
    if ( v27[i] != byte_415768[*(&v4 + i)] )
      v3 = 1;
  }

這個迴圈判斷了長度為17的陣列v27中的每個字元是否與陣列byte_415768[]中的對應字元是否相等。在IDA PRO中雙擊byte_415768[],會跳到其定義處,看到如下彙編語句:

##IDA VIEW-A (組合語言)檢視模式下
......
.rdata:00415768 ; char byte_415768[]
.rdata:00415768 byte_415768     db 73h  ; DATA XREF: sub_4113A0+1E3r
.rdata:00415769 aWfxcGdvFwfctsl db 'wfxc{gdv}fwfctslydRddoepsckaNDMSRITPNsmr1_=2cdsef66246087138',0
.rdata:004157A6                 db    0
.rdata:004157A7                 db    0
.rdata:004157A8                 db    0
.rdata:004157A9                 db    0
.rdata:004157AA                 db    0
.rdata:004157AB                 db    0
.rdata:004157AC                 db    0
.rdata:004157AD                 db    0
.rdata:004157AE                 db    0
.rdata:004157AF                 db    0
.rdata:004157B0                 db    0
.rdata:004157B1                 db    0
.rdata:004157B2                 db    0
.rdata:004157B3                 db    0
......

這不是純組合語言,IDApro還是做了轉換的,我們看到char byte_415768[]定義了字元陣列,並byte_415768第一個位元組即byte_415768[0] = 0x73h(十進位制數115)。分號後的註釋DATA XREF: sub_4113A0+1E3r,表示外部程式碼sub_4113A0中地址偏移為1E3r的地方引用了該變數。地址為00415769的彙編語句 aWfxcGdvFwfctsl db wfxc{gdv}fwfctslydRddoepsckaNDMSRITPNsmr1_=2cdsef66246087138’,0定義了一個變數名為aWfxcGdvFwfctsl 的陣列,內容為:
‘wfxc{gdv}fwfctslydRddoepsckaNDMSRITPNsmr1_=2cdsef66246087138’,0,最後跟的是個0,一般用於表示字串結束(與c程式碼中一致)。
語句byte_415768[(&v4 + i)]中&v4表示取變數v4的地址,然後假設遊標量i,再用運算子找對應地址的值,i從0變到17,那麼byte_41576[]中的序號依次為v4,v5,v6,….v21,共計17個變數的值,即v4 = 1,v5 = 4,v6 = 14,v7 = 10,v8 = 5,v9 = 36,v10 = 23,v11 = 42, v12 = 13,v13 = 19,v14 = 28,v15 = 13,v16 = 27,v17 = 39,v18 = 48,v19 = 41,v20 = 42,v21 = 26。
而byte_415768[1]=’w’,byte_415768[4]=’c’,byte_415768[14]=’t’,byte_415768[10]=’f’,byte_415768[5]=’{‘,…….
最終可以得到’wctf{Pe_cRackme1_’共17個字元。這就是答案的上半部分。

5.下半部分由v3的第二部分賦值程式碼來獲得(如下所示)。這裡面有多個變數的或非判斷,即v28,v29,v30,v31,v32不等於49,48,50,52,125時,v3就為1。從終端錄入的一般是用ascii碼存放,所以查49,48,50,52,125對應的ASCII碼為’1’,’0’,’2’,’4’,’}’,顯然是字串“1024}”,聯想這套題的答案都是‘wctf{*}’,所以我們應該是拿到了後半段。

if ( v28 != 49 || v29 != 48 || v30 != 50 || v31 != 52 || v32 != 125 )
    v3 = 1;
......
  if ( v3 )
  {
    printf("u r wrong\r\n\r\n");
    sub_411136();
    sub_41113B();
  }
 ......

6.綜合兩部分,本題答案為“wctf{Pe_cRackme1_1024}”。題目不難,但對於初學者還是考驗耐心的。

相關推薦

CTF 每日20160626簡單PE檔案逆向

剛接觸,不明白PE為何物或逆向分析不甚明瞭的同學,請參考下列文章: 本題解析: 1.言歸正傳,我下載的pecrackme1.exe,在windows xp下執行沒有結果,所以無法像文章:http://blog.csdn.net/calmegm/a

CTF 每日20160627簡單的ELF逆向

下載後是一個名為ElfCrackMe1的檔案。 初級指南: 本題分析: 上次是windows下的PE格式可執行檔案,這次是LINUX下的EFL格式可執行檔案。分析和除錯用IDA PRO,看了《the IDA pro book》你就全明白了。

CTF 每日20160618簡單xss示例

繼續黑客遊戲 第五關 複雜的文字遊戲 點一下have a try 下面一行後那個回車 並有彈出訊息框 分析: 這是要考XSS,右側還提示“會用錯誤控制檯麼?”,這個是提示用chr

CTF 每日20160630PYTHON 位元組碼

python逆向基礎資源: 本題分析: 1.話說用python中的dis模組可以自己編個反編譯程式,但是我目前不會,就不羅嗦了。下載uncompyle2後,可以在終端進入uncompyle2目錄下,找到setup.py,就可執行下列命令執行安

CTF 每日20160607

啥? 2014-12-03 19:51:14 作者:admin 1765 86     誰能告訴我這是啥?答案又是啥。。 答案形式:wctf{你的字串} 答案:wctf{mianw

CTF 每日20160616windows、linux hash破解

這道題先考查一下系統常識:密碼存放的路徑(百度一下,你就知道),還提供了一個小工具。 一般情況下,windows密碼存放位置在: c:\windows\system32\config\SAM 下的SAM檔案中。sam是security account ma

CTF每日20160623dotNet逆向分析

.NET逆向第一題 嗯,看名字就應該明白了,快去下載吧! 下載後是一個DotNetCrackMe1.exe檔案。 分析 逆向分析的基礎問題,可以參考以下資源列表 豆瓣逆向分析基礎總結

CTF每日20160609

1.  摩斯密碼 嘀嗒嘀嗒嘀嗒嘀嗒時針它不停在轉動 --  ---  .-.  ...  .  嘀嗒嘀嗒嘀嗒嘀嗒小雨它拍打著水花 -.-.  ---  -..  .   PS:答案格式wctf{你所知道的} --------------------------------

CTF每日20160608

簡單程式設計-字元統計 你會看到題目,要快速提交答案哦,重新整理後內容會變,所以編個程式讀網頁,再計算。 -------------------------------------------------------------------------------

CTF每日20160618挖掘規則裡面的漏洞

繼續黑客遊戲第四關,逆向解密 下載後開啟看到一個“空白”的pdf文件。由於對pdf加解密相當無知,所以百度一下,有人這樣回答: “有幾種可能性: 一、文件本來就是空白。 很多垃圾網站或軟體,通過

CTF每日20160614

—————問題與答案的分界線—————— 分析: 題目上沒有什麼價值資訊,果斷看網頁原始碼。發現中間有一段指令碼: ...... <input type="password"

CTF每日20160610

圖片中的英語 一恆河沙中有三千世界,一張圖裡也可以有很多東西。 不多說了,答案是這個圖片包含的那句英文的所有單詞的首字母。 首字母中的首字母要大寫,答案格式是wctf{一坨首字母} 加油吧少年!看好你哦~ --------------------------------

CTF每日20160615

分析 1. 看頁面中右側有“提示在這裡”似乎可以點選,但沒有響應 2. 檢視網頁原始碼(老套路),發現點選連結tip/nozend.php被註釋了 <div class="lv

CTF每日20160611

紅與黑 請給出你能從圖片中找到的flag 答案形式:wctf{你的答案} --------------------------------------------------------------------------------------------------

CTF 每日20160606

------OPEN Ur EYES------- -----fence=2------ t jfia e,wtn ,p tesgu  hqke{,  uooawmieene.nctswlkshib gnt tsf}au mi  c nhiusrzibcsrn -----fence=3------ tcfw

每日(33) 敵兵佈陣 HDU-1166(線段樹)

前言 這是趙神5個月前佈置的一道題目,VJ上顯示第一次提交記錄是2017-11-02 22:36:53 當時還年輕,以為這個題不難,直接就暴力求解,現在發現太年輕了,線段樹+string都TLE 五個月前,對線段樹最深的瞭解就是西工大

每日(34)Halloween Costumes LightOJ-1422

Gappu has a very busy weekend ahead of him. Because, next weekend is Halloween, and he is planning to attend as many parties a

每日+二維線段樹HDU - 4819 Mosaic

【每日一題+二維線段樹】HDU - 4819 Mosaic 【題意】 給出一個nn的矩陣,查詢以(x,y)為中心,長度為ll的矩陣中的最大值和最小值,將中心元素替換為floor( (max+min)/2 ) 【思路】 二維線段樹模板 # include<cstdio&g

每日獎金問題

一:問題描述 二:問題分析     涉及資料:利潤profit,獎金bonus     資料間的關係:當profit<=10w,bonus = pro

每日

題目:有1、2、3、4個數字,能組成多少個互不相同且無重複數字的三位數?都是多少? 程式碼: num = 0 for i in range(1,5): for a in range(1,5): for b in range(1,5):