當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

REVERSE-PRACTICE-JarvisOJ-2

發布時間：2023/12/10 编程问答 35 豆豆

生活随笔收集整理的這篇文章主要介紹了 REVERSE-PRACTICE-JarvisOJ-2 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

REVERSE-PRACTICE-JarvisOJ-2

- DD - Hello
- APK_500
- DebugMe
- FindPass

DD - Hello

macos文件，無殼，ida分析
start函數和sub_100000C90函數沒什么作用
主要的邏輯在sub_100000CE0函數，反調試檢測和byte_100001040數組的循環變換，最后打印flag

按sub_100000CE0函數的邏輯寫腳本，即可得到flag

byte_100001040=[0x41, 0x10, 0x11, 0x11, 0x1B, 0x0A, 0x64, 0x67, 0x6A, 0x68,0x62, 0x68, 0x6E, 0x67, 0x68, 0x6B, 0x62, 0x3D, 0x65, 0x6A,0x6A, 0x3D, 0x68, 0x04, 0x05, 0x08, 0x03, 0x02, 0x02, 0x55,0x08, 0x5D, 0x61, 0x55, 0x0A, 0x5F, 0x0D, 0x5D, 0x61, 0x32,0x17, 0x1D, 0x19, 0x1F, 0x18, 0x20, 0x04, 0x02, 0x12, 0x16,0x1E, 0x54, 0x20, 0x13, 0x14] start=(0x0000000100000CB0)&0xff sub_100000C90=(0x0000000100000C90)&0xff v2 = ((start - sub_100000C90) >> 2) ^ byte_100001040[0] v1=0 while v1<55:byte_100001040[v1]-=2byte_100001040[v1]^=v2v1+=1v2+=1 print(''.join(chr(byte_100001040[i]) for i in range(1,len(byte_100001040)))) #DDCTF-5943293119a845e9bbdbde5a369c1f50@didichuxing.com

APK_500

apk文件，jadx-gui打開
在com.ctf.test.android_ctf_500_test.MainActivity中看到，靜態加載了easy庫，輸入password后，調用easy庫中的helloworld函數，驗證輸入

ApkToolBox反編譯apk文件后，ida打開CTF_500\lib\armeabi-v7a\libeasy.so
沒有直接在左側函數窗找到helloworld函數，來到JNI_OnLoad函數
解出三段字符串，分別為函數名，函數的參數，以及函數所在的類

往下走，sub_1198函數為驗證輸入的password
對輸入的password有以下幾步變換：
輸入的字符轉成了十六進制數
input[i]^=i，輸入和其下標異或
input[i]+=1，i∈[0,3]，前4個字節加1
input的前7個字節按原來的順序放到最后7個位置上，其余的字節依次向前移動
變換位置后的input與byte_4004異或
input再轉成十六進制數，但是不會填充兩位，例如 “0x0c”->“0xc”，有一個0被忽略了
最后input和v50比較

bool __fastcall sub_1198(JNIEnv *a1) {const char *input; // r4__pid_t v2; // r0int v3; // r3int v4; // r3char *v5; // r2int *v6; // r3int v7; // r0int v8; // r1_BYTE *v9; // lr__pid_t v10; // r0int v11; // r9const char *input_; // r10size_t v13; // r0signed int input_len; // r9size_t v15; // r0const char *v16; // r12int v17; // r3int v18; // t1int v19; // ST0C_4const char *v20; // ST08_4char *v21; // r2signed int v22; // r3char v23; // r1int v24; // r0signed int v25; // r3const char *v26; // r2int v27; // r3char v28; // r0char *v29; // r2char v30; // r1int v31; // r2char *v32; // r3char v33; // t1signed int i; // r3const char *v35; // r6signed int v36; // r9int v37; // t1char *v38; // r6int *v39; // r3int v40; // r0int v41; // r1__pid_t v43; // [sp+0h] [bp-2F0h]int v44; // [sp+0h] [bp-2F0h]char v45; // [sp+18h] [bp-2D8h]char v46; // [sp+1Ah] [bp-2D6h]int v47; // [sp+1Ch] [bp-2D4h]__int16 v48; // [sp+20h] [bp-2D0h]char v49; // [sp+22h] [bp-2CEh]char v50; // [sp+24h] [bp-2CCh]char v51[128]; // [sp+44h] [bp-2ACh]char v52[512]; // [sp+C4h] [bp-22Ch]input = (const char *)((int (*)(void))(*a1)->GetStringUTFChars)();// 讀inputv2 = getppid();v3 = 0;v43 = v2;dov52[v3++] = 0;while ( v3 != 64 );v4 = 0;dov51[v4++] = 0;while ( v4 != 32 );v5 = &v50;v6 = &dword_2C6F;do{v7 = *v6;v6 += 2;v8 = *(v6 - 1);*(_DWORD *)v5 = v7;*((_DWORD *)v5 + 1) = v8;v9 = v5 + 8;v5 += 8;}while ( v6 != (int *)&unk_2C7F );*v9 = *(_BYTE *)v6;sub_1064(&v50, 17, 65); // /proc/%d/cmdline v47 = 0x9021D19;v48 = 0xD13;v49 = 0x69;sub_1064(&v47, 7, 99); // zygote v10 = getppid();snprintf(v51, 32u, &v50, v10, v43);v11 = open(v51, 0);read(v11, v52, 64u);sub_107E(v52); // sub_107E函數，大寫轉小寫close(v11);if ( !strstr(v52, (const char *)&v47) )exit(-1);input_ = input;v13 = strlen(input);BYTE2(v47) = 0;v52[0] = 0;input_len = v13;v15 = strlen(input);v16 = (const char *)&unk_2CF7; // %xv17 = v15;while ( input_ - input < v17 ){v18 = *(unsigned __int8 *)input_++;v19 = v17;v20 = v16;sprintf((char *)&v47, v16, v18); // %x，輸入的字符轉成十六進制，不會填充2位strcat(v52, (const char *)&v47);v17 = v19;v16 = v20;}v21 = (char *)input;v22 = 0;while ( v22 < input_len ) // input[i]^=i{v23 = *v21 ^ v22++;*v21++ = v23;}v24 = sub_10A4(); // tracerpid 反調試if ( v24 ){v26 = input;v27 = 0;v47 = v24 - v44 + 0x1010101;do // input[i]+=1,0=<i<=3{v28 = *((_BYTE *)&v47 + v27++);*v26++ += v28;}while ( v27 != 4 );}if ( input_len > 7 ) // input的前7個字節按順序放到最后的7個位置，其余的依次向前移動，結果放在v51{v25 = 7;do{v29 = &v51[v25];v30 = input[v25++];*(v29 - 7) = v30;}while ( v25 != input_len );v31 = (int)(input - 1);v32 = &v51[input_len - 8];do{v33 = *(_BYTE *)(v31++ + 1);(v32++)[1] = v33;}while ( (const char *)v31 != input + 6 );v51[input_len] = 0;}for ( i = 0; i < input_len; ++i ) // 變換位置后的input與byte_4004異或，再放回inputinput[i] = v51[i] ^ byte_4004[i];v52[0] = 0;v46 = 0;v35 = input;v36 = strlen(input);while ( v35 - input < v36 ){v37 = *(unsigned __int8 *)v35++;sprintf(&v45, (const char *)&unk_2CF7, v37);// %xstrcat(v52, &v45); // input字符轉成十六進制數放到v52}v38 = &v50;v39 = &dword_2C87;do{v40 = *v39;v39 += 2;v41 = *(v39 - 1);*(_DWORD *)v38 = v40;*((_DWORD *)v38 + 1) = v41;v38 += 8;}while ( v39 != &dword_2CA7 );sub_1064(&v50, 32, 57); // v50=ddedd4ea2e7bef168491a6cae2bc660\x00return strcmp(&v50, v52) == 0; // v50和v52比較 }

需要注意的地方有兩點：
1、在解最后要去比較的v50時，只能得到31個可見字符"ddedd4ea2e7bef168491a6cae2bc660"，原因是使用"%x"做參數轉成十六進制數時，某個字節的1個0被忽略，但是并不知道是哪個字節轉十六進制時忽略了0，因此需要爆破0的位置

2、byte_4004數組，在ida中直接可見16個字節

其中dword_4007在程序運行時被賦了新值，交叉引用過去就能看到

寫逆運算腳本，打印的字符串中有可讀意義的即為flag

#coding:utf-8 from Crypto.Util.number import long_to_bytes byte_4004=[0x85, 0x8B, 0xEC, 0x83, 0xEC, 0x14, 0x83, 0x8D, 0x0C, 0x01,0x75, 0x5F, 0xC6, 0x45, 0xF3, 0x50] byte_4004[3]=0x83 byte_4004[4]=0x6c byte_4004[5]=0x9c byte_4004[6]=0x83v50="ddedd4ea2e7bef168491a6cae2bc660"#長度為31 flags=[] for i in range(32): #爆破被忽略的1個0的位置p=v50[:i]+'0'+v50[i:]flags.append(long_to_bytes(int('0x'+p,16))) for s in flags:flag=[]for i in range(16):p=ord(s[i])^byte_4004[i]flag.append(p)flag=flag[-7:]+flag[:-7]for i in range(4):flag[i]-=1for i in range(16):flag[i]^=iprint(''.join(chr(i) for i in flag)) #Go0dj06_n1cew0rk

DebugMe

elf文件，無殼，ida分析
main函數，主要邏輯為
命令行輸入password，sub_A30函數中有個j_fork，不太明白什么作用
往下走，輸入和下標循環異或，進入sub_D90->sub_C14驗證輸入，第二個參數為0
繼續向下，輸入和數字1循環異或，進入sub_C14驗證輸入，第二個參數為7

int __cdecl main(int argc, const char **argv, const char **envp) {int v3; // r4size_t i; // r4int v5; // r5int v6; // r0int v7; // r0int v8; // r7size_t j; // r4const char *v10; // r0char *input_; // [sp+4h] [bp-A4h]void (__noreturn *v13)(); // [sp+10h] [bp-98h]int v14; // [sp+18h] [bp-90h]char v15; // [sp+20h] [bp-88h]char v16; // [sp+21h] [bp-87h]char v17; // [sp+22h] [bp-86h]char v18; // [sp+24h] [bp-84h]char v19[20]; // [sp+38h] [bp-70h]char v20[64]; // [sp+4Ch] [bp-5Ch]if ( argc != 2 ){j_puts("Usage:\t program_name password");j_exit(0);}input_ = (char *)argv[1];if ( sub_A30(2u, (int)argv) ) // 不太明白作用{for ( i = 0; i < j_strlen(input_); ++i )input[i] = input_[i] ^ i; // input[i]^i}v3 = 0;v13 = sub_D90; // check input，主要是sub_C14(input, 0)的調用v14 = 0;j_sigaction(7, (int)&v13, 0);j_sigaction(11, (int)&v13, 0);dov20[v3++] = 0;while ( v3 != 64 );v5 = 0;dov19[v5++] = 0;while ( v5 != 32 );j_memcpy(&v18, &unk_213D, 17u);sub_AE4((int)&v18, 17, 65); // /proc/%d/cmdline v15 = 36;v16 = 61;v17 = 83;v6 = sub_AE4((int)&v15, 3, 87); // sh v7 = j_getppid(v6);j_snprintf(v19, 32, &v18, v7);v8 = j_open(v19, 0);j_read();sub_A0C(v20); // 大寫轉小寫j_close(v8);if ( !j_strstr(v20, &v15) ){for ( j = 0; j < j_strlen(input_); ++j ) // input[i]^1input[j] = input_[j] ^ 1;}if ( !sub_B1C() ) // 反調試__breakpoint(0);if ( sub_C14(input, 7) ) // sub_C14(input, 7) 的調用，和上面的的調用比較，第二個參數不同v10 = "you win!\nFlag is your password!";elsev10 = "The password you input is wrong!";j_puts(v10);return 0; }

進入sub_C14函數，重要的邏輯在switch case語句中按照v3的值，驗證輸入的內容，LABEL_26的代碼，是變換v3的值，實際上v3 = 7 * (v3 + 1) - 11*sub_E14(7 * (v3 + 1), 11)
把sub_E14函數的代碼摳出來，編寫c程序
兩次調用sub_C14函數時，第二個參數（也就是v3的初始值）分別為0和7，于是驗證順序分別為
v3初始為0：0 7 1 3 6 5 9 4 2
v3初始為7：7 1 3 6 5 9 4 2
當v3為2時，sub_C14函數返回1
可以看到，v3初始為7時，比v3初始為0時，前者少驗證了1位，其他的驗證順序是一致的

int __fastcall sub_C14(_BYTE *a1, int a2) {_BYTE *input; // r4int v3; // r7int v4; // r3int v5; // r5int v6; // r0int v7; // r0int v8; // r6int result; // r0int v10; // r1char v11; // [sp+1Ch] [bp-9Ch]char v12; // [sp+28h] [bp-90h]char v13; // [sp+38h] [bp-80h]char v14[20]; // [sp+48h] [bp-70h]char v15[64]; // [sp+5Ch] [bp-5Ch]input = a1;v3 = a2; // v3=a2，第二個參數在兩次調用中不同，0和7while ( 2 ){v4 = 0;dov15[v4++] = 0;while ( v4 != 64 );v5 = 0;dov14[v5++] = 0;while ( v5 != 32 );j_memcpy(&v12, &unk_2113, 0xFu);sub_BF8((int)&v12, 15, 107); // /proc/%d/wchan j_memcpy(&v13, &unk_2122, 0xFu);sub_BF8((int)&v13, 15, 116); // sys_epoll_wait j_memcpy(&v11, &unk_2131, 0xCu);v6 = sub_BF8((int)&v11, 12, 114); // ptrace_stop v7 = j_getppid(v6);j_snprintf(v14, 32, &v12, v7);v8 = j_open(v14, 0);j_read();sub_A0C(v15); // 大寫轉小寫j_close(v8);if ( j_strstr(v15, &v13) ) // 反調試return -1;result = -((unsigned int)j_strstr(v15, &v11) >= 1);if ( result == -1 ) // 反調試return result;switch ( v3 ) // 驗證input內容{case 0:if ( *input == 105 )goto LABEL_26;return 0;case 1:if ( *input != 101 )return 0;goto LABEL_26;case 3:if ( *input != 110 )return 0;goto LABEL_26;case 4:if ( *input != 100 )return 0;goto LABEL_26;case 5:if ( *input != 97 )return 0;goto LABEL_26;case 6:if ( *input != 103 )return 0;goto LABEL_26;case 7:if ( *input != 115 )return 0;goto LABEL_26;case 9:if ( *input == 114 ){ LABEL_26:sub_EAC(7 * (v3 + 1), 11); // 調用sub_EAC函數時第二個參數永不為0，相當于直接調用sub_E14函數++input;v3 = v10; // 實際上，v3=7 * (v3 + 1) - 11*sub_E14(7 * (v3 + 1), 11)continue;}return 0;default:return 1;}} }

由于v3初始為0時，sub_C14函數驗證了8位，在調用sub_C14函數前，輸入的變換是，input[i]^i
于是寫逆運算腳本即可得到8位小寫字母，即為flag

#coding:utf-8 #按case 0 7 1 3 6 5 9 4 2 順序裝值 a=[105,115,101,110,103,97,114,100] print(''.join(chr(a[i]^i)for i in range(len(a)))) #irgmcdtc

FindPass

apk文件，jadx-gui打開
在com.example.findpass.MainActivity中，GetKey方法的邏輯為
獲取輸入的fkey，已知的ekey做變換，fkey和變換后的ekey比較，驗證輸入fkey

按照GetKey方法的邏輯寫腳本即可得到flag

ekey="Tr43Fla92Ch4n93" ekey_data=[ord(ekey[i]) for i in range(len(ekey))] f=open("D:\\ctfdownloadfiles\\src.jpg","rb") cha=f.read(1024) f.close() for i in range(len(ekey)):if ord(cha[ord(ekey[i])])<128:tmp2=ord(cha[ord(ekey[i])])%10else:tmp2 = (-(ord(cha[ord(ekey[i])])&0x7f)) % 10if i%2==1:ekey_data[i]+=tmp2else:ekey_data[i]-=tmp2 print(''.join(chr(i) for i in ekey_data)) #Qv49CmZB2Df4jB-

總結

以上是生活随笔為你收集整理的REVERSE-PRACTICE-JarvisOJ-2的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。