REVERSE-PRACTICE-BUUCTF-13

• • firmware
  • [ACTF新生賽2020]Oruga
  • [Zer0pts2020]easy strcmp
  • [GXYCTF2019]simple CPP

firmware

.bin（二進制）文件，由題目提示知是路由器固件逆向
參考：逆向路由器固件之解包 Part1
linux安裝好binwalk和firmware-mod-kit
binwalk會分析二進制文件中可能的固件頭或者文件系統(tǒng)，然后輸出識別出的每個部分以及對應(yīng)的偏移量
binwalk該二進制文件，發(fā)現(xiàn)包含了squashfs文件系統(tǒng)（squashfs是linux下的一種只讀壓縮文件系統(tǒng)類型）

binwalk -e 該二進制文件，提取出各部分數(shù)據(jù)到各個文件，相當(dāng)于解壓固件，解壓出來的文件放在當(dāng)前目錄的/_firmware.bin.extracted文件夾下（注意此時的suqashfs-root文件夾是否為空）

使用firmware-mod-kit解包提取出來的squashfs文件
/*******************************************************
firmware-mod-kit的一些用法：
extract-firmware.sh 解包固件
build-firmware.sh 重新封包
check_for_upgrade.sh 檢查更新
unsquashfs_all.sh 解包提取出來的squashfs文件
*******************************************************/

解包squashfs文件出來的文件放在了當(dāng)前目錄的squashfs-root-1文件夾中
（實際上，在本人虛擬機binwalk -e 該二進制文件后，生成文件夾/_firmware.bin.extracted中的squashfs-root文件夾，已經(jīng)是解包squashfs文件出來的文件夾了，即squashfs-root文件夾和squashfs-root-1文件夾中包含的文件是相同的，如果squashfs-root文件夾下內(nèi)容為空，是由于sasquatch安裝有問題導(dǎo)致的，可以通過重新安裝sasquatch解決，參考：dir815_FW_102.bin路由器固件解壓碰到的坑）

在/_firmware.bin.extracted/squashfs-root/tmp目錄或/_firmware.bin.extracted/squashfs-root-1/tmp目錄下有一個backdoor文件
backdoor查殼發(fā)現(xiàn)有upx殼，脫殼后拖入ida分析
在字符串窗口找到網(wǎng)址

交叉引用網(wǎng)址，在initConnection函數(shù)中找到端口

[ACTF新生賽2020]Oruga

elf文件，無殼，ida分析
main函數(shù)邏輯清晰，獲取輸入，檢驗輸入是否為“actf{”開頭，驗證輸入內(nèi)容，以及最后一個字符是否為“}”

進入check函數(shù)，分析可知是一個16x16的迷宮，和常規(guī)迷宮的按一次方向鍵則往該方向前進一格的機制不同，該迷宮的前進機制為，按一次方向鍵，則往該方向一直前進，直到撞到墻，具體分析知道，在map為零的位置時，可以持續(xù)前進，到達第一個非零的位置就停下來，然后減一個步長回到前一個零的位置，再讀input的內(nèi)容更新步長，更新步長實際上就是換方向

_BOOL8 __fastcall check(__int64 input) {int index; // [rsp+Ch] [rbp-Ch]signed int input_index; // [rsp+10h] [rbp-8h]signed int step; // [rsp+14h] [rbp-4h]index = 0;input_index = 5;step = 0;while ( map[index] != '!' ) // 終點為"!"{index -= step; // 由第48行代碼可知，由于index疊加走到了非零的位置，這時需要減一個步長，回到前一個零位置if ( *(_BYTE *)(input_index + input) != 'W' || step == -16 )// 由input的內(nèi)容決定步長step{if ( *(_BYTE *)(input_index + input) != 'E' || step == 1 ){if ( *(_BYTE *)(input_index + input) != 'M' || step == 16 ){if ( *(_BYTE *)(input_index + input) != 'J' || step == -1 )return 0LL;step = -1; // J-左}else{step = 16; // M-下}}else{step = 1; // E-右}}else{step = -16; // W-上}++input_index; // 讀下一個input的字符while ( !map[index] ) // 該while循環(huán)體只能在map[index]=='0'時執(zhí)行{if ( step == -1 && !(index & 0xF) ) // 判斷邊界的四個ifreturn 0LL;if ( step == 1 && index % 16 == 15 )return 0LL;if ( step == 16 && (unsigned int)(index - 240) <= 0xF )return 0LL;if ( step == -16 && (unsigned int)(index + 15) <= 0x1E )return 0LL;index += step; // index按照當(dāng)前的步長循環(huán)疊加，即按下一個方向鍵，就會沿著這個方向一直走，直到第一個非零的位置停下}}return *(_BYTE *)(input_index + input) == '}'; }

把map提取出來，制成16x16的迷宮，按照前進機制走完迷宮即可，起始點為左上角的[0,0]，終止點為“！”（0x21），W-上，M-下，J-左，E-右，路線即為flag

[Zer0pts2020]easy strcmp

elf文件，無殼，ida分析
main函數(shù)，有一個比較字符串的if語句決定輸出的內(nèi)容，其他什么也沒有

來到start函數(shù)，發(fā)現(xiàn)在調(diào)用main函數(shù)前，先調(diào)用了fini函數(shù)和init函數(shù)

fini函數(shù)直接返回了，分析init函數(shù)，可以知道，在調(diào)用main函數(shù)前，程序?qū)?init_array段地址到.fini_array段地址之間的函數(shù)全部執(zhí)行一遍，命令行參數(shù)作為段之間函數(shù)的參數(shù)

這里可以看到，.init_array段和.fini_array段之間有3個函數(shù)，依次分析知道，重要的是sub_795函數(shù)

sub_795->sub_6EA，分析sub_6EA函數(shù)，計算輸入的長度，將輸入的內(nèi)容順序地與qword_201060數(shù)組的元素相減，然后去到main函數(shù)和那段字符串比較

寫腳本即可得到flag

[GXYCTF2019]simple CPP

exe程序，運行后提示輸入flag，輸入錯誤退出程序，無殼，ida分析
交叉引用字符串來到sub_140001290函數(shù)

__int64 sub_140001290() {bool v0; // si__int64 v1; // rax__int64 v2; // r8unsigned __int8 *v3; // raxunsigned __int8 *v4; // rbxint v5; // er10__int64 v6; // r11_BYTE *input_copy; // r9void **v8; // r8__int64 arr[3]; // rdi__int64 arr[2]; // r15__int64 arr[1]; // r12__int64 arr[0]; // rbpsigned int v13; // ecxunsigned __int8 *v14; // rdx__int64 v15; // rdi__int64 *v16; // r14__int64 v17; // rbp__int64 v18; // r13_QWORD *v19; // rdi__int64 v20; // r12__int64 v21; // r15__int64 v22; // rbp__int64 v23; // rdx__int64 v24; // rbp__int64 v25; // rbp__int64 v26; // r10__int64 v27; // rdi__int64 v28; // r8bool v29; // dl__int64 v30; // raxvoid *v31; // rdxconst char *v32; // rax__int64 v33; // rax_BYTE *v34; // rcx__int64 v36; // [rsp+20h] [rbp-68h]void *input; // [rsp+30h] [rbp-58h]unsigned __int64 input_len; // [rsp+40h] [rbp-48h]unsigned __int64 v39; // [rsp+48h] [rbp-40h]v0 = 0;input_len = 0i64;v39 = 15i64;LOBYTE(input) = 0;LODWORD(v1) = printf(std::cout, "I'm a first timer of Logic algebra , how about you?");std::basic_ostream<char,std::char_traits<char>>::operator<<(v1, sub_140001B90);printf(std::cout, "Let's start our game,Please input your flag:");sub_140001DE0(std::cin, &input, v2); // 讀取inputstd::basic_ostream<char,std::char_traits<char>>::operator<<(std::cout, sub_140001B90);if ( input_len - 5 > 25 ) // input不需要GXY{}包住{LODWORD(v33) = printf(std::cout, "Wrong input ,no GXY{} in input words");std::basic_ostream<char,std::char_traits<char>>::operator<<(v33, sub_140001B90);goto LABEL_45;}v3 = sub_1400024C8(32ui64); // 開辟一塊大小為32的，元素類型為unsigned int8的地址空間給v3v4 = v3;if ( v3 ) // 新開辟的地址空間全部賦0值{*v3 = 0i64;*(v3 + 1) = 0i64;*(v3 + 2) = 0i64;*(v3 + 3) = 0i64;}else{v4 = 0i64;}v5 = 0;if ( input_len > 0 ){v6 = 0i64;do{input_copy = &input;if ( v39 >= 16 )input_copy = input;v8 = &Dst;if ( qword_140006060 >= 0x10 )v8 = Dst; // Dst="i_will_check_is_debug_or_not"，長度為28v4[v6] = input_copy[v6] ^ *(v8 + v5++ % 27);// input和Dst異或，結(jié)果放入v4++v6;}while ( v5 < input_len );}arr[3] = 0i64;arr[2] = 0i64;arr[1] = 0i64;arr[0] = 0i64;if ( input_len > 30 ) // input長度驗證goto LABEL_28;v13 = 0;if ( input_len <= 0 )goto LABEL_28;v14 = v4; // v14=v4，是input和Dst異或的結(jié)果do // do循環(huán)體，實際上是把v14分成四段，前三段長度為8，分別放入v12，v11，v10中，剩下的放在v9// 依次記為arr[0]，arr[1]，arr[2]，arr[3]，重要的是算出arr[0~3]{v15 = *v14 + arr[3];++v13;++v14;switch ( v13 ){case 8:arr[0] = v15;goto LABEL_24;case 16:arr[1] = v15;goto LABEL_24;case 24:arr[2] = v15; LABEL_24:v15 = 0i64;break;case 32:printf(std::cout, "ERRO,out of range");exit(1);break;}arr[3] = v15 << 8;}while ( v13 < input_len );if ( arr[0] ){v16 = sub_1400024C8(32ui64);*v16 = arr[0]; // arr[0~3]放入v16[0~3]中v16[1] = arr[1];v16[2] = arr[2];v16[3] = arr[3];goto LABEL_29;} LABEL_28:v16 = 0i64; LABEL_29:v36 = v16[2]; // v36=arr[2]v17 = v16[1]; // v17=arr[1]v18 = *v16; // v18=arr[0]v19 = sub_14000223C(32ui64); // 開辟一塊大小為32的，元素類型為unsigned int8的地址空間給v19if ( IsDebuggerPresent() ) // 反調(diào)試{printf(std::cout, "Hi , DO not debug me !");Sleep(0x7D0u);exit(0);}v20 = v17 & v18; // v20=arr[1]&arr[0]*v19 = v17 & v18; // v19[0]=arr[1]&arr[0]v21 = v36 & ~v18; // v21=arr[2]&(~arr[0])v19[1] = v21; // v19[1]=arr[2]&(~arr[0])v22 = ~v17; // v22=~arr[1]v23 = v36 & v22; // v23=arr[2]&(~arr[1])v19[2] = v36 & v22; // v19[2]=arr[2]&(~arr[1])v24 = v18 & v22; // v24=arr[0]&(~arr[1])v19[3] = v24; // v19[3]=arr[0]&(~arr[1])if ( v21 != 0x11204161012i64 ) // 驗證v19[1]==0x11204161012，即arr[2]&(~arr[0])==0x11204161012{v19[1] = 0i64;v21 = 0i64;}v25 = v21 | v20 | v23 | v24; // 需v25==0x3E3A4717373E7F1F成立，即(arr[2]&(~arr[0])) | (arr[1]&arr[0]) | (arr[2]&(~arr[1])) | (arr[0]&(~arr[1]))==0x3E3A4717373E7F1Fv26 = v16[1]; // v26=arr[1]v27 = v16[2]; // v27=arr[2]v28 = v23 & *v16 | v27 & (v20 | v26 & ~*v16 | ~(v26 | *v16));// (arr[2]&(~arr[1])) & (arr[0]) | (arr[2]) & ((arr[1]&arr[0]) | (arr[1]) & ~(arr[0]) | ~((arr[1]) | (arr[0])))==0x8020717153E3013v29 = 0;if ( v28 == 0x8020717153E3013i64 ) // 由第171行代碼可知，v0需要為1，v28==0x8020717153E3013成立v29 = v25 == 0x3E3A4717373E7F1Fi64; // 驗證v25==0x3E3A4717373E7F1F，相等返回1，不等返回0if ( (v25 ^ v16[3]) == 0x3E3A4717050F791Fi64 )// v16[3]=arr[3]，即arr[3]^0x3E3A4717373E7F1F==0x3E3A4717050F791Fv0 = v29; // v0為v25==0x3E3A4717373E7F1F的返回值，等式成立返回1，不等返回0if ( (v21 | v20 | v26 & v27) != (~*v16 & v27 | 0xC00020130082C0Ci64) || v0 != 1 )// 需要v0為1，意味著v25==0x3E3A4717373E7F1F成立且((arr[2]&(~arr[0])) |(arr[1]&arr[0]) | (arr[1]) & (arr[2])) == (~(arr[0])& (arr[2]) | 0xC00020130082C0C){printf(std::cout, "Wrong answer!try again");j_j_free(v4);}else{LODWORD(v30) = printf(std::cout, "Congratulations!flag is GXY{");// input不需要GXY{}包住v31 = &input;if ( v39 >= 16 )v31 = input;v32 = sub_140001FD0(v30, v31, input_len);printf(v32, "}");j_j_free(v4);} LABEL_45:if ( v39 >= 0x10 ){v34 = input;if ( v39 + 1 >= 0x1000 ){v34 = *(input - 1);if ( (input - v34 - 8) > 0x1F )invalid_parameter_noinfo_noreturn();}j_j_free(v34);}return 0i64; }

寫解arr[0~3]的腳本

寫逆異或運算得到flag的腳本，由flag的明文字符串可知，arr[1]的結(jié)果錯誤，原因是原方程組有多組解，參考別的師傅的wp，比賽給出了第二部分的flag，e!P0or_a，替換掉錯誤的8個字符，結(jié)果為We1l_D0ne!P0or_algebra_am_i

總結(jié)

以上是生活随笔為你收集整理的REVERSE-PRACTICE-BUUCTF-13的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。