2015_XDCTF_Reverse200_Writeup

     OD加载程序,F9运行,提示输入flag。随便输入一个字符串,提示“you shall not pass!”

 

 

 

    这道题是输入验证类型,验证的字符串是固定的,因此相对容易分析。验证可分为6个阶段:

① 验证长度

② 验证前6个字符

③ 验证第24位、第13位、第19位

④ 验证7~12位

⑤ 验证14~18位

⑥ 验证20~23位

具体分析步骤如下:

1.验证长度

     重新加载,右键“查找”->"所有参考文本字串"。显示字符串(图 2.1), 发现很多“you shall not pass”,在汇编中从“you shall not pass ”往回找跳转句,在附近的比较函数(cmp)或test下断,F9运行,提示输入时输入一个字符串“12345”,回车,程序断在004011EB处,此句将堆栈 ss:[0012FE60]的内容和0x19(25)进行比较,大于等于跳转到提示错误,为零也提示错误。数据窗口中查看[0012FE60] 内存(图2.3),很明显此内存+8的地方存放了我们输入的flag,那这个内存存放的是什么呢?数据窗口中此处的值为5,可以联想到是输入flag的长度,可以调试前面的代码得证,换几个不同长度字符串输入也可以验证这一点。

    往前可以找到“Give me the flag:”后面可以验证。F8单步,后面的jz和jnz都跳到了00401224,说明此段放行了长度满足0<n<25的输入字符串。

 图 2.1

 

图 2.2

 

图 2.3

 

图 2.4

2.验证前6个字符

     F8继续单步运行,下面的代码将输入的前6个字符和“XDCTF{”比较,相等则跳到0040130F处。(代码2.1)

;代码2.1
004012AC
8B8D D0FEFFFF mov ecx,dword ptr ss:[ebp-0x130] 004012B2 83C1 01 add ecx,0x1 004012B5 898D D0FEFFFF mov dword ptr ss:[ebp-0x130],ecx 004012BB 8B95 E0FEFFFF mov edx,dword ptr ss:[ebp-0x120] 004012C1 83EA 01 sub edx,0x1 004012C4 3995 D0FEFFFF cmp dword ptr ss:[ebp-0x130],edx ; 控制比较次数为6次 004012CA 7F 3C jg Xctf2.00401308 004012CC 8B85 D0FEFFFF mov eax,dword ptr ss:[ebp-0x130] 004012D2 0FBE8C05 70FFFF>movsx ecx,byte ptr ss:[ebp+eax-0x90] 004012DA 8B95 D0FEFFFF mov edx,dword ptr ss:[ebp-0x130] 004012E0 0FBE8415 F0FEFF>movsx eax,byte ptr ss:[ebp+edx-0x110] 004012E8 3BC8 cmp ecx,eax ;将输入的前六个字符和”XDCTF_”比较 004012EA 74 1A je Xctf2.00401306 004012EC 68 7CCA4000 push ctf2.0040CA7C ; ASCII "You shall not pass!" 004012F1 E8 0B070000 call ctf2.00401A01 004012F6 83C4 04 add esp,0x4 004012F9 E8 CD070000 call ctf2.00401ACB 004012FE 83C8 FF or eax,0xFFFFFFFF 00401301 E9 72030000 jmp ctf2.00401678 00401306 ^ EB A4 jmp Xctf2.004012AC

3.验证第24位、第13位、第19位

    分析到这里我们不妨换一个字符串输入,就取它最大允许的长度24,输入“XDCTF{123456789ABCDEFGH}”,果然程序跳到0040130F处(代码3.1)。这段代码发现将第24位和“}”比较,第13位和“_”比较,第19位和“$”比较,相等跳到0040136B。至此我们可以修改输入字符为“XDCTF{123456_ABCDE$abcd}”。

;代码3.1
0040130F
83F9 7D cmp ecx,0x7D ; 第24位和“}”比较 00401312 74 1A je Xctf2.0040132E 00401314 68 7CCA4000 push ctf2.0040CA7C ; ASCII "You shall not pass!" 00401319 E8 E3060000 call ctf2.00401A01 0040131E 83C4 04 add esp,0x4 00401321 E8 A5070000 call ctf2.00401ACB 00401326 83C8 FF or eax,0xFFFFFFFF 00401329 E9 4A030000 jmp ctf2.00401678 0040132E 0FBE95 FCFEFFFF movsx edx,byte ptr ss:[ebp-0x104] 00401335 83FA 5F cmp edx,0x5F ; 第13位和“_”比较 00401338 75 0C jnz Xctf2.00401346 0040133A 0FBE85 02FFFFFF movsx eax,byte ptr ss:[ebp-0xFE] 00401341 83F8 24 cmp eax,0x24 ; 第19位和“$”比较 00401344 74 1A je Xctf2.00401360 00401346 68 7CCA4000 push ctf2.0040CA7C ; ASCII "You shall not pass!" 0040134B E8 B1060000 call ctf2.00401A01 00401350 83C4 04 add esp,0x4 00401353 E8 73070000 call ctf2.00401ACB 00401358 83C8 FF or eax,0xFFFFFFFF 0040135B E9 18030000 jmp ctf2.00401678 00401360 74 09 je Xctf2.0040136B ; 通过 00401362 75 12 jnz Xctf2.00401376 ; 不通过

4.验证7~12位

     重新运行程序,输入“XDCTF{123456_ABCDE$abcd}”,程序如预期跳到0040136B,再跳到00401376(代码4.1),F8到0040145C处,程序将”XDCTF_”放入内存0040CA90。

     继续往下分析,从00401090开始,进入第四阶段的验证(代码 4.2)。代码中标注了三行关键代码,004010AA处第一次验证指向的地址为0040CA90,此处的内存存放了“XDCTF_”(图 4.1);004010B3处第一次验证指向的地址为004010B3,存放了“123456”。004010B6处将“XDCTF_”和“123456”对应依次相减(ascii码),得到的结果在004010BE处与ds:[edx+ecx*4+0x8]中存储的数据比较,相等则通过验证。通过强制跳转分析,每一次相减得到的正确数值应为:

堆栈 ds:[0012FEF8]=00000015

堆栈 ds:[0012FEFC]=FFFFFFD5

堆栈 ds:[0012FF00]=FFFFFFD5

堆栈 ds:[0012FF04]=FFFFFFED

堆栈 ds:[0012FF08]=FFFFFFD4

堆栈 ds:[0012FF0C]=FFFFFFFE

 

     即:7~12位正确的输入应为(需转换类型):

“X” - 0x00000015   =  “C”

“D” - 0xFFFFFFD5  =  “o”

“C” - 0xFFFFFFD5  =  “n”

“T” - 0xFFFFFFED  =  “g”

“F” - 0xFFFFFFD4  =  “r”

“_” - 0xFFFFFFFE  =  “a”

;代码4.1
0040145C
C785 ECFEFFFF 9>mov dword ptr ss:[ebp-0x114],ctf2.0040CA>; ASCII "XDCTF_" 00401466 6A 06 push 0x6 00401468 E8 12020000 call ctf2.0040167F
;代码4.2
00401090    8B45 F8         mov eax,dword ptr ss:[ebp-0x8]
00401093    83C0 01         add eax,0x1
00401096    8945 F8         mov dword ptr ss:[ebp-0x8],eax
00401099    8B4D FC         mov ecx,dword ptr ss:[ebp-0x4]   
0040109C    83E9 01         sub ecx,0x1
0040109F    394D F8         cmp dword ptr ss:[ebp-0x8],ecx
004010A2    7F 26           jg Xctf2.004010CA
004010A4    8B55 08         mov edx,dword ptr ss:[ebp+0x8]
004010A7    0355 F8         add edx,dword ptr ss:[ebp-0x8]
004010AA    0FBE02       movsx eax,byte ptr ds:[edx] ; [0040CA90]-->”XDCTF_”
004010AD    8B4D 0C         mov ecx,dword ptr ss:[ebp+0xC]
004010B0    034D F8         add ecx,dword ptr ss:[ebp-0x8]
004010B3    0FBE11       movsx edx,byte ptr ds:[ecx] ;   [004010B3]-->”123456”
004010B6    2BC2            sub eax,edx              ;对应依次相减-->eax       
004010B8    8B4D F8         mov ecx,dword ptr ss:[ebp-0x8]
004010BB    8B55 10         mov edx,dword ptr ss:[ebp+0x10]
004010BE    3B448A 08       cmp eax,dword ptr ds:[edx+ecx*4+0x8] ;eax是否与ds:[edx+ecx*4+0x8]中存储的数据是否相等 
004010C2    74 04           je Xctf2.004010C8
004010C4    32C0            xor al,al
004010C6    EB 04           jmp Xctf2.004010CC
004010C8  ^ EB C6           jmp Xctf2.00401090

 

图 4.1

 

图 4.2

5.验证14~18位

   F8继续往下,来到004010F1处(代码5.1),从这里开始将第14~18位依次与“t”“U”、“l”、“a”、“t”比较,相等则验证通过。

;代码5.1
004010F1    8955 F4         mov dword ptr ss:[ebp-0xC],edx
004010F4    8B45 08         mov eax,dword ptr ss:[ebp+0x8]
004010F7    8945 F0         mov dword ptr ss:[ebp-0x10],eax
004010FA    8B4D F0         mov ecx,dword ptr ss:[ebp-0x10]
004010FD    8A11            mov dl,byte ptr ds:[ecx]
004010FF    8855 EF         mov byte ptr ss:[ebp-0x11],dl
00401102    8B45 F4         mov eax,dword ptr ss:[ebp-0xC]
00401105    3A10            cmp dl,byte ptr ds:[eax]
00401107    75 2E           jnz Xctf2.00401137
00401109    807D EF 00      cmp byte ptr ss:[ebp-0x11],0x0
0040110D    74 1F           je Xctf2.0040112E
0040110F    8B4D F0         mov ecx,dword ptr ss:[ebp-0x10]
00401112    8A51 01         mov dl,byte ptr ds:[ecx+0x1]
00401115    8855 EE         mov byte ptr ss:[ebp-0x12],dl
00401118    8B45 F4         mov eax,dword ptr ss:[ebp-0xC]
0040111B    3A50 01         cmp dl,byte ptr ds:[eax+0x1]
0040111E    75 17           jnz Xctf2.00401137
00401120    8345 F0 02      add dword ptr ss:[ebp-0x10],0x2
00401124    8345 F4 02      add dword ptr ss:[ebp-0xC],0x2
00401128    807D EE 00      cmp byte ptr ss:[ebp-0x12],0x0
0040112C  ^ 75 CC           jnz Xctf2.004010FA

6.验证20~23位

      继续往下跟踪,到004015D1处进入第6阶段验证。(代码 6.1)

“T”与第20个字符异或结果为0x31,该字符为“e”;

“C”与第21个字符异或结果为0x3A,该字符为“y”;

“D”与第22个字符异或结果为0xB,该字符为“W”

“X”与第23个字符异或结果为0x2D,该字符为“u”

;代码6.1
004015D1    0FBE8D DCFEFFFF movsx ecx,byte ptr ss:[ebp-0x124]   ; “e”
004015D8    0FBE95 F3FEFFFF movsx edx,byte ptr ss:[ebp-0x10D]   ;“T”
004015DF    33CA            xor ecx,edx              
004015E1    83F9 31         cmp ecx,0x31          ;ecx=“e”⊕ “T”=0x31     
004015E4    75 3F           jnz Xctf2.00401625
004015E6    0FBE85 DDFEFFFF movsx eax,byte ptr ss:[ebp-0x123] ;  ”y”
004015ED    0FBE8D F2FEFFFF movsx ecx,byte ptr ss:[ebp-0x10E]  ;”C”
004015F4    33C1            xor eax,ecx
004015F6    83F8 3A         cmp eax,0x3A         ;eax=“y”⊕ “C”=0x3A     
004015F9    75 2A           jnz Xctf2.00401625
004015FB    0FBE95 DEFEFFFF movsx edx,byte ptr ss:[ebp-0x122]
00401602    0FBE85 F1FEFFFF movsx eax,byte ptr ss:[ebp-0x10F]
00401609    33D0            xor edx,eax
0040160B    83FA 0B         cmp edx,0xB        ; edx=“O”⊕ “D”=0xB      
0040160E    75 15           jnz Xctf2.00401625
00401610    0FBE8D DFFEFFFF movsx ecx,byte ptr ss:[ebp-0x121]
00401617    0FBE95 F0FEFFFF movsx edx,byte ptr ss:[ebp-0x110]
0040161E    33CA            xor ecx,edx
00401620    83F9 2D         cmp ecx,0x2D        ;ecx=“u”⊕ “X”=0x2D     
00401623    74 12           je Xctf2.00401637
00401625    68 98CA4000     push ctf2.0040CA98                       ; ASCII "You shall not pass!\n"
0040162A    E8 D2030000     call ctf2.00401A01
0040162F    83C4 04         add esp,0x4
00401632    E8 94040000     call ctf2.00401ACB
00401637    68 B0CA4000     push ctf2.0040CAB0                       ; ASCII "You do it!"
0040163C    E8 C0030000     call ctf2.00401A01

 

     到这里,flag已浮出水面,赶紧输入一下,”you do it!”~~

Flag:   XDCTF{Congra_tUlat$eyOu}

 

 

Ps: 欢迎大家指正~

By. Vi

 

 

 

 

posted on 2015-10-12 13:23  -Vi  阅读(444)  评论(0编辑  收藏  举报

导航