CTF逆向-[De1CTF2019]Re

CTF逆向-[De1CTF2019]Re_Sign-简单脱壳和base64换表编码的深度算法跟踪

来源：https://buuoj.cn/

内容：

附件：链接：https://pan.baidu.com/s/1BXcr8EQfqs8fLHh2V874kg?pwd=acal 提取码：acal

答案：de1ctf{E_L4nguag3_1s_K3KeK3_N4Ji4}

总体思路

发现upx老版本的壳，使用老版本upx去除

发现输入的值会被编码，找到编码的地方并猜测其编码方式

发现是base64编码，发现编码的码表位置

发现验证函数是通过将编码后的值解码以后取其序号，并与一串内存比较

反向写出exp

详细步骤

拿到题目以后发现是upx的压缩壳，且版本较低，无法通过3.x版本的upx工具脱壳，所以使用老旧的0.x版本的upx对其脱壳，得到源码。
i>63;break的位置通常是base64表初始化逻辑，看出在这里*lpa初始化了一个表
让其继续运行一段直到base64的片段完成，通过返回结果查看，发现此处已经计算出了结果。
根据v_b64_result倒查，发现是最开始的时候根据输入的值计算strlen以后得到的一个缓存，代入最开始初始化的表计算，发现果然是换表的base64，表为0123456789QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm+/
观察到在f_check之后得到最后结果输出Success
查看f_check的返回值位置，发现是判断值需要等于49
继续向下找到跳出循环的地方，发现此处是逐位比较是否相同，内部是将base64过后的值逐位使用正常表的base64编码回原来的值
故此处的f_decode其实是将base64decode以后取其在base64表中的序号 table[index]。
整理流程为input->base64(input,new_table)->逐位base64decode(x).index 与 v_arr比较得到exp
- 其中v_arr的值为080000003B00000001000000200000000700000034000000090000001F000000180000002400000013000000030000001000000038000000090000001B0000000800000034000000130000000200000008000000220000001200000003000000050000000600000012000000030000000F00000022000000120000001700000008000000010000002900000022000000060000002400000032000000240000000F0000001F0000002B0000002400000003000000150000004100000041000000ABABABABABABABAB0000000000000000B0F81AFE5FD30000C0005C00E84A5D00

exp

import base64
import struct
raw_table = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/='
new_table = '0123456789QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm+/='
dictionary_decode = str.maketrans(new_table, raw_table)  # 创建字符映射关系 用于base64decode
dictionary_encode = dict(zip(dictionary_decode.values(),dictionary_decode.keys())) # 创建一个与上面反向的映射关系用于base64encode

result = '123123' # 123123 原始的数据

result_b64 = base64.b64encode(result.encode()).decode() # MTIzMTIzMTIz base64encode(v) 正常的123123进行base64以后的值
new_result_b64 = result_b64.translate(dictionary_encode) # EP8hEP8hEP8h base64encode(v,table) 换表以后base64以后的值
new_data = new_result_b64.translate(dictionary_decode)  # MTIzMTIzMTIz base64encode(v) 变回正常的值


v_arr = '080000003B00000001000000200000000700000034000000090000001F000000180000002400000013000000030000001000000038000000090000001B0000000800000034000000130000000200000008000000220000001200000003000000050000000600000012000000030000000F00000022000000120000001700000008000000010000002900000022000000060000002400000032000000240000000F0000001F0000002B0000002400000003000000150000004100000041000000ABABABABABABABAB0000000000000000B0F81AFE5FD30000C0005C00E84A5D00'
v_arr = bytearray.fromhex(v_arr)
sow = 4  # size_of_word
v_arr = [v_arr[sow * x:sow * (x+1)] for x in range(int(len(v_arr)/sow))]
v_arr = [struct.unpack('

最终答案为 de1ctf{E_L4nguag3_1s_K3KeK3_N4Ji4}

其他文档

Python反汇编方法 Python的pyc字节码反编译反汇编相关知识
CTF逆向-常用的逆向工具提取码：pnbt
B站教程中国某省队CTF集训(逆向工程部分)
- 中国某省队CTF集训(逆向工程部分)(已授权)(一)
- 基础加密方式例如 XXTEA、Base64换表
- Python库 Z3 方程式、不定式等的约束求解
- 基础的假跳转花指令(脏字节)
- 非自然程序流程
  - 扁平化程序控制流
  - OLLVM程序流程（虚拟机壳）很难一般不考
  - ida里面按X键跟踪，寻找所有Ty为w的引用（即类型是写入的），通常就是关键位置
- 中国某省队CTF集训(逆向工程部分)(已授权)(二)
- ollydb动调去壳，upx为例子
- python的逆向和自定义虚拟指令
  - 使用pycdc 提取码：dorr 解密python编译的exe或者pyc
  - 逐条去解析用py字典手动实现的指令调用
  - C++编译的程序的逆向
- 中国某省队CTF集训(逆向工程部分)(已授权)(三)
  - 简单模运算加密
  - base58 寻找一下特别大的数，这种数通常是算法的标识，或者ida7.7版本以上自带的find crypt插件ctrl+alt+f
  - 常见的关键位置是有新的内存分配的地方通常是关键地方，或者函数中间突然return的地方也是
  - 迷宫题注意绘制出来就好
  - 动调题
    - 注意观察会执行的反调试分支，例如出现int 3，需要跳过去
基本知识
- 大小端序

更多CTF逆向题通用性做法和常用工具下载参考该博文内容：CTF逆向Reverse题的玩法

CTF逆向-[De1CTF2019]Re

Python相关栏目本月热门文章