DASCTF 2023 10 wp
DASCTF 2023 10 wp
auuuu3
通过解析autoit动态脚本语言执行命令,先安装这个工具
https://github.com/nazywam/AutoIt-Ripper
在Scripts文件夹中找到autoit-ripper.exe程序,按照语法输入得到script.au3文件
得到的au3文件分析加密的流程:
1 | Func ENC ( $DATA , $KEY ) |
定义一个机器码 OPCODE
1 | Local $OPCODE = "0x83EC14B83400000099..." |
- 这是嵌入在脚本里的 x86汇编机器码。
- 实际上就是一个加密函数的实现(比如某种对称加密:TEA、XTEA 或 AES 的变种)。
- 脚本不会自己实现算法,而是通过调用这段机器码来执行。
创建结构体作为缓冲区
$CODEBUFFER:存储这段机器码。$V:存储待加密的数据,补齐到 4 字节对齐。$K:存储 16 字节的密钥。
1 | import binascii |
把机器码携带文件方便我们IDA打开分析
xxtea
6 是 XXTEA 设计里保证最小轮数的常数,目的是给最少轮数的安全保证(6 + 52/n)。
n = 10 是因为密文长 40 字节,而 XXTEA 的处理单位是 4 字节一个 uint32,所以需要 40 ÷ 4 = 10 个元素。
1 | v = struct.unpack('<10I', ct) |
< 表示 小端序(least-significant byte first,和 x86/Windows 一致)。
10I 表示读取 **10 个 unsigned int (32 位无符号整数)**。
dis 模块是 Python 的字节码反汇编器,用于分析 CPython 的字节码。字节码是 Python 代码在解释器中运行的中间形式,dis 模块可以帮助开发者理解代码的底层执行逻辑,尤其在性能优化和调试中非常有用。
exp:
1 | import binascii |
marshal
1 | import marshal |
之前做过一道类似的题在seccon里
用 marshal.loads 把 CodeObject 加载出来,但不要执行。
然后用 dis.dis()(反汇编)或者 uncompyle6 / decompyle3 把字节码翻译成人能读的 Python 伪代码。
1 | print(dis.dis(l)) |
发现中间有一大块
定义了 Sbox(16 项,正好是 PRESENT 密码的 S 盒)
定义了 PBox(64 项,正好是 PRESENT 的 64-bit 置换层)以及各自的逆表 Sbox_inv、PBox_inv
在常量 #68 里塞了“第二层”字节码(一个更长的 b'c\x00\x00...'),然后 marshal.loads(...); exec(...) 去执行它
1 | import marshal |
…非常的又臭又长
解密Exp:
1 | SBOX = [12,5,6,11,9,0,10,13,3,14,15,8,4,7,1,2] |
1 | Sbox = [12, 5, 6, 11, 9, 0, 10, 13, 3, 14, 15, 8, 4, 7, 1, 2] |
vm_flutter
flutter然后java层打开发现了类似虚拟机的东西
有类似密文的东西
这里可以看到是比如S(来自dex),他是因为反编译器有多个S方法所以改成了m1944S,我们要进行hook,要对这个原来的方法进行hook,而dex本来就是被混淆过的,但是不影响我们hook
在 Frida 里要 hook 的是真实 dex 里的方法名 h,不是 jadx 生成的 m1037h。
如果觉得反混淆难看直接关了就行
1 | let C0434b = Java.use("k.b"); |
好久没做安卓逆向的frida题了命令都快忘了
1 | frida-ps -u -a 是 Frida 工具中的一个命令,用于列出通过 USB 连接的设备上所有运行的进程,并显示详细信息。 |
hook一下
1 | function hook(){ |
只打印、不执行原逻辑:把
k.b的方法全部拦截后没有调用原始实现(没orig.apply(...)),所以 VM 不会真正 push/pop/load/store,最终f741b也不会被写,S()基本过不去。它适合“只想看指令序列”的场景
output:
1 | push 48 |
可以发现有规律的
1 | push 48 |
官解的似乎不是很详细,我这完善了一份更详细的
1 | // hook_vm_final.js — 打印+透传所有 k.b 指令,并在 S 返回后 dump f741b(最终内存) |
运行后为
1 | push 48 |
1 | push 48 |
观察其实就是做了个add 然后 xor
1 | 48 + 11 = 59 |
我把两种都放在了下面其实一样
1 | import re |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Matriy's blog!
wechat- alipay
相关推荐
2024-12-25
Android逆向1-smali
Android逆向1-smali来自吾爱破解-正己 https://www.52pojie.cn/thread-1701353-1-1.html 1. JVM、Dalvik、ART JVM是JAVA虚拟机,运行JAVA字节码程序 Dalvik是Google专门为Android设计的一个虚拟机,Dalvik有专属的文件执行格式dex(Dalvik executable) Art(Android Runtime)相当于Dalvik的升级版,本质与Dalvik无异 2. smali及其语法smali是Dalvik的寄存器语言,smali代码是dex反编译而来的。 关键字 名称 注释 .class 类名 .super 父类名,继承的上级类名名称 .source 源名 .field 变量 .method 方法名 .register 寄存器 .end...
2025-04-20
2025 UCSC CTF WriteUp
2025 UCSC CTF wp Reverseeasy_re-ucsc简单异或 1234enc = '''n=<;:h2<'?8:?'9hl9'h:l>'2>>2>hk=>;:?'''for i in range(0,len(enc)): print(chr(ord(enc[i]) ^ 10),end='') flag{d7610b86-5205-3bf3-b0f4-84484ba74105} EZ_debug-ucscdebug能看结果,下断点道最后就行,直接看 123for i in range(0,len(enc)): print(chr(enc[i]),end='') flag{709e9bdd-0858-9750-8c37-9b135b31f16d} simplere-ucsc...
2025-02-25
BUUCTF-re-page1
BUUCTF-re-page1easyre 提交 reverse1跟进Str2,加flag 瞎了,上面还有个如果是o就换成0,改一改提交 {hell0_w0rld} reverse2flag:{hacking_for_fun} 但做了替换 flag{hack1ng_fo1_fun} 内涵的软件DBAPP{49d3c93df25caad81232130f3d2ebfad} flag{49d3c93df25caad81232130f3d2ebfad} 新年快乐upx壳,工具脱壳 xor 有个异或逻辑 跟进global 12345678910111213enc = [ 0x66, 0x0A, 0x6B, 0x0C, 0x77, 0x26, 0x4F, 0x2E, 0x40, 0x11, 0x78, 0x0D, 0x5A, 0x3B, 0x55, 0x11, 0x70, 0x19, 0x46, 0x1F, 0x76, 0x22, 0x4D, 0x23, 0x44, 0x0E, 0x67, 0x06, 0x68, 0x0F, 0x47, 0x32, 0x4F]for i...
2025-05-03
DASCTF 2024最后一战 wp(复现)
DASCTF 2024最后一战 wp(复现)checkin 访问即可 西湖论剑邀请函获取器get_env(name = “FLAG”)即可 Webconst_python123456# 假设存在如下路由处理@app.route('/load')def load_data(): data = base64.b64decode(request.cookies.get('data')) obj = pickle.loads(data) return "Loaded" 题目导入了 pickle、base64 等模块,且存在动态数据处理逻辑(如 Session 管理、身份验证),可能通过反序列化传递对象。 Pickle 协议的本质:Pickle 不是简单的数据序列化,而是能重建任意对象的协议。反序列化时会自动调用 __reduce__ 方法,该方法返回一个可执行函数和参数元组。 在线反弹shell生成工具 – Zgao’s...
2025-07-29
DubheCTF 2024 re 复现
DubheCTF reVMT有非常多的反调试,因此直接使用x32dbg+sharpOD过反调,中间发现一个类似Key的东西 输入aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa,运行到这key变了,且输出,好像发现我patch过程序了 key肯定是这俩中的一个 这个有点像密文 这个函数是个加密算法 cyberchef试了几种加密算法发现是SM4直接出了 DubheCTF{VMT_H00K_4ND_$3H_15_U53FUL} 12345from gmssl.sm4 import CryptSM4, SM4_DECRYPT, NoPaddingsm4_dec = CryptSM4(padding_mode=NoPadding)sm4_dec.set_key(b'Pyu0Z8#bC5vqUFgt',...
2025-07-02
DASCTF 2025上半年赛-re
DASCTF 2025上半年赛-re鱼音乐直接解Exe后pyc反编译得到 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071# uncompyle6 version 3.9.2# Python bytecode version base 3.8.0 (3413)# Decompiled from: Python 3.6.12 (default, Feb 9 2021, 09:19:15)# [GCC 8.3.0]# Embedded file name: main.pyimport sys, osfrom PyQt5.QtWidgets import QApplication, QMainWindow, QWidget, QPushButton, QLabel, QVBoxLayout, QFileDialog, QMessageBoxfrom...
评论