博客园

buuoj[ACTF_Junior_2020]Splendid_MineCraft WriteUp

Splendid_MineCraft

题目标题就已经暗示这题是SMC了(self-modifying code)。

工具:exeinfo,x32dbg和IDA7.0

先丢进exeinfo里查看相关信息:

 

 用IDA打开:

根据可以字符串“Wrong!\n”直接锁定sub_401080为main函数。

int sub_401080()
{
  char *v0; // eax
  char *v1; // eax
  char *v2; // ST28_4
  signed int i; // [esp+14h] [ebp-54h]
  int v5; // [esp+20h] [ebp-48h]
  char Str1; // [esp+24h] [ebp-44h]
  char v7; // [esp+3Dh] [ebp-2Bh]
  int v8; // [esp+44h] [ebp-24h]
  __int16 v9; // [esp+48h] [ebp-20h]
  char v10[4]; // [esp+4Ch] [ebp-1Ch]
  __int16 v11; // [esp+50h] [ebp-18h]
  int v12; // [esp+54h] [ebp-14h]
  __int16 v13; // [esp+58h] [ebp-10h]
  int v14; // [esp+5Ch] [ebp-Ch]
  __int16 v15; // [esp+60h] [ebp-8h]

  sub_401020((const char *)&unk_404118, (unsigned int)"Welcome to ACTF_Splendid_MineCraft!");
  sub_401050((const char *)&unk_40411C, (unsigned int)&Str1);
  if ( strlen(&Str1) == 26 )
  {
    if ( !strncmp(&Str1, "ACTF{", 5u) && v7 == 125 )
    {
      v7 = 0;
      v0 = strtok(&Str1, "_");
      v12 = *(_DWORD *)(v0 + 5);
      v13 = *(_WORD *)(v0 + 9);
      v14 = *(_DWORD *)(v0 + 5);
      v15 = *(_WORD *)(v0 + 9);
      v1 = strtok(0, "_");
      v8 = *(_DWORD *)v1;
      v9 = *((_WORD *)v1 + 2);
      v2 = strtok(0, "_");
      *(_DWORD *)v10 = *(_DWORD *)v2;
      v11 = *((_WORD *)v2 + 2);
      dword_403354 = (int)dword_4051D8;
      if ( ((int (__cdecl *)(int *))dword_4051D8[0])(&v12) )
      {
        v5 = SBYTE2(v14) ^ SHIBYTE(v15) ^ (char)v14 ^ SHIBYTE(v14) ^ SBYTE1(v14) ^ (char)v15;
        for ( i = 256; i < 496; ++i )
          byte_405018[i] ^= v5;
        JUMPOUT(__CS__, &byte_405018[256]);
      }
      sub_401020("Wrong\n");
    }
    else
    {
      sub_401020("Wrong\n");
    }
  }
  else
  {
    sub_401020("Wrong\n");
  }
  return 0;
}

由三个strtok函数可知,flag{}里的内容应该是被_分成了三个部分,根据输入长度猜测每个部分应该是6字节长(这三个部分我们分别称为flag_sec1,flag_sec2和flag_sec3)。

flag_sec1

因为是SMC基本上确定是要动态调试的,所以大致了解一下main函数的结构,就丢进x32dbg里开始调试。

先搜索字符串,直接进入main函数:

 到call CB1050时调试会卡住,说明程序此时正在等待输入,于是我们可以得到:

先随便输入一个flag:ACTF{123456_ABCDEF_abcdef}

我们向下浏览会发现有三个strtok()函数,如图

正好与IDA反编译的结果相吻合,所以这三个函数后面应该是对flag内容的比较。

在最后一个strtok()函数后面打个断点,直接跳过中间的内容,然后进行单步调试,直到进入这个call。

 进入call后会发现很多奇怪的指令,这才进入到我们这篇WP真正的主题:SMC

 

 一步一步F7调试,会发现随着如下循环的进行,奇怪的汇编指令也会被改变:

 跳过SMC循环继续调试,会发现又有一个大循环:

 经过一遍又一遍的调试,会发现里面的三条关键指令:

异或和求和的过程中并没有用到我们的输入,结果都储存到ss:[ebp+eax-20]里,直接运行完follow in dump:

 这就是上面循环得到的结果。

阅读循环可知:00CB5332的cmp edx,ecx就是比较用户输入和flag的过程。

flag_sec1 = yOu0y*

flag_sec2

 这段也是SMC,修改后面jmp EAX里面的代码。

重新调试,输入flag_sec1正确的字符串继续调试。没啥好说的,知道调试到jmp eax:

 一进去就遇到个循环,但是这个循环非常诡异,因为中间有多余代码,其实不断的调试就会发现,中间的多余代码是会被修改的!这其实就是SMC,但是本该是数据却被x32dbg识别成了代码而已,通过

右键->Analysis->Treat from section as byte就可以将其转化为数据了,如下图:

这个循环只是把用户输入的flag_sec2保存到了这个区域里(ABCDEF对应着41-46)。

后面有个循环:

 (一边F7一边查看dump窗口。不好意思没看出来有啥用,估计是烟雾弹)

其实就是EAX[flag_sec2[i]^(0x83+i)] == EAX[EDI+166]

flag_sec2 = knowo3

flag_sec3

题目里直接明文strcmp,

flag_sec3 = 5mcsM<

 

综上:flag{yOu0y*_knowo3_5mcsM<}

posted @ 2020-10-26 00:27  CSULuyao  阅读(217)  评论(1编辑  收藏  举报