freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

面向新手的CTF实战教学(一)
2019-06-02 09:00:17
所属地 河南省

参加CTF(Capture The Flag)是提高网络安全技术水平的一种有效途径,其解题模式中主要提供了逆向、漏洞挖掘与利用、Web渗透等题目,作为业余爱好者,这不失为一种锻炼自己思路的好方法。2019年03月10日开始的“2019看雪CTF(第一季)”已经落下帷幕,本文就从第一关开始,详细解析本季CTF的比赛题目。本文面向读者为初学者,所以部分分析过程可能会详细一些, 高手可以略过 。

一、初窥门径

首先,我们登录ctf.pediy.com,找到“2019看雪CTF晋级赛Q1”,然后就从第1关开始我们的夺旗之路吧。

第一关“流浪者”,题目要求输入正确的注册码。我们将程序下载下载后双击,会出现一个输入注册码的界面。此时我们随意输入一串字符并点击“验证”,程序会弹出一个消息框,提示我们输入错误。如图:

2.png

如果你曾有些逆向的入门知识的话,这算是逆向工程中最常见的场景了。按照常规的软件运行逻辑(获取输入的字符串 --> 对字符串进行处理 --> 与真正的注册码做比较  --> 如果正确则进行下一步、错误则弹出消息框),我们只需进行反向操作,即先根据消息框上面的文字,找到调用该消息框的函数,再通过层层回溯,找到处理字符串的关键函数,进而窥探出注册码的庐山真面目。那么在这里,我们需要记下消息框上的关键线索:“错了!加油!”,然后用反汇编软件对目标程序进行详细剖析。

二、庖丁解牛

在这里,我们使用著名的反汇编软件IDA ,首先打开IDA,载入目标程序。经过一番载入后,界面停在了程序的入口点: 

6.png

那么,我们下一步的任务,就是从目标程序里面找到我们记下的关键线索——那条叫做“错了!”的字符串。我们在 IDA 菜单栏中点选“View”-->“Open subview”-->“Strings”:

7.png

然后IDA界面上就显示出了目标程序内的字符串。看,里面有我们寻找的线索:

8双击.png

此时,我们双击该字符串,就来到了该字符串对应的位置(先不要管这个红色线框):

12.png

看到上图红色线框里面的字符“sub_4017B0”了吗?这就是引用“关键线索”字符串的函数,我们双击这个函数,来到了它的地址: 

13.png

从图中的汇编代码中可知,这是一个弹出消息框的函数,并不参与注册码的相关计算。再看红色线框的内容,是调用这个函数的“上家”函数sub_4017F0,我们且双击一下它,看看“上家”在搞什么鬼?

在双击过后,界面显示了sub_4017F0函数的地址:

14.png

哦……看看红色线框里面的内容,是在操作某些字符串!是不是感觉有了点眉目了?但这一堆压栈、读写寄存器等汇编指令看得人头大,我们在这个界面上按下键盘上的“F5”,IDA会将这个函数的汇编代码翻译为C语言风格的伪代码:

15.png

这下真相大白了,原来“上家”都干了这些事情!我们分析一下代码:

int __cdecl sub_4017F0(int a1)//传入一个int变量a1
{
  int result; // eax@6
  char Str1[28]; // [sp+D8h] [bp-24h]@4
  int v3; // [sp+F4h] [bp-8h]@1
  int v4; // [sp+F8h] [bp-4h]@1
 
  v4 = 0;
  v3 = 0;

//以a1的值为基础地址,每次累加4字节,读取对应的内存数据。由此可推断出a1是一个字符串的首地址,该字符串数
//据类型为DWORD,而1个DWORD所占空间为4字节,所以要以4的倍数来移动
  while ( *(_DWORD *)(a1 + 4 * v4) < 62 && *(_DWORD *)(a1 + 4 * v4) >= 0 )
  {
//将依次读取的a1[ ]的值作为aAbcdefghiabcde[ ]数组的下标,取得相应的值存入数组Str1[ ]中。
    Str1[v4] = aAbcdefghiabcde[*(_DWORD *)(a1 + 4 * v4)];
    ++v4;
  }
  Str1[v4] = 0;

//将Str1[ ]与"KanXueCTF2019JustForhappy"进行对比,如果相同则调用函数sub_401770(),如果不同则调用函数
//sub_4017B0(注意,这个就是之前弹报错消息框的函数)
  if ( !strcmp(Str1, "KanXueCTF2019JustForhappy") )
    result = sub_401770();
  else
    result = sub_4017B0();
  return result;
}

看到这里,我们就知道了,原来函数sub_4017F0是对某个叫a1[ ]的字符串当成了索引,用它来查阅aAbcdefghiabcde[ ]的内容,然后把查阅出来的内容与"KanXueCTF2019JustForhappy"进行对比。

那么,aAbcdefghiabcde[ ]数组里面的内容是啥呢?我们再次回顾到函数sub_4017F0的反汇编代码处:

19.png

哦,原来是“KanXueCTF2019JustForhappy”下面的那一串字符啊!注册码比对的原理搞明白了,胜利就在前方!

但是先别着急,还有最后一个问题:这个用来作对比的a1[ ]数组是从哪儿来的呢?是我们一开始输入到程序里的那串字符吗?还是有别的情况?带着这个疑惑,我们回到sub_4017F0函数的界面,发现该函数还有个“上家”sub_401890在调用它:

16.png

我们还用老办法,双击红色线框内的sub_401890,跳到这个函数。然后鼠标滚轮往上滚几下,来到函数的首地址00401890:

17.png

看,从反汇编代码中可以看出,这个函数要从程序的输入框中读取字符了!看来这就是计算注册码的第一个关口了。为了方便分析,我们继续用“F5”来读(伪)源代码:

18.png

坚持住,这是最后一步了!我们对代码进行分析:

//把输入的字符放到字符串数组Str[ ]中
  Str = CString::GetBuffer((CWnd *)((char *)v8 + 100), v3);

//遍历整个数组,对数组的值进行处理
 if ( strlen(Str) )
  {
    for ( i = 0; Str[i]; ++i )
    {
      if ( Str[i] > 57 || Str[i] < 48 )
      {
        if ( Str[i] > 122 || Str[i] < 97 )
        {
          if ( Str[i] > 90 || Str[i] < 65 )
            sub_4017B0();
          else
            v5[i] = Str[i] - 29;//如果Str[i]的元素的值在65~90之间,就把它减去29,将结果放到v5[i]中去;
        }
        else
        {
          v5[i] = Str[i] - 87;//如果Str[i]的元素的值在97~122之间,就把它减去29,将结果放到v5[i]中去;
        }
      }
      else
      {
        v5[i] = Str[i] - 48;//如果Str[i]的元素的值在57~48之间,就把它减去29,将结果放到v5[i]中去;
      }
    }
    result = sub_4017F0((int)v5);//将数组v5[]传递给函数sub_4017F0 ;
  }
  else
  {
    result = CWnd::MessageBoxA(v8, "请输入pass!", 0, 0);
  }
  return result;

从上面可以看出,函数sub_401890主要是对输入的字符的值进行逐个处理。如果字符的值在48~57之间,就将其减去48;如果在65~90之间,就将其减去29;如果在97~122之间,就将其减去87。然后将处理过的数组存放到v5[ ]里面。注意,这里面的值是ASCII码!通过查阅ASCII码表可以发现:48-57对应的是数字字符“0”~“9”,65-90对应的是大写字母“A”~“Z ”,97-122对应的是小写字母“a”~“z”。

综上所述,该程序的运行流程为:[双击启动程序 ]--> [输入注册码] --> [函数sub_401890获取注册码并进行处理]--> [将处理后的字符串传递给函数sub_4017F0函数,该函数以处理后的字符串数组为索引,从aAbcdefghiabcde[ ]里面查表] --> [如果查出的结果等于 “KanXueCTF2019JustForhappy”则通过,若不相等则报错]

三、见招拆招

知道了原理,那破译出注册码的算法也就简单了,我们只需要将其反向操作一下即可。

以“KanXueCTF2019JustForhappy”的第一个字符“K”为例,“K”字符在aAbcdefghiabcde[ ]字符串的第19个位置,(aAbcdefghiabcde[ ] =“abcdefghiABCDEFGHIJKLMNjklmn0123456789opqrstuvwxyzOPQRSTUVWXYZ”,且数组第一个下标是以0为起点的),而且48~57减去48对应的值是[0~9];65~90减去29对应的值是[36~61];97~122减去87对应的值是[10~35];那么刚才“K”字符对应的19,落在了[10~35]的区间,可以得知“K”对应的注册码应该是19+87=106,通过查阅ASCII码可知,对应的是小写字母“j”。

那么,我们用编程来实现一下。上Python代码:

str_A = 'KanXueCTF2019JustForhappy'
str_B = 'abcdefghiABCDEFGHIJKLMNjklmn0123456789opqrstuvwxyzOPQRSTUVWXYZ'
str_C = []
for i in str_A:
    str_C.append(str_B.index(i))
    
password = ''
for i in str_C:
    if i >= 0 and i <10:
        password += chr(i+48)
    if i >= 9 and i < 36:
        password += chr(i+87)
    if i >= 35 and i < 62:
        password += chr(i+29)
print(password)

运行结果如下:

21.png

看,注册码被计算出来了。这时我们把蓝色字符输入到程序中,CTF第一关就通过啦:

22.png

四、后记

其实第一关没有什么难度,但由于本文主要面向新手,所以重点讲解了IDA的基本操作 、字符串及函数的交叉引用、DWORD数据结构的存储原理 、简单的算法分析等一些基本功。随着第一关的顺利通过,我们稍事休息,在第二关见!

附本题目下载地址: 2019看雪CTF > 晋级赛Q1 > 第一题 流浪者

*本文作者:张召忠,转载请注明来自FreeBuf.COM

# CTF # 实战教学
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者