181008 逆向-inctf(load3r、Decoy)

load3r

题目提示可知bin文件为bootloader
将其用IDA打开，选择16-bit模式加载，即可看到反汇编出的程序

由于IDA不支持16-bit的F5，所以只能读汇编
不过由于bootloader对长度有限制，必须为512字节以内，因此相对不是很复杂
多提一句，按空格可以转为graph模式，这个状态下可以看到代码块之间的跳转关系，非常方便

以

seg000:000B                 mov     si, 16h
seg000:000E                 call    sub_11B

为例分析，双击sub_11B进去看这个函数

int x是系统提供的中断API，这个函数中IDA对int 10H进行了提示：
WRITE CHARACTER AND ADVANCE CURSOR
即写出字符，其中AL寄存器保存字符，BH和BL表示颜色和坐标等高级选项，可以不用关心
而AL的赋值来自于lodsb，百度它可以发现这条汇编指令的作用是将si寄存器指向的地址处的值送到AL中，然后si寄存器自增。
而si寄存器在call之前进行了赋值，即0x16h处的字符串"'ENTER THE FLAG"

int 10h之后是jmp回函数开头，因此这是一个循环
而循环的终止条件就在于cmp al, 0和jz 0x1d3两条指令，
它们表示当AL为0时跳转到0x1d3处

那么到这里就可以判断出sub_11B这个函数就是用来打印字符串的，我们将光标移动到它上，按"n"可以重命名，从而方便以后的观察

继续往后分析，在sub_128中，int 16h来接收输入

seg000:012E                 int     16h             ; KEYBOARD - READ CHAR FROM BUFFER, WAIT IF EMPTY
seg000:012E                                         ; Return: AH = scan code, AL = character
seg000:0130                 mov     ds:6Dh, al
seg000:0133                 mov     [bx+6Fh], al
seg000:0137                 cmp     byte ptr ds:6Dh, 0Dh
seg000:013C                 jz      short loc_147

调用完后al存储字符的ASCII，后面将它放入ds:6D和[bx+6Fh]中，再与0D比较，相等则跳转
对照ASCII表可知，0x0d是回车键，也就是说直到输入回车表示结束

不跳转的情况下也是一个循环，会对bx自增，而调用之前可知bx的初值为0（在0x5处的指令mov bx, 0），因此bx是个计数器

结束输入以后

seg000:014D                 cmp     bx, 22h ; '"'
seg000:0150                 jz      short loc_154
seg000:0152                 jmp     short loc_184

可以看到对输入字符数进行了检查，非0x2 2的话会进入0x184分支，而在这个分支

seg000:018A                 mov     si, 65h ; 'e'
seg000:018D                 call    print

打印了一串字符串，即0x65处的“Noooo"
所以这里是错误结果

继续往另一边看，

seg000:015D loc_15D:                                ; CODE XREF: sub_128+4A↓j
seg000:015D                                         ; sub_128+54↓j
seg000:015D                 mov     al, 31h ; '1'
seg000:015F                 cmp     [bx+0C9h], al
seg000:0163                 jz      short loc_174

这里是bx作为index，将[0xc9+index]处的值（即"0100010011011101111111011010110101")与0x31即(‘1’)比较
然后做了一个分支，jz即相等的时候，会调用shl ax,1，即将ax左移1位
不等的时候则会调用shr ax,1，即将ax右移1位
然后结果存到0xee+bx中，再将bx+1，回头循环

这里的ax同样来自于lodsb，那么要去找si寄存器的值，即

seg000:015A                 mov     si, 6Fh ; 'o'

这里0x6f存的值就是刚才int 16h接收的输入

等于"0"的那个分支中还对计数器bx做了检查，等于0x23的时候停止循环，继续往下走

seg000:01AE loc_1AE:                                ; CODE XREF: sub_128+94↓j
seg000:01AE                 lodsb
seg000:01AF                 cmp     al, 0
seg000:01B1                 jz      short loc_1BE
seg000:01B3                 mov     ah, 0Eh
seg000:01B5                 xor     al, 5
seg000:01B7                 mov     [bx+9Ch], al
seg000:01BB                 inc     bx
seg000:01BC                 jmp     short loc_1AE

这里结构也类似，只是逐字符xor 5，百度即可知道是异或运算

最后

seg000:01BE loc_1BE:                                ; CODE XREF: sub_128+89↑j
seg000:01BE                 mov     bx, 21h ; '!'
seg000:01C1                 mov     si, 9Ch
seg000:01C4
seg000:01C4 loc_1C4:                                ; CODE XREF: sub_128+A9↓j
seg000:01C4                 lodsb
seg000:01C5                 cmp     al, [bx+27h]
seg000:01C9                 jnz     short loc_184
seg000:01CB                 cmp     bx, 0
seg000:01CE                 jz      short loc_192
seg000:01D0                 dec     bx
seg000:01D1                 jmp     short loc_1C4

与0x27处的字符比较
注意这里的bx是倒着用的，初值为0x21，每次比较过后dec即自减

不等的话会通过jnz跳转到失败分支0x184

综上
整个逻辑等价于

char input[0x22];
char data_ee[0x22];
char data_27[] = "w2g1kS<c7me3keeuSMg1kSk%Se<=S3%/e/";
char data_c9[] = "0100010011011101111111011010110101";
scanf("%s", &input);
if(len(input)==0x22){
for(int bx=0;bx<0x23;bx++){
if(data_c9[bx]=='1'){
data_ee = input[bx]<<1;
}
else{
data_ee = input[bx]>>1;
}
}
for(int bx=0;bx<0x23;bx++){
data_ee[bx] = data_ee[bx]^5;
}
for(int bx=0x21;bx==0;bx--){
if(data_ee[bx]!=data_27[bx]){
wrong();
}
}
correct();
}
wrong();

即先根据data_c9判断将输入左移或右移1位，然后全部异或5，最后与data_27比较

求解正确输入的方法很简单，只需要逆着来一遍即可，先将data_27异或5，然后再左移或右移1位

python3代码如下:

a = "0100010011011101111111011010110101"
b = 'w2g1kS<c7me3keeuSMg1kSk%Se<=S3%/e/'[::-1]
for i in range(len(a)):v = ord(b[i])^5if(a[i]=="0"):c = v<<1else:c = v>>1print(chr(c),end='')

C代码也很好写，我就懒得折腾了

最后如果得到
“T0T@l+pr0+@7+7h1$+8007l04d3r+7h1n9”
就说明对咯~

Decoy

题目描述玄乎的一批，难度还是Medium，上面的load3r才是Easy

The closer you think you are, the less you’ll actually see.

main函数里直接进行接收输入并check
可以看到有很多路径，扫一眼cfg相当好看

随便选一条路径走下去发现是将input分了四段进行check
最后通过的话会落到sub_4015a6里，然后里面混淆了两段字符串
通过IDC脚本快速解出

IDC>auto i;for(i=0;i<=0x29;i++){Message("%c", Byte(0x407078+i)^1);}
Y0u_Thought_You_Can_Solve_This_Decoy??? : P
IDC>auto i;for(i=0;i<=0x1a;i++){Message("%c", Byte(0x4070a3+i)^1);}
Try_A_Different_Approach_: P

很明显，这是错误的路径
那么问题就在于找出正确的路径了

直接看F5相对而言不太好分清深度，我们来看CFG
将那几个操蛋的函数重命名以后，在graph view模式下可以方便地看到与FakeCorrect和TinyMistake同一层级的代码块

扫一下就能发现这里

这一行的代码块call的目标都是深蓝色的命名函数，只有这个东西与众不，让我们来看看它是什么妖精
还是同样的字符串混淆

IDC>auto i;for(i=0;i<=0x6;i++){Message("%c", Byte(0x4070c2+i)^2);}
correct

那么稳啦，就是这个路径了，于是再回溯找出各个函数的结果吧
以第一个函数为例

int __cdecl sub_4018D9(int a1)
{char v2[12]; // [esp+8h] [ebp-28h]char v3[12]; // [esp+14h] [ebp-1Ch]int v4; // [esp+20h] [ebp-10h]int v5; // [esp+24h] [ebp-Ch]int j; // [esp+28h] [ebp-8h]int i; // [esp+2Ch] [ebp-4h]j = 0;v5 = 0;v4 = 0;for ( i = 0; i <= 10; ++i )v3[i] = *(_BYTE *)(i + a1) ^ 0xB;for ( i = 0; i <= 10; ++i )v3[i] ^= 0x13u;for ( j = 0; j <= 10; ++j )v2[j] = aFWlgL[j] ^ 0xB;v2[j] = 0;while ( v5 <= 10 ){if ( v3[v5] == v2[v5] )++v4;elsev4 = 0;++v5;}return v4;
}

a1是参数即input的指针，将input^0xB,再^0x13后与^0xB的str逐字符比较
那么很容易就能看出，只要将那串str异或0xB就能得到这一段输入啦

IDC>auto i;for(i=0;i<=10;i++){Message("%c", Byte(0x4070ca+i)^0x13);}
0und_Th3_n3

这就是这一段的内容了

最后将若干段解码出来的内容全部拼接起来即是flag啦

注意有一个函数的解码是逆序的哦

另外，除了在CFG中根据深度来找的方法，这个方法还是有点麻烦
还可以查看Functions Call的图（快捷键F12，View-Graph-Functions call）

这里可以看到，调用puts、putchar、printf三种输出函数的就那么几个
除了我们已经标好的FakeCorrect、Wrong、TinyMistake以外，全部都指向了sub_40166C

于是也能快速找到这个函数
初次以外，还有一些进阶的、使用脚本的方法来完成
例如如果每个分支调用的FakeCorrect都是函数名不一样的函数该怎么办呢？

这种时候可以通过脚本逐汇编判断，向下爬取，找到call的函数后提取特征，例如对整个函数哈希，然后给出地址和结果

而这实际上就是符号执行的思路了，因此也可以直接拿现成的框架，比如angr来跑