国赛2019逆向 easyGo lebel:golang / debug段的用处

go语言函数堆栈

运行程序，这题输入的格式为flag{xxxxx}，两种方式：一种输入做加密与固定值比，一种固定值加密与输入比，这题是后者
遇到go语言先file一下，发现去符号了
ida golang helper后
先搜字符串，没有什么发现，说明关键字符串被加密了，看imports，也没有什么发现
分析main_main函数

大致流程

输入后对某变量base64，程序结尾的==和memcmp，而且每个分支都有print函数，猜测这里为关键点进行分析，整理伪代码如下

__int64 __fastcall main_main(__int64 a1, __int64 a2)
{__int64 v2; // r8__int64 v3; // r9__int64 v4; // r8__int64 v5; // r9__int64 v6; // rdx__int64 v7; // rcx__int64 v8; // r8__int64 v9; // r9__int64 v10; // rdxint v11; // er8__int64 v12; // r8__int64 v13; // r9__int64 v14; // r8__int64 v15; // r9const __m128i *v16; // rdxunsigned __int64 v17; // rbx__int64 result; // rax__int64 v19; // rdx__int64 v20; // r8__int64 v21; // r9__int128 v22; // [rsp+0h] [rbp-100h]__int128 v23; // [rsp+0h] [rbp-100h]__int64 *v24; // [rsp+8h] [rbp-F8h]__int128 v25; // [rsp+10h] [rbp-F0h]__int64 v26; // [rsp+10h] [rbp-F0h]__int64 v27; // [rsp+18h] [rbp-E8h]char v28; // [rsp+18h] [rbp-E8h]char v29; // [rsp+18h] [rbp-E8h]__int64 v30; // [rsp+20h] [rbp-E0h]__int64 v31; // [rsp+28h] [rbp-D8h]__int64 v32; // [rsp+30h] [rbp-D0h]char v33; // [rsp+58h] [rbp-A8h]char v34; // [rsp+80h] [rbp-80h]const __m128i *v35; // [rsp+98h] [rbp-68h]__int64 *v36; // [rsp+A0h] [rbp-60h]__int128 v37; // [rsp+A8h] [rbp-58h]__int128 v38; // [rsp+B8h] [rbp-48h]__int128 v39; // [rsp+C8h] [rbp-38h]__int128 v40; // [rsp+D8h] [rbp-28h]__int128 v41; // [rsp+E8h] [rbp-18h]if ( (unsigned __int64)&v34 <= *(_QWORD *)(__readfsqword(0xFFFFFFF8) + 16) )runtime_morestack_noctxt(a1, a2);runtime_newobject(a1, a2);v36 = v24;*(_QWORD *)&v41 = &unk_4A6D00;*((_QWORD *)&v41 + 1) = &off_4E1130;fmt_Fprintln(a1, a2, (__int64)&v41, (__int64)&unk_4A6D00, v2, v3, (__int64)&off_4E28A0, qword_572B18);*(_QWORD *)&v40 = &unk_4A3E80;*((_QWORD *)&v40 + 1) = v36;*(_QWORD *)&v22 = &off_4E2880;*((_QWORD *)&v22 + 1) = qword_572B10;*(_QWORD *)&v25 = &unk_4C8569;*((_QWORD *)&v25 + 1) = 2LL;fmt_Fscanf(a1, a2, (unsigned __int64)&off_4E2880, (__int64)&v40, v4, v5, v22, v25, (unsigned __int64)&v40, 1LL, 1LL);runtime_stringtoslicebyte(a1, a2, v6, v7, v8, v9);v10 = v27;*(_QWORD *)&v23 = &v33;*((_QWORD *)&v23 + 1) = v27;v28 = v31;runtime_slicebytetostring(a1, a2, v10, v31, v11, v23);encoding_base64__ptr_Encoding_DecodeString(a1, a2, v31, v30, v12, v13, qword_572B00, v30, v31);v16 = (const __m128i *)v31;v17 = v30;if ( v32 ){v35 = (const __m128i *)v31;(*(void (__fastcall **)(__int64))(v32 + 24))(a1);runtime_convTstring(a1, a2, v19);*(_QWORD *)&v39 = &unk_4A6D00;*((_QWORD *)&v39 + 1) = v26;v28 = 1;fmt_Fprintln(a1, a2, (__int64)&off_4E28A0, (__int64)&unk_4A6D00, v20, v21, (__int64)&off_4E28A0, qword_572B18);v16 = v35;v17 = v30;}if ( v36[1] == v17&& (runtime_memequal(a1, a2, (__int64)v16, *v36, v14, v15, v16, (const __m128i *)*v36, v17, v28), v29) ){*(_QWORD *)&v38 = &unk_4A6D00;*((_QWORD *)&v38 + 1) = &off_4E1140;result = fmt_Fprintln(a1, a2, (__int64)v16, (__int64)&off_4E28A0, v14, v15, (__int64)&off_4E28A0, qword_572B18);}else{*(_QWORD *)&v37 = &unk_4A6D00;*((_QWORD *)&v37 + 1) = &off_4E1150;result = fmt_Fprintln(a1, a2, (__int64)v16, (__int64)&off_4E28A0, v14, v15, (__int64)&off_4E28A0, qword_572B18);}return result;
}

静态分析

由储备知识盲猜 (__int64)&off_4E2880是输入存储的地址， (__int64)&v40是输入的长度，剩下的不太好分析，那么就动态分析

动态分析

输入123456789abcdefg 0x10个数
想找输入存的位置，但不好找，写了个脚本想在栈里找输入，失败了，在debug段里找输入，成功了，第一次用debug段，留个坑
调试发现debug,stack,vvar,vdso,vsyscall段在调试后出现的

#debug002段开始地址
begin = 0xC000000000
end = 0xC000200000
x = end-begin
for i in range(1,x-1):addr = begin+iif(Byte(addr-1) == 0x39 and Byte(addr) == 0x61 and Byte(addr+1) == 0x62 and Byte(addr+2) == 0x63 and Byte(addr+3) == 0x64 and Byte(addr+4) == 0x65 and Byte(addr+5) == 0x66):print(hex(addr))

注意到flag{92094daf-33c9-431e-a85a-8bfbd5df98ad}也是在debug段

flag{92094daf-33c9-431e-a85a-8bfbd5df98ad}

研究一下debug段

经过几次调试，debug段存储的应该是在动态调试中所有新出现的信息
比较有意思的几个点：

在main刚开始时debug段里是没有flag{92094daf-33c9-431e-a85a-8bfbd5df98ad}，在stringtoslicebyte后debug段里就出现了flag{92094daf-33c9-431e-a85a-8bfbd5df98ad}，说明这个函数与flag有关
在最后调用printf打印回显信息前，debug段没有Congratulation，调用后就有了

以后做题过程中，可以考虑一下debug段的信息