buuoj[ACTF_Junior_2020]Splendid_MineCraft WriteUp
Splendid_MineCraft
题目标题就已经暗示这题是SMC了(self-modifying code)。
工具:exeinfo,x32dbg和IDA7.0
先丢进exeinfo里查看相关信息:
用IDA打开:
根据可以字符串“Wrong!\n”直接锁定sub_401080为main函数。
int sub_401080() { char *v0; // eax char *v1; // eax char *v2; // ST28_4 signed int i; // [esp+14h] [ebp-54h] int v5; // [esp+20h] [ebp-48h] char Str1; // [esp+24h] [ebp-44h] char v7; // [esp+3Dh] [ebp-2Bh] int v8; // [esp+44h] [ebp-24h] __int16 v9; // [esp+48h] [ebp-20h] char v10[4]; // [esp+4Ch] [ebp-1Ch] __int16 v11; // [esp+50h] [ebp-18h] int v12; // [esp+54h] [ebp-14h] __int16 v13; // [esp+58h] [ebp-10h] int v14; // [esp+5Ch] [ebp-Ch] __int16 v15; // [esp+60h] [ebp-8h] sub_401020((const char *)&unk_404118, (unsigned int)"Welcome to ACTF_Splendid_MineCraft!"); sub_401050((const char *)&unk_40411C, (unsigned int)&Str1); if ( strlen(&Str1) == 26 ) { if ( !strncmp(&Str1, "ACTF{", 5u) && v7 == 125 ) { v7 = 0; v0 = strtok(&Str1, "_"); v12 = *(_DWORD *)(v0 + 5); v13 = *(_WORD *)(v0 + 9); v14 = *(_DWORD *)(v0 + 5); v15 = *(_WORD *)(v0 + 9); v1 = strtok(0, "_"); v8 = *(_DWORD *)v1; v9 = *((_WORD *)v1 + 2); v2 = strtok(0, "_"); *(_DWORD *)v10 = *(_DWORD *)v2; v11 = *((_WORD *)v2 + 2); dword_403354 = (int)dword_4051D8; if ( ((int (__cdecl *)(int *))dword_4051D8[0])(&v12) ) { v5 = SBYTE2(v14) ^ SHIBYTE(v15) ^ (char)v14 ^ SHIBYTE(v14) ^ SBYTE1(v14) ^ (char)v15; for ( i = 256; i < 496; ++i ) byte_405018[i] ^= v5; JUMPOUT(__CS__, &byte_405018[256]); } sub_401020("Wrong\n"); } else { sub_401020("Wrong\n"); } } else { sub_401020("Wrong\n"); } return 0; }
由三个strtok函数可知,flag{}里的内容应该是被_分成了三个部分,根据输入长度猜测每个部分应该是6字节长(这三个部分我们分别称为flag_sec1,flag_sec2和flag_sec3)。
flag_sec1
因为是SMC基本上确定是要动态调试的,所以大致了解一下main函数的结构,就丢进x32dbg里开始调试。
先搜索字符串,直接进入main函数:
到call CB1050时调试会卡住,说明程序此时正在等待输入,于是我们可以得到:
先随便输入一个flag:ACTF{123456_ABCDEF_abcdef}
我们向下浏览会发现有三个strtok()函数,如图
正好与IDA反编译的结果相吻合,所以这三个函数后面应该是对flag内容的比较。
在最后一个strtok()函数后面打个断点,直接跳过中间的内容,然后进行单步调试,直到进入这个call。
进入call后会发现很多奇怪的指令,这才进入到我们这篇WP真正的主题:SMC
一步一步F7调试,会发现随着如下循环的进行,奇怪的汇编指令也会被改变:
跳过SMC循环继续调试,会发现又有一个大循环:
经过一遍又一遍的调试,会发现里面的三条关键指令:
异或和求和的过程中并没有用到我们的输入,结果都储存到ss:[ebp+eax-20]里,直接运行完follow in dump:
这就是上面循环得到的结果。
阅读循环可知:00CB5332的cmp edx,ecx就是比较用户输入和flag的过程。
flag_sec1 = yOu0y*
flag_sec2
这段也是SMC,修改后面jmp EAX里面的代码。
重新调试,输入flag_sec1正确的字符串继续调试。没啥好说的,知道调试到jmp eax:
一进去就遇到个循环,但是这个循环非常诡异,因为中间有多余代码,其实不断的调试就会发现,中间的多余代码是会被修改的!这其实就是SMC,但是本该是数据却被x32dbg识别成了代码而已,通过
右键->Analysis->Treat from section as byte就可以将其转化为数据了,如下图:
这个循环只是把用户输入的flag_sec2保存到了这个区域里(ABCDEF对应着41-46)。
后面有个循环:
(一边F7一边查看dump窗口。不好意思没看出来有啥用,估计是烟雾弹)
其实就是EAX[flag_sec[i]^(0x83+i)] == EAX[EDI+166]
flag_sec2 = knowo3
flag_sec3
题目里直接明文strcmp,
flag_sec3 = 5mcsM<
综上:flag{yOu0y*_knowo3_5mcsM<}