不知道你是否使用過IDA的條件斷點呢?在IDA進階使用中,它的很多功能都有大作用,比如:ida-trace來跟蹤調用流程。同時IDA的斷點功能也十分強大,配合IDA-python的輸出語句能夠大殺特殺!
那么本文就介紹一下這個功能點,使用z3來秒解題目。
條件斷點
什么是條件斷點呢?
條件斷點(Conditional
Breakpoint)是一種在代碼調試過程中設置的斷點,它可以根據特定的條件暫停程序的執行。當程序執行到設置了條件斷點的代碼行時,如果該條件為真,則程序會暫停執行;如果該條件為假,則程序會繼續執行。這種調試技術常用于復雜的程序調試,能夠幫助程序員更快地發現程序中的錯誤,并提高調試的效率。條件斷點可以應用于多種編程語言和開發環境中,如C++、Java、Python等。
與普通的斷點大差不差,不同點在于,程序運行到條件斷點處時,不會讓程序暫停,而是繼續執行,并執行我們設置好的腳本。
OK,接下來讓我們分析這道題目
初次分析
main函數
flag的格式
打開main函數,發現使用了SIMD指令賦值了一些關鍵數據
繼續分析
看來cry1和cry2是很關鍵的函數
密文:
cry1
發現對我們的輸入flag,進行一些轉換:
比如:位置順序和對我們的flag異或一個固定的值。
異或的值是由上下文決定的,但是總是單字節固定
將輸入的flag運算完后,轉換為 一個int類型的矩陣
初次分析到此結束
幫助網安學習,全套資料S信免費領取:
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
cry2
條件斷點妙用
經過動調,我發現關鍵的加密就這三個匯編指令。
意思:取flag->與一個固定的矩陣相乘->輸出加密之后的矩陣
如果我們能夠打印,加密前的flag和相乘的矩陣元素,就可以逆推明文啦
主要是不清楚,矩陣相乘的順序,可能是打亂的,那樣只能這樣來做。
使用了:條件斷點
這三個斷點依次使用下面3個條件輸出
主要是這兩個命令:
get_reg_value(“rbx”) 獲取rbx寄存器的值
idc.get_wide_dword() 獲取某地址的值(4字節讀取)
print("[rbx] = ",hex(idc.get_wide_dword(get_reg_value("rbx"))))print("rax = ",hex(get_reg_value("rax")),"[rdi]=",hex(idc.get_wide_dword(get_reg_value("rdi"))))print("output,rax = ",hex(get_reg_value("rax")),"n")
然后edit breakpoint
OK,見證奇跡的時刻到了,運行程序,成功輸出:
推導
因為密文說16字節的,我們將真正的密文提取出來和我們輸入假flag產生的密文也提取出來,進行對比
Python
密文unsigned int data[16] = {0x00000436, 0x000002B4, 0x000002AF, 0x00000312, 0x000002EA, 0x00000253,0x0000020A, 0x0000028E,0x000001C6, 0x0000015C, 0x0000017C, 0x0000017A, 0x0000069E, 0x000004AE,0x000004B1, 0x00000522};假flag輸出的結果密文unsigned int data[16] = {0x00000466, 0x000002F9, 0x00000329, 0x0000046E, 0x00000290, 0x00000184,0x000001E4, 0x0000023A,0x00000183, 0x000000C1, 0x0000011E, 0x00000122, 0x00000646, 0x00000467,0x000004F7, 0x000005EA};這是根據條件輸出得到的規律;x1*1+x2*5+x3*4+x4*3=0x436y1*1+y2*5+y3*4+y4*3=0x2B4z1*1+z2*5+z3*4+z4*3=0x2AFn1*1+n2*5+n3*4+n4*3=0x312x1*2+x2*1+x3*2+x4*3=0x2EAy1*2+y2*1+y3*2+y4*3=0x253z1*2+z2*1+z3*2+z4*3=0x20An1*2+n2*1+n3*2+n4*3=0x28Ex1*2+x2+x3+x4=0x1c6y1*2+y2+y3+y4=0x15cz1*2+z2+z3+z4=0x17cn1*2+n2+n3+n4=0x17ax1*3+x2*5+x3*4+x4*7=0x69ey1*3+y2*5+y3*4+y4*7=0x4aez1*3+z2*5+z3*4+z4*7=0x4b1n1*3+n2*5+n3*4+n4*7=0x522
z3解密
解密腳本:
Python
from z3 import *# 定義變量x = [Int(f'x{i}') for i in range(1, 5)]y = [Int(f'y{i}') for i in range(1, 5)]z = [Int(f'z{i}') for i in range(1, 5)]n = [Int(f'n{i}') for i in range(1, 5)]# 定義目標值goal = [0x466,0x2f9,0x329,0x46e,0x290,0x184,0x1e4,0x23a,0x183,0xc1,0x11e,0x122,0x646,0x467,0x4f7,0x5ea]# 定義約束條件constraints = [x[0]*1 + x[1]*5 + x[2]*4 + x[3]*3 == goal[0],y[0]*1 + y[1]*5 + y[2]*4 + y[3]*3 == goal[1],z[0]*1 + z[1]*5 + z[2]*4 + z[3]*3 == goal[2],n[0]*1 + n[1]*5 + n[2]*4 + n[3]*3 == goal[3],x[0]*2 + x[1]*1 + x[2]*2 + x[3]*3 == goal[4],y[0]*2 + y[1]*1 + y[2]*2 + y[3]*3 == goal[5],z[0]*2 + z[1]*1 + z[2]*2 + z[3]*3 == goal[6],n[0]*2 + n[1]*1 + n[2]*2 + n[3]*3 == goal[7],x[0]*2 + x[1] + x[2] + x[3] == goal[8],y[0]*2 + y[1] + y[2] + y[3] == goal[9],z[0]*2 + z[1] + z[2] + z[3] == goal[10],n[0]*2 + n[1] + n[2] + n[3] == goal[11],x[0]*3 + x[1]*5 + x[2]*4 + x[3]*7 == goal[12],y[0]*3 + y[1]*5 + y[2]*4 + y[3]*7 == goal[13],z[0]*3 + z[1]*5 + z[2]*4 + z[3]*7 == goal[14],n[0]*3 + n[1]*5 + n[2]*4 + n[3]*7 == goal[15]]# 創建求解器solver = Solver()# 添加約束條件solver.add(constraints)# 求解if solver.check() == sat:model = solver.model()for i in range(1, 5):print(f'x{i} = {model[x[i-1]]}')print(f'y{i} = {model[y[i-1]]}')print(f'z{i} = {model[z[i-1]]}')print(f'n{i} = {model[n[i-1]]}')else:print('無解')
得到的結果,將其按照數組來填充
得到
Python
這是真flag解密后的結果:x1 = 100y1 = 89z1 = 119n1 = 92x2 = 66y2 = 5z2 = 69n2 = 4x3 = 84y3 = 83z3 = 4n3 = 104x4 = 104y4 = 82z4 = 69n4 = 86100,89,119,92,66,5,69,4,84,83,4,104,104,82,69,86這是假flag解密后的結果:
x1 = 60y1 = 1z1 = 47n1 = 4x2 = 88y2 = 87z2 = 86n2 = 95x3 = 89y3 = 13z3 = 14n3 = 94x4 = 90y4 = 91z4 = 92n4 = 9360,1,47,4,88,87,86,95,89,13,14,94,90,91,92,93
按照我的思路來填充結果數組;
因為剛才說了,異或的值不清楚,但是一直為單字節固定值,所以使用Cybe的爆破功能。
根據程序的驗證功能可知,flag以Sn@K開頭,所以找到了真正的flag
但是順序發生了變化,下面是假flag生成密文解密之后的結果,發現密文變化了
±----------------------------------------------------------------------+
| Sn@ku2r3cd3__era |
| Sn@k78906ba15432 |
| |
| Sn@k0123456789ab |
| |
| 經過交換后的結果: |
| |
| Sn@k78906ba15432 |
| |
| 按照我們構造的flag交換順序后的字符串來恢復 |
| 恢復 |
| Sn@k3_are_cu2r3 |
±----------------------------------------------------------------------+
成功驗證!
)
: Flutter的版本管理終極指南)
