美文网首页
hgame ShinyShot!

hgame ShinyShot!

作者: 喝豆腐脑加糖 | 来源:发表于2019-02-25 20:06 被阅读0次

就是mark一下里面smc

解法
做的时候可以直接锁定加密部分sub_4014FA函数

size_t __cdecl sub_4014FA(char *a1, char *a2)
{
  int v2; // eax@3
  int v3; // ebx@5
  int v4; // eax@5
  int v5; // ebx@7
  int v6; // eax@7
  size_t result; // eax@17
  signed int v8; // [sp+10h] [bp-18h]@1
  size_t v9; // [sp+10h] [bp-18h]@15
  int j; // [sp+14h] [bp-14h]@15
  signed int i; // [sp+18h] [bp-10h]@1
  int v12; // [sp+1Ch] [bp-Ch]@1

  v12 = 0;
  v8 = 4 * strlen(a1) / 3;
  for ( i = 0; i < v8; ++i )
  {
    if ( i & 3 )
    {
      if ( ((((i >> 32) >> 30) + i) & 3) - ((i >> 32) >> 30) == 1 )
      {
        v3 = 16 * a1[v12 - 1] & 0x30;
        v4 = v12++;
        a2[i] = byte_405020[v3 | (a1[v4] >> 4)];
      }
      else if ( ((((i >> 32) >> 30) + i) & 3) - ((i >> 32) >> 30) == 2 )
      {
        v5 = 4 * a1[v12 - 1] & 0x3C;
        v6 = v12++;
        a2[i] = byte_405020[v5 | (a1[v6] >> 6)];
      }
      else
      {
        a2[i] = byte_405020[a1[v12 - 1] & 0x3F];
      }
    }
    else
    {
      v2 = v12++;
      a2[i] = byte_405020[(a1[v2] >> 2)];
    }
  }
  if ( strlen(a1) % 3 == 1 )
  {
    a2[v8] = byte_405020[16 * a1[v12 - 1] & 0x30];
    a2[v8 + 1] = 61;
    a2[v8 + 2] = 61;
  }
  else if ( strlen(a1) % 3 == 2 )
  {
    a2[v8] = byte_405020[4 * a1[v12 - 1] & 0x3C];
    a2[v8 + 1] = 61;
  }
  a2[strlen(a2)] = 0;
  v9 = strlen(a2);
  for ( j = 0; ; ++j )
  {
    result = v9 - 1;
    if ( (v9 - 1) <= j )
      break;
    a2[j + 1] ^= a2[j];   //每个字符异或和前一位异或
  }
  return result;
}
图片.png

改表的base64

图片.png

文件32位跟加密后数据对比


图片.png

字符异或得到

DnY0m19iAgArMKjSP2Uvme8wOzb0iD==

从网上找个base64解码,套脚本就好

题目的解法很简单

关于smc可以看到

int __cdecl sub_4017AA(char a1)
{
  char *Str; // ST00_4@4
  char *MaxCount; // [sp+4h] [bp-200h]@3
  int DstBuf; // [sp+Eh] [bp-1F6h]@1
  __int16 v5; // [sp+12h] [bp-1F2h]@1
  int v6; // [sp+3Ch] [bp-1C8h]@1
  CHAR Filename; // [sp+40h] [bp-1C4h]@1
  char Str1; // [sp+144h] [bp-C0h]@1
  char Buf[60]; // [sp+1A8h] [bp-5Ch]@1
  unsigned int mum; // [sp+1E4h] [bp-20h]@1
  FILE *v11; // [sp+1E8h] [bp-1Ch]@4
  char *v12; // [sp+1FCh] [bp-8h]@1

  v12 = &a1;
  sub_401EE0();
  puts("Sorroundings...Weird..");
  mum = 0;
  memset(Buf, 0, sizeof(Buf));
  memset(&Str1, 0, 0x64u);
  memset(&Filename, 0, 0x104u);
  DstBuf = 0;
  v6 = 0;
  memset((&v5 & 0xFFFFFFFC), 0, 4 * (((&DstBuf + -(&v5 & 0xFFFFFFFC) + 50) & 0xFFFFFFFC) >> 2));
  puts("I see!It's not my fault!Wrong is the world!");
  puts("So..Now I should give a shot to fix it!");
************************************************************************
  scanf("%u", &mum);    //输入一个数字
  if ( mum > 0x20000 )  //判断输入数字大小
    sub_40178C();      
  getchar();                 //吃掉回车
  sub_401460(mum);   //关键
  puts("And then,a shiny explosion!");
  fgets(Buf, 59, iob);
  Buf[strlen(Buf) - 1] = 0;
  if ( strlen(Buf) != 22 )
    sub_40178C();
**************************************************************************
  puts("Seems I have passed a test.");
  sub_4014FA(Str, MaxCount);
  GetModuleFileNameA(0, &Filename, 0x104u);
  v11 = fopen(&Filename, "rb");
  fseek(v11, -32, 2);
  fread(&DstBuf, 0x20u, 1u, v11);
  fclose(v11);
  if ( !strcmp(&Str1, &DstBuf) )
  {
    puts("Congratulations!");
    puts("The flag is hgame{your input string + your input num}");
    puts("e.g:hgame{aaaaaaaaaa111}");
  }
  else
  {
    printf("But Failed..Finally");
  }
  return 0;
}

进入sub_401460函数

BOOL __cdecl sub_401460(unsigned int a1)
{
  DWORD flOldProtect; // [sp+14h] [bp-14h]@1
  unsigned int v3; // [sp+18h] [bp-10h]@1
  unsigned int v4; // [sp+1Ch] [bp-Ch]@1

  flOldProtect = 0;
  VirtualProtect(TopLevelExceptionFilter, 0x4000u, 0x40u, &flOldProtect);//更改页属性
  v4 = a1 >> 3;  
  v3 = a1 & 7;   
  *(TopLevelExceptionFilter + (a1 >> 3)) ^= 1 << (a1 & 7);
  return VirtualProtect(TopLevelExceptionFilter, 0x4000u, flOldProtect, &flOldProtect);  //基址是TopLevelExceptionFilter ,0x401000
}

做的时候并没有太注意,没有详细分析。当喵说了安卓的smc的时候才知道这个也是更改了某个地址。

*(TopLevelExceptionFilter + (a1 >> 3)) ^= 1 << (a1 & 7);
[地址基址 + (输入的数字右移三位)] 和输入数字的后三位异或]
7 bin 0111
后边3位可以与某个地址异或,剩下的几位作为地址偏移来改变某一地方。

图片.png

查看反汇编发现了此处跳传导致sub_4014FA函数没有参数进栈。
这两个参数的作用是显示出


图片.png

怎么能保证正常跳转呢?这就需要使用上面分析的,将jmp short loc_4018F5改为jmp short loc_4018E5

jmp short loc_4018F5的机器码为 EB 15;JMP的机器码为EB,15为偏移。

0x15 = 0x4018F5 - 0x4018DE - jmp长度(2byte)

那么跳到 loc_4018E5就是

x4018E5-0x4018DE-0x2=0x5

所以输入数字最低三位应为100
要修改的字节的地址是0x4018DF ,所以输入的数字:
mum=(0x8df<<3) + 0x4 = 0x46FC=18172
(当然可以直接在文件中更改


图片.png

这样这个题目也算是完整了:
Byt3_H4cker_sho0O0o0t!


图片.png

总结:和安卓的那个smc很像,基本可以归为一类但实现smc的方法明显安卓的要复杂不少。

相关文章

  • hgame ShinyShot!

    就是mark一下里面smc 解法做的时候可以直接锁定加密部分sub_4014FA函数 改表的base64 文件32...

  • HGAME-2018

    week1 【pwn】 0x1 guess_number 下载二进制文件,扔到IDA中,F5反汇编一下: 可以看出...

  • HGAME 2020 WP

    比赛地址:https://hgame.vidar.club/#/ WEB 1.Cosmos 的博客 根据提示,gi...

  • Hgame 2019 PWN

    去年也是这时候,记得是校赛后Lilac学长让我们做的训练题,不过去年只做web,今年只看了PWNweek 4不一定...

  • HGAME2019-Week 1

    title: HGAME2019-Week 1date: 2019-02-02 20:00:00tags: [Wr...

  • HGAME2019-Week 2

    title: HGAME2019-Week 2date: 2019-02-09 20:31:16tags: [Wr...

  • hgame-writeup-web

    又是俩月没有接触信安,看到这次hgame的ctf,也参与下学习下。 WEB Level - Week1 谁吃了我的...

  • 2.3第九条咸鱼

    hgame week1 pwn aaaaaaaaaa 疯狂输入a了解一下 薯片拯救世界 这道题感觉很奇怪 Ida是...

  • Hgame2019 Web WriteUp

    easy_php 访问robots.txt,得到了img/index.php的路径,访问后得到源码: ../被过滤...

  • 使用alpha3生成alphanumeric shellcode

    0x00 背景 之前打杭电新生赛hgame的时候碰到一个题目, 题目会检测用户输入的shellcode, 限制sh...

网友评论

      本文标题:hgame ShinyShot!

      本文链接:https://www.haomeiwen.com/subject/okigyqtx.html