从一道题目学习gdb脚本

0x00 前言

  • 题目是TWCTF-reverse_box,题目下载链接如下:

下载链接

0x01 程序分析

  • 主要由两个函数来解题。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
int __cdecl main(int a1, char **a2)
{
size_t i; // [esp+18h] [ebp-10Ch]
int v4; // [esp+1Ch] [ebp-108h]
unsigned int v5; // [esp+11Ch] [ebp-8h]

v5 = __readgsdword(0x14u);
if ( a1 <= 1 )
{
printf("usage: %s flag\n", *a2);
exit(1);
}
sub_804858D(&v4);
for ( i = 0; i < strlen(a2[1]); ++i )
printf("%02x", *((unsigned __int8 *)&v4 + a2[1][i]));
putchar(10);
return 0;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
int __cdecl sub_804858D(_BYTE *a1)
{
unsigned int v1; // eax
int v2; // edx
char v3; // al
char v4; // ST1B_1
char v5; // al
int result; // eax
unsigned __int8 v7; // [esp+1Ah] [ebp-Eh]
char v8; // [esp+1Bh] [ebp-Dh]
char v9; // [esp+1Bh] [ebp-Dh]
int v10; // [esp+1Ch] [ebp-Ch]

v1 = time(0);
srand(v1);
do
v10 = (unsigned __int8)rand();
while ( !v10 );
*a1 = v10;
v7 = 1;
v8 = 1;
do
{
v2 = v7 ^ 2 * v7;
if ( (v7 & 0x80u) == 0 )
v3 = 0;
else
v3 = 27;
v7 = v2 ^ v3;
v4 = 4 * (2 * v8 ^ v8) ^ 2 * v8 ^ v8;
v9 = 16 * v4 ^ v4;
if ( v9 >= 0 )
v5 = 0;
else
v5 = 9;
v8 = v9 ^ v5;
result = (unsigned __int8)__ROR1__(v8, 4) ^ (unsigned __int8)__ROR1__(v8, 5) ^ (unsigned __int8)__ROR1__(v8, 6) ^ (unsigned __int8)__ROR1__(v8, 7) ^ (unsigned __int8)(v8 ^ *a1);
a1[v7] = result;
}
while ( v7 != 1 );
return result;
}
  • 题目提示如果传入正确的Flag则会输出95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4

  • 但是分析题目, 题目会取当前时间作为随机数种子,然后取一堆随机数执行一堆操作。

  • 由于当前时间在不断变化,所以这个随机数种子是不固定的,所取的随机数也不固定,这就对解题产生了很大的困难。

  • 但是查看这个算法函数sub_804858D的汇编代码,发现了惊喜!

  • 所取的随机数最后会跟0xFF进行按位与运算,这就会使此时eax的值只能取0-255其中一个,也就是说我们的v10只能取0-255中的一个,这就为我们执行爆破提供了可能。

0x02 写脚本前的分析

  • 既然我们想进行爆破,但因为由于时间的变化随机数种子一直变会,v10也会一直变,所以我们直接控制v10

  • 那么该如何控制v10呢?我们可以通过gdb脚本来在每次给v10赋值的时候进行暗箱操作

  • 而这个赋值的时候通过IDA能够找到,就是图中0x080485B1的位置,因此我们需要在这个位置下个断点。

  • 该如何暗箱操作? 既然赋值是通过eax寄存器来实现的,那么我们可以通过set $eax 计数器的形式来改变eax的值,计数器的范围就是0~255。

  • 而且根据要求,还需要满足首先输出0x95(因为题中用的printf("%02x", *((unsigned __int8 *)&v4 + a2[1][i]));,所以输出出来只有95)。

  • 我们来看printf这附近的汇编代码。

  • 依然是用eax寄存器来传值,又因为printf是在一个for循环里面,如果第一次输出的是95,则爆破成功,否则就让计数器+1 再来一遍~

  • 爆破成功以后我们就能得到这个a2[1][?]里面的内容了,从而就能逆出flag。

0x03 脚本的实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

set $i=0
set $total=256
while($i<$total)#循环条件
b *0x080485B1#下断点
b *0x08048704#下断点
run T #运行
set $eax=$i #给eax赋值
set $i=$i+1 #计数器自增
continue #因为下断点了, 所以需要有个continue
if ($eax==0x95)
print $i, $i #可有可无的一句
x/256xb $esp+0x1c #查看堆栈内容
set $i=256 #直接让计数器为256 从而退出while循环
end #结束if语句内容的写入
stop #暂停,因为如果爆破成功要查看堆栈内容
end #结束while语句内容的写入
end #结束脚本

  • 通过define 脚本名称来新建一个脚本。
  • 通过脚本名称来调用一个脚本。

  • 运行脚本得到如下结果

得出flag

  • 通过结果再结合题意逆出flag,脚本如下(Python)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
# -*- coding: UTF-8 -*-
s = '95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4a'

List = [ord(i) for i in s.decode('hex') ]

str = '''
0xd6 0xc9 0xc2 0xce 0x47 0xde 0xda 0x70
0x85 0xb4 0xd2 0x9e 0x4b 0x62 0x1e 0xc3
0x7f 0x37 0x7c 0xc8 0x4f 0xec 0xf2 0x45
0x18 0x61 0x17 0x1a 0x29 0x11 0xc7 0x75
0x02 0x48 0x26 0x93 0x83 0x8a 0x42 0x79
0x81 0x10 0x50 0x44 0xc4 0x6d 0x84 0xa0
0xb1 0x72 0x96 0x76 0xad 0x23 0xb0 0x2f
0xb2 0xa7 0x35 0x57 0x5e 0x92 0x07 0xc0
0xbc 0x36 0x99 0xaf 0xae 0xdb 0xef 0x15
0xe7 0x8e 0x63 0x06 0x9c 0x56 0x9a 0x31
0xe6 0x64 0xb5 0x58 0x95 0x49 0x04 0xee
0xdf 0x7e 0x0b 0x8c 0xff 0xf9 0xed 0x7a
0x65 0x5a 0x1f 0x4e 0xf6 0xf8 0x86 0x30
0xf0 0x4c 0xb7 0xca 0xe5 0x89 0x2a 0x1d
0xe4 0x16 0xf5 0x3a 0x27 0x28 0x8d 0x40
0x09 0x03 0x6f 0x94 0xa5 0x4a 0x46 0x67
0x78 0xb9 0xa6 0x59 0xea 0x22 0xf1 0xa2
0x71 0x12 0xcb 0x88 0xd1 0xe8 0xac 0xc6
0xd5 0x34 0xfa 0x69 0x97 0x9f 0x25 0x3d
0xf3 0x5b 0x0d 0xa1 0x6b 0xeb 0xbe 0x6e
0x55 0x87 0x8f 0xbf 0xfc 0xb3 0x91 0xe9
0x77 0x66 0x19 0xd7 0x24 0x20 0x51 0xcc
0x52 0x7d 0x82 0xd8 0x38 0x60 0xfb 0x1c
0xd9 0xe3 0x41 0x5f 0xd0 0xcf 0x1b 0xbd
0x0f 0xcd 0x90 0x9b 0xa9 0x13 0x01 0x73
0x5d 0x68 0xc1 0xaa 0xfe 0x08 0x3e 0x3f
0xc5 0x8b 0x00 0xd3 0xfd 0xb6 0x43 0xbb
0xd4 0x80 0xe2 0x0c 0x33 0x74 0xa8 0x2b
0x54 0x4d 0x2d 0xa4 0xdc 0x6c 0x3b 0x21
0x2e 0xab 0x32 0x5c 0x7b 0xe0 0x9d 0x6a
0x39 0x14 0x3c 0xb8 0x0a 0x53 0xf7 0xdd
0xf4 0x2c 0x98 0xba 0x05 0xe1 0x0e 0xa3
'''
L = str.split()
L = [int(i,16) for i in L]
flag = ''
for i in List:
flag += chr(L.index(i))
print flag