从一道题目学习gdb脚本

发表于 | 更新于 | 分类于 | 阅读次数:
本文字数: 18k | 阅读时长 ≈ 15 分钟

0x00 前言

  • 题目是TWCTF-reverse_box,题目下载链接如下:

下载链接

0x01 程序分析

  • 主要由两个函数来解题。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
int __cdecl main(int a1, char **a2)
{
  size_t i; // [esp+18h] [ebp-10Ch]
  int v4; // [esp+1Ch] [ebp-108h]
  unsigned int v5; // [esp+11Ch] [ebp-8h]

  v5 = __readgsdword(0x14u);
  if ( a1 <= 1 )
  {
    printf("usage: %s flag\n", *a2);
    exit(1);
  }
  sub_804858D(&v4);
  for ( i = 0; i < strlen(a2[1]); ++i )
    printf("%02x", *((unsigned __int8 *)&v4 + a2[1][i]));
  putchar(10);
  return 0;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
int __cdecl sub_804858D(_BYTE *a1)
{
  unsigned int v1; // eax
  int v2; // edx
  char v3; // al
  char v4; // ST1B_1
  char v5; // al
  int result; // eax
  unsigned __int8 v7; // [esp+1Ah] [ebp-Eh]
  char v8; // [esp+1Bh] [ebp-Dh]
  char v9; // [esp+1Bh] [ebp-Dh]
  int v10; // [esp+1Ch] [ebp-Ch]

  v1 = time(0);
  srand(v1);
  do
    v10 = (unsigned __int8)rand();
  while ( !v10 );
  *a1 = v10;
  v7 = 1;
  v8 = 1;
  do
  {
    v2 = v7 ^ 2 * v7;
    if ( (v7 & 0x80u) == 0 )
      v3 = 0;
    else
      v3 = 27;
    v7 = v2 ^ v3;
    v4 = 4 * (2 * v8 ^ v8) ^ 2 * v8 ^ v8;
    v9 = 16 * v4 ^ v4;
    if ( v9 >= 0 )
      v5 = 0;
    else
      v5 = 9;
    v8 = v9 ^ v5;
    result = (unsigned __int8)__ROR1__(v8, 4) ^ (unsigned __int8)__ROR1__(v8, 5) ^ (unsigned __int8)__ROR1__(v8, 6) ^ (unsigned __int8)__ROR1__(v8, 7) ^ (unsigned __int8)(v8 ^ *a1);
    a1[v7] = result;
  }
  while ( v7 != 1 );
  return result;
}

  • 题目提示如果传入正确的Flag则会输出95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4

  • 但是分析题目, 题目会取当前时间作为随机数种子,然后取一堆随机数执行一堆操作。

  • 由于当前时间在不断变化,所以这个随机数种子是不固定的,所取的随机数也不固定,这就对解题产生了很大的困难。

  • 但是查看这个算法函数sub_804858D的汇编代码,发现了惊喜!

  • 所取的随机数最后会跟0xFF进行按位与运算,这就会使此时eax的值只能取0-255其中一个,也就是说我们的v10只能取0-255中的一个,这就为我们执行爆破提供了可能。

0x02 写脚本前的分析

  • 既然我们想进行爆破,但因为由于时间的变化随机数种子一直变会,v10也会一直变,所以我们直接控制v10

  • 那么该如何控制v10呢?我们可以通过gdb脚本来在每次给v10赋值的时候进行暗箱操作

  • 而这个赋值的时候通过IDA能够找到,就是图中0x080485B1的位置,因此我们需要在这个位置下个断点。

  • 该如何暗箱操作? 既然赋值是通过eax寄存器来实现的,那么我们可以通过set $eax 计数器的形式来改变eax的值,计数器的范围就是0~255。

  • 而且根据要求,还需要满足首先输出0x95(因为题中用的printf("%02x", *((unsigned __int8 *)&v4 + a2[1][i]));,所以输出出来只有95)。

  • 我们来看printf这附近的汇编代码。

  • 依然是用eax寄存器来传值,又因为printf是在一个for循环里面,如果第一次输出的是95,则爆破成功,否则就让计数器+1 再来一遍~

  • 爆破成功以后我们就能得到这个a2[1][?]里面的内容了,从而就能逆出flag。

0x03 脚本的实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

set $i=0
set $total=256
while($i<$total)#循环条件
  b *0x080485B1#下断点
  b *0x08048704#下断点
  run T #运行
  set $eax=$i #给eax赋值
  set $i=$i+1 #计数器自增
  continue #因为下断点了, 所以需要有个continue
  if ($eax==0x95)
    print $i, $i #可有可无的一句
    x/256xb $esp+0x1c #查看堆栈内容
    set $i=256 #直接让计数器为256 从而退出while循环
    end #结束if语句内容的写入
  stop #暂停,因为如果爆破成功要查看堆栈内容
  end #结束while语句内容的写入
end #结束脚本

  • 通过define 脚本名称来新建一个脚本。
  • 通过脚本名称来调用一个脚本。

  • 运行脚本得到如下结果

得出flag

  • 通过结果再结合题意逆出flag,脚本如下(Python)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
# -*- coding: UTF-8 -*-
s = '95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4a'

List = [ord(i) for i in s.decode('hex') ]

str = '''
0xd6	0xc9	0xc2	0xce	0x47	0xde	0xda	0x70
0x85	0xb4	0xd2	0x9e	0x4b	0x62	0x1e	0xc3
0x7f	0x37	0x7c	0xc8	0x4f	0xec	0xf2	0x45
0x18	0x61	0x17	0x1a	0x29	0x11	0xc7	0x75
0x02	0x48	0x26	0x93	0x83	0x8a	0x42	0x79
0x81	0x10	0x50	0x44	0xc4	0x6d	0x84	0xa0
0xb1	0x72	0x96	0x76	0xad	0x23	0xb0	0x2f
0xb2	0xa7	0x35	0x57	0x5e	0x92	0x07	0xc0
0xbc	0x36	0x99	0xaf	0xae	0xdb	0xef	0x15
0xe7	0x8e	0x63	0x06	0x9c	0x56	0x9a	0x31
0xe6	0x64	0xb5	0x58	0x95	0x49	0x04	0xee
0xdf	0x7e	0x0b	0x8c	0xff	0xf9	0xed	0x7a
0x65	0x5a	0x1f	0x4e	0xf6	0xf8	0x86	0x30
0xf0	0x4c	0xb7	0xca	0xe5	0x89	0x2a	0x1d
0xe4	0x16	0xf5	0x3a	0x27	0x28	0x8d	0x40
0x09	0x03	0x6f	0x94	0xa5	0x4a	0x46	0x67
0x78	0xb9	0xa6	0x59	0xea	0x22	0xf1	0xa2
0x71	0x12	0xcb	0x88	0xd1	0xe8	0xac	0xc6
0xd5	0x34	0xfa	0x69	0x97	0x9f	0x25	0x3d
0xf3	0x5b	0x0d	0xa1	0x6b	0xeb	0xbe	0x6e
0x55	0x87	0x8f	0xbf	0xfc	0xb3	0x91	0xe9
0x77	0x66	0x19	0xd7	0x24	0x20	0x51	0xcc
0x52	0x7d	0x82	0xd8	0x38	0x60	0xfb	0x1c
0xd9	0xe3	0x41	0x5f	0xd0	0xcf	0x1b	0xbd
0x0f	0xcd	0x90	0x9b	0xa9	0x13	0x01	0x73
0x5d	0x68	0xc1	0xaa	0xfe	0x08	0x3e	0x3f
0xc5	0x8b	0x00	0xd3	0xfd	0xb6	0x43	0xbb
0xd4	0x80	0xe2	0x0c	0x33	0x74	0xa8	0x2b
0x54	0x4d	0x2d	0xa4	0xdc	0x6c	0x3b	0x21
0x2e	0xab	0x32	0x5c	0x7b	0xe0	0x9d	0x6a
0x39	0x14	0x3c	0xb8	0x0a	0x53	0xf7	0xdd
0xf4	0x2c	0x98	0xba	0x05	0xe1	0x0e	0xa3
'''
L = str.split()
L = [int(i,16) for i in L]
flag = ''
for i in List:
    flag += chr(L.index(i))
print flag
-------------至此本文结束感谢您的阅读-------------
如果觉得这篇文章对您有用,请随意打赏。 (๑•⌄•๑) 您的支持将鼓励我继续创作!