攻防世界[EASYHOOK]

攻防世界 * 2

题目:EASYHOOK

题目地址:

  1. 拿到程序后无壳直接ida32打开,发现逻辑如下,输入长度为19的flag后经过一个sub_401220函数 ,然后创建一个文件并阿静flag写入这个文件:

  2. 进入sub_401220函数 一时间没看懂,也没有加密函数:

  3. 接着进入sub_401240函数 ,发现有点像比较函数,但看逻辑似乎是This_is_not_the_flag 自己作比较,当长度result为21时直接返回,但是This_is_not_the_flag的长度只有20,这个函数好像什么都没有做,但是程序里面已经没有多余的函数,去左边导航条去看函数:

  4. 左边导航条发现main函数前面还有若干函数,去注意观察一下,发现左边导航栏的函数在主程序里面的sub_401220函数里面都有调用过,下面去观察sub_401220函数的逻辑。

  5. 结合题目的提示,此题为hook题目,哪必须得右hook的函数和hook的目标函数,并且要具备hook的安装函数,保证被hook的函数在后面任然可以重新执行。仔细分析程序的逻辑,发现sub_401220函数时一个hook函数,里面执行了安装hook 的程序,而在hook的目标函数 中又执行了一个加密flag函数 (我们要找的目标函数),随后重新恢复了被hook的程序(writefile) ,并从新调用了该程序:

  6. 找到真正的加密函数后即可对flag进行解密,其中加密的逻辑比较简单:奇数进行异或,偶数的化将其后面两个位置出的字符拿出来并与当前下标异或后放在当前位置,最后一位(下标为18)与0x13异或,然后与内存中的数据进行比较:

  7. 解密脚本如下:

    flag=[0x61, 0x6A, 0x79, 0x67, 0x6B, 0x46, 0x6D, 0x2E, 0x7F, 0x5F,
    0x7E, 0x2D, 0x53, 0x56, 0x7B, 0x38, 0x6D, 0x4C, 0x6E]
    print(len(flag))
    res=[0]*22
    for i in range(len(flag)):
    if i%2==1:
    res[i]=(chr((flag[i]^i)+i))
    else :
    res[i+2]=(chr(flag[i]^i))
    for i in res:
    print(i,end="")
    #flag{Ho0k_w1th_Fun}

  8. 根据逻辑可以知道首位的f不会影响flag,实测如下:

总结:最后来聊一下hook

  1. hook(钩子),就是在执行程序的时候在程序的某个位置(一般在开头位置),安装一个钩子(实际上就是段内跳转的jmp指令),这个钩子的作用时跳到去执行其他函数,从而对当前函数进行阻断。当然,也可以,另外加一个程序在执行完hook的目标函数后,可以对当前被hook的函数进行恢复(上面的题目就是这种),然后再调用它(即上面题目中的writefile函数)。

  2. 下面我给出一种简单的hook程序,对print_hello函数进行hook,不让其打印hello world,反而其打印我们指定的其他字符串:

    #include <stdlib.h>
    #include <stdio.h>
    #include <cstring>
    #include <windows.h>

    void print_hello()
    {
    printf("hello word!\n");
    }

    //hook的目标函数
    void hooked_function()
    {
    printf("what why how?\n");
    }

    // 安装钩子
    void niyaogansha()
    {
    unsigned char jmp_code[10] = {0};
    jmp_code[0] = 0xE9;
    long long offset = (long long)hooked_function - ((long long)print_hello + 5);
    *(long long *)&jmp_code[1] = offset;

    复制代码
     // 保留原有的权限
     DWORD oldProtect = 0;
     // 修改指令页面的权限
     VirtualProtect((void *)print_hello, 4096, PAGE_EXECUTE_READWRITE, &oldProtect);
     memcpy((void *)print_hello, jmp_code, 5);

    }

    int main()
    {
    niyaogansha();
    print_hello();
    printf("done");
    return 0;
    }

    !(https://img-blog.csdnimg.cn/direct/fd64c3e17ede4885ad7f0b4c8003f925.png#pic_center) 复制代码
    3. 上面我们对void print_hello()函数进行了hook,再其函数头部用jmp指令覆盖掉其原有的指令,转而去执行void hooked_function()函数。
相关推荐
新子y3 小时前
【小白笔记】区分类方法/实例方法和静态函数/命名空间函数
笔记·分类
梁辰兴4 小时前
企业培训笔记:外卖平台后端--套餐管理模块--新建套餐信息
笔记·vue·mybatis·springboot·外卖管理系统
degen_4 小时前
第一次进入 PEICORE 流程
c语言·笔记
YJlio4 小时前
Process Monitor 学习笔记(5.24):工具栏参考与高效快捷键指南
笔记·学习·php
摇滚侠5 小时前
Spring Boot 3零基础教程,WEB 开发 Thymeleaf 核心语法 笔记39
spring boot·笔记·后端·thymeleaf
张人玉5 小时前
WPF 常用样式属性及示例笔记
笔记·wpf
报错小能手6 小时前
linux学习笔记(49)Redis详解(1)
linux·笔记·学习
QT 小鲜肉6 小时前
【个人成长笔记】在本地Windows系统中如何正确使用adb pull命令,把Linux系统中的文件或文件夹复制到本地中(亲测有效)
linux·windows·笔记·学习·adb
John.Lewis9 小时前
C++初阶(14)list
开发语言·c++·笔记
_李小白9 小时前
【OPENGL ES 3.0 学习笔记】第九天:缓存、顶点和顶点数组
笔记·学习·elasticsearch