2024 TFCCTF re 部分wp

SIGNAL

很有意思的题。附件拖入ida

问问gpt

解出很简单,拼凑起来即可

X8

x8拖入ida

稍微一调试,就能发现x8::vm::VM::run是关键,进去看看

再稍微一调试,就发现上图是更关键的部分,包含输入和输出部分,而那个instruction parse函数一看都引不起兴趣,所以核心是中间两个rdx和r15的call。进入调试部分

第一遍第一个call如上图所示,返回值al等于3,看名称应该是指令的长度,而且好像是cmp指令。第一遍第二个call如下图所示,看起来像是执行了mov指令

第二个call的参数rsi的内容如下,刚好对应program.bin文件的内容

多记录几条,方便总结规律。并且发现好像一直在改变rsi的内容

最后rsi的内容如下

然后就是输入,继续调试并且记录

不难发现,好像是逐个比较,详细追踪虚拟机的mov指令执行过程就能找到虚拟机的寄存器位置,下图中的0x31即为我的输入首个字符

发现好像就是输入与右边第一个字节异或后再与右边第二个字节比较,右边第二个字节还是经过一系列与输入无关的运算才得到的

那直接手搓就好了,问题是不可能只得到一位字符就让程序退出吧,肯定是希望无论对错,程序都能一直执行下去。那就要patch一下了,可以选择改虚拟机的cmp执行,原结果是cl,那直接赋值1就行了

VIRTUAL-REV

附件拖入ida

最后一个函数是输出flag部分,要满足五个数相等,而这五个数所在的数组即vm的内存和寄存器,需要构造合适的vm指令进行运算,最后得到这五个数

vm指令分为两种,有两个操作数的和只有一个操作数的,没有立即数寻址,只能在vm的内存(或者可以把内存全看成寄存器,也就是有七个寄存器)

理解函数作用是第一层,这一层就不多说,自己调试加理解,如上图所示,但里面那个shl左移指令好像是会多移一位,有点小坑。第二层是构造汇编指令,同时还要转成限定的助记符,这也不用多说,看脚本就完了

BRAVE TRAVELER

附件拖入ida

程序看着挺简单,但是有点脑洞。运行一看

发现好像左右括号都没有,明明看见了123和125。先提取所有的set插入操作

按照程序输出逻辑,确实不会输出左右括号,因为根节点写死为0了(queue的第一次push了0)。但如果按照flag的格式,又发现没有set里存放的是84即'T',只有一个84的根节点。换种思路,倒过来想,再看看125即'}',发现有而且能向上推,刚好到123即'{',bfs遍历即得

相关推荐
2501_933670792 小时前
二本软件工程专业好就业吗?毕业后能做哪些岗位
软件工程
Hiyajo pray2 小时前
属性sdn隐私保护分析
网络安全
Hiyajo pray4 小时前
属性sdn的隐私保护策略(1)
网络安全
HackTwoHub5 小时前
某单位 CMS 完整渗透链、SQL 注入→后台拿权→绕过宝塔 Waf 上线 shell
数据库·人工智能·sql·安全·网络安全·系统安全·安全架构
杭州默安科技5 小时前
从告警到多防火墙联动封禁:智能体与XDR的自动化响应实践
人工智能·网络安全
繁荣的柚子5 小时前
配置环境变量
软件工程
云栖梦泽在7 小时前
跨境电商账号频繁验证怎么办?从公网 IP、ASN、浏览器环境到登录稳定性排查
网络·网络协议·tcp/ip·网络安全·性能优化
清风共青峰1 天前
AiBall 新功能:Codex 代理池控制面板,一键连接、无感切
软件工程
磐时信息技术1 天前
GB 44495/44496正式施行:智能网联汽车信息安全与软件升级进入强制合规阶段
网络安全·信息安全·汽车·gb44495·gb44496
清风共青峰1 天前
桌面多了一个小球,电脑好像变顺手了
软件工程