2019红帽杯 - childRE 分析与拓展

First Post:

2021-07-01

Last Update:

2023-08-22

十分特殊也有趣的一题，特此记录。流程并非难以理解，但有些需要注意的点。

无壳，可以直接用IDA分析，但由于存在一些动态变量，一旦开始动调，代码将会变得更难理解，因此目前只用静态调试来审计

int __cdecl main(int argc, const char **argv, const char **envp)
{
  __int64 v3; // rax
  __int64 v4; // rax
  const CHAR *v5; // r11
  __int64 v6; // r10
  int v7; // er9
  const CHAR *v8; // r10
  __int64 v9; // rcx
  __int64 v10; // rax
  int result; // eax
  unsigned int v12; // ecx
  __int64 v13; // r9
  __int128 v14[2]; // [rsp+20h] [rbp-38h] BYREF

  v14[0] = 0i64;
  v14[1] = 0i64;
  sub_140001080("%s");
  v3 = -1i64;
  do
    ++v3;
  while ( *((_BYTE *)v14 + v3) );
  if ( v3 != 31 )
  {
    while ( 1 )
      Sleep(0x3E8u);
  }
  v4 = sub_140001280(v14);
  v5 = name;
  if ( v4 )
  {
    sub_1400015C0(*(_QWORD *)(v4 + 8));
    sub_1400015C0(*(_QWORD *)(v6 + 16));
    v7 = dword_1400057E0;
    v5[dword_1400057E0] = *v8;
    dword_1400057E0 = v7 + 1;
  }
  UnDecorateSymbolName(v5, outputString, 0x100u, 0);
  v9 = -1i64;
  do
    ++v9;
  while ( outputString[v9] );
  if ( v9 == 62 )
  {
    v12 = 0;
    v13 = 0i64;
    do
    {
      if ( a1234567890Qwer[outputString[v13] % 23] != *(_BYTE *)(v13 + 0x140003478i64) )
        _exit(v12);
      if ( a1234567890Qwer[outputString[v13] / 23] != *(_BYTE *)(v13 + 0x140003438i64) )
        _exit(v12 * v12);
      ++v12;
      ++v13;
    }
    while ( v12 < 0x3E );
    sub_140001020("flag{MD5(your input)}\n");
    result = 0;
  }
  else
  {
    v10 = sub_1400018A0(std::cout);
    std::ostream::operator<<(v10, sub_140001A60);
    result = -1;
  }
  return result;
}

第57行是明显的显示验证结果，则能够判明第56行的while为判断条件的遍历；IDA将 ‘!=’ 后面的内容分析成地址而不是数组，但不妨碍提取数据

1
2
3

char fp[] = {"1234567890-=!@#$%^&*()_+qwertyuiop[]QWERTYUIOP{}asdfghjkl;'ASDFGHJKL:\"ZXCVBNM<> ? zxcvbnm, . /"};//a1234567890Qwer
char tp[] = "(_@4620!08!6_0*0442!@186%%0@3=66!!974*3234=&0^3&1@=&0908!6_0*&";//0000000140003478
char kp[] = "55565653255552225565565555243466334653663544426565555525555222";//0000000140003438

而outputString则是我们目前需要求取的数据，它只起到了索引的作用，逆算法不难写出：

int main()
{
char fp[] = {"1234567890-=!@#$%^&*()_+qwertyuiop[]QWERTYUIOP{}asdfghjkl;'ASDFGHJKL:\"ZXCVBNM<> ? zxcvbnm, . /"};
char tp[] = "(_@4620!08!6_0*0442!@186%%0@3=66!!974*3234=&0^3&1@=&0908!6_0*&";//0000000140003478
char kp[] = "55565653255552225565565555243466334653663544426565555525555222";//0000000140003438
char output[64];
for (int i = 0; i < 63; i++)
{
output[i]=find(tp[i],kp[i],fp);
}
cout << output<<endl;
}
char find(char p1,char p2,char *p3)
{
int index = 0;
for (int i = 0; i < 95; i++)
{
if (p3[i] == p1)
{
index = i;
break;
}
}
while (p3[index/23]!=p2)
{
index += 23;
}
return index;
}
//private: char * __thiscall R0Pxx::My_Aut0_PWN(unsigned char *)t

结果是一个函数声明的字符串，试着将它md5后提交，发现错误，那么就需要继续往上读

那么跟踪outputString是从哪里获得的，能够来到第38行UnDecorateSymbolName函数

UnDecorateSymbolName：https://docs.microsoft.com/en-us/windows/win32/api/dbghelp/nf-dbghelp-undecoratesymbolname

只靠阅读官方文档似乎不太足够，但第38行的大致意思是：完全取消对C++符号的修饰，也就是说，某个C++函数符号被取消修饰后，得到了

“private: char * __thiscall R0Pxx::My_Aut0_PWN(unsigned char *)t”

这样一个函数声明符号

查阅一些文档之后才知道，C++中的符号在编译之后都会被修饰为另外一种样子

https://www.cnblogs.com/yxysuanfa/p/6984895.html

https://blog.csdn.net/Scl_Diligent/article/details/83990429

int Max(int a, int b);//?Max@@YAHHH@Z
double Max(int a, int b);//?Max@@YANHH@Z
double Max1(int a, int b);//?Max1@@YANHH@Z
double Max1(int a, double b);//?Max1@@YANHN@Z