步骤

1. 获取内核源码

1
2
3

wget https://git.kernel.org/torvalds/t/linux-6.14-rc2.tar.gz

# 解压...

2. 安装交叉编译工具链

1
2

sudo apt install fakeroot build-essential ncurses-dev xz-utils libssl-dev bc flex libelf-dev bison
sudo apt install gcc-aarch64-linux-gnu

Frida server

服务器配置

• 操作系统：Ubuntu Linux
• IP：192.168.76.142
• OpenJDK 11, OpenJFX

运行Frida server

1

user@VMware-Virtual-Platform:~/apps$ sudo ./frida-server-16.4.4-linux-x86_64 -l 0.0.0.0:23947

运行java用户程序

1
2
3
4

user@VMware-Virtual-Platform:~/challs$ java --module-path $PATH_TO_FX --add-modules javafx.controls,javafx.fxml -jar ./WhackAMoleGame_flag1.jar & echo "$!"
[1] 53915
53915

Frida client

python部分：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

import frida
import sys


with open(sys.argv[1], "r") as f:
    jscode = f.read()


def printMessage(message, data):
    if message["type"] == "send":
        print("[*] {0}".format(message["payload"]))
    else:
        print(message)


device = frida.get_device_manager().add_remote_device("192.168.76.142:23947")
print(device)
process = device.attach(53915)

script = process.create_script(jscode)
script.on("message", printMessage)
script.load()
sys.stdin.read()

JavaScript部分:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

// let libjvm = Module.enumerateSymbolsSync('libjvm.so');
Java.perform(function () {
  var ClassName = Java.use("yyyyy");
  console.log("Find ClassName Successfully!" + ClassName); //定位类成功！

  Java.enumerateLoadedClasses({
    onMatch: function (c) {
      if (!c.includes("xxxxx")) return;
      try {
        console.log(c);
        let props =
          "\t" + Object.getOwnPropertyNames(Java.use(c).__proto__).join(", ");
        console.log(props);
      } catch (error) {}
    },

    onComplete: function () {},
  });

  let clazz1 = Java.use("packegeName.className");
  clazz1["foo1"].overload().implementatin = () => {
    console.log("foo1");
  };

  clazz1["foo2"].overload("java.lang.String").implementatin = (
    s
  ) => {
    console.log("foo2" + s);
  };
});

springboard

格式化字符串漏洞，且字符串不在栈上的类型：

通过任意地址写，将main函数的ret addr改为one gadget即可。

stdout

main函数调用init：

1
2
3
4
5

int init()
{
  setvbuf(stdout, 0LL, 0, 0LL);
  return setvbuf(stdin, 0LL, 2, 0LL);
}

setvbuf第三个参数用来控制文件流的缓冲模式，可以在下面三个值中选择：

1
2
3

#define _IOFBF // argument to setvbuf indicating fully buffered I/O
#define _IOLBF // argument to setvbuf indicating line buffered I/O
#define _IONBF // argument to setvbuf indicating unbuffered I/O

1 引言

简单记录了这三天来编译Android系统内核、驱动走过的路。遇到了很多坑和不懂的东西，为了下次少走些弯路所以简单总结下。横跨很多天的工作不免记忆模糊，如果参考本博客时遇到问题欢迎大家下方留言和指正。

1 引言

几年来，逆向一直停留在CTF坐牢水平，脱壳也就会用工具、最多说说原理。所以决定开始“深入”了解下脱VMP壳。当然，毕竟要循序渐进，我们还是从最简单的开始。这里我们选择了VMP1.1版本，自己编写简单的程序并用其加壳，将原程序与加壳后程序进行对比分析。

win32k漏洞

win32k.sys运行在Windows系统内核态，主要负责GUI相关的工作，用户态的user32.dll与其合作。个人感觉比较常见的漏洞对象在于tagWnd及其相关的数据结构和API。

漏洞简介

cve-2023-21768 是一个 Windows 11 22H2 系统中的本地权限提升漏洞，该漏洞源于AFD.sys这个模块。

简单题是很水，没做出来的题也很让人崩溃。

考完研第一次完整的参加一次CTF，考也没考上，ida咋用也忘干净了，还让队友掉出了前十。这就滚去学习re和iov。

MZ

使用IDAPython脚本进行一次搜索即可：

231231232

312321

babytea

这个题目用到了比较简单的TEA加密，但是使用异常处理来打乱了控制流。

AES128 ECB 分析

key expansion

AES128 ECB的密钥拓展是将Nk * 4字节的密钥Key拓展为(Nr + 1) * Nb * 4字节的ExpKey。
ExpKey里面的数据分成了(Nr + 1)组，每一组就是用来和state相加的RoundKey。

traditional

analysis

附件是一个无壳elf64和一个flag.enc文件，猜测是要对flag.enc文件进行解密。

HEVD 环境搭建

安装Visual Studio 2022、cmake、git cli，然后从https://github.com/hacksysteam/HackSysExtremeVulnerableDriver 下载源码，然后用内置的bat脚本编译即可。

Stack & ROP

1

TODO....

not_the_same_3dsctf_2016

checksec

HWS2022 WriteUp

reverse

re1

TEA变种，key为0x1234,0x2345, 0x4567, 0x6789, 直接对密文进行解密即可

babyre

附件

• babygame

分析

IDA打开,定位到main函数:

kcov

附件

• launch.sh
• bzImage
• rootfs.cpio.gz
  Read more »

crackMe

附件

• crackme.exe

分析

IDA定位到wmain函数

编译UPX源码

系统环境:

• Ubuntu 22.04
• Python 2
• Gcc 11, G++ 11, Make 4.3
  Read more »

dropper

脱壳 & 多进程

(1) 脱壳

从github.com/upx/upx上下载最新的源码编译并脱壳即可

reverse

rtMaze

首先打开题目发现只有一个linux脚本和bin文件. 根据脚本里的QEMU以及对bin进行file后, 可以推断是一个固件逆向之类的题目, 且架构为ARM.

内核层

用户层与内核层通信可以使用IoCreateDeviceSecure函数创建的设备(Device)作为中间媒介IoCreateDeviceSecure在成功情况下会通过参数返回一个DeviceObject,此时的设备还不能直接被用户层程序使用,需要为其创建一个符号链接(Symbolic Link).

buuoj [rev] xx

知识点：xxtea

buuoj [reverse] equation

上来就一个套着html文件的js代码，有jsfuck的混淆。题目名字提示有方程组（equation），很明显方程组就是这个被混淆的部分。

android-app-100

Reversing-x64Elf-100

ReverseMe-120

re2-cpp-is-awesome

serial-150

太困了,直接上脚本.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

firstChars = [0x41, 0x69, 0x6E, 0x45, 0x6F, 0x61]
thirdChars = [0x02EF, 0x02C4, 0x02DC, 0x02C7, 0x02DE, 0x02FC]
masterArray = [0x1D7, 0x0C, 0x244, 0x25E, 0x93, 0x6C]
flag = [0] * 18
hashCode = 666
j = 0

for i in range(0, 18, 3):
    flag[i] = firstChars[j]
    tmp = hashCode
    hashCode += hashCode % 5
    for k in range(1, 128):
        if (k ^ hashCode) * (flag[i] ^ tmp) % (thirdChars[j]) == masterArray[j]:
            flag[i + 1] = k
            break
    hashCode += hashCode % 5
    flag[i + 2] = thirdChars[j] ^ hashCode
    hashCode += hashCode % 5
    j += 1

print(''.join(list(map(chr, flag))))

adworld [rev] babymips

简单的暴力题，直接上脚本：