BUUOJ [rev] signal1

时隔好久再次更新博客。（失踪人口回归，这段时间学习了下编译原理还要准备期末考试）。写个简单题练练手。

逆向PYC文件：

babybc

查看附件，发现是bc文件，经过一番搜索可知是LLVM IR。

在Ubuntu上安装LLVM，使用clang编译成ELF文件，用IDA Pro打开。

bytecode

上来一个py字节码：

fastjs

IDA Pro打开，可以在string窗口中发现quickjs字样。

通过main函数中的：

imnotavirus

先看到 main.exe，使用DIE发现有UPX壳，

Time

看了国外大佬的WP，学会了如何替换libc的函数：

假设我们有程序test1：

LoongArch

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56

ld.d t0,sp,0 
ld.d t1,sp,8 
ld.d t2,sp,16 
ld.d t3,sp,24
ld.d t4,sp,32
ld.d t5,sp,40
ld.d t6,sp,48
ld.d t7,sp,56

xor t0,t0,t4
xor t1,t1,t5
xor t2,t2,t6
xor t3,t3,t7

bitrev.d t4,t0
bitrev.d t5,t1
bitrev.d t6,t2
bitrev.d t7,t3

bytepick.d t0,t6,t5,3
bytepick.d t1,t4,t7,3
bytepick.d t2,t5,t4,3
bytepick.d t3,t7,t6,3

bitrev.8b t4,t0
bitrev.8b t5,t1
bitrev.8b t6,t2
bitrev.8b t7,t3

ld.d t0,sp,64 
ld.d t1,sp,72
ld.d t2,sp,80 
ld.d t3,sp,88

xor t0,t0,t4
xor t1,t1,t5
xor t2,t2,t6
xor t3,t3,t7

addi.d a0,zero,1
addi.d a1,sp,32
li.d a2,64
li.d a7,64
syscall 0

li.d t4,64
clo.d t5,t0
bne t5,t4,fail
clo.d t5,t1
bne t5,t4,fail
clo.d t5,t2
bne t5,t4,fail
clo.d t5,t3
bne t5,t4,fail
b success

HW_RE1

第一眼看到HW还以为和华为有什么关系，是我想多了。。。

IDA Pro打开：

666

老题新做了属于是.本来是一道入门级题目,但是当年想不出来是因为对这种类似crypt的题目比较生疏.越学越发现密码学确实对逆向手来说很重要,趁着水课时间来回忆一下.

API

1. 初始化：InitializeListHead
2. 插入： InsertHeadList、InsertTailList
3. 删除： RemoveHeadList、RemoveTailList
   Read more »

从开学到现在足足忙了两个月，迎接新生、备课、参加比赛、去医院…..每天到凌晨一点就困得睁不开眼，有时候不困也会被周围环境以及自身的压力影响得睡不着觉。

elrond32

IDA Pro 打开rev：

Flag Checker

IDA Pro 打开：

PVM

看到题目名字里的“VM”就想到了虚拟机，根据题目描述里的“Pico SDK” “ARM” 以及附件里的图片，猜测应该是一个运行在树莓派开发板的程序。

词法分析

词法分析一般是编译的第一个阶段。一个编程语言代码，主要包含以下元素：（1）关键字，可能包括if、for、void、class等；（2）字面量，如实数、字符串等；（3）符号：小括号、大括号、加号、减号等；（4）标识符，也就是变量名、函数名、类名等。

求任意数x的补码

1. 求x绝对值abs(x)的原码为Bin_1，比如 0001 0100
2. 如果，x本身为非负数，则x的补码即为Bin_1。否则进入下一步。
3. 从右向左开始，找到第一个为1的二进制位，此二进制位左侧且不包括它的取反码为Bin_2。
   Read more »

MIPS

On Linux

1. 安装

$ sudo apt install gcc-10-mips-linux-gnu

2. 编译Hello World！

$

概念：函数中参数的命名空间会添加到函数搜索列表中。

示例：

re_Dizzy

1. 反汇编出main函数，导出汇编文件(.asm)
2. 利用正则表达式将所有加密功能的汇编代表转换为python语法表示
3. 使用脚本计算flag
   Read more »

babyrev

1. memfrob函数：将字符串的每个字符与42进行异或实现加密。
   Read more »

deferred函数调用

在大多数编程语言中，一个函数结束后便会返回到调用者的代码处，但是Go语言提供了一个关键词deferred，可以实现函数返回后先执行deferred指定的一个或几个函数，当这些deferred函数全部执行完毕后，再回到调用者的代码处。

代码总览

回顾线程

程序开始运行时，操作系统就创建了这个程序的进程。一个进程中有多个线程，一个线程就是这个进程正在执行的一个任务。比如main函数就在一个线程中执行。

SQL注入分类

1. 数字型注入

   1 2	$id = $_GET['id']; $sql = "select * from users where id=$id LIMIT 0, 1";

   Read more »

reverse

verybabyrev

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  __int64 s1[12]; // [rsp+0h] [rbp-100h] BYREF
  char v4; // [rsp+60h] [rbp-A0h]
  char s[140]; // [rsp+70h] [rbp-90h] BYREF
  int v6; // [rsp+FCh] [rbp-4h]

  setvbuf(stdout, 0LL, 2, 0LL);
  memset(s, 0, 0x80uLL);
  s1[0] = 0x45481D1217111313LL;
  s1[1] = 0x95F422C260B4145LL;
  s1[2] = 0x541B56563D6C5F0BLL;
  s1[3] = 0x585C0B3C2945415FLL;
  s1[4] = 0x402A6C54095D5F00LL;
  s1[5] = 0x4B5F4248276A0606LL;
  s1[6] = 0x6C5E5D432C2D4256LL;
  s1[7] = 0x6B315E434707412DLL;
  s1[8] = 0x5E54491C6E3B0A5ALL;
  s1[9] = 0x2828475E05342B1ALL;
  s1[10] = 0x60450073B26111FLL;
  s1[11] = 0xA774803050B0D04LL;
  v4 = 0;
  printf("Enter your flag: ");
  fgets(s, 128, stdin);
  v6 = 0;
  if ( s[0] != 'r' )
  {
    puts("Nope!");
    exit(0);
  }
  while ( v6 <= 126 )
  {
    s[v6] ^= s[v6 + 1];
    ++v6;
  }
  if ( !memcmp(s1, s, 97uLL) )
  {
    puts("Correct!");
    exit(1);
  }
  puts("Nope!");
  exit(0);
}

不管用啥语言写，原理都是差不多的，用Server Socket持续监听某个端口，每次accept到一个请求，就对这个Client Socket的发送的内容进行接收、分析，再发送给客户端一些信息。

新建项目

1

go mod init PROJECT_NAME # 比如github.com/zsy-arch/GoApp1

创建源文件及文件夹：

这几天在学习Go语言，又心血来潮向回去用用Sublime Text，发现已经Sublime Text 4了 = =，安装gofmt又一直不成功，就自己写了小插件，

环境：

1. host：Win11 预览版
2. guest：VMwarre Pro 16 + Windows 10 18362 x64
3. 其他工具：VirtualKD-Redux、WinDBG
   Read more »