bugku不好用的CEWriteUp

不好用的CE

bugku 不好用的CE WriteUp

在陵水黎族等地区,都构建了全面的区域性战略布局,加强发展的系统性、市场前瞻性、产品创新能力,以专注、极致的服务理念,为客户提供成都做网站、成都网站设计 网站设计制作按需规划网站,公司网站建设,企业网站建设,成都品牌网站建设,全网营销推广,外贸网站建设,陵水黎族网站建设费用合理。

这题有好多种解法,我会一个个解释。

只用OD

只用CE

CE+OD

下载文件

bugku 不好用的CE WriteUp

bugku 不好用的CE WriteUp

点两下试试

bugku 不好用的CE WriteUp

无壳

bugku 不好用的CE WriteUp

1.只用OD

只用OD我只想出两种办法,虽然只是下断点的方式不同,但也代表了不同的思路。

一、 第一种是最直接的也是最笨的,在搜索字符串里的所有内容都下断点,这里幸好搜索的字符串不是很多,而且flag凑巧是直接存储在内存里的,所以可以使用。若没这么幸运的话就只能在提示的字符串 “点击一万次有flag” 处下断点,一点点的往上翻代码了。

bugku 不好用的CE WriteUp

二、 我们知道了这个程序使用VB写的,且会弹出一个对话框,对话框在VB理常用的函数为rtcMsgBox,可以用ODB的插件来自动下断点,

bugku 不好用的CE WriteUp

只用OD第一种办法:在每一处字符串下断点,这里我们就只在可疑字符串下断点了

即第3、4、5、6、7行

bugku 不好用的CE WriteUp

首先断在了最后一条,

bugku 不好用的CE WriteUp

看起来是在初始化变量,F9继续运行

bugku 不好用的CE WriteUp

跳出对话框,单击确定继续程序

bugku 不好用的CE WriteUp

点击后触发断点,

bugku 不好用的CE WriteUp

bugku 不好用的CE WriteUp

这三个可疑的字符串在一起,但是其上并没有大跳转,甚至根本没有跳转,那最后一个可疑字符串就更可疑了,继续F9运行程序,程序并没有断在最后一个字符串处,说明这个字符串很有可能就是达到条件(点击一万次)后才会出现的字符串,

bugku 不好用的CE WriteUp

这个字符串上面还有一个大跳转,那这个字符串就很有可能是flag了,或者flag相关的字符串,我们把这个大跳转nop掉,看看会出现什么

bugku 不好用的CE WriteUp

DeZmqMUhRcP8NgJgzLPdXa

这题最坑的地方也就是这个字符串就出现了,之前做这个题也是断在这里,直到最近出了Writeup才知道,这个看起来像base64的字符串其实是他的远亲,base58

我们都知道base64的范围是  数字(10)+大小写字母(26*2=52)+两个特殊字符(+,/)

而base58是剔除了容易被人误识别的数字0,L的小写,i的大写和o的大写,还有两个特殊字符(+,/)

bugku 不好用的CE WriteUp

得到flag

只用OD第二种方法,利用OD的插件,在rtcMsgBox下断点,F9运行程序,被断下

bugku 不好用的CE WriteUp

这个地方已经不属于程序的领空了,这里是VB调用的库的领空,在这个位置我们在栈里可以找到程序调用函数的地址,在其上回车以回到程序领空

bugku 不好用的CE WriteUp

bugku 不好用的CE WriteUp

然后我们就可以苦哈哈地慢慢往上翻代码了,这个下断点的方式适合在没有明确的提示字符串的时候使用,在有提示字符串的时候还是用字符串来查找比较方便。

CE+OD

打开程序,CE附加程序,

bugku 不好用的CE WriteUp

这里我们不知道这个变化的数字的类型,虽然看起来很像整型

bugku 不好用的CE WriteUp

所以我们设置扫描类型为未知的初始值,点击首次扫描

bugku 不好用的CE WriteUp

然后点击按钮,变化一下数值

bugku 不好用的CE WriteUp

再用CE搜索变化的数值

bugku 不好用的CE WriteUp

点击再次扫描

bugku 不好用的CE WriteUp

这样太慢了,我们可以用变动的数值和未变动的数值切换来不断搜索

最后剩了八个结果实在分辨不出来了

bugku 不好用的CE WriteUp

不过这就够了,我们也不需要知道那么细致,随便选一个,双击,拉到下面的界面里,右键他选择  找出是什么改写了这个地址

bugku 不好用的CE WriteUp

bugku 不好用的CE WriteUp

注意像这样的,地址特别大的,一定不是程序的代码,这个是程序调用的库的地址

bugku 不好用的CE WriteUp

像这样40打头的才是程序的代码,具体要看程序的PE头里定义的基地址,一般为400000。

然后我们就可以记住这个地址,用OD打开程序,到这个地址看看,CE也可以看,但是很多操作不方便

bugku 不好用的CE WriteUp

毕竟不是专门用来调试程序的应用。

我们用OD附加到进程上,

bugku 不好用的CE WriteUp

ctrl+g 到401D44看看

bugku 不好用的CE WriteUp

距离我们第一次找到的关键跳转也很近,

bugku 不好用的CE WriteUp

这之间有大量的棕色的浮点数运算,而关键跳转之后再无浮点运算,所以这可能就是算法部分,这次我们仔细分析下算法部分,

bugku 不好用的CE WriteUp

这里可以说是算法部分最重要的四条代码了,从0x4010A8存储的10000就能看出来,在我解释浮点助记符之前,我要先解释一下浮点运算:

在包含浮点运算的处理器里,有8个寄存器,分别是ST0-ST7,他们通过浮点助记符来进行浮点运算,他们的使用方法与栈很类似,存储的顺序从ST0开始到ST7,常用的浮点助记符有:

fld 相当于push

fstp 相当于pop

fadd 相当于add

fsub 相当于sub

fdiv 相当于div

fmul 相当于mul

fstsw 把状态寄存器存入寄存器里

fcomp 相当于cmp

再具体点的用法我会在用的时候解释,现在在最开始的浮点运算处下断点

bugku 不好用的CE WriteUp

因为代码跨度有点大,我就不一一截图了,只把关键代码写下来

fld qword ptr ds:[esi+0x34]

把从[esi+0x34]存入ST0

fadd qword ptr ds:[0x4010B0]

0x4010B0是200.0,即ST0+=200.0

fstp qword ptr ds:[esi+0x34]

即[esi+0x34] = ST0

fstsw ax

把状态寄存器存入ax,周围并没有可以影响到状态寄存器的代码,所以忽略就行

fld qword ptr ds:[esi+0x34]

即ST0=[esi+0x34]

fdiv qword ptr ds:[0x4010B0]

即ST0/=200.0

fstp qword ptr ss:[esp]

即[esp]=ST0,这里存储的就是实际的点击数了

fclex

查了一下是叫做浮点检查错误清除,不会影响结果所以忽略

fld qword ptr ds:[esi+0x34]

即ST0=[esi+0x34],

fdiv qword ptr ds:[0x4010B0]

即ST0/=200.0

fcomp qword ptr ds:[0x4010A8]

即ST0与10000比较

fstsw ax

把状态寄存器存入ax

test ah,0x40

比对状态寄存器,

je 401e97

关键跳转

然后怎么改就看个人喜欢了,可以像上次一样直接nop掉关键跳转,也可以修改0x4010B0里的值来达到点一次等于数次的效果,也可以直接修改0x4010A8里的值,让一万次变成1次。flag处理部分不再赘述。

后来我查了一下,test ah,0x40 比对的是状态寄存器的cf寄存器,即进位寄存器,所以他只会在从9999进位到10000时触发,

只用CE:

运行程序,用CE附加上

由于我们已经知道了数值的类型为双浮点(双浮点数占八个字节,有效数字16位,之前的200.0可以数一下有效数字就知道了,即使不知道类型为双浮点也可以一个个试,通常数据存储类型只有4字节,单浮点,双浮点类型,偶尔也有单字节的布尔类型),我们设置扫描类型为未知的初始值,数值类型为双浮点搜索,

bugku 不好用的CE WriteUp

然后用 变动的数值/未变动的数值切换搜索,很快就搜索到了一个很扎眼的数值,除了这个2200都是后面跟了很多个小数的双浮点数,然后用2200/11得到增量200,

bugku 不好用的CE WriteUp

双击把他加入下面的界面,设置大小为1999800

bugku 不好用的CE WriteUp

bugku 不好用的CE WriteUp

然后点击程序的按钮

bugku 不好用的CE WriteUp

就从11变成了100000,从而得到flag

当然,如果我们知道了增量为200,也可以直接搜索200*X

bugku 不好用的CE WriteUp


本文题目:bugku不好用的CEWriteUp
文章URL:http://scyanting.com/article/pepsde.html