南邮ctf训练平台逆向试题wp

第一题:

hint已经给的很明白了: IDA 进去 ,对那堆数字按R 就好

第二题:

low_addr   rsp
0x1
0x4   相对地址
0x18
0x1c
high_addr  rbp
00000000004004e6 <func>:
  4004e6: 55                    push   rbp
  4004e7: 48 89 e5              mov    rbp,rsp
  4004ea: 48 89 7d e8           mov    QWORD PTR [rbp-0x18],rdi     4个字=8个byte=64bit rdi存参数 rdi是64位寄存器 存第一个参数
  4004ee: 89 75 e4              mov    DWORD PTR [rbp-0x1c],esi     esi是32位寄存器  存第二个参数  esi能存两个字
  4004f1: c7 45 fc 01 00 00 00  mov    DWORD PTR [rbp-0x4],0x1      向内存 [rbp-0x4] 写入1
  4004f8: eb 28                 jmp    400522 <func+0x3c>
  4004fa: 8b 45 fc              mov    eax,DWORD PTR [rbp-0x4]      DWORD PTR [rbp-0x4]这个指针代表数值为1的地方。eax=1
  4004fd: 48 63 d0              movsxd rdx,eax                        movsxd带符号扩展并传送     rdx=1
  400500: 48 8b 45 e8           mov    rax,QWORD PTR [rbp-0x18]     rax=input首址
  400504: 48 01 d0              add    rax,rdx                      rax=input首址+1 input[1]
  400507: 8b 55 fc              mov    edx,DWORD PTR [rbp-0x4]      edx=1
  40050a: 48 63 ca              movsxd rcx,edx                        rcx=1
  40050d: 48 8b 55 e8           mov    rdx,QWORD PTR [rbp-0x18]     rdx=input首址
  400511: 48 01 ca              add    rdx,rcx                        rdx=input首址+1 input[1]
  400514: 0f b6 0a              movzx  ecx,BYTE PTR [rdx]                    ecx= 0x67
  400517: 8b 55 fc              mov    edx,DWORD PTR [rbp-0x4]               edx=1
  40051a: 31 ca                 xor    edx,ecx                     edx=0x67 ^ 0x1 = 0x66  = ‘f‘
  40051c: 88 10                 mov    BYTE PTR [rax],dl
  40051e: 83 45 fc 01           add    DWORD PTR [rbp-0x4],0x1             [rbp-0x4] 处的值 + 1 
  400522: 8b 45 fc              mov    eax,DWORD PTR [rbp-0x4]    [rbp-0x4]  处的值读入eax
  400525: 3b 45 e4              cmp    eax,DWORD PTR [rbp-0x1c]   eax和28相比
  400528: 7e d0                 jle    4004fa <func+0x14>        小于28的话就跳到4004fa处
  40052a: 90                    nop
  40052b: 5d                    pop    rbp
  40052c: c3                    ret
  
  
  int main(int argc, char const *argv[])
{
  char input[] = {0x0,  0x67, 0x6e, 0x62, 0x63, 0x7e, 0x74, 0x62, 0x69, 0x6d,
                  0x55, 0x6a, 0x7f, 0x60, 0x51, 0x66, 0x63, 0x4e, 0x66, 0x7b,
                  0x71, 0x4a, 0x74, 0x76, 0x6b, 0x70, 0x79, 0x66 , 0x1c};
  func(input, 28);
  printf("%s\n",input+1);
  return 0;
}

1.   mov ax,bx ;  是把BX寄存器“里”的值赋予AX,由于二者都是寄存器,长度已定(word型),所以没有必要加“WORD”   
     mov ax,word ptr [bx];   是把内存地址等于“BX寄存器的值”的地方所存放的数据,赋予ax。由于只是给出一个内存地址,不知道希望赋予ax的,是byte还是word,所以可以用word明确指出;如果不用,既(mov ax, [bx];   )则在8086中是默认传递一个字,既两个字节给ax。

2.  
r代表64位 e代表32位,一个char占用一个字节

3.  
一个函数被调用,首先默认要完成以下动作:

将调用函数的栈帧栈底地址入栈,即将bp寄存器的值压入调用栈中
    建立新的栈帧,将被调函数的栈帧栈底地址放入bp寄存器中

以下两条指令即完成上面动作:

push %rbp
mov  %rsp, %rbp

ptr -- pointer (既指针)得缩写。
     汇编里面 ptr 是规定 的 字 (既保留字),是用来临时指定类型的。
  (可以理解为,ptr是临时的类型转换,相当于C语言中的强制类型转换)

PS:

第一次读汇编代码......感觉还挺有意思的,都是边查资料边看,,最坑的是最初认为函数参数里边,栈存的直接是字符串,,后来分析一半感觉不对劲....原来存的是字符串的地址 ...我擦...

最后附上python小程序:

a = [0x67,0x6e,0x62,0x63,0x7e,0x74, 0x62, 0x69, 0x6d, 0x55, 0x6a, 0x7f, 0x60, 0x51, 0x66, 0x63, 0x4e, 0x66, 0x7b,0x71, 0x4a, 0x74, 0x76, 0x6b, 0x70, 0x79, 0x66 , 0x1c]
b = ""
for x in range(1,29):
    b=b+chr(a[x-1] ^ x)
print b

flag{read_asm_is_the_basic}

时间: 2024-10-29 12:10:36

南邮ctf训练平台逆向试题wp的相关文章

南邮CTF - Writeup

南邮CTF攻防平台Writeup By:Mirror王宇阳 个人QQ欢迎交流:2821319009 技术水平有限~大佬勿喷 ^_^ Web题 签到题: 直接一梭哈-- md5 collision: 题目源码提示: $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{********

南邮CTF隐写之丘比龙的女神

刚开始下载下图片来 习惯性的binwalk一下 没发现东西 formost一下也没分离出来 扔进c32asm中发现有nvshen.jpg 于是改后缀名字为.zip 解压nvshen.jpg发现无法解压 然后下载了几个GIF文件图片 看了看文件尾 之后再题目图片中搜索 003B 将之后的乱码提取出来保存为zip文件 但还是没法搞定 之后发现zip文件头不对 于是百度一下504B030414000000替换之  解压 找到女神图片 校验工具查看之  

于南邮平台游荡关于宽字节注入——骚操作

脚本名:unmagicquotes.py 作用:宽字符绕过 GPC addslashes12345 Example:* Input: 1′ AND 1=1* Output: 1%bf%27 AND 1=1–%20 今天早上在南邮平台游荡的时候,做了一题关于宽字节注入的题目,虽然宽字节注入属于很常见的题目 但是,大多数人使用的都是手工注入,我作为一个小萌新(手工注入太难了QAQ) 今天get到一个新的骚操作: 题目分析: . 首先:进行简单的手工注入操作: 可以看出这个属于典型的宽字节注入:关于宽

南京邮电大学网络攻防训练平台(NCTF)-异性相吸-Writeup

南京邮电大学网络攻防训练平台(NCTF)-异性相吸-Writeup 题目描述 文件下载地址 很明显,文件之间进行亦或就可得到flag,不再多说,直接上脚本 1 #coding:utf-8 2 file_a = open('密文.txt', 'rb') 3 file_b = open('明文.txt', 'rb') 4 ? 5 str_a = ''.join(file_a.readlines()) 6 str_b = ''.join(file_b.readlines()) 7 ? 8 ans =

20145331魏澍琛 《网络对抗技术》 PC平台逆向破解

20145331魏澍琛 <网络对抗技术> PC平台逆向破解 学习任务 1.shellcode注入:shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将堆栈的返回地址利用缓冲区溢出,覆盖成为指向 shellcode 的地址. 2.Return-to-libc 攻击实验:即使栈有不可执行的能力,无法将shellcode放入堆栈中运行,但我们却可以直接让漏洞程序调转到现存的代码来实现我们的攻击. 注入Shellcode并执行 1.设置环境 2.以 anyt

“亚信科技杯”南邮第七届大学生程序设计竞赛之网络预赛 (部分题解)

“亚信科技杯”南邮第七届大学生程序设计竞赛之网络预赛 F 自动售货机 时间限制(普通/Java) : 1000 MS/ 3000 MS          运行内存限制 : 65536 KByte总提交 : 60            测试通过 : 13  题目描述 教学楼有一台奇怪的自动售货机,它只售卖一种饮料,单价5元,并且只收5元.10元面值的货币,但是同学们都很喜欢喝.这个售货机里没有多余的找零,也就是说如果一个持有10元的同学第一个购买,则他不能获得5元找零,但是如果在他之前有一个持有5

“Wishare杯”南邮第八届大学生程序设计竞赛之现场决赛 题解报告

A.爆炸吧,现充 (红) 时间限制:1000ms           内存限制:65536K 题目描述: a协有部分脱团分子,日复一日,年复一年地进行秀恩爱虐狗行为,对其他成员持续造成着精神伤害.Kojimai君表示在异端分子长期惨无人道的精神攻击下,早早的患上了少年痴呆症.为了应对这一症状,不得不经常把日常琐事记录下来,时间一长整本笔记本都记完了,他现在好奇自己一共记下了多少字,已知笔记本共n页,每页m行,因为心理因素,他排斥偶数页号,所以只在奇数页号的页面写字,又因为痴呆他在奇数页的第i行都

[python]南邮OJ代码备份爬虫

之前看过Python学习的经验,说以工程为导向学习. 自己分析了一下,一般接触Python的都有一定的其他语言基础,对于程序设计的基本逻辑,语法都有一个大概的了解.而Python这种脚本语言,没有过于独特的语法,在一定的其他语言的基础上,更是可以直接上手的. 之前看Python简明教程,半天没有进度.正好遇上Python爬虫项目,直接上手,方便快捷. 网站:http://acm.njupt.edu.cn/welcome.do?method=index,正值系统更新,于是写一个备份代码的爬虫. 使

南邮JAVA程序设计实验4 线程程序设计(指针式时钟)

南邮JAVA程序设计实验4  线程程序设计(指针式时钟) 实验目的: 本实验旨在通过实验,培养学生将JAVA 线程的相关知识点(包括线程调度,线程同步等)有机结合并加以综合应用,在实验中设计多线程程序的能力. 实验内容: 设计和编写一个编写一个指针式时钟程序,应用线程实现时钟的走动. 实验设计: 主要是控制时针分针秒针的转动度数,这个直接通过坐标的三角函数值求得,线程方面,隔一秒休眠一下,然后通过时分秒的换算关系来改变三个对应指示针在时钟上的位置 实验代码: import java.awt.*;