hgame2021-fake debugger题解

Author： PoilZero
发布时间：February 19, 2021
940 views
No comments
1448 words
Categories： CTF-RE-WP

hgame2021-fake debugger题解

要点

本题属于非常规注册机类似题目题解，基本逻辑就是简化的模拟动态调试（如OD），在输入flag之后只展现模拟的eax ebx ecx寄存器和zf标志位，然后来求得目标flag。

难点：识别加密算法以及寄存器储存的值含义，理解后写了个单字符!xor的简化

烦点：只能单步，不能F8，这里使用pwntools写了个半自动化简化

难点理解

每个字符的校验分为两步，其中ecx保存下标，第几位

第一步时，eax代表input[ecx]^ebx的结果（input就是一开始输入的flag）

第二步时，eax还是上一步的结果没有改变，但是ebx变成了真正的flag运算的结果，最后会比较eax和ebx的值

相等即校对成功。

因此只要得到两部的ebx，就可以算出真正的flag原本的样子了。

xor单字符逆过程python代码：

while 1:
 result = input()
 compan = input()
 orgin  = result^compan
 print('ascii: ',orgin,' char: ',chr(orgin))

烦点简化

直接用我用pwntools写的代替nc就行，修改代码中的测试值，然后运行会直接运行到底

#!/usr/bin/env python
# coding=utf8
from pwn import *

context.log_level = 'debug'  # 显示调试的信息
context.terminal = ['gnome-terminal', '-x', 'bash', '-c']  # ？

p = remote('101.132.177.131', 9999)

p.recvuntil("Please input you flag now!\n")
# 自己一个个尝试补全全部的内容，注意hgame{}的格式，结尾没括号会出bug
input = 'hgame{tRy_y0us3lf_i_c@nt_pUt_@nsWer_h3r3}' 
p.sendline(input)
p.recvuntil("OK,let's debug it! You can 'Step' by 'Space'!\n")

while 1 :
    p.recvuntil("--------------INFO--------------\n")
    p.sendline(' ')

具体做法

常驻打开第一个python代码运行
运行第二个python代码运行
在运行结果中读取最后两个ebx（这里叫做ebx1，ebx2吧）
在1打开的窗口中输入
- ebx2
- ebx1
读取输出对应位的flag字符，然后修改第二段代码的对应位的字符
jmp 2（重复从2开始的步骤，直到出现 you got it ）

最后就能得到flag：hgame{You_Kn0w_debuGg3r}

Last modification：February 19, 2021

© Allow specification reprint

如果觉得我的文章对你有用，请随意赞赏。咖啡（12RMB）进度+100%，一块巧克力（1RMB）进度+6%。
（赞赏请备注你的名称哦！后台记录中来自理工小菜狗）

Leave a Comment Cancel reply
写下邮箱是为了同步你的头像噢

Comment *

Private comment

Name *

🎲

Email

Site

hgame2021-fake debugger题解

PoilZero • 2021 年 02 月 19 日

<h1>hgame2021-fake debugger题解</h1><h2>要点</h2><p>本题属于非常规注册机类似题目题解，基本逻辑就是简化的模拟动态调试（如OD），在输入flag之后只展现模拟的eax ebx ecx寄存器和zf标志位，然后来求得目标flag。</p><p>难点：识别加密算法以及寄存器储存的值含义，理解后写了个单字符!xor的简化</p><p>烦点：只能单步，不能F8，这里使用pwntools写了个半自动化简化</p><h2>难点理解</h2><p>每个字符的校验分为两步，其中ecx保存下标，第几位</p><p>第一步时，eax代表input[ecx]^ebx的结果（input就是一开始输入的flag）</p><p>第二步时，eax还是上一步的结果没有改变，但是ebx变成了真正的flag运算的结果，最后会比较eax和ebx的值</p><p>相等即校对成功。</p><p>因此只要得到两部的ebx，就可以算出真正的flag原本的样子了。</p><p>xor单字符逆过程python代码：</p><pre><code class="lang-python">while 1:
 result = input()
 compan = input()
 orgin  = result^compan
 print(&#039;ascii: &#039;,orgin,&#039; char: &#039;,chr(orgin))</code></pre><h2>烦点简化</h2><p>直接用我用pwntools写的代替nc就行，修改代码中的测试值，然后运行会直接运行到底</p><pre><code class="lang-python">#!/usr/bin/env python
# coding=utf8
from pwn import *

context.log_level = &#039;debug&#039;  # 显示调试的信息
context.terminal = [&#039;gnome-terminal&#039;, &#039;-x&#039;, &#039;bash&#039;, &#039;-c&#039;]  # ？

p = remote(&#039;101.132.177.131&#039;, 9999)

p.recvuntil(&quot;Please input you flag now!\n&quot;)
# 自己一个个尝试补全全部的内容，注意hgame{}的格式，结尾没括号会出bug
input = &#039;hgame{tRy_y0us3lf_i_c@nt_pUt_@nsWer_h3r3}&#039; 
p.sendline(input)
p.recvuntil(&quot;OK,let&#039;s debug it! You can &#039;Step&#039; by &#039;Space&#039;!\n&quot;)

while 1 :
    p.recvuntil(&quot;--------------INFO--------------\n&quot;)
    p.sendline(&#039; &#039;)</code></pre><h2>具体做法</h2><ol><li>常驻打开第一个python代码运行</li><li>运行第二个python代码运行</li><li>在运行结果中读取最后两个ebx（这里叫做ebx1，ebx2吧）</li><li><p>在1打开的窗口中输入</p><ul><li>ebx2</li><li>ebx1</li></ul></li><li>读取输出对应位的flag字符，然后修改第二段代码的对应位的字符</li><li>jmp 2（重复从2开始的步骤，直到出现 you got it ）</li></ol><p><img src="http://poilzero.cn/usr/themes/handsome/assets/img/loading.svg" alt="" title="" style=""data-original="https://s3.ax1x.com/2021/02/19/yhKCiF.png"></p><p>最后就能得到flag：<code>hgame{You_Kn0w_debuGg3r}</code></p>