ToB企服应用市场:ToB评测及商务社交产业平台

标题: 矩阵爆破逆向之条件断点的妙用 [打印本页]

作者: 雁过留声 时间: 2024-5-12 18:07
标题: 矩阵爆破逆向之条件断点的妙用
不知道你是否利用过IDA的条件断点呢？在IDA进阶利用中，它的很多功能都有大作用，比如：ida-trace来跟踪调用流程。同时IDA的断点功能也十分强大，配合IDA-python的输出语句能够大杀特杀！
那么本文就介绍一下这个功能点，利用z3来秒解标题。
条件断点
什么是条件断点呢？
条件断点（ConditionalBreakpoint）是一种在代码调试过程中设置的断点，它可以根据特定的条件暂停步伐的执行。当步伐执行到设置了条件断点的代码行时，如果该条件为真，则步伐会暂停执行；如果该条件为假，则步伐会继续执行。这种调试技术常用于复杂的步伐调试，能够资助步伐员更快地发现步伐中的错误，并提高调试的效率。条件断点可以应用于多种编程语言和开发情况中，如C++、Java、Python等。
与普通的断点大差不差，不同点在于，步伐运行到条件断点处时，不会让步伐暂停，而是继续执行，并执行我们设置好的脚本。
OK，接下来让我们分析这道标题
初次分析
main函数
flag的格式

打开main函数，发现利用了SIMD指令赋值了一些关键数据

[img=720,200.21688613477923]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403011500610.png[/img]

继续分析

[img=720,274.64516129032256]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403011500611.png[/img]

看来cry1和cry2是很关键的函数
密文：

cry1
发现对我们的输入flag，举行一些转换：
比如：位置顺序和对我们的flag异或一个固定的值。
异或的值是由上下文决定的，但是总是单字节固定

[img=720,282.4937655860349]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403011500613.png[/img]

将输入的flag运算完后，转换为一个int类型的矩阵

[img=720,309.7132284921369]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403011500614.png[/img]

初次分析到此结束
【----资助网安学习，以下所有学习资料免费领！加vx：dctintin，备注 “博客园” 获取！】
　① 网安学习成长路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC漏洞分析报告
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战本领手册
　⑦ 最新网安大厂面试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
cry2

[img=720,493.65269461077844]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403011500615.png[/img]

[img=720,144.9418604651163]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403011500616.png[/img]

条件断点妙用
经过动调，我发现关键的加密就这三个汇编指令。
意思：取flag->与一个固定的矩阵相乘->输出加密之后的矩阵
如果我们能够打印，加密前的flag和相乘的矩阵元素，就可以逆推明文啦
主要是不清楚，矩阵相乘的顺序，可能是打乱的，那样只能这样来做。
利用了：条件断点

[img=720,266.9178082191781]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403011500617.png[/img]

这三个断点依次利用下面3个条件输出
主要是这两个命令：
get_reg_value("rbx") 获取rbx寄存器的值
idc.get_wide_dword() 获取某地址的值（4字节读取）

print("[rbx] = ",hex(idc.get_wide_dword(get_reg_value("rbx"))))
print("rax = ",hex(get_reg_value("rax")),"[rdi]=
",hex(idc.get_wide_dword(get_reg_value("rdi"))))
print("output，rax = ",hex(get_reg_value("rax")),"n")

复制代码

[img=720,217.32441471571906]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403011500619.png[/img]

然后edit breakpoint

[img=720,200.04499437570303]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403011500620.png[/img]

[img=720,392.5233644859813]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403011500621.png[/img]

OK，见证古迹的时刻到了，运行步伐，乐成输出：

[img=720,372.0388349514563]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403011500622.png[/img]

推导
因为密文说16字节的，我们将真正的密文提取出来和我们输入假flag产生的密文也提取出来，举行对比
Python

密文
unsigned int data[16] = {
0x00000436, 0x000002B4, 0x000002AF, 0x00000312, 0x000002EA, 0x00000253,
0x0000020A, 0x0000028E,
0x000001C6, 0x0000015C, 0x0000017C, 0x0000017A, 0x0000069E, 0x000004AE,
0x000004B1, 0x00000522
};
假flag输出的结果密文
unsigned int data[16] = {
0x00000466, 0x000002F9, 0x00000329, 0x0000046E, 0x00000290, 0x00000184,
0x000001E4, 0x0000023A,
0x00000183, 0x000000C1, 0x0000011E, 0x00000122, 0x00000646, 0x00000467,
0x000004F7, 0x000005EA
};
这是根据条件输出得到的规律；
x1*1+x2*5+x3*4+x4*3=0x436
y1*1+y2*5+y3*4+y4*3=0x2B4
z1*1+z2*5+z3*4+z4*3=0x2AF
n1*1+n2*5+n3*4+n4*3=0x312
x1*2+x2*1+x3*2+x4*3=0x2EA
y1*2+y2*1+y3*2+y4*3=0x253
z1*2+z2*1+z3*2+z4*3=0x20A
n1*2+n2*1+n3*2+n4*3=0x28E
x1*2+x2+x3+x4=0x1c6
y1*2+y2+y3+y4=0x15c
z1*2+z2+z3+z4=0x17c
n1*2+n2+n3+n4=0x17a
x1*3+x2*5+x3*4+x4*7=0x69e
y1*3+y2*5+y3*4+y4*7=0x4ae
z1*3+z2*5+z3*4+z4*7=0x4b1
n1*3+n2*5+n3*4+n4*7=0x522

复制代码

z3解密
解密脚本：
Python

from z3 import *
# 定义变量
x = [Int(f'x{i}') for i in range(1, 5)]
y = [Int(f'y{i}') for i in range(1, 5)]
z = [Int(f'z{i}') for i in range(1, 5)]
n = [Int(f'n{i}') for i in range(1, 5)]
# 定义目标值
goal = [
0x466,
0x2f9,
0x329,
0x46e,
0x290,
0x184,
0x1e4,
0x23a,
0x183,
0xc1,
0x11e,
0x122,
0x646,
0x467,
0x4f7,
0x5ea
]
# 定义约束条件
constraints = [
x[0]*1 + x[1]*5 + x[2]*4 + x[3]*3 == goal[0],
y[0]*1 + y[1]*5 + y[2]*4 + y[3]*3 == goal[1],
z[0]*1 + z[1]*5 + z[2]*4 + z[3]*3 == goal[2],
n[0]*1 + n[1]*5 + n[2]*4 + n[3]*3 == goal[3],
x[0]*2 + x[1]*1 + x[2]*2 + x[3]*3 == goal[4],
y[0]*2 + y[1]*1 + y[2]*2 + y[3]*3 == goal[5],
z[0]*2 + z[1]*1 + z[2]*2 + z[3]*3 == goal[6],
n[0]*2 + n[1]*1 + n[2]*2 + n[3]*3 == goal[7],
x[0]*2 + x[1] + x[2] + x[3] == goal[8],
y[0]*2 + y[1] + y[2] + y[3] == goal[9],
z[0]*2 + z[1] + z[2] + z[3] == goal[10],
n[0]*2 + n[1] + n[2] + n[3] == goal[11],
x[0]*3 + x[1]*5 + x[2]*4 + x[3]*7 == goal[12],
y[0]*3 + y[1]*5 + y[2]*4 + y[3]*7 == goal[13],
z[0]*3 + z[1]*5 + z[2]*4 + z[3]*7 == goal[14],
n[0]*3 + n[1]*5 + n[2]*4 + n[3]*7 == goal[15]
]
# 创建求解器
solver = Solver()
# 添加约束条件
solver.add(constraints)
# 求解
if solver.check() == sat:
model = solver.model()
for i in range(1, 5):
print(f'x{i} = {model[x[i-1]]}')
print(f'y{i} = {model[y[i-1]]}')
print(f'z{i} = {model[z[i-1]]}')
print(f'n{i} = {model[n[i-1]]}')
else:
print('无解')

复制代码

得到的结果，将其按照数组来填充

得到
Python

这是真flag解密后的结果：
x1 = 100
y1 = 89
z1 = 119
n1 = 92
x2 = 66
y2 = 5
z2 = 69
n2 = 4
x3 = 84
y3 = 83
z3 = 4
n3 = 104
x4 = 104
y4 = 82
z4 = 69
n4 = 86
100,89,119,92,66,5,69,4,84,83,4,104,104,82,69,86

复制代码

这是假flag解密后的结果：

x1 = 60
y1 = 1
z1 = 47
n1 = 4
x2 = 88
y2 = 87
z2 = 86
n2 = 95
x3 = 89
y3 = 13
z3 = 14
n3 = 94
x4 = 90
y4 = 91
z4 = 92
n4 = 93
60,1,47,4,88,87,86,95,89,13,14,94,90,91,92,93

复制代码

按照我的思绪来填充结果数组；

[img=720,309.375]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403011500624.png[/img]

乐成验证！

更多网安技能的在线实操练习，请点击这里>>

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)