无符号GoLang逆向经历

栏目: Go · 发布时间: 5年前

内容简介:所需工具:ida pro,IDAGolangHelper,easyGo程序将程序拖入对应位数的IDA中观察函数窗口,可以很容易的看出来,程序进行了无符号处理,Google翻阅资料,查看无符号golang逆向技巧,找到IDAGolangHelper这一脚本(项目地址在文章最下方)

所需工具:

ida pro,IDAGolangHelper,easyGo程序

将程序拖入对应位数的IDA中观察函数窗口,可以很容易的看出来,程序进行了无符号处理,Google翻阅资料,查看无符号golang逆向技巧,找到IDAGolangHelper这一脚本(项目地址在文章最下方)

无符号GoLang逆向经历

接下来,我们打开脚本(文件-脚本文件)找到IDAGolangHelper脚本所在的文件,打开,选中rename function 后选择 go 版本,默认是Go1.2,然后点确认,发现函数窗口变成了我们能够理解的函数名

无符号GoLang逆向经历
无符号GoLang逆向经历

接下来,找到main_main函数,F5得到伪代码,分析伪代码逻辑得到其使用的算法

无符号GoLang逆向经历

gdb动态调试一波,看base加密是给谁解密,是我们输入的值,亦或是程序自带的值,以及其自定义的编码表(base系列加密的原理,这里就不深究了),动态调试知道到了需要解密的字符串以及编码表

无符号GoLang逆向经历

继续运行程序,到0x4952eb后即可发现flag

无符号GoLang逆向经历

用py脚本自定义base64加密,解得flag

import string
import base64
flag = 'tGRBtXMZgD6ZhalBtCUTgWgZfnkTgqoNsnAVsmUYsGtCt9pEtDEYsql3'
std_table = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
my_table = "6789_-abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ012345"
flag = flag.translate(string.maketrans(my_table,std_table))
print base64.b64decode(flag)

IDAGolangHelper项目地址

https://github.com/sibears/IDAGolangHelper

参考链接

无符号Golang程序逆向方法解析 https://www.anquanke.com/post/id/170332

golang base64加密与解密 https://studygolang.com/articles/6926

MIPS架构的CTF逆向题--SUCTFbabyre题目writeup https://blog.csdn.net/xiangshangbashaonian/article/details/83146678


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

ASO优化道与术

ASO优化道与术

ASO100研究院 / 东方出版中心 / 2017-6 / 49

应用商店搜索优化(App Store Optimization),简称ASO,广义上是指针对App在应用商店中的搜索、榜单、推荐等流量入口进行优化,有效提升用户量的行为。 本书作为本领域的第一本读物,主要针对App最常见的推广平台:iOS及Android,从多个维度,全面地介绍了ASO的操作方式。针对App Store推广的特殊性,特别解读了精品推荐、审核规则等iOS推广重点技能,同时率先带......一起来看看 《ASO优化道与术》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

SHA 加密
SHA 加密

SHA 加密工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具