HITB Binary 100是之前的HITB CTF的一道简单的逆向题,这里简单做一遍。

下载hitb-bin100.elf

将elf文件先跑一下,发现像歌词播放一样、每个一秒钟左右输出一句话,歌词好像没啥用,而且运行很久也还没停下来:

根据字符串检索法,扔到IDA的String窗口查看是否存在关键字符串,可以看到有“FLAG”相关的字符串:

点击进去查看,发现这段代码是在main()函数中的:

接着查看一下该二进制文件的函数等信息:

在Function Window也可以看到,除了调用一些标准库的函数,整个程序几乎都编译到了main函数中:

查看main函数的汇编代码,可以看到有两个地址值得研究,即4007e8和400803,因为其中都是会调用printf函数输出内容:

直接在GDB上运行并jump到相应的地址查看:

可以看到,KEY是正常的输出出来了,但是FLAG输出的是一堆乱码,然后就出现“stack smashing detected”的错误而终止运行了。跳过去直接输出Flag是不可能的了。

F5看一下伪代码吧,看到在输出flag前一段主要的代码:

分析可知,v20变量存放的是该循环执行的次数、无法改变;v21变量调用time函数生成一个时间戳,用于后续与v6变量的相减形成随机种子值;v11变量用于内循环执行的次数,从0-36;v6变量同样调用time函数生成一个时间戳,与v21变量不同在于每次内循环结束后重新生成时间戳时都会先sleep 1s后再生成;在内循环的最后是一个sleep()函数,调用来休眠1s;其余的代码都是用于生成输出的字符串。

这里如果想直接nop掉sleep()函数是行不通的,因为整段代码的执行依赖于该sleep()函数,v6与v21的差值在每次内循环结束的时候都会通过sleep()函数实现增一,如果不这样正常处理,将得不到正常的flag。

换个思路,这里关键的两个函数是sleep()和time(),我们可以重新定义该两个函数,通过LD_PRELOAD预先加载这两个函数而不是调用系统自己的从而实现欺骗程序该代码确实是睡眠了1s了,也就是说,自定义的sleep()函数直接对时间变量t自增1而不是真的等待了一秒才运行结束,从而可以将程序的休眠时间去掉:

gcc编译为so文件(-fpic参数指定为位置无关、即使用相对地址,-shared参数指定为共享库),再通过LD_PRELOAD在该elf程序运行前优先加载生成的动态链接库time.so并管道输出到一个文件中查看,可以看到输出了flag: