https://binarydog.top/tags/mips/ Recent content in MIPS on PseudorandomDog's Blog Hugo zh-CN Mon, 11 Nov 2024 00:00:00 +0000 https://binarydog.top/posts/ctf/%E5%BC%BA%E7%BD%91%E6%9D%AFs8/ Mon, 11 Nov 2024 00:00:00 +0000 https://binarydog.top/posts/ctf/%E5%BC%BA%E7%BD%91%E6%9D%AFs8/ <h2 class="heading" id="mips"> mips <a class="anchor" href="#mips">#</a> </h2> <pre tabindex="0"><code>Someone has found the mips binary, along with an emulator to execute it. What can you find in them? USAGE：./emu ./mips_bin </code></pre><p>32 位大端 mips 程序，拖到 IDA 里即可</p> <p>程序会在 0x23000 处开辟一个可执行空间，写入解密的机器码，然后执行</p> <p>这样得到的 flag 是 <code>flag{dynamic_reverse}</code>，是个假的 flag，交不上</p> <p>一开始的想法是 emu 在加载时动态修改了程序，故修补程序使之在结束时打印字节码的内容，没有收获，但有个意外发现：在跳到 0x23000 前的 write 函数可以调用成功，之后的所有 patch 全都失效了</p> <p> <figure class=""> <div class="img-container" > <img loading="lazy" alt="" src="https://binarydog.top/images/image-1763913623463.webp" > </div> </figure> </p> <p>所以推测是 emu 在 0x23000 或那条 if 语句处下了钩子</p> <p>IDA 打开 emu 直接搜索 0x23000 立即数</p> <p> <figure class=""> <div class="img-container" > <img loading="lazy" alt="" src="https://binarydog.top/images/image-1763913777897.webp" > </div> </figure> </p> <p>定位到 hook 的地方，这里有一个独立的检测，对 encrypt 的参数下交叉引用可以找到检测 flag 前缀的代码，推测出参数就是输入</p> <p> <figure class=""> <div class="img-container" > <img loading="lazy" alt="" src="https://binarydog.top/images/image-1763913914588.webp" > </div> </figure> </p> <p>encrypt 函数是一个稍微有点绕的魔改 RC4，KSA 部分使用乘以常数来优化了除法，实际上 KSA 和标准实现一致（见注释），PRGA 也一致，只是最后的加密多做了一些 XOR</p>