嗯,用户让我帮忙总结一篇文章的内容,控制在100字以内,而且不需要用“文章内容总结”这样的开头。好的,我先看看这篇文章讲的是什么。 文章标题是“WeakJump CTF 逆向题深度解析:从零到完整攻破的技术之路”。看起来是关于CTF竞赛中的逆向工程题目。作者详细介绍了如何分析和解决这个题目。 首先,文章提到了题目提供了一个名为weakjump的二进制文件,要求找到正确的flag。分析了文件类型,发现是静态链接、64位ELF文件,并且被stripped了符号表,增加了分析难度。 接下来,作者介绍了使用strace追踪系统调用,发现程序调用了ptrace来反调试。然后详细讲解了如何绕过反调试机制,使用GDB脚本修改返回值。 然后是静态分析部分,使用radare2查找字符串和关键函数,识别出加密算法可能使用了TEA算法,并发现了Feistel网络结构。 动态调试部分,作者编写了GDB脚本来捕获轮函数的调用和返回值,绕过了程序的反调试和比对失败的跳转。 最终通过分析加密流程和数据流向,提取密文并结合动态调试获取的数据,成功解密得到了flag。 总结一下,这篇文章详细记录了解决一个复杂逆向工程题目的全过程,包括反调试、静态分析、动态调试、加密算法识别等技术。 </think> 文章详细解析了一道CTF逆向题WeakJump的解题过程。通过分析二进制文件、绕过反调试机制、静态与动态分析相结合的方法,最终识别出基于Feistel网络的加密算法并成功解密获得flag。 2025-12-9 06:24:31 Author: www.freebuf.com(查看原文) 阅读量:9 收藏
WeakJump CTF 逆向题深度解析:从零到完整攻破的技术之路
一、题目初识
1.1 题目背景
WeakJump 是一道综合性的 CTF 逆向工程题目,融合了多种现代软件保护技术。题目提供了一个名为weakjump的二进制可执行文件,要求找到正确的 flag 输入。
1.2 文件基础分析
首先使用file命令查看文件类型:
$ file weakjump
weakjump: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, BuildID[sha1]=0adf2873eac656282618b5479e72ec35e4f33ec9, for GNU/Linux 3.2.0, stripped
关键信息解读:
ELF 64-bit:Linux 平台的 64 位可执行文件
statically linked:静态链接,所有库函数都编译进了可执行文件中,文件较大但不依赖外部库
stripped:符号表已被移除,函数名、变量名等调试信息不存在,大幅增加分析难度
1.3 运行行为观察
直接运行程序观察行为:
$ ./weakjump
Provide the flag for WeakJump:
test
Nope, WeakJump resists you.
程序表现为典型的 flag 验证器:
提示输入 flag
验证输入
输出成功或失败信息
二、逆向分析环境准备
2.1 为什么需要专业工具
对于已 stripped 的二进制文件,标准的文本编辑器无法理解其内容。我们需要专业的逆向工程工具来:
将机器码转换为可读的汇编代码
识别函数和数据结构
动态观察程序运行时的行为
2.2 工具安装
安装必要的逆向分析工具:
$ sudo apt-get update
$ sudo apt-get install -y radare2 binutils gdb strace
各工具的作用:
radare2:开源的逆向工程框架,提供反汇编、分析、调试等功能
binutils:包含 objdump、readelf 等二进制分析工具
gdb:GNU 调试器,用于动态分析和调试
strace:系统调用追踪工具,可以观察程序与操作系统的交互
三、反调试机制的发现与绕过
3.1 系统调用追踪
使用 strace 追踪程序的系统调用:
$ echo "test" | strace ./weakjump 2>&1 | grep ptrace
ptrace(PTRACE_TRACEME) = -1 EPERM (不允许的操作)
发现关键信息:程序调用了ptrace(PTRACE_TRACEME)。
3.2 ptrace 反调试原理
什么是 ptrace:
ptrace 是 Linux 提供的进程追踪系统调用,主要用于实现调试器功能。
PTRACE_TRACEME 的作用:
当进程调用
ptrace(PTRACE_TRACEME, 0, 0, 0)时,表示该进程请求被追踪一个进程只能被一个调试器追踪
如果进程已经被 gdb 等调试器追踪,再次调用 PTRACE_TRACEME 会失败
反调试的实现逻辑:
// 程序中的反调试代码(伪代码)
if (ptrace(PTRACE_TRACEME, 0, 0, 0) == -1) {
// ptrace 调用失败,说明已被调试器追踪
exit(1); // 直接退出
}
// 继续正常执行
为什么这样能反调试:
当我们用 gdb 启动程序时,gdb 会先 attach 到进程上(相当于追踪它)。此时程序再调用 PTRACE_TRACEME 就会失败,程序检测到失败后就知道自己正在被调试,从而采取对抗措施(如退出、改变行为等)。
3.3 绕过反调试
方案:修改系统调用的返回值
使用 gdb 的 catchpoint 功能捕获 ptrace 系统调用,并修改其返回值。
创建 GDB 脚本bypass_ptrace.gdb:
set debuginfod enabled off
catch syscall ptrace
commands
set $rax = 0
continue
end
run
脚本解析:
catch syscall ptrace:捕获所有 ptrace 系统调用commands ... end:为 catchpoint 设置自动执行的命令set $rax = 0:将返回值寄存器 rax 设置为 0(表示成功)continue:继续执行程序
为什么这样可以绕过:
x86-64 架构中,系统调用的返回值存储在 rax 寄存器中
我们强制将返回值改为 0(成功),程序就会认为 ptrace 调用成功了
程序继续正常执行,不会触发反调试的退出逻辑
验证绕过效果:
$ echo "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" | gdb -batch -x bypass_ptrace.gdb ./weakjump
Provide the flag for WeakJump:
Nope, WeakJump resists you.
成功!程序没有因为反调试而退出,而是正常地验证了输入并给出了失败提示。
四、静态分析:理解程序结构
4.1 查找关键字符串
字符串是静态分析的重要入口点。使用 radare2 查找程序中的字符串:
$ r2 -q -c "aaa; iz~WeakJump" weakjump
5 0x0007a289 0x0047a289 27 28 .rodata ascii Nope, WeakJump resists you.
482 0x0007c3b8 0x0047c3b8 30 31 .rodata ascii Provide the flag for WeakJump:
483 0x0007c3e0 0x0047c3e0 32 33 .rodata ascii WeakJump clear, congratulations!
命令解析:
r2 -q:以安静模式运行 radare2aaa:自动分析(Analyze All)iz:列出所有字符串~WeakJump:过滤包含 "WeakJump" 的行
找到三个关键字符串:
失败提示:
Nope, WeakJump resists you.输入提示:
Provide the flag for WeakJump:成功提示:
WeakJump clear, congratulations!
4.2 定位 main 函数
通过查找字符串的交叉引用(Cross Reference),找到使用这些字符串的代码:
$ r2 -q -c "aaa; axt @0x0047c3b8" weakjump
(nofunc) 0x401639 [DATA] lea rdi, str.Provide_the_flag_for_WeakJump:
解读:
axt @地址:查找引用指定地址的代码(Where is this address used)输出显示在
0x401639处有代码引用了这个字符串
0x401639应该在 main 函数或其附近,这是我们分析的起点。
4.3 反汇编关键代码
对0x401639附近的代码进行反汇编:
$ r2 -q -c "s 0x401639; pd 30" weakjump
在反汇编结果中,我们发现了一些关键指令:
1. 输入长度检查(地址 0x401696):
cmp rdx, 0x20 ; 比较长度是否等于 0x20 (32 字节)
这说明程序要求输入必须是 32 字节。
2. 全局变量加载(地址 0x4016d1):
mov r12d, dword [0x004a9b10]
从内存地址0x4a9b10加载一个 32 位整数到 r12d 寄存器。这很可能是加密密钥或关键常数。
3. TEA 算法特征常数(地址 0x401716):
imul r9d, r15d, 0x9e3779b1
重大发现:魔数 0x9E3779B1
这个常数不是随机的,它有特殊含义:
黄金分割比 φ = (√5 - 1) / 2 ≈ 0.618...
0x9E3779B1 = φ × 2^32 ≈ 2654435769
这是 TEA(Tiny Encryption Algorithm,微型加密算法)的标志性常数。TEA 使用这个常数来确保密钥扩展的随机性。
为什么使用黄金分割比:
黄金分割比在数学上有特殊性质,能产生良好的伪随机序列
避免密钥调度中出现周期性和对称性
这是 TEA 算法发明者经过数学分析选择的最优值
4.4 算法结构初步识别
继续分析汇编代码,发现:
循环结构 1(内层循环):
cmp ebx, 8 ; 比较计数器与 8
jne 0x401788 ; 不等于则跳转(继续循环)
这是一个执行 8 次的循环。
循环结构 2(外层循环):
cmp r15, 4 ; 比较计数器与 4
jne 0x4016c1 ; 不等于则跳转(继续循环)
这是一个执行 4 次的循环。
结构分析:
32 字节输入 ÷ 8 字节 = 4 组数据
每组数据处理 8 轮
总共 4 × 8 = 32 次操作
这符合分组密码的特征,特别是 Feistel 网络结构。
4.5 提取密文数据
通过分析比对逻辑,发现程序将加密后的输入与存储在0x47a120的数据进行比对。
提取这段数据:
$ r2 -q -c "s 0x47a120; px 32" weakjump
60 91 f3 93 32 cd df b8 23 43 55 2f 9f d4 fe e8
8e 7b 5a 36 de b6 7f d7 97 38 ee 43 b6 8d b0 b2
这 32 字节就是正确 flag 加密后的密文。
转换为便于分析的格式:
import struct
cipher_bytes = [
96, 145, 243, 147, 50, 205, 223, 184,
35, 67, 85, 47, 159, 212, 254, 232,
142, 123, 90, 54, 222, 182, 127, 215,
151, 56, 238, 67, 182, 141, 176, 178
]
# 按 4 字节分组,转换为小端序 32 位整数
for i in range(0, 32, 4):
val = struct.unpack('<I', bytes(cipher_bytes[i:i+4]))[0]
print(f"0x{val:08x}", end=" ")
if (i+4) % 16 == 0:
print()
输出:
0x93f39160 0xb8dfcd32 0x2f554323 0xe8fed49f
0x365a7b8e 0xd77fb6de 0x43ee3897 0xb2b08db6
五、加密算法深度分析
5.1 Feistel 密码网络
通过静态分析,我们识别出程序使用了 Feistel 密码结构。
什么是 Feistel 网络:
Feistel 网络是一种经典的分组密码设计结构,由 IBM 的 Horst Feistel 在 1970 年代发明,成为 DES(数据加密标准)的基础。
基本原理:
数据分割:将数据块分为左右两部分(L, R)
轮函数:设计一个函数 F,接受一半数据和轮密钥作为输入
迭代变换:重复多轮以下操作:
L[i+1] = R[i] R[i+1] = L[i] ⊕ F(R[i], K[i])其中 ⊕ 表示异或运算,K[i] 是第 i 轮的密钥
图示:
输入: [ L0 ][ R0 ]
| |
| +---+
| | F |
| +---+
| |
+--⊕-----+
| |
v v
输出: [ R0 ][ L0⊕F(R0) ]
Feistel 网络的优势:
加密解密对称:
加密和解密使用完全相同的结构
只需反向使用密钥序列即可解密
硬件实现时可以复用同一电路
轮函数无需可逆:
F 函数可以是任意复杂的单向函数
即使 F 不可逆,整个密码也是可逆的
这给设计者很大的灵活性
安全性经过验证:
DES 使用了 Feistel 结构,经过几十年的密码分析
理论基础扎实,安全性可分析
被广泛研究和理解
为什么 Feistel 是可逆的:
即使轮函数 F 不可逆,Feistel 结构仍然可逆,原因如下:
加密:L[i+1] = R[i], R[i+1] = L[i] ⊕ F(R[i], K[i])
解密:已知 (L[i+1], R[i+1]),求 (L[i], R[i])
L[i] = R[i+1] ⊕ F(L[i+1], K[i]) (因为 R[i] = L[i+1])
R[i] = L[i+1]
关键在于:我们不需要"反向"计算 F,而是再次正向计算 F,然后异或即可消除其影响。
5.2 本题的 Feistel 实现
结构参数:
数据块大小:8 字节(64 位)
左右分割:各 4 字节(32 位)
轮数:8 轮
数据组数:4 组(总共 32 字节)
加密流程:
def encrypt_block(left, right):
# 初始变换
left, right = initial_transform(left, right)
# 8 轮 Feistel 变换
for round in range(8):
# 轮函数
f_output = round_function(right, round, key_schedule[round])
# Feistel 核心:左右交换 + 异或
temp = left ^ f_output
left = right
right = temp
# 最终变换
left, right = final_transform(left, right)
return left, right
5.3 轮函数 sub_404D10
在0x404D10地址有一个复杂的函数,这是 Feistel 网络的轮函数 F。
函数调用分析:
$ r2 -q -c "aaa; axt @0x404D10" weakjump
(nofunc) 0x401796 [CALL] call fcn.00404d10
在0x401796处调用此函数。
函数特征:
通过观察汇编代码,发现这个函数有以下特点:
高度混淆:
大量的跳转指令
switch-case 结构
许多看似无意义的计算
控制流平坦化:
正常的顺序执行被打乱
通过分发器(dispatcher)控制执行顺序
代码块之间的逻辑关系被隐藏
代码混淆示例:
; 正常代码应该是:
; mov eax, ebx
; add eax, ecx
; ret
; 混淆后变成:
mov edi, 1
jmp dispatcher
block_1:
mov eax, ebx
mov edi, 2
jmp dispatcher
block_2:
add eax, ecx
mov edi, 3
jmp dispatcher
block_3:
ret
dispatcher:
cmp edi, 1
je block_1
cmp edi, 2
je block_2
cmp edi, 3
je block_3
为什么要混淆:
增加逆向分析难度
防止算法被快速识别和提取
模拟真实恶意软件的保护手段
考察逆向工程师应对复杂代码的能力
混淆代码的应对策略:
不要深入分析混淆细节
混淆代码通常有数百甚至数千条指令
手动分析每条指令会消耗大量时间
混淆的目的就是让你陷入细节
采用动态分析
将函数视为黑盒
只关注输入和输出
使用调试器获取运行时数据
使用自动化工具
符号执行(angr、Triton)
去混淆工具(D810 IDA 插件)
二进制模拟器(Unicorn、Qiling)
六、动态调试:获取关键数据
6.1 为什么需要动态调试
静态分析的局限性:
sub_404D10 函数经过严重混淆,静态分析极其困难
即使分析出代码逻辑,手动实现也容易出错
时间成本太高,不适合 CTF 比赛
动态分析的优势:
直接观察函数的实际输入输出
绕过代码混淆,获取真实数据
快速验证假设
可以在关键点暂停程序,查看状态
6.2 定位轮函数调用点
查找 sub_404D10 的调用位置:
$ r2 -q -c "aaa; axt @0x404D10" weakjump
(nofunc) 0x401796 [CALL] call fcn.00404d10
函数调用链:
调用地址:
0x401796返回地址:
0x40179b(call 指令的下一条指令)
6.3 分析循环结构
通过反汇编0x401796附近的代码:
; 内层循环:8 轮
0x401788: ; 循环开始
... ; 准备参数
call 0x404d10 ; 调用轮函数
... ; 处理返回值
0x4017a4: cmp ebx, 8 ; ebx 是计数器
0x4017a7: jne 0x401788 ; 如果 ebx ≠ 8,继续循环
; 外层循环:4 组
0x4016c1: ; 外层循环开始
... ; 处理一组数据(8 轮)
0x40183c: cmp r15, 4 ; r15 是组计数器
0x401840: jne 0x4016c1 ; 如果 r15 ≠ 4,继续下一组
循环结构总结:
for group in 0..3: # 4 组
for round in 0..7: # 8 轮
call sub_404D10
总共调用 32 次轮函数。
6.4 遇到的问题:程序提前退出
编写基础的调试脚本:
catch syscall ptrace
commands
set $rax = 0
continue
end
break *0x401796
commands
printf "Call %d\n", $call_count
set $call_count = $call_count + 1
continue
end
break *0x40179b
commands
printf "Return: 0x%08x\n", $eax
continue
end
run < /tmp/test_input.txt
运行后发现只捕获到 8 次调用,然后程序就退出了。
原因分析:
程序在处理完第一组数据后,会将加密结果与密文比对。如果不匹配,就跳转到失败分支并退出。我们的测试输入不是正确的 flag,所以第一组就失败了。
问题:
我们需要获取所有 4 组的轮函数数据,但程序在第一组失败后就退出了。
6.5 解决方案:Patch 程序跳转
分析比对逻辑:
$ r2 -q -c "s 0x401820; pd 20" weakjump
找到关键跳转:
0x401824: cmp byte [r8 + rax], cl ; 比对密文和加密结果
0x401828: jne 0x401866 ; 不相等则跳转到失败分支
在0x401828处,jne(Jump if Not Equal)指令会在比对失败时跳转。
Patch 策略:
将jne指令替换为nop(No Operation,空操作):
jne的机器码:75 3c(2 字节)nop的机器码:90 90(2 字节)
实现 Patch:
在 GDB 中可以直接修改内存:
break *0x401639 # 在 main 函数开始处下断点
commands
# Patch 掉比对失败的跳转
set {unsigned char}0x401828 = 0x90
set {unsigned char}0x401829 = 0x90
continue
end
为什么可以这样做:
GDB 允许修改进程的内存
我们只是修改了运行时内存,不影响原始文件
Patch 后程序即使比对失败也不会跳转,会继续处理剩余的数据
6.6 完整的调试脚本
创建capture_all_patched.gdb:
set debuginfod enabled off
set pagination off
# 绕过反调试
catch syscall ptrace
commands
silent
set $rax = 0
continue
end
# Patch 比对跳转
break *0x401639
commands
silent
set {unsigned char}0x401828 = 0x90
set {unsigned char}0x401829 = 0x90
continue
end
# 捕获函数调用
break *0x401796
set $call_count = 0
commands
silent
set $call_count = $call_count + 1
set $saved_rdi = $rdi
set $saved_rcx = $rcx
continue
end
# 捕获返回值
break *0x40179b
commands
silent
printf "Round %2d: rdi=0x%08x rcx=%d ret=0x%08x\n", $call_count, $saved_rdi, $saved_rcx, $eax
if $call_count >= 32
quit
end
continue
end
run
脚本解析:
绕过反调试:捕获 ptrace 调用,修改返回值
Patch 比对:将比对失败的跳转改为 nop
捕获调用:在函数调用处保存参数
捕获返回:在函数返回处记录返回值
6.7 执行调试并获取数据
准备测试输入:
$ echo "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" > /tmp/test_input.txt
运行调试脚本:
$ gdb -batch -x capture_all_patched.gdb ./weakjump < /tmp/test_input.txt
成功获取完整的 32 轮数据:
Round 1: rdi=0x3c9e357e rcx=0 ret=0x40e53d0d
Round 2: rdi=0xdee065ab rcx=1 ret=0x5086bb49
Round 3: rdi=0x6c188e37 rcx=2 ret=0xd372ccba
Round 4: rdi=0x0d92a911 rcx=3 ret=0xb86a6af5
Round 5: rdi=0xd472e4c2 rcx=4 ret=0x4cc67e1c
Round 6: rdi=0x4154d70d rcx=5 ret=0x6675d070
Round 7: rdi=0xb20734b2 rcx=6 ret=0x6a8fac89
Round 8: rdi=0x2bdb7b84 rcx=7 ret=0x7f2909b9
Round 9: rdi=0xbb139490 rcx=0 ret=0x4842ad4b
Round 10: rdi=0xf399f8b9 rcx=1 ret=0x2cf2f60f
Round 11: rdi=0x97e1629f rcx=2 ret=0x91a9774c
Round 12: rdi=0x62308ff5 rcx=3 ret=0x5829d108
Round 13: rdi=0xcfc8b397 rcx=4 ret=0xc5914d28
Round 14: rdi=0xa7a1c2dd rcx=5 ret=0x18f02e64
Round 15: rdi=0xd7389df3 rcx=6 ret=0x32e0bc6a
Round 16: rdi=0x95417eb7 rcx=7 ret=0xa5a636ec
Round 17: rdi=0x378b66a2 rcx=0 ret=0x7b18e8a7
Round 18: rdi=0x29042c2b rcx=1 ret=0x7d83623c
Round 19: rdi=0x4a08049e rcx=2 ret=0x949a4c03
Round 20: rdi=0xbd9e6028 rcx=3 ret=0xfb2067de
Round 21: rdi=0xb1286340 rcx=4 ret=0xba3358d3
Round 22: rdi=0x07ad38fb rcx=5 ret=0xf96b33f9
Round 23: rdi=0x484350b9 rcx=6 ret=0x9df34c7c
Round 24: rdi=0x9a5e7487 rcx=7 ret=0x7a3be100
Round 25: rdi=0xb27e5850 rcx=0 ret=0x1e92c816
Round 26: rdi=0xf0eb9953 rcx=1 ret=0x3a4b0511
Round 27: rdi=0x88355d41 rcx=2 ret=0x9b6b3adc
Round 28: rdi=0x6b80a38f rcx=3 ret=0x4f048ce7
Round 29: rdi=0xc731d1a6 rcx=4 ret=0xa7d8fce5
Round 30: rdi=0xcc585f6a rcx=5 ret=0x7a605b9a
Round 31: rdi=0xbd518a3c rcx=6 ret=0xcaddaf2a
Round 32: rdi=0x0685f040 rcx=7 ret=0x4002ff6b
数据分析:
rdi:传递给轮函数的第一个参数(右半部分数据)
rcx:轮数(0-7)
ret:函数返回值(轮函数输出)
数据分组:
Round 1-8:第 1 组数据(8 字节)的 8 轮
Round 9-16:第 2 组数据的 8 轮
Round 17-24:第 3 组数据的 8 轮
Round 25-32:第 4 组数据的 8 轮
重要意义:
这 32 个返回值是解密密文所需的关键数据。虽然这是对测试输入的加密过程,但我们已经掌握了动态获取轮函数输出的完整方法。
七、解密策略分析
7.1 解密的理论基础
Feistel 网络的解密特性:
由于 Feistel 结构的对称性,解密过程与加密过程使用相同的结构,只需反向应用密钥:
加密:L[i+1] = R[i], R[i+1] = L[i] ⊕ F(R[i], K[i])
解密:L[i] = R[i+1] ⊕ F(L[i+1], K[i]), R[i] = L[i+1]
关键观察:
解密时我们不需要"逆向"计算 F,而是再次正向计算 F,然后用异或消除。
7.2 解密面临的挑战
核心问题:
要解密密文,我们需要知道解密过程中每一轮的轮函数输出值。
困难点:
轮函数的输出依赖于输入数据
解密时的数据状态与加密时不同
我们获取的测试数据不能直接用于解密真实密文
具体说明:
我们用测试输入 "AAAA..." 获取的轮函数输出,是基于该输入加密过程中的中间状态。但是:
密文是正确 flag 加密后的结果
解密密文时的中间状态完全不同
不能直接使用测试数据的轮函数输出
7.3 实际解密方法
在 CTF 实战中,面对这种情况,有几种可行的方法:
方法一:逐轮动态获取(完全自动化但复杂)
从密文开始
对于每一轮解密:
计算当前轮需要调用轮函数的参数
使用 GDB 设置条件断点,当参数匹配时记录返回值
使用返回值进行这一轮的解密
重复 32 次
方法二:函数提取与模拟(需要额外工具)
提取 sub_404D10 函数的机器码
使用 Unicorn 或 Qiling 等模拟器加载代码
编写脚本在需要时调用模拟器执行函数
自动化整个解密过程
方法三:符号执行(最自动化但学习曲线陡)
使用 angr 等符号执行框架
从密文开始符号执行
添加约束:输出应该是合法的 ASCII 字符
让求解器自动找到满足条件的输入
方法四:手动辅助(本题实际采用的方法)
考虑到:
轮函数混淆严重,完全自动化解密需要较多工具和时间
CTF 比赛有时间限制
我们已经掌握了核心技术(动态获取轮函数数据)
实际解题中采用了半自动化的方法:
理解加密算法的整体结构
通过观察密文和程序行为,结合动态调试
逐步获取必要的中间值
手动或脚本辅助完成解密
7.4 观察与推理
通过分析程序的加密流程和数据处理方式,我们可以观察到:
数据流向:
输入 32 字节
↓
分成 4 组,每组 8 字节
↓
每组分为左右各 4 字节
↓
进行初始 XOR
↓
8 轮 Feistel 变换
↓
进行最终 XOR
↓
与密文比对
通过结合静态分析和动态调试的结果,并参考 TEA 等类似算法的实现模式,可以逐步推导出完整的加密和解密逻辑。
八、最终验证
8.1 flag 的获取
经过完整的分析和解密过程,最终得到 flag:
flag{b10ck_vm_plu5_3xtr4_1337!!}
8.2 验证 flag 正确性
$ echo "flag{b10ck_vm_plu5_3xtr4_1337!!}" | ./weakjump
Provide the flag for WeakJump:
WeakJump clear, congratulations!
成功!程序输出了成功提示。
8.3 flag 含义解析
flag{b10ck_vm_plu5_3xtr4_1337!!}
这个 flag 使用了 leet speak(黑客语言):
b10ck→ block:分组(分组加密)
vm→ virtual machine:虚拟机(代码混淆/虚拟化)
plu5→ plus:加上
3xtr4→ extra:额外的(额外的保护)
1337→ leet:精英(黑客文化中的经典数字)
flag 巧妙地总结了题目的核心技术点:
分组加密(Feistel + TEA)
代码混淆(控制流平坦化)
额外保护(反调试)
九、技术要点总结
9.1 反调试技术
ptrace 反调试机制:
if (ptrace(PTRACE_TRACEME, 0, 0, 0) == -1) {
exit(1);
}
原理:
利用进程只能被一个调试器追踪的特性
主动请求被追踪,如果失败说明已被调试
绕过方法:
catch syscall ptrace
commands
set $rax = 0 # 修改返回值
continue
end
扩展知识:
其他常见的反调试技术:
检测调试器进程:查找 gdb、IDA 等进程
时间检测:使用 rdtsc 指令,调试时执行速度变慢
断点检测:扫描代码段查找 INT3(0xCC)指令
TracerPid 检测:读取
/proc/self/status检查 TracerPid 字段
9.2 Feistel 密码网络
核心思想:
数据分治:分为两半独立处理
交替变换:左右交换 + 函数变换
多轮迭代:通过重复提升安全性
数学表达:
L[i+1] = R[i]
R[i+1] = L[i] ⊕ F(R[i], K[i])
优势:
加密解密对称
轮函数设计灵活
安全性经过验证
经典应用:
DES(Data Encryption Standard):16 轮
3DES:三倍 DES
Blowfish:16 轮,密钥 32-448 位
Twofish:AES 候选算法之一
为什么广泛使用:
理论基础坚实(经过大量密码学研究)
实现简单高效
硬件友好(加密解密共用电路)
安全性可调节(增加轮数提升安全性)
9.3 代码混淆技术
控制流平坦化(Control Flow Flattening):
原理:
将正常的顺序执行流程打散,用分发器重新组织。
实现方式:
// 原始代码
a = x + 1;
b = a * 2;
c = b - 3;
return c;
// 混淆后
int state = 1;
while (true) {
switch (state) {
case 1:
a = x + 1;
state = 2;
break;
case 2:
b = a * 2;
state = 3;
break;
case 3:
c = b - 3;
state = 4;
break;
case 4:
return c;
}
}
效果:
代码流程变得非线性
难以识别基本块之间的关系
静态分析复杂度大幅增加
识别特征:
大量的 switch-case 结构
频繁的跳转
状态变量控制流程
应对策略:
不深入分析混淆细节
采用动态分析绕过
使用去混淆工具(如 D810 IDA 插件)
符号执行自动化分析
9.4 动态调试技巧
GDB 高级技术:
内存修改:
set {unsigned char}0x401828 = 0x90
条件断点:
break *0x401796 if $rdi == 0x12345678
自动化命令:
commands
silent
printf "value: 0x%x\n", $rax
continue
end
catchpoint(捕获点):
catch syscall ptrace
catch signal SIGTRAP
为什么这些技术重要:
内存修改可以绕过保护机制
条件断点减少不必要的中断
自动化命令提高调试效率
catchpoint 捕获特殊事件
9.5 算法识别技巧
特征常数识别:
常见算法的魔数:
TEA/XTEA:
0x9E3779B1(黄金分割)MD5:
0x67452301,0xEFCDAB89...SHA-1:
0x67452301,0xEFCDAB89...RC4:无特征常数,看 256 字节数组
结构特征识别:
Feistel:左右分割、交换模式
SPN(Substitution-Permutation Network):S-box、P-box
ARX(Add-Rotate-XOR):只用加法、循环移位、异或
循环次数:
DES:16 轮
AES:10/12/14 轮(不同密钥长度)
TEA:32 轮(标准)
本题:8 轮(变种)
识别工具:
IDA findcrypt 插件
Binary Ninja 的密码识别
radare2 的签名匹配
十、实战经验与方法论
10.1 逆向分析的一般流程
第一步:信息收集
使用
file查看文件类型使用
checksec检查保护措施运行程序观察行为
使用
strace追踪系统调用
第二步:静态分析
查找字符串定位关键代码
识别函数和基本块
理解程序整体结构
识别算法特征
第三步:动态分析
绕过反调试保护
在关键点设置断点
观察运行时数据
验证静态分析的假设
第四步:算法还原
识别加密/混淆算法
理解数据流向
提取关键参数
第五步:编写解密脚本
实现逆向算法
验证正确性
优化和自动化
第六步:获取 flag
解密或生成正确输入
验证结果
总结经验
10.2 遇到困难时的策略
当静态分析困难时:
转向动态分析
寻找算法特征
参考类似题目
使用自动化工具
当代码混淆严重时:
不要试图理解每一行代码
采用黑盒方法(只看输入输出)
使用动态调试获取数据
考虑符号执行
当时间紧张时:
优先使用已知工具
善用搜索引擎
参考他人的解法
专注于核心问题
当遇到新技术时:
快速学习基本概念
查找相关文档和示例
尝试简单的测试
逐步深入理解
10.3 工具使用建议
radare2:
# 基础命令
aaa # 自动分析
afl # 列出函数
iz # 查看字符串
axt @addr # 交叉引用
pdf @func # 反汇编函数
px 100 # 十六进制查看
VV # 可视化模式
# 高级用法
/c 0x9e3779b1 # 搜索常数
afvd # 显示函数变量
agf # 生成函数调用图
GDB:
# 基础命令
break *0x401234 # 下断点
run < input.txt # 运行
continue # 继续
stepi / nexti # 单步执行
info registers # 查看寄存器
x/32xw $rsp # 查看内存
# 高级用法
catch syscall ptrace # 捕获系统调用
commands ... end # 自动化命令
set $rax = 0 # 修改寄存器
set {char}0x401234 = 0x90 # 修改内存
其他工具:
strace:追踪系统调用
ltrace:追踪库函数调用
objdump:反汇编
readelf:查看 ELF 文件结构
hexdump/xxd:查看十六进制
10.4 学习资源推荐
书籍:
《逆向工程权威指南》(Dennis Yurichev)
《加密与解密》(段钢)
《深入理解计算机系统》(CSAPP)
《Practical Reverse Engineering》
在线资源:
CTF Wiki:https://ctf-wiki.org
看雪论坛:https://bbs.kanxue.com
LiveOverflow YouTube 频道
Reverse Engineering for Beginners(免费电子书)
练习平台:
Crackmes.one:逆向练习
Root-Me:综合安全挑战
RingZer0 CTF:持续更新
PicoCTF:适合新手
工具教程:
radare2 官方文档
GDB 官方手册
IDA Pro 教程(Hex-Rays 官网)
Binary Ninja 文档
十一、总结与思考
11.1 本题的技术价值
通过 WeakJump 这道题目,我们学习和实践了:
反调试技术:
理解了 ptrace 反调试的原理
掌握了使用 GDB 绕过反调试的方法
学会了动态修改程序行为
密码学基础:
深入理解了 Feistel 网络结构
认识了 TEA 算法及其特征
学习了分组密码的基本原理
代码混淆对抗:
识别了控制流平坦化技术
学会了采用动态分析绕过混淆
理解了混淆与去混淆的对抗
动态调试技能:
掌握了 GDB 的高级用法
学会了程序 patch 技术
提升了调试脚本编写能力
综合分析能力:
静态与动态分析相结合
工具的灵活运用
问题的分解和解决
11.2 实战意义
这道题目涉及的技术在实际安全工作中广泛应用:
恶意软件分析:
恶意软件通常使用反调试、代码混淆
需要动态调试获取解密密钥
理解加密算法还原恶意配置
软件保护研究:
了解软件保护技术的实现
学习如何加固自己的软件
评估保护方案的有效性
漏洞研究:
逆向分析闭源软件
理解程序内部逻辑
发现潜在的安全问题
安全审计:
验证加密实现的正确性
检查是否使用了弱密码
评估代码的安全性
11.3 关键经验总结
1. 工具只是手段,理解原理更重要
不要过度依赖工具的自动化功能,要理解工具背后的原理。例如:
理解 ptrace 的工作机制,才能有效绕过反调试
理解 Feistel 的数学原理,才能正确实现解密
理解汇编语言,才能准确分析程序行为
2. 静态和动态分析要结合使用
静态分析理解整体结构
动态分析验证假设和获取数据
两者互补,效率更高
3. 遇到困难时要灵活变通
混淆代码难以静态分析,就用动态方法
程序有保护机制,就 patch 绕过
一种方法行不通,尝试其他方法
4. 自动化可以提高效率
编写 GDB 脚本自动化调试
使用 Python 处理数据
开发工具辅助分析
5. 持续学习是必须的
新的保护技术不断出现
工具和方法持续演进
保持学习,跟上技术发展
11.4 进阶学习方向
对于初学者:
扎实学习汇编语言(x86/x64)
熟练使用一款反汇编工具(IDA 或 Ghidra)
掌握调试器基本操作(GDB 或 x64dbg)
学习常见的算法和数据结构
多做 CTF 练习题积累经验
进阶方向:
代码虚拟化:研究 VM 保护(VMProtect、Themida)
符号执行:学习 angr、Triton 等工具
二进制插桩:使用 Pin、DynamoRIO、Frida
固件分析:IoT 设备、路由器固件逆向
恶意软件分析:分析真实的恶意样本
研究方向:
自动化去混淆技术
机器学习在二进制分析中的应用
新型代码保护技术研究
漏洞自动化挖掘
程序分析理论研究
11.5 结语
WeakJump 是一道设计精良的 CTF 题目,综合考察了逆向工程的多个方面。通过这道题,我们不仅学到了具体的技术,更重要的是掌握了分析问题、解决问题的方法。
逆向工程是一门需要理论与实践相结合的技术。理论知识提供了分析的基础和方向,实践经验培养了解决问题的能力和直觉。两者缺一不可。
在实际的逆向分析中,我们常常会遇到各种挑战:
复杂的保护机制
混淆的代码
未知的算法
时间的压力
面对这些挑战,我们需要:
扎实的基础知识
灵活的思维方式
丰富的工具储备
坚持不懈的精神
希望本文能够帮助读者理解逆向分析的完整流程,掌握关键的技术和方法。逆向工程的学习之路是漫长的,但也是充满乐趣和成就感的。
保持好奇心,持续学习,不断实践,你一定能在逆向工程领域走得更远!
附录:关键代码和脚本
附录 A:完整的 GDB 调试脚本
set debuginfod enabled off
set pagination off
# 绕过 ptrace 反调试
catch syscall ptrace
commands
silent
set $rax = 0
continue
end
# Patch 比对失败的跳转
break *0x401639
commands
silent
set {unsigned char}0x401828 = 0x90
set {unsigned char}0x401829 = 0x90
continue
end
# 捕获轮函数调用
break *0x401796
set $call_count = 0
commands
silent
set $call_count = $call_count + 1
set $saved_rdi = $rdi
set $saved_rcx = $rcx
continue
end
# 捕获轮函数返回值
break *0x40179b
commands
silent
printf "Round %2d: rdi=0x%08x rcx=%d ret=0x%08x\n", \
$call_count, $saved_rdi, $saved_rcx, $eax
if $call_count >= 32
quit
end
continue
end
run
附录 B:radare2 常用命令
# 基础分析
r2 -q -c "命令" 文件名 # 安静模式执行命令
aaa # 自动分析(Analyze All)
afl # 列出所有函数
afll # 列出函数及其大小
# 字符串和数据
iz # 列出所有字符串
izz # 列出所有字符串(包括数据段)
iz~关键字 # 过滤字符串
px 100 # 十六进制显示 100 字节
pxj 32 # JSON 格式显示 32 字节
# 代码分析
s 地址 # 跳转到地址
pd 20 # 反汇编 20 行
pdf @函数 # 反汇编整个函数
axt @地址 # 查找地址的引用
axf @地址 # 查找地址引用的其他地址
# 搜索
/x 909090 # 搜索十六进制
/c 0x9e3779b1 # 搜索常数
/R # 搜索 ROP gadgets
# 可视化
V # 可视化模式
VV # 可视化图形模式
agf # 生成函数调用图
附录 C:GDB 命令速查
# 断点相关
break *0x401234 # 在地址下断点
break main # 在函数下断点(需要符号)
tbreak *0x401234 # 临时断点(触发一次自动删除)
delete 1 # 删除断点 1
info breakpoints # 列出所有断点
# 执行控制
run # 运行程序
run < input.txt # 从文件读取输入
continue # 继续执行
stepi # 单步执行一条指令
nexti # 单步执行(跳过函数调用)
finish # 执行到当前函数返回
# 查看数据
info registers # 查看所有寄存器
info registers rax # 查看特定寄存器
x/32xw $rsp # 以十六进制显示栈上 32 个字
x/s 0x401234 # 以字符串显示内存
print $rax # 打印寄存器值
print/x $rax # 以十六进制打印
# 修改数据
set $rax = 0 # 修改寄存器
set {int}0x401234 = 0 # 修改内存
set {char}0x401234 = 0x90 # 修改单字节
# 高级功能
catch syscall ptrace # 捕获系统调用
commands ... end # 为断点设置命令
define 命令名 ... end # 定义自定义命令
python ... end # 执行 Python 脚本
附录 D:密文提取 Python 脚本
import struct
# 从二进制文件提取的密文
cipher_bytes = [
96, 145, 243, 147, 50, 205, 223, 184,
35, 67, 85, 47, 159, 212, 254, 232,
142, 123, 90, 54, 222, 182, 127, 215,
151, 56, 238, 67, 182, 141, 176, 178
]
print("密文(32 字节):")
for i, b in enumerate(cipher_bytes):
print(f"{b:02x}", end=" ")
if (i + 1) % 8 == 0:
print()
print("\n转换为 32 位小端序整数:")
for i in range(0, 32, 4):
val = struct.unpack('<I', bytes(cipher_bytes[i:i+4]))[0]
print(f"0x{val:08x}", end=" ")
if (i + 4) % 16 == 0:
print()
附录 E:参考资源
官方文档:
GDB 官方手册:https://sourceware.org/gdb/documentation/
radare2 文档:https://book.rada.re/
NASM 汇编手册:https://www.nasm.us/docs.php
学习资源:
CTF Wiki:https://ctf-wiki.org
看雪论坛:https://bbs.kanxue.com
Reverse Engineering Stack Exchange
LiveOverflow YouTube 频道
工具下载:
radare2:https://github.com/radareorg/radare2
IDA Free:https://hex-rays.com/ida-free/
Ghidra:https://ghidra-sre.org/
Binary Ninja:https://binary.ninja/
CTF 平台:
CTFtime:https://ctftime.org
Crackmes.one:https://crackmes.one
Root-Me:https://www.root-me.org
PicoCTF:https://picoctf.org
如有侵权请联系:admin#unsafe.sh