看雪2022KCTF春季赛||科锐41期学员

科锐logo.png



图片3.png


看雪2022KCTF春季赛||科锐41期学员




 看雪CTF竞赛简介



看雪CTF比赛历史悠久、影响广泛。自2007年以来,看雪已经举办十多个比赛,与包括金山、腾讯安全、腾讯TSRC、360、阿里、京东、WiFi万能钥匙、安恒等在内的各大公司共同合作举办赛事。比赛吸引了国内一大批安全人士的广泛关注,历年来CTF中人才辈出,汇聚了来自国内众多安全人才,高手对决,精彩异常,成为安全圈的一次比赛盛宴,突出了看雪论坛复合型人才多的优势,成为企业挑选人才的重要途径,在社会安全事业发展中产生了巨大的影响力。

1.jpg




看雪2022KCTF春季赛于2022年5月10日开赛,本次由科锐学员组成的Archaia战队荣获本赛季防守方第四名的好成绩,并获得幸运奖科锐在此对学员们取得的成绩表示祝贺!




 

看雪2022KCTF 春季赛 防守方排行榜    


2.排行榜.png

Archaia战队

QQ截图20220616110959.png


战队成员


姓名

看雪ID参赛感言
宋江源醍醐向往CTF很久了,这次是我第一次参赛,真的让我收获了不少知识,也了解到了安全攻防的魅力,认识到了自己的不足和大牛们的差距。最后,感谢科锐老师、学长和同学的支持。
刘凯BNBullish


感谢老师和学长的指导,感谢一起努力的队友,这次参赛是一次珍贵的经历,让我理解了在科锐学习的各种基础知识的重要性,扩展了视野,也认识到了自己的不足。以后会继续努力,不断提升


李志豪

Learn Life

感谢学校的组织让我有机会和另外两位小伙伴一起参加这次的KCTF比赛,同时非常感谢马翔学长在技术上给予我们的指导和支持

由于时间关系,我们这次的准备并不充分,在细节上仍然存在着许多的不足之处,最后的成绩也差强人意。

但抛开结果不谈,我在比赛准备过程中还是收获良多。

关于技术,我对代码的混淆和膨胀有了更多的认识,同时让我体会到了技术之路的"路漫漫",而我不过才刚刚踏上它。

关于团队合作,如何让`1+1>2`是值得探究的话题,我们甚至让`1+1=2`都没做好。

最后希望自己能在技术的道路上"上下求索",越走越远。



宋江源.png

     宋江源      

刘凯照片.jpg

       刘凯        

参赛作品:危机四伏

4.赛题危机四伏.png

这是一道Windows逆向题,此题仅4支战队攻破。


接下来让我们一起来看看该赛题的设计思路吧!


题目介绍






此题是Windows32位的应用程序,设计思路是将算法代码分成三部分,分别对三部分算法代码进行不同运行模式(32位运行模式和64位运行模式)的混淆,然后使用天堂之门进行运行模式的切换。

 

整体设计






(1)核心算法部分:
本程序将解密算法分割成3部分。
第一部分是用64位指令实现;
第二部分是用32位指令实现;
第三部分是用64位指令实现;
使用天堂之门技术进行三个部分的连接;

(2)除算法外的其他部分:
本程序的其他部分由CPP编写,在项目中使用CPP的异常处理干扰调试者。
 
(3)天堂之门:天堂之门的运行模式切换,能使该程序可以对抗市面上大部分的调试器,使其调试工作不能顺利的进行。


5.题目设计图.png


混淆






1. 64位混淆:64位混淆主要有指令等价替换,流程干扰,花指令,产生垃圾代码、栈地址修改等干扰功能,为了影响攻击者,指令等价替换、产生垃圾代码等功能具有一定随机性。


2. 32位混淆:32位的混淆在64位的功能基础上,加入了SEH异常处理干扰程序执行流程,主要目的是影响调试器的trace功能。同时将部分代码做了简单的加密处理(将某些指令做了异或加密),也是通过异常的方式获取代码控制权,然后在异常中使用天堂之门切换到64位之后再解密后续的代码,解密完成之后切换到32位继续执行。


算法






1. 使用AES算法和修改的Base64算法(以下简称Base64)验证用户名和序列号是否正确。

  (1) 算法参考KCTF2021春季赛-千里寻根实现。

  (2) 验证算法部分是一段完整的Shellcode代码,将其分片成3部分后,做了混淆和校验。

  (3) 如果对输入的序列号解密失败,或者解密结果与用户名不匹配,则提示失败。


2. 使用CRC32算法保护算法部分的内存完整性

  (1) 在解密shellcode中,随机插入5份CRC32检查,计算出当前EIP前后一段 内存范围内的校验值。

  (2) 使用5份校验值分别对Base64映射表的一部分做异或,得到加密后的Base64映射表。

  (3) CrackMe一开始使用该加密后的Base64映射表,只有运行时得到正确的CRC32值,才可以恢复正确的Base64映射表。

  (4) 该校验主要用于反调试,在校验范围内的内存如果有被修改(比如下了int3断点),那么Base64映射表的结果将是错误的。


技术要点






1、天堂之门
2、X86和X64的代码混淆
3、SEH异常

4、算法设计



能力是练出来的,

潜能是逼出来的,

习惯是养成的,

成功是一步步走出来的。 


看雪CTF赛作为国内顶尖信安赛事之一,多年来一直受到技术爱好者的支持与喜爱。祝愿看雪CTF大赛越办越好,希望科锐的学员们坚持不懈,不断进步,不断超越。

              

信息来源:看雪CTF

https://ctf.pediy.com/game-team_list-17-25.htm


QQ图片20211026183922.jpg



      科锐逆向精品学习班第44期正式班于2022年7月13日开班,现正在火爆招生中,欢迎对信息安全专业感兴趣的朋友前来咨询了解。


科锐QQ交流群:703190691

咨询电话:027-87678580

唐老师QQ:1564396558

田老师QQ:2848753484



武汉科锐,展现每个人的价值...

邀请您继续关注!

QQ截图20220127112502.png