写在最前：

想要成为安全大牛的愿望还是这么遥不可及。
渐渐地，没有什么忧虑的大学生活也好像开始有了一些属于小人物的忐忑。
还是坚信自己很厉害，可是道路前方仍是一片迷蒙。

感谢帮助过我的前辈，以及让我可以暂时不考虑经济压力的父母。

I have a binary that has a lot information inside heap.
How fast can you reverse-engineer this?
(hint: see the information inside EAX,EBX when 0x403E65 is executed)

download: http://pwnable.kr/bin/codemap.exe

ssh codemap@pwnable.kr -p2222 (pw:guest)

题目大意是逆向分析这个 PE 文件，并在服务主机上提交 2 个有关这个文件的问题的答案。

1. What is the string inside 2nd biggest chunk? :
2. What is the string inside 3rd biggest chunk? :

全部答对即可得到 Flag。

在做逆向分析之前，先跑一下程序猜测一下流程。

执行程序后，会给出提示，大意为程序会分配1000个大小随机堆块，每个堆块中保存有一个随机的字符串。其中最大的堆块大小为 99879 byte，其中包含的字符串为 X12nM7yCJcu0x5u。

多次执行程序，提示的最大堆块大小和其中的字符串不变。按照获取Flag的要求，猜测这里的随机的意思应该是指定大小的堆快在空间分配上的随机，固定大小序列的堆块中保存的字符串应是固定的或者遵循某种固定的构造算法。

下面开始分析（无壳无加密无VM）
在提示中让我们去查看 0x403E65 处指令执行后 EAX , EBX 的情况，
根据物理机实际的不同，笔者的提示指令位于0x0E3E65处。

可以看到，此处EAX保存着当前次循环分配的堆块大小，EBX保存着堆块的地址。
继续执行，将栈中保存的循环次数传到EAX，自增1后传回栈中保存，同时验证这个值。

问题所需的是第二和第三大堆块中保存的字符串内容，由于分配了1000次，不可能由观察得到。这里借助IDA动态调试结合脚本IDC去比较每次堆分配执行后EAX的值来指向目标堆块。
脚本如下：

#include <idc.idc>  
  
static main(){  
  
    auto max_eax, max_ebx, second_eax, second_ebx, third_eax, third_ebx;  
    auto eax, ebx;  
  
    // 依次为前三大堆块分配完成时的eax和ebx值
    max_eax = 0;  
    second_eax = 0;  
    third_eax = 0;  
    max_ebx = 0;  
    second_ebx = 0;  
    third_ebx = 0;  
  
    AddBpt(0x083E65);      // 在提示位置添加断点，在IDA中该地址为0x83E65
    StartDebugger("","","");  
    auto count;  
    for(count = 0; count < 999; count ++){  
        auto code = GetDebuggerEvent(WFNE_SUSP|WFNE_CONT, -1);  
        eax = GetRegValue("EAX");     // 中断时得到所需的值
        ebx = GetRegValue("EBX");  
      
        // 判断是否应刷新前三大堆块的值
        if(max_eax < eax){  
            third_eax = second_eax;  
            third_ebx = second_ebx;  
            second_eax = max_eax;  
            second_ebx = max_ebx;  
            max_eax = eax;  
            max_ebx = ebx;  
        }else if(second_eax < eax){  
            third_eax = second_eax;  
            third_ebx = second_ebx;  
            second_eax = eax;  
            second_ebx = ebx;  
        }else if(third_eax < eax){  
            third_eax = eax;  
            third_ebx = ebx;  
        }  
    }  
    // 输出
    Message("max eax: %d, ebx: %x, second eax: %d, ebx: %x, third eax: %d, ebx: %x\n", max_eax, max_ebx, second_eax, second_ebx, third_eax, third_ebx);  
}  

循环999而不是1000次是为了避免程序结束，堆空间被释放。
在IDA Script Commend中输入脚本并保存为.idc格式，在Debugger选项中配置好动态调试器。跑Script File即可。

最后根据跑出的结果到对应的堆块位置找到字符串。

codemap@ubuntu:~$ nc 0 9021
What is the string inside 2nd biggest chunk? :
roKBkoIZGMUKrMb
Wait for 10 seconds to prevent brute-forcing...
What is the string inside 3rd biggest chunk? :
2ckbnDUabcsMA2s
Wait for 10 seconds to prevent brute-forcing...
Congratz! flag : select_eax_from_trace_order_by_eax_desc_limit_20