逆向刷题----[FlareOn4]IgniteMe

于 2024-04-16 22:05:47 发布
阅读量741 收藏 16
点赞数 25
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2203_75549399/article/details/137841178
版权

今日份学习清单:get到两个新函数__ROL4__()函数和GetStdHandle()函数,循环右移和左移

1、查壳:

无壳32位程序

2、IDA启动:

打开主函数进行分析:

可以看到此处有一个GetStdHandle()函数

HANDLE WINAPI GetStdHandle(
  _In_ DWORD nStdHandle
);

GetStdHandle()函数:

检索指定标准设备的句柄(标准输入、标准输出或标准错误)

GetStdHandle 返回的句柄可供需要在控制台中进行读取或写入的应用程序使用。 创建控制台时,标准输入句柄是控制台输入缓冲区的句柄,而标准输出和标准错误句柄则是控制台的活动屏幕缓冲区的句柄。 这些句柄可供 ReadFileWriteFile 函数使用,也可供访问控制台输入缓冲区或屏幕缓冲区的任何控制台函数(例如 ReadConsoleInputWriteConsoleGetConsoleScreenBufferInfo 函数)使用。

可以为下面的输入输出做准备

GetStdHandle 函数 - Windows Console | Mi
crosoft Learn

我们点开其中的可以发现里面有好长的字符,我们可以猜测他输入了一些数据

我们继续分析其他函数,4010F0这个函数,他的作用是检查最后一个字符是不是回车什么的,如果是我们就结束输入进行判断,下面的if语句里面是进行加密的,分析一下:

可以看到最后是一个异或比较,所以倒推找其进行修改的地方

可以发现有一个_ROL4_函数,先分析一下这个函数:

3、_ROL4_()函数

_ROL4_函数 的功能是循环左移,位移时最高位不舍弃,将最高位挪回最低位 比如二进制数据 10000,循环左移2位后得到00010

两个参数,第一个参数是要进行左移的数据,第二个是要进行移位的长度

同时我们也可以类比一下ROR4函数,就是循环右移函数,使用和上面一样

对于这个题目,就是将-2147024896循环左移4位,然后再右移一位,我们可以看看他的值

首先这个值是0x80070000

接着循环左移4位:0x700008  (因为是16进制,移动一位就是移动二进制的四位)

最后右移一位:0x380004

所以这个v4=0x380004

接着倒序进行异或,进行一次循环然后将v4开始改为其输入的值

4、解密脚本:

flags=[0]*40
x=-2147024896
tmp=0x380004
data2=[0x0D, 0x26, 0x49, 0x45, 0x2A, 0x17, 0x78, 0x44, 0x2B, 0x6C,
  0x5D, 0x5E, 0x45, 0x12, 0x2F, 0x17, 0x2B, 0x44, 0x6F, 0x6E,
  0x56, 0x09, 0x5F, 0x45, 0x47, 0x73, 0x26, 0x0A, 0x0D, 0x13,
  0x17, 0x48, 0x42, 0x01, 0x40, 0x4D, 0x0C, 0x02, 0x69,0x00]
for i in range(len(data2)-1,-1,-1):
    flags[i]=(data2[i]^tmp)&0xff
    tmp=flags[i]
for i in range(len(data2)):
    print(chr(flags[i]),end='')

答案:R_y0u_H0t_3n0ugH_t0_1gn1t3@flare-on.com手动加上flag

flag{R_y0u_H0t_3n0ugH_t0_1gn1t3@flare-on.com}

至此完成,通过此题,要学会到进行逆向时要注重细节,不要放过这些仅仅只有一个表达式的函数,而且我们也要多认识一些这样的函数


 

xiaowa35
关注
  • 25
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
buu-[FlareOn4]IgniteMe
qaq517384的博客
03-07 276
32位无壳 程序还是那么个程序,输错flag直接退出 string看不懂,异或吧) 看main void __noreturn start() { DWORD NumberOfBytesWritten; // [esp+0h] [ebp-4h] NumberOfBytesWritten = 0; hFile = GetStdHandle(0xFFFFFFF6); dword_403074 = GetStdHandle(0xFFFFFFF5); WriteFile(dword_403
BUU-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
IDA逆向常用宏定义-增加
quartect的博客
01-22 1845
进来用IDAPro7.5进行逆向程序,有一个__ROR4__ 宏,网上的版本是2011的,没有,自己写了一个,调试通过 template<class T> T __ROR4__(T value, uint count) { return (value << (0x20 - count)) | (value >> count); } ...
[FlareOn4]IgniteMe
jentle8的博客
03-31 1587
没有壳,也看不出什么语言写的,逆向分析一波: 用writeFile函数伪装起来的printf函数,但是功能一样, sub_4010F0卵用没有,sub_401050函数是主要判断: v4返回的是一个定值,动态调试就能出来,v0就是接收函数的整的花里胡哨。 对输入的字符串,最后一个字符xor 0x4,然后之后按位和前一个异或,最后和403000比较,keygen: byte_403000=[0x...
BUUCTF--[FlareOn4]IgniteMe
Hk_Mayfly的博客
04-16 647
测试文件:https://lanzous.com/ibh1vch 代码分析 void __noreturn start() { DWORD NumberOfBytesWritten; // [esp+0h] [ebp-4h] NumberOfBytesWritten = 0; hFile = GetStdHandle(0xFFFFFFF6); dword_4030...
buu:[FlareOn4]IgniteMe
weixin_60553183的博客
01-17 354
查壳无壳,放入ida。 一个个看主要是if的语句判断需要研究一下。 可以看到一个异或,但是v4不知道,这时候去动调 我直接把断点送到这里。开始。 看到这个rol指令的eax里存的值为4 写脚本 出flag ...
terraform-provider-cloudflare:Cloudflare Terraform提供商
02-03
Cloudflare Terraform提供商 网站: : 邮件列表: 要求 0.12.x 1.15(构建提供程序插件) 建立提供者 将存储$GOPATH/src/github.com/cloudflare/terraform-provider-cloudflare到: $GOPATH/src/github....
flare-kit-wisp:测试Cloudflare页面+ Svelte套件
03-27
苗条构建一个Svelte项目所需的一切,由 ;建立专案如果您看到此消息,则可能已经完成了此步骤。 恭喜! # create a new project in the current directorynpm init svelte@next# create a new project in my-appnpm ...
cloudflare-dyndns:CloudFlare动态DNS客户端
05-15
安装您可以简单地使用pip安装它: $ pip install cloudflare-dyndns 或者,您可以 或者您可以使用: $ docker run --rm -it kissgyorgy/cloudflare-dyndns --help命令行界面 $ cloudflare-dyndns --helpUsage: cloud...
terraform-cloudflare-waf-rulesets:用于管理CloudFlare WAF规则集的Terraform模块
04-06
terraform-cloudflare-waf-rulesets 用于管理CloudFlare WAF规则集的Terraform模块。 注意:此模块是 terraform模块的硬分叉,并且适用于Cloud Posse约定。 该项目是我们针对DevOps的全面方法的一部分。 它是100%...
BUUCTF-[FlareOn4]IgniteMe
qq_66455531的博客
07-05 291
_ROL__经过搜索发现是汇编的循环左移指令,那么循环右移就是__ROR__,但这里是__ROL4__,我们不知道是什么,于是就通过调试来找到这个值。这里,v4本来等于0x00700004的,我的理解是:因为目标字符里面都是两位的,其实v4也应该保留两位,不然就行不通。就是对输入的字符串进行读取和要求:输入的值不能等于10或13,否则就不读取该元素,最后输出的就是我们输入的字符串。无非就是读取字符串,进行 in()的操作,然后再check()判断,都是逆向的基操了。再看看check()
BUUCTF-RE-[FlareOn4]IgniteMe
Henlenl的博客
04-30 561
[FlareOn4]IgniteMe查壳IDA (静动)分析静态动调get flag 查壳 发现程序是没有壳的 IDA (静动)分析 静态 然后 我们再F5 查看start的伪代码 然后我们进入 sub_4010F0 看看 读取某个字符串 然后传入全局变量当中 再进入sub_401050 看看 那么我们现在未知v4的值 为了避免麻烦 其实我们可以直接在IDA动态调试该程序来获取v4的值 动调 我们首先在v4的位置下一个断点 然后选择这个 然后我们在Debugger->Stare proce
[FlareOn4]IgniteMe-buuctf
Lenard404的博客
03-15 759
buuctf做记录 查壳 32位无壳 IDA分析 反编译start函数 逻辑很清晰,先获取输入的字符串,然后进行加密,最后与密文进行比较。 查看加密函数: 逻辑也很清晰,输入从末端到首段,尾部与v4异或,其余与后一位的字符异或。 看看V4是什么: 没看懂,所以选择了OD进行动调,找到xor异或的那条命令,查看相应寄存器,得到v4=0x4。 分析过程结束,可以写脚本了。 #include<iostream> using namespace std; int main() { int
BUUOJ[FlareOn4]IgniteMe
阿東啊、
12-07 455
[FlareOn4]IgniteMe
re学习笔记(58)BUUCTF-re-[FlareOn4]IgniteMe
逆向随笔
04-02 544
新手一枚,如有错误(不足)请指正,谢谢!! 目链接:BUUCTF-re-[FlareOn4]IgniteMe 运行程序看一下 IDA32位载入,进入start函数 先去sub_4010F0()函数看一下 就是一个读入字符串存到user_input 全局变量这 查看start函数里的sub_401050函数 sub_401000函数是返回一个固定值。动调得到v4=4 总体逻辑就是将输入倒序...
[BUUCTF]REVERSE——[FlareOn4]IgniteMe
mcmuyanga的博客
12-11 317
[FlareOn4]IgniteMe 附件 步骤: 例行检查,32位程序,无壳 32位ida载入 当满足第10行的if条件时,输出G00d j0b!提示我们成功,看一下sub_401050函数 3.sub_401050函数 byte_403180经过10~14行的操作后的值与byte_403000数组相同 v4的值,不大懂这个的结果是什么,动调后看到是0x4 v4返回的是一个定值,动态调试就能出来,v0就是接收函数的整的花里胡哨。 理一下,程序对我们输入的字符串,最后一个字符xor 0x4,
buuctf记录12 [FlareOn4]IgniteMe
ytj00的博客
08-01 437
没有加壳,打开 有两个关键函数,sub-4010f0和sub-401050 看到两个’\n’,’\t’猜想这个sub-4010f0函数应该是进行输入和排除掉’\n’,’\t’ 再看sub-401050: sub_401050函数就是将字符串逆向做了异或操作之后,与已知字符串byte_403000对比。 关键是这里的v4 从代码不好直接求出来,动调查看 这里的a1就是v4,可以看到是4 脚本: #include <stdio.h> int main() { int i; char v4
BUUCTF RE WP36-38 [FlareOn4]IgniteMe、[MRCTF2020]Xor、[MRCTF2020]hello_world_go
mumuzi的博客
04-16 782
36.[FlareOn4]IgniteMe 得到的 flag 请包上 flag{} 提交。 其中,txt文档的内容为:Hint:本解出相应字符串后请用flag{}包裹,形如:flag{123456@flare-on.com} IDA打开,搜索字符串,跟进,交叉引用。 直接反编译,发现 那就不看这里了 直接看sub_4010F0和sub_401050 首先看sub_4010F0()函数 就是将输入的\n和\r给去掉,那么加密函数就应该在sub_401050中了 最后是判断byte_403180是否
el-upload上传文件回显PDF
最新发布
05-30
el-upload是element-ui提供的一个文件上传组件,可以实现上传文件的功能。关于回显PDF,需要在上传文件成功后,在回调函数中获取到上传成功后的文件地址,然后使用PDF.js库进行PDF文件的渲染。 具体实现可以参考以下步骤: 1. 在el-upload组件中设置上传成功后的回调函数,将上传成功后的文件地址保存到data中; 2. 在页面中引入PDF.js库; 3. 在mounted钩子函数中初始化PDF.js库; 4. 在watch中监听data中文件地址的变化,一旦变化就使用PDF.js库进行渲染。 示例代码如下: ``` <template> <el-upload class="upload-demo" action="/upload" :on-success="handleUploadSuccess"> <el-button slot="trigger">选取文件</el-button> <el-button type="primary" slot="tip">上传文件</el-button> </el-upload> <div id="pdf-container"></div> </template> <script> import pdfjsLib from 'pdfjs-dist' export default { data() { return { fileUrl: '' // 保存上传成功后的文件地址 } }, mounted() { pdfjsLib.GlobalWorkerOptions.workerSrc = 'https://cdnjs.cloudflare.com/ajax/libs/pdf.js/2.4.456/pdf.worker.min.js' }, watch: { fileUrl(newValue) { if (newValue) { this.renderPdf(newValue) } } }, methods: { handleUploadSuccess(response) { this.fileUrl = response.data.url }, async renderPdf(url) { const loadingTask = pdfjsLib.getDocument(url) const pdf = await loadingTask.promise const canvas = document.createElement('canvas') const ctx = canvas.getContext('2d') const scale = 1.5 const viewport = pdf.getPage(1).getViewport({ scale }) canvas.height = viewport.height canvas.width = viewport.width const renderContext = { canvasContext: ctx, viewport: viewport } pdf.getPage(1).render(renderContext) document.getElementById('pdf-container').appendChild(canvas) } } } </script>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值