攻防世界 流浪者

最新推荐文章于 2024-06-14 09:50:01 发布
最新推荐文章于 2024-06-14 09:50:01 发布
阅读量42 收藏
点赞数
分类专栏: Reverse 文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76466003/article/details/133999145
版权

ida打开

没有发现main函数,可以从字符串入手,找到对应的函数。

点进一个字符串,两个都一样

ctrl+x找到所属函数

发现如下

找到调用此函数的函数

点进去

关于代码的解释

  v4 = (CWnd *)((char *)this + 100);
  v1 = CWnd::GetDlgItem(this, 1002);		//这些系统函数一开始吓到我了,虽然系统函数一直不是什么考点,但还是认为这里会有和输入相关的东西,后来下载了API的chm文档查了一下作用,的确,后面的GetBuffer应该就是获取用户输入了,但只是获取而已,相当于scanf,知道即可,还是没什么考点
  CWnd::GetWindowTextA(v1, v4);
  v2 = sub_401A30((char *)v8 + 100);
  Str = CString::GetBuffer((CWnd *)((char *)v8 + 100), v2);
  if ( !strlen(Str) )
    return CWnd::MessageBoxA(v8, &byte_4035DC, 0, 0);	//弹框函数,这里犯下第一个错误,IDA双击进去的数据都是db类型的,而我们一开始看到的弹框显示的是中文,所以我们要改类型为dd类型才可以,不然就显示不了中文,所以&byte_4035DC跟踪进去后要用热键D改为dd类型再转字符。
  for ( i = 0; Str[i]; ++i )	//把输入的字符串逐个判断条件并根据不同条件修改,
  {
    if ( Str[i] > 57 || Str[i] < 48 )  
    {
      if ( Str[i] > 122 || Str[i] < 97 )
      {
        if ( Str[i] > 90 || Str[i] < 65 )
          sub_4017B0();	//有一个不是弹框范围内就返回失败
        else
          v5[i] = Str[i] - 29;	//范围在65~90中,输出结果在36~61中
      }
      else
      {
        v5[i] = Str[i] - 87; //范围在97~122中,输出结果在10~35中
      }
    }
    else
    {
      v5[i] = Str[i] - 48;	//范围在48~57中,输出结果在0~9中
    }
  }
  return sub_4017F0((int)v5);		//把修改后的数组结果作为参数赋给后面密文对照函数。


int __cdecl sub_4017F0(int a1)
{
  int result; // eax
  char Str1[28]; // [esp+D8h] [ebp-24h] BYREF
  int v3; // [esp+F4h] [ebp-8h]
  int v4; // [esp+F8h] [ebp-4h]

  v4 = 0;
  v3 = 0;
  while ( *(int *)(a1 + 4 * v4) < 62 && *(int *)(a1 + 4 * v4) >= 0 )
  {
    Str1[v4] = aAbcdefghiabcde[*(_DWORD *)(a1 + 4 * v4)];    //aAbcdefghiabcde双击跟踪是abcdefghiABCDEFGHIJKLMNjklmn0123456789opqrstuvwxyzOPQRSTUVWXYZ'的62位长度字符串,也就不难解释while判断条件的<62了,这里还犯下第二,第三个错误,第二个错误是一开始没看出来这是个数组,*(_DWORD *)(a1 + 4 * v4)是取索引而已,a1是数组头地址,现在要知道带方括号的[]基本都是数组取字符!  第三个错误是这里*(_DWORD *)(a1 + 4 * v4)型我是真的搞不懂,明明a1是int型,还是数组头地址,它前面的(_DWORD *)把它又变成了uint32型地址,先不说这多此一举,关键是int型地址+1就是加4个字节啊!这里直接+4*v4,那不是一下就跳过4个a1数组元素了吗!关键是我调试IDA既然没有问题!!!好吧,只能认为是IDA分析出错了,
    ++v4;//可以看为 Str1[v4] = aAbcdefghiabcde【a1【v4】】
  }
  Str1[v4] = 0;
  if ( !strcmp(Str1, "KanXueCTF2019JustForhappy") )  //从字典中获取的字符与明文对比,符合就是flag
    result = sub_401770();
  else
    result = sub_4017B0();
  return result;
}

首先逆推出v5也就是a1这个数组

key1 = 'abcdefghiABCDEFGHIJKLMNjklmn0123456789opqrstuvwxyzOPQRSTUVWXYZ'
key2 = 'KanXueCTF2019JustForhappy'
s = []
for i in range(len(key2)):
    for j in range(len(key1)):
        if key2[i] == key1[j]:
            s.append(j)
print(s)

然后根据第一个解释逆推写出第二个脚本

flag = ''
v5 = s
for i in v5:
    if 0 <= i <= 9:
        v5 = i + 48
    elif 10 <= i <= 35:
        v5 = i + 87
    elif i >= 36:
        v5 = i + 29
    flag += chr(v5)
print(flag)

最终得到flag:flag{j0rXI4bTeustBiIGHeCF70DDM}

沈理大学牲
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界RE 流浪者 wp
03-15
攻防世界RE 流浪者 wp
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
流浪者 攻防世界
re1wn
04-01 1190
攻防世界 流浪者
攻防世界-流浪者
qq_45771413的博客
04-22 352
查壳 无壳 IDA 推测str为输入字符串,限制为 0~9 a~z A~Z sub_4017B0是错误提示输出 if判断后是v5分别对三个范围内的str进行对应操作 最后将v5传给 sub_4017F0函数处理 第一个while循环对a1(也就是传入的v5)的地址进行处理判断,然后用a1+4*v4为字符串下标检索字符串aAbcdefghiabcde。如果检索结果等于KanXueCTF2019JustForhappy 则正确 解题 先在字符串aAbcdefghiabcde里检索KanXueCTF201
攻防世界 - RE - 流浪者
hjj1871984569的博客
02-05 476
Title: 流浪者 WP: 打开cm.exe,要求我们输入passwd 随便输入几个,弹出’错了, 加油’的对话框 用IDA pro打开,在IDA view可以找到这些string 按下x找到用到他们的函数 像KanXueCTF2019JustForhappyz 这种字符串就很值得关注 它也就只在一个函数里出现了 找找邻近函数, 然后反编译一下 我们发现cm.exe会将输入的字符串的大写字母减去...
攻防世界逆向入门题之流浪者
沐一 · 林 的博客
08-20 626
攻防世界逆向入门题之流浪者 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向入门题的流浪者 下载附件,照例扔入exeinfope中查看信息: 32位PE文件无壳,照例扔入ida32中查看伪代码: 是没有主函数的题型,那就运行程序提取有用信息: 信息提取完了,一个弹框,一个判断,根据字符串我们可以找到弹框所在函数,弹框是messagebox函数,而import中只有一个messagebox,双击跟踪即可: 查看该函数被谁调用,用IDA权威指南学到的新技巧,function call窗口: 找到比
攻防世界 - RE - 666
hjj1871984569的博客
02-05 633
Title 666 Link https://adworld.xctf.org.cn 002 WP 显然是让我们构造出flag IDA pro,反编译 key是12h也就是18,这样就得到了flag的长度 然后就是encode这个函数 我们发现每三个字符为一组进行编码 第一个字符 a[i+0] -> (a[i+0] + 6) ^ key 第二个字符 a[i+1] -> (a[i+1] ...
菜狗的reverse学习——攻防世界流浪者
weixin_61102112的博客
09-13 200
这里最重要的是while这个循环函数,这里的a1是后面的加密函数返回得到的一个数组,所以循环*(a1+4*v4)是指针,a1记录的是数组第一个元素的位置,因为a1是int类型,所以4v4的意思是在数组里每次向后面去一个元素,所以这个循环的意思就是在aAbcdefghiabcde储存的字符串里找到a1储存的数组里对应数字位置的元素,这里就可以写脚本算出对应的数组
攻防世界流浪者WP
weixin_53622248的博客
01-11 185
题目来源:https://adworld.xctf.org.cn/task/answer?type=reverse&number=4&grade=1&id=5570&page=2攻防世界流浪者 运行程序发现让你输入password。拖入IDA利用字符串搜索找到主要部分仔细观察可以发现,先进行了一次变换,将0到9,a到z,A到Z,映射到了0到61,然后再进行第二次变换,利用一个表进行对应变换,最后和目标字符串进行比较,总体比较简单。给出代码: key="abcdefghiABC
攻防世界流浪者
qq_48274326的博客
01-09 158
ida打开 找到sub_401890函数 int __thiscall sub_401890(CWnd *this) { CWnd *v1; // eax int v2; // eax struct CString *v4; // [esp-4h] [ebp-C4h] int v5[26]; // [esp+4Ch] [ebp-74h] BYREF int i; // [esp+B4h] [ebp-Ch] char *Str; // [esp+B8h] [ebp-8h] CWnd
攻防世界流浪者做法
2303_80796023的博客
05-19 184
左侧为已知, aAbcdefghiabcde为一个数组,双击进入,可得其值,复制出来,这句话大概意思就是,从数组aAbcdefghiabcde中随机取值赋值给str1,最后构成一个字符串,这字符串现在又是已知,这个随机取值又和a1有关,a1是传进来的v5,所以得a1就是得v5,那么接下来,可以写代码了。最后运行得到的结果为j0rXI4bTeustBiIGHeCF70DDM,加上flag{}提交即可成功,这道题难度还好,更多的看的是c语言的底子,要分析出代码含义,会逆向推,就不难做出了^_^
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
每日一题——Python实现PAT乙级1042 字符统计(举一反三+思想解读+逐步优化)
weixin_44915521的博客
06-09 1087
这些编程思想和哲学理念在编写高效、健壮的代码时至关重要。通过理解和应用这些原则,我们不仅能够写出性能更好的代码,还能在不同情况下做出更加明智的设计决策。通过理解和应用这些哲学和编程思想,可以在不同场景中灵活运用,写出更加高效、健壮和灵活的代码。评估需求:根据实际需求选择最合适的数据结构和算法。避免冗余:尽量避免不必要的重复计算和操作。权衡利弊:在空间和时间之间找到最佳平衡点。灵活应变:根据输入数据的特性,灵活使用动态数据结构和提前决策策略。
基于JavaScript 如何实现爬山算法以及优化方案
乐闻世界
06-10 1294
爬山算法(Hill Climbing Algorithm)是一种常见的启发式搜索算法,常用于解决优化问题。其核心思想是从一个初始状态出发,通过逐步选择使目标函数值增大的邻近状态来寻找最优解。接下来,我们将通过 JavaScript 实现一个简单的爬山算法,帮助大家理解其原理和应用。从一个初始状态开始。评估当前状态的目标函数值。在当前状态的邻居中选择一个目标函数值更大的状态。如果找到了更优的邻居,则移动到该邻居并重复步骤2和步骤3。如果没有更优的邻居,则算法结束,当前状态即为局部最优解。
2024.6.13刷题记录
最新发布
lshx4658的博客
06-14 356
当时没有想到怎么保证队内全都是窗口内的元素,答案:“当队头元素在窗口的左边的时候,弹出队头”,虽然不能保证队内一直没有窗口外的元素,但是能保证使用到的队内元素(队头)全是窗口内元素。当时是有想到这个方法的,但是以为不行,一下没转过来弯。队列储存索引而不是元素,通过储存索引使我们能够快速判断元素是否出窗口。不会,思路来自题解(
Java——简单图书管理系统
m0_74100417的博客
06-09 1405
数据类型变量iffor数组方法类和对象封装继承多态抽象类和接口今天就是把上述知识点全部都用起来 图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理
攻防世界 easyphp
09-11
对于初学者来说,攻防世界的easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得更加方便。通过解决平台上的题目和挑战,初学者可以逐渐熟悉常见的安全漏洞和攻击技术,并学会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值