【攻防世界】Reverse——ereere writeup

最新推荐文章于 2024-09-02 08:30:00 发布
最新推荐文章于 2024-09-02 08:30:00 发布
阅读量528 收藏 12
点赞数 9
分类专栏: 逆向工程 CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77295404/article/details/135407473
版权

查看strings window,看到字符串“correct”和“wrong“,猜测字符串所在的位置就是我们要分分析的内容。

反编译代码发现代码有点乱,因为大部分变量名是没有意义的,是很难读懂的。经过分析后,我重新命名了部分函数名,使其变得可读:

int sub_400BC8()
{
  int result; // $v0
  int len; // [sp+18h] [+18h]
  unsigned __int8 *v2; // [sp+1Ch] [+1Ch]
  char v3[100]; // [sp+20h] [+20h] BYREF
  int v4; // [sp+84h] [+84h]

  v4 = dword_49E990;
  printf("please input your flag:");
  ((void (*)(const char *, ...))scanf)("%s", v3);
  len = length(v3);
  encrpyt(v3);
  v2 = (unsigned __int8 *)newbase64(v3, len);
  if ( compare(v2, "ScDZC1cNDZaxnh/2eW1UdqaCiJ0ijRIExlvVEgP43rpxoxbYePBhpwHDPJ==") )
  {
    put("wrong!");
    result = -1;
  }
  else
  {
    put("correct!");
    result = 0;
  }
  if ( v4 != dword_49E990 )
    sub_420350();
  return result;
}

BOOL __fastcall encrpyt(char *a1)
{
  BOOL result; // $v0
  unsigned int i; // [sp+1Ch] [+1Ch]
  int v3; // [sp+20h] [+20h]
  int v4; // [sp+24h] [+24h]
  unsigned __int8 v5; // [sp+2Bh] [+2Bh]

  ((void (__fastcall *)())init_tab)();
  v4 = 0;
  v3 = 0;
  for ( i = 0; ; ++i )
  {
    result = i < length(a1);
    if ( !result )
      break;
    v3 = (v3 + 1) % 256;
    v4 = (tab[v3] + v4) % 256;
    v5 = tab[v3];
    tab[v3] = tab[v4];
    tab[v4] = v5;
    a1[i] ^= tab[(unsigned __int8)(tab[v3] + tab[v4])];
  }
  return result;

这样就很清晰,首先对输入进行加密(encrypt),然后在通过一个修改过的Base64函数(仅仅是修改了表的顺序,这个解密方法我在做mobile easyjni那篇博客上有具体步骤,这里不详细解释)。最后做对比。

了解它的基本逻辑,比较费时间分析。但是分析好了,解密就很简单。要做逆向,所以先解密newBase64(下面的fromBase64函数),然后再decrypt。事实上,init_tab和decrypt的逻辑跟反编译后得到的代码(init_tab和encrypt)是一样的,不用修改,直接改写成python就可以了:
 

import base64

def fromBase64(result):

    new="ZYXWVUTSRQPONMLKJIHGFEDCBAabcdefghijklmnopqrstuvwxyz/+9876543210"  
    ori = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"

    change = result.translate(str.maketrans(new,ori))
   # print("after changing:"+change)
    #print(base64.b64decode(change))
    return base64.b64decode(change)
def init_tab():
    flag= 'flag{123321321123badbeef012}'
    aFlag1233213211 = [ord(x) for x in flag]
 
    tab = [i % 256 for i in range(256)]


    current_index_in_key_array = 0
    index_in_flag = 0
    new_index = 0
  
    for current_index_in_key_array in range(256):


        current_value = tab[current_index_in_key_array]
        new_index = (current_value + new_index + aFlag1233213211[index_in_flag]) % 256

    
        tab[current_index_in_key_array], tab[new_index] = tab[new_index], tab[current_index_in_key_array]

      
        index_in_flag  +=1
        if index_in_flag >= len(aFlag1233213211):
            index_in_flag=0
    print(len(tab))
    print(tab)
    return tab
def decrypt(enc):
    dec= []
    tab = init_tab()
    v3 = 0
    v4 = 0
    for i in range(len(enc)):
        v3 = (v3+1)%256
        v4 = (v4+tab[v3])%256
        tab[v3],tab[v4] = tab[v4],tab[v3]
        sum = tab[(tab[v3]+tab[v4])%256]
        dec.append(enc[i]^sum)
    #print(dec)
    return dec
if __name__ == '__main__':
    result = "ScDZC1cNDZaxnh/2eW1UdqaCiJ0ijRIExlvVEgP43rpxoxbYePBhpwHDPJ=="
    input = fromBase64(result)
    #input = b'\x1d\xc5\x80_\xe7\x0cX\x06\xb1\x9e\x1d=x?\x85v\xa6\x97\x89\x0f\xe2\x8c\x84U\xc6[\xc4V\x02\xbb\xf2\xbaq\xa3\x16\xc1x\xa6!\xa7\x04\x96)'
    enc = decrypt(input)
    flag = ''.join([chr(x) for x in enc])
    print(flag)

Melody0x0
关注
  • 9
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界reverse新手之re1
qq_40481505的博客
05-06 5433
攻防世界reverse新手之re1 下载附件后发现是exe文件,运行后显示 看来没给什么提示,于是用IDA反编译,按F5能够查看反编译C代码结果 阅读代码发现,程序的功能是将用户输入的flag存入v9,然后将v9和v5比较,如果值相同输出aFlag 既然需要比较flag,那正确的flag应该已经作为一个常量保存在程序内部,可以尝试直接查找flag 首先尝试查看IDA的string界面,vie...
攻防世界 Windows_Reverse2
weixin_53349587的博客
03-13 802
这道题其实不算难,只不过我想的有点复杂了,看来学逆向还是需要具有发散性思维的,有些问题确实想不到啊!! 查壳发现有aspack壳: 根据日常习惯,直接手动脱壳(其实是脱壳工具没找着。。),32位程序,x32dbg打开: 首先看到程序中有一个pushad指令,按照我习惯的脱壳方法,直接F8执行pushad,然后在栈中下一个硬件断点,F9运行,即可找到popad的位置 继续往下执行,一直到地址为0x726425的ret指令执行完: 看到一个关键的jmp指令(jmp的距离比较远,极有可能跳转..
攻防世界RE_ereere
m0_74091653的博客
05-27 883
IDA32打开。
攻防世界reverse
clayzx的博客
11-30 422
新手练习区 Hello, CTF 下载附件,查壳,32位,无壳 运行一下程序,查看效果,可以看到要我们输入,等会可以根据这串字符串判断flag的位置 拖进ida32位,静态分析,shift+f12查看字符串,发现 success!下面还有一个可疑字符串怀疑是进行处理过的flag 双击查看字符串存储的位置,ctrl+x交叉引用,查看在那个地方使用了这个字符串 进入后追踪到这个位置,f5查看c代码,会汇编的也可以直接干汇编 可以看到用户只能输入最多17个字符,超过便会结束,也就是falg不会超过1
攻防世界 Reverse 新手练习区 1-12 全详解
闵行小鱼塘
11-28 4044
本篇是攻防世界 Reverse 新手练习区的全解
repeater【攻防世界
qq_41696518的博客
09-01 1744
repeater 攻防世界
攻防世界reverse(新手练习区)01
Taikx的博客
05-16 724
文章目录前言一、insanity二、python-trade三、re1 前言 二进制小白终于要对逆向题动手了 一、insanity 下载附件并用记事本打开,查找关键字flag 上交flag 9447{This_is_a_flag} 二、python-trade 下载附件得到.pyc文件,不能直接打开,将下载的 pyc 文件在线上工具 https://tool.lu/pyc/中打开,得到反编译后的 Python 代码: #!/usr/bin/env python # visit http://too
攻防世界reverse新手练习区通关教程
玄道的网安博客
05-25 1392
open-source 下载附件打开来看看,三个条件达成即可 第一个是0xcafe,第二个是满足or的一个数字,第三个是h4cky0u 最后会输出key 把first注释掉,加上参数 编译c文件 gcc 1.c -o 2 ./2 0 25 h4cky0u 最后输出key即可 simple-unpack 我们先用扫描壳工具,发现有upx壳 进行脱壳 upx -d 直接拿去ida搜索flag即可 Logmein 直接加载进ida然后指定main按F5 s是
攻防世界Reverse解题(一)
weixin_46703850的博客
03-13 2872
攻防世界Reverse解题(一)
攻防世界reverse新手区——simple-unpack(upx脱壳)
m0_46357566的博客
07-18 1019
方法一:傻瓜式 下载文件,用记事本打开,按Ctrl+f打开搜索,输入flag,得到 去掉乱码即为flag 方法二…UPX脱壳 1.下载文件,拖进PEiD 不是有效的PE文件,就要怀疑是不是ELF文件了 2.再拖进exeinfope看 可以看到确实是ELF文件,然后是UPX加壳 3.下载kali Linux系统镜像(官网),新建VMware虚拟机(其实用脱壳机就可以,还是想手脱试试看) ...
MD5加密+截取字符
05-09
MD5工具类以及截取字符后加密,可用于账号截取字符加密
攻防世界 REVERSE 新手区/re1
ookami6497的博客
04-03 3017
攻防世界 REVERSE 新手区/re1 先看题,题目描述没啥有用信息,直接下附件 打开 先随便输个数 估计是个字符串匹配的题,接下来用IDA32位打开 看到有个strcmp函数,比较v5和v9,然后判断v3,根据v3给出相应的结果。这时我看到了个printf(aFLAG),满怀欣喜地点进去看了 啊?这么快就得到答案了么?(并没有。。) 看下描述,和运行的那个程序一样结果,看来是假的 那么那个else后输出的就应该是代表正确的答案了,跟进unk_413E90
攻防世界 reverse 逆向简单题练习区 答题(1-12题解)
小哈里的博客
01-11 9477
序 传送门:https://adworld.xctf.org.cn/task/ 1、game 题目描述:菜鸡最近迷上了玩游戏,但它总是赢不了,你可以帮他获胜吗 题目思路: 下载获得一个exe游戏文件 翻译: 玩游戏,n是灯的序列号,m是灯的状态,若是第n个灯的m是1,它就亮,若是不是,它就灭。 起初全部的灯都关了,如今你能够输入n来改变它的状态, 可是你要注意一件事,若是你改变第N个灯的状态,(N-1)th和(N+1)th的状态也会改变, 当全部灯都亮起时,将出现flag。 如今,输入n,n的值域
CTF | Reverse练习之初探
qq_42646885的博客
07-18 3231
题目描述: 主机C:\Reverse\1目录下有一个CrackMe1.exe程序,运行这个程序的时候会提示输入一个密码,当输入正确的密码时,会弹出过关提示消息框,请对CrackMe1.exe程序进行逆向分析和调试,找到正确的过关密码。 实验步骤: 1、使用PEiD扫描 通过对CrackMe1.exe程序的观察,我们知道程序需要输入一个密码,当不输入任何数据就点击按钮时,提示如...
CTF-攻防世界 Reverse新手练习解析
热门推荐
F1ash000
08-20 1万+
博主也是CTF小白,入门ing。。。方向是RE + PWN。文章可能多有纰漏,但会持续更新更正。希望大家多多指出不足之处。 很多时候我也挺奇怪为啥我下载的附件都是一串数字,网上的视频或者博文里面都是语义化的名称······也许这就是非酋吧······[/捂脸] 1. re1 下载文件:1f7dd33440bb499e9f844f4475f3addc.exe 解析: 这道题很简单: 打开.exe随便...
xctf攻防世界 REVERSE 高手进阶区 66六
l8947943的博客
04-07 9683
0x01. 进入环境,下载附件 给的一个压缩包,解压后是无后缀文件,没有什么东东,使用exeinfo PE检查一下壳子,如图: 没有壳子,64位的文件。 0x02. 问题分析 老套路,丢入ida,找main函数,F5反编译,代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-1E0h] char v5; // [rsp+F0h] [rbp-F0h]
AI安全立法:加州新法案的争议与未来影响
2301_79342058的博客
09-01 914
正如之前详细探讨过的那样,SB-1047法案要求AI模型的创建者在模型出现“对公共安全和安保构成新威胁”时,尤其是在“缺乏人类监督、干预或管理”的情况下,必须实施一种可以“关闭”该模型的“杀手开关”。不要错过这个机会,成为AI领域的领跑者。在周三宣布立法通过时,该法案的发起人、州参议员斯科特·维纳(Scott Weiner)引用了AI行业知名人士的支持,如Geoffrey Hinton和Yoshua Bengio(这两位去年也签署了一份声明,警告快速发展的AI技术可能带来的“灭绝风险”)。
IT服务器安全规范 2024.08
S0linteeH's Blog
08-30 1866
安全配置建议 使用场景 场景说明 安全配置建议 登录密钥 服务器登录账号及密钥。 建议设置为强密码形式:12位以上,同时包含数字、大小写字母、特殊符号 远程登录端口 22、3389端口分别用于服务器的Linux和Windows场景下的远程登录,需对这两端口进行安全限制。 利用安全组限制22、3389远程登录端口的访问来源IP。无法设置白名单时,将远程登录的方式设置为SSH Key认证方式。 MySQL、FTP等在安装的高危服务端口 由于MySQL和
web渗透:SSRF漏洞
最新发布
weixin_68416970的博客
09-02 1007
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种安全漏洞,它允许攻击者构造请求,由服务端发起,从而访问服务端无法直接访问的内部或外部资源。为了防范SSRF漏洞,应用程序应该实施严格的输入验证,限制外部请求的来源和类型,以及避免在服务器端执行用户可控的外部请求。内外网web应用攻击:利用SSRF漏洞,攻击者可以针对内外网的web应用发起攻击,特别是那些通过GET参数即可触发的漏洞。通过实施这些措施,可以显著降低SSRF漏洞被利用的风险,保护应用程序和数据的安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值