【攻防世界】Reverse——secret-galaxy-300 writeup

于 2024-01-07 20:47:57 发布
阅读量430 收藏 7
点赞数 9
分类专栏: CTF 逆向工程 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77295404/article/details/135444484
版权

由main函数查看相关代码,但是代码中并没有直接的关于flag的信息:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  __main();
  fill_starbase(&starbase);
  print_starbase((int)&starbase);
  return 0;
}
void __cdecl fill_starbase(int a1)
{
  int i; // [esp+8h] [ebp-10h]
  int v2; // [esp+Ch] [ebp-Ch]

  v2 = 0;
  for ( i = 0; i <= 4; ++i )
  {
    *(_DWORD *)(a1 + 24 * i) = galaxy_name[i];
    *(_DWORD *)(24 * i + a1 + 4) = rand();
    *(_DWORD *)(24 * i + a1 + 8) = 0;
    *(_DWORD *)(24 * i + a1 + 12) = 0;
    *(_DWORD *)(24 * i + a1 + 16) = 24 * (i + 1) + a1;
    *(_DWORD *)(a1 + 24 * i + 20) = v2;
    v2 = 24 * i + a1;
  }
}
int __cdecl print_starbase(int a1)
{
  int result; // eax
  const char *v2; // edx
  int i; // [esp+1Ch] [ebp-Ch]

  puts("--------------GALAXY DATABASE-------------");
  printf("%10s | %s | %s\n", "Galaxy name", "Existence of life", "Distance from Earth");
  result = puts("-------------------------------------------");
  for ( i = 0; i <= 4; ++i )
  {
    if ( *(_DWORD *)(24 * i + a1 + 8) == 1 )
      v2 = "INHABITED";
    else
      v2 = "IS NOT INHABITED";
    result = printf("%11s | %17s | %d\n", *(const char **)(24 * i + a1), v2, *(_DWORD *)(24 * i + a1 + 4));
  }
  return result;
}

注意到print_starbase只是打印了5个galaxy,但galaxy_name有6个元素:

c通过交叉引用,找到了下面的代码:

int __libc_csu_gala()
{
  int result; // eax

  sc[0] = off_409014;
  sc[3] = &byte_40DAC0;
  sc[1] = 31337;
  sc[2] = 1;
  byte_40DAC0 = off_409004[0][8];
  byte_40DAC1 = off_409010[0][7];
  byte_40DAC2 = off_409008[0][4];
  byte_40DAC3 = off_409004[0][6];
  byte_40DAC4 = off_409004[0][1];
  byte_40DAC5 = off_409008[0][2];
  byte_40DAC6 = 95;
  byte_40DAC7 = off_409004[0][8];
  byte_40DAC8 = off_409004[0][3];
  byte_40DAC9 = off_40900C[0][5];
  byte_40DACA = 95;
  byte_40DACB = off_409004[0][8];
  byte_40DACC = off_409004[0][3];
  byte_40DACD = off_409004[0][4];
  byte_40DACE = off_409010[0][6];
  byte_40DACF = off_409010[0][4];
  byte_40DAD0 = off_409004[0][2];
  byte_40DAD1 = 95;
  byte_40DAD2 = off_409010[0][6];
  result = *((unsigned __int8 *)off_409008[0] + 3);
  byte_40DAD3 = off_409008[0][3];
  byte_40DAD4 = 0;
  return result;
}

但是上面代码中的result并不是我们要的flag,而是byte_40DAC0数组。解密方法有两种,一种是动态的就是在上面的代码中下断点,另一种是通过静态分析,用python改写上面的代码:


off_409004 = "Andromeda".encode('utf-8')
off_409008= "Messier".encode('utf-8')
off_40900C = "Sombrero".encode('utf-8')
off_409010  = "Triangulum".encode('utf-8')
off_409014 = "DARK SECRET GALAXY".encode('utf-8')

def __libc_csu_gala():
    byte_40DAC = bytearray(21)  

    byte_40DAC[0] = off_409004[8]
    byte_40DAC[1] = off_409010[7]
    byte_40DAC[2] = off_409008[4]
    byte_40DAC[3] = off_409004[6]
    byte_40DAC[4] = off_409004[1]
    byte_40DAC[5] = off_409008[2]
    byte_40DAC[6] = 95
    byte_40DAC[7] = off_409004[8]
    byte_40DAC[8] = off_409004[3]
    byte_40DAC[9] = off_40900C[5]
    byte_40DAC[10] = 95
    byte_40DAC[11] = off_409004[8]
    byte_40DAC[12] = off_409004[3]
    byte_40DAC[13] = off_409004[4]
    byte_40DAC[14] = off_409010[6]
    byte_40DAC[15] = off_409010[4]
    byte_40DAC[16] = off_409004[2]
    byte_40DAC[17] = 95
    byte_40DAC[18] = off_409010[6]

    byte_40DAC[19] = off_409008[3]
    byte_40DAC[20] = 0

    return byte_40DAC.decode('utf-8')  

result = __libc_csu_gala()
print(result)

Melody0x0
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界reverse新手区——simple-unpack(upx脱壳)
m0_46357566的博客
07-18 1016
方法一:傻瓜式 下载文件,用记事本打开,按Ctrl+f打开搜索,输入flag,得到 去掉乱码即为flag 方法二…UPX脱壳 1.下载文件,拖进PEiD 不是有效的PE文件,就要怀疑是不是ELF文件了 2.再拖进exeinfope看 可以看到确实是ELF文件,然后是UPX加壳 3.下载kali Linux系统镜像(官网),新建VMware虚拟机(其实用脱壳机就可以,还是想手脱试试看) ...
[buuctf] crypto全解——85-120(不建议直接抄flag)
ao52426055的博客
11-24 8282
yxx 查看题目 啥也不是没看懂 用010查看进制 32位,再来查看明文.txt发现刚好也是32位字符,于是怀疑这道题是道一次性密码本OTP的题目,将明文与密文的txt一位一位异或即可得到flag 上脚本 python2的 h=['0A','03','17','02','56','01','15','11','0A','14','0E','0A','1E','30','0E','0A','1E','30','0E','0A','1E','30','14','0C','19','0D','1F','10'
攻防世界secret-galaxy-300
m0_58758447的博客
12-08 488
攻防世界secret-galaxy-300
攻防世界-secret-galaxy-300
qq_70851535的博客
11-17 273
逆向题目分析
攻防世界 Reverse高手进阶区 2分题 secret-galaxy-300
闵行小鱼塘
12-08 402
继续ctf的旅程,攻防世界Reverse高手进阶区的2分题,本篇是secret-galaxy-300writeup
CTF-攻防世界-Reverse-(secret-galaxy-300)
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-07 1016
目录 secret-galaxy-300 查壳 使用IDA静态分析 使用OllyDbg 动态调试 secret-galaxy-300 查壳 PE 分析 发现无壳 使用IDA静态分析 定位到主函数 设置断点,调试运行程序 定位到数据段,发现最后一个字符串没有输出,猜测flag 我们继续追踪这个字符串(ctrl+x) 继续 F5反编译,查看C源代码,发现都是赋值操作,很可能会出现flag的字符串 定位一下汇编地址 该函数开始地址:0040...
攻防世界(二) secret-galaxy-300详解!
m0_51357657的博客
03-09 700
看了一下感觉好多wp都写得不太清楚,没有说明怎么找到字符串,直接进od了 这里利用ida静态分析+动调看看这道题 我的电脑不能直接打开exe, 所以用的动调走到print函数看一下输出 _main函数里只有一个fill和一个print函数感觉没什么用,先不看 根据输出查找字符串,找到输出的这几个字符串的地方 那个aDarkSecret的地方没有输出,不管如何先进这个——libc_csu_gala看一下 仔细观察发现每一个galaxy_name输出后都有一个: mov ds: byte_400…, a
攻防世界———MISC 高手区题解
热门推荐
小锤队长的博客
10-14 1万+
目录 1,base64stego 2,easycap 3,Avatar 4,What-is-this 5,签到题 6,Training-Stegano-1 7,Excaliflag 8,Get-the-key.txt 9,glance-50 10,4-2 11,misc1 12,embarrass 13,肥宅快乐题 14,小小的PDF 至此 我在攻防世界中已经 遇到...
攻防世界 Misc高手进阶区 2分题 Reverse-it
闵行小鱼塘
10-30 759
继续ctf的旅程,攻防世界Misc高手进阶区的2分题,本篇是Reverse-it的writeup
RNA-seq第四期——HTSeq-count对reads进行计数
qq_53971833的博客
09-04 4252
RNA-seq第四期——HTSeq-count对reads进行计数
攻防世界逆向高手题之secret-galaxy-300
沐一 · 林 的博客
08-23 838
攻防世界逆向高手题之secret-galaxy-300 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的secret-galaxy-300 下载附件压缩包,解压,得到三个文件: 一开始我很震惊,以为是那种多文件关联的逆向题,结果不是,查看资料后发现这只是三个同一类型文件的三个不同版本而已,一个windows32位exe,另外两个分别是32位和64位的ELF的linux可执行文件,就分析32位的ELF文件吧,扔入IDA32中查看伪代码,有main函数看main函数: 两个函数,一个填充fill_
攻防世界 Reverse secret-galaxy-300
XFox_的博客
08-06 252
secret-galaxy-300` 打开有三个文件,选择分析.exe文件` 拖进ida,并打开main函数 int __cdecl main(int argc, const char **argv, const char **envp) { __main(); fill_starbase(&starbase); print_starbase(&starbase); return 0; } 只有两个函数,分别进入分析 fill_starbase函数: void __cdec
re学习(33)攻防世界-secret-galaxy-300(脑洞题)
最新发布
m0_66039322的博客
08-16 218
思路:题目是secret-galaxy-300,中文引导型暗示——隐藏的星系,运行结果显示了5个星系,而我前面跟踪的数组有6个星系,少了DARK SECRET GALAXY,那么这个就是关键点!IDA远程动态调试,下断点在return处,运行:(PS:运行且调试过IDA了,所以这里的数组名字和我一开始看到的不一样,IDA应该是自己又修改过了)总结:这是一个脑洞题,需要推理,根据运行结果找到隐藏的字符串,再根据隐藏的字符串找到关键代码,然后计算出flag。可执行文件,就分析32位的ELF文件吧。
secret-galaxy-300 XCTF 攻防世界
qq_41071646的博客
04-29 1878
这个题 。。。。 没有硬核分析算法 不过结构体 应该挺好分析的 主函数就这么多的东西 然后我们看一下两个函数的内容 看起来 。。。 好像没有什么问题 然后 到后面结构体里面的值就直接打印了出来 我用od 看了一下 结构体里面的内存 发现了一个可疑的字符串 交上去 就是正确答案 ...
secret-galaxy-300 Replace(印象深刻) 寒假逆向生涯(8/100)
寻梦&之璐
01-15 3857
secret-galaxy-300 脑洞题,直接没说法,就以后别碰这种脑洞题就行,,,,没任何帮助 显示界面 OD打开后,显示这个鬼东西。然后就没了。 ida静态分析 看到上方输出框有字符串,所以我们来查找字符串ctrl+F12 好熟悉的东西,但就是最后一个没有输出。盲猜是flag,然后根据交叉引用去找源地址。 找到了地址是0x4013ED,把它放入edx 伪代码是这个东西,啥也看不到,动用OD吧,动调一下 OD动调 拖动进去之后,直接ctrl +G 输入地址0x4013ED,然后下个断点, 不
攻防世界 reverser secret-galaxy-300
09-05 496
secret-galaxy-300school-ctf-winter-2015 运行程序 完全没有flag的身影呀 ida查看字符串 也没有相关信息 动态调试,看运行后内存信息 发现了一串字符 aliens_are_around_us 提交,成功。。。。。 0.0 转载于:https://www.cnblog...
20211024gfsj_re_secret_galaxy_300
Leong_Vinson的博客
03-31 127
3个文件,我选exe吧,毕竟在Windows上调试熟悉一点。 查了一下,无壳,32位。拖进IDA int __cdecl main(int argc, const char **argv, const char **envp) { __main(); //初始化 fill_starbase((int)&starbase); //填充数据 print_starbase(&starbase); //输出数据 return 0; } void __cdecl
攻防re_secret-galaxy-300
m0_62690279的博客
04-04 209
攻防re_secret-galaxy-300 拖入ida看到 int __cdecl main(int argc, const char **argv, const char **envp) { __main(); fill_starbase(&starbase); print_starbase(&starbase); return 0; } 点开print那个函数看看: int __cdecl print_starbaseint a1) { int result; /
攻防世界Reverse(2)
njh18790816639的博客
12-30 236
secret-galaxy-300 来大致看看信息(看看会不会有所发现) 没有太大的发现,那我们就用ida打开去看看呗。 先看看print_starbase((int)&starbase);这个呗。 再来来看看看fill_starbase((int)&starbase); 再仔细看了一番,第一步查看信息的时候,它就提示尝试用ollydbg,其实上面应该是个结构体,而我们就需要去看看结构体内的信息: 大致用od运行一遍看一下是个什么: 其实再看看ida就会发现结构体里的数据没有完全被
攻防世界reverse
07-27
攻防世界(reverse)是一个CTF(Capture The Flag)比赛平台,旨在提供一个实践和学习网络安全攻防技术的环境。参赛者需要通过解决一系列的安全难题来获取Flag(标志),Flag是一个特定字符串,代表着成功攻击或者防御...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值