HNCTF2022 RE

已于 2024-07-23 14:02:50 修改
阅读量868 收藏 5
点赞数 15
分类专栏: re 题目 文章标签: 算法 学习
于 2024-06-08 14:45:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80048347/article/details/139509746
版权

[HNCTF 2022 WEEK2]Try2Bebug_Plus

静态分析

64位ELF,ida打开

主函数

decrypt函数,为tea加密,v ,k 已知

tea加密解密函数(C语言)

#include <stdio.h>
#include <stdint.h>
 
void encrypt (uint32_t *v,uint32_t *k ){
	uint32_t v0=v[0],v1=v[1],sum=0,i;
	uint32_t delta=0x9e3779b9;
	uint32_t k0=k[0],k1=k[1],k2=k[2],k3=k[3];
	for(i=0;i<32;i++){
		sum+=delta;
		v0+=((v1<<4)+k0)^(v1+sum)^((v1>>5)+k1);
		v1+=((v0<<4)+k2)^(v0+sum)^((v0>>5)+k3);
	} 
	v[0]=v0;v[1]=v1;
}
void decrypt (uint32_t *v,uint32_t *k){
	uint32_t v0=v[0],v1=v[1],sum=0xC6EF3720,i;	//这里的sum是0x9e3779b9*32后截取32位的结果,截取很重要。
	uint32_t delta=0x9e3779b9;
	uint32_t k0=k[0],k1=k[1],k2=k[2],k3=k[3];
	for (i=0;i<32;i++){
		v1-=((v0<<4)+k2)^(v0+sum)^((v0>>5)+k3);
		v0-=((v1<<4)+k0)^(v1+sum)^((v1>>5)+k1);
		sum-=delta;
	} 
	v[0]=v0;v[1]=v1;
}
 
int main()
{
	uint32_t v[2]={1,2},k[4]={2,2,3,4};
	printf("加密前的数据:%u %u\n",v[0],v[1]);	//%u 以十进制形式输出无符号整数 
	encrypt(v,k);
	printf("加密后数据:%u %u\n",v[0],v[1]);
	decrypt(v,k);
	printf("解密后数据:%u %u\n",v[0],v[1]);
	return 0;
}

function函数

根据以上写脚本即可,不用逆向,直接写

#include <stdio.h>
#include <stdint.h>
#include<string.h>

void decrypt(unsigned int *v, int *a2)
{
  
  unsigned int v0; // [rsp+1Ch] [rbp-24h]
  unsigned int v1; // [rsp+20h] [rbp-20h]
  unsigned int sum; // [rsp+24h] [rbp-1Ch]
  unsigned int i; // [rsp+28h] [rbp-18h]

  v0 = *v;
  v1 = v[1];
  sum = 0xC6EF3720;
  for ( i = 0; i <= 31; ++i )
  {
    v1 -= (v0 + sum) ^ (16 * v0 + a2[2]) ^ ((v0 >> 5) + a2[3]);
    v0 -= (v1 + sum) ^ (16 * v1 + *a2) ^ ((v1 >> 5) + a2[1]);
    sum += 0x61C88647;
  }
  *v = v0;

  v[1] = v1;
 
}



 
int main()
{
	unsigned int v[12]={0x489A0BFD, 0x38DE3838, 0x16D1DA51, 0x710510ED, 0x1E619392, 0x0B487955, 0x0AB44987, 0x5DB378E5, 0x9F9DA4CD,0x49F2D9A8, 0x608F269E, 0x6261B831};
	int k[4]={0xAA, 0xBB, 0xCC, 0xDD};
	unsigned char v3[12];
	int i;
	 for ( i = 0; i <= 11; i=i + 2 )
    	decrypt(&v[i], k);
	for ( i = 0; i <= 11; ++i )
    {
    	v3[i] = (16 * i) ^ v[i];//v是整型,占四个字节 
    	printf("%c",v3[i]);
	}
	//th1s_1s_flag
	return 0;
}

动态调试-learn

[HNCTF 2022 WEEK4]ez_maze

python 逆向

 打开maze.pyc在生成的文件夹下面

添加前面的字节码

打开winhex--编辑--粘贴0字节--11,修改前面的部分即可

观察发现python3.9版本的,找在线网站转成py

崩溃啦...

[HNCTF 2022 WEEK3]What's 1n DLL?

题目提示有壳,给了两个文件

改一下特征值,但是中间有一段全是0,有点奇怪

然后脱壳

DDL里面看ttt函数,看出来应该是xxtea加密

看task函数

enc dd 22A577C1h, 1C12C03h, 0C74C3EBDh, 0A9D03C85h, 0ADB8FFB3h

这里用 LoadLibrary 加载了一个名为Dll1.dll的动态链接库,这个函数会返回一个模块的句柄hModule。之后用 GetProcAddress函数来获取DLL中某个导出函数的地址,在这里就是,加载Dll1.dll,来获取其中名为ttt的函数地址,之后将其保存在ProcAddress变量中。

因此我们直接去逆Dll1.dll就好。

LoadLibrary 函数
[格式]:

function LoadLibrary(LibFileName : PChar): Thandle;
[功能]:加载由参数 LibFileName 指定的 DLL 文件。

[说明]:参数 LibFileName 指定了要装载的 DLL 文件名,如果 LibFileName 没有包含一个路径,系统将按照:当前目录、Windows 目录、Windows 系统目录、包含当前任务可执行文件的目录、列在 PATH 环境变量中的目录等顺序查找文件。

如果函数操作成功,将返回装载 DLL 库模块的实例句柄,否则,将返回一个错误代码,错误代码的定义如引文[1]所示。

GetProcAddress 函数
[格式]:

function GetProcAddress(Module:Thandle; ProcName:PChar): TfarProc;
[功能]:返回参数 Module 指定的模块中,由参数 ProcName 指定的过程或函数的入口地址。

[说明]:参数 Module 包含被调用函数的 DLL 句柄,这个值由 LoadLibrary 返回, ProcName
是指向含有函数名的以 nil 结尾的字符串指针,或者可以是函数的次序值,但大多数情况下,用函数名是一种更稳妥的选择。如果该函数执行成功,则返回 DLL 中由参数 ProcName 指定的过程或函数的入口地址,否则返回 nil 

exp

#include <stdio.h>
#include <stdint.h>
#define DELTA 0x9e3779b9
#define MX (((z>>5^y<<2) + (y>>3^z<<4)) ^ ((sum^y) + (key[(p&3)^e] ^ z)))
#define uint32_t unsigned int

void btea(uint32_t *v, int n, uint32_t const key[4])
{
        uint32_t y, z, sum;
        unsigned p, rounds, e;
        if (n > 1)            /* Coding Part */
        {
                rounds = 6 + 52/n;
                sum = 0;
                z = v[n-1];
                do
                {
                        sum += DELTA;
                        e = (sum >> 2) & 3;
                        for (p=0; p<n-1; p++)
                        {
                                y = v[p+1];
                                z = v[p] += MX;
                        }
                        y = v[0];
                        z = v[n-1] += MX;
                }
                while (--rounds);
        }
        else if (n < -1)      /* Decoding Part */
        {
                n = -n;
                rounds = 6 + 52/n;
                sum = rounds*DELTA;
                y = v[0];
                do
                {
                        e = (sum >> 2) & 3;
                        for (p=n-1; p>0; p--)
                        {
                                z = v[p-1];
                                y = v[p] -= MX;
                        }
                        z = v[n-1];
                        y = v[0] -= MX;
                        sum -= DELTA;
                }
                while (--rounds);
        }
}


int main()
{
        uint32_t v[]= {0x22A577C1, 0x1C12C03, 0x0C74C3EBD,0x0A9D03C85, 0x0ADB8FFB3};
        uint32_t const k[4]= {55,66,77,88};
        int n= 5; //n的绝对值表示v的长度,取正表示加密,取负表示解密
        // v为要加密的数据是两个32位无符号整数
        // k为加密解密密钥,为4个32位无符号整数,即密钥长度为128位
        // printf("加密前原始数据:%u %u\n",v[0],v[1]);
        // btea(v, n, k);
        // printf("加密后的数据:%u %u\n",v[0],v[1]);
        btea(v, -n, k);
        printf("解密后的数据:");
        char *p=(char *) v;
        for(int i=0;i<20;i++){
          printf("%c",*p);
          p++;}

        
        
        return 0;
}

xxtea找个脚本解密

#include <stdbool.h>
#include <stdio.h>
#define MX ((z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (k[p & 3 ^ e] ^ z))
bool btea(unsigned int* v, int n, unsigned int* k) {
  unsigned int z = v[n - 1], y = v[0], sum = 0, e, DELTA = 0x9e3779b9;
  unsigned int p, q;
  if (n > 1) { /* Coding Part */
    q = 6 + 52 / n;
    while (q-- > 0) {
      sum += DELTA;
      e = (sum >> 2) & 3;
      for (p = 0; p < n - 1; p++)
        y = v[p + 1], z = v[p] += MX;
      y = v[0];
      z = v[n - 1] += MX;
    }
    return 0;
  } else if (n < -1) { /* Decoding Part */
    n = -n;
    q = 6 + 52 / n;
    sum = q * DELTA;
    while (sum != 0) {
      e = (sum >> 2) & 3;
      for (p = n - 1; p > 0; p--)
        z = v[p - 1], y = v[p] -= MX;
      z = v[n - 1];
      y = v[0] -= MX;
      sum -= DELTA;
    }
    return 0;
  }
  return 1;
}
 
int main(int argc, char const* argv[]) {
  unsigned int v[5] = {0x22a577c1,0x1c12c03,0xc74c3ebd,0xa9d03c85,0xadb8ffb3}, key[4] = {55,66,77,88};
  int n = 5;         //n为要加密的数据个数
  btea(v, -n, key);         // 取正为加密,取负为解密
  char *p=(char *) v;
	for(int i=0;i<20;i++){
		printf("%c",*p);
		p++;
	}
  return 0;
}

// NSSCTF{He110_w0r1d!}

收不到
关注
  • 15
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
H&NCTF 2024 Re 全解WP(带附件加详细解析)
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
2022HNCTF-re部分题解
weixin_61154173的博客
12-04 1334
2022HNCTF-re部分
【PWN · ret2shellcode】[HNCTF 2022 Week1]ret2shellcode
Mr_Fmnwon的博客
04-25 3335
ret2shellcode——顾名思义,控制执行流到shellcode在更简单的一类题目ret2text中,我们主要的尝试是修改某个返回地址修改,修改到程序固有的后门函数处,劫持程序控制流以期返回后门。然而,如果程序中并不存在这样的后门函数,那么很朴素的想法是,能不能自己写一段后门函数,然后劫持程序控制流返回执行这段恶意代码呢?依此,主要的过程如下:(1)构造shellcode通过溢出放到程序某片存储空间上——为了能够执行这段代码,所存储的区域需要有可执行的权限。
HNCTF-re部分复现
weixin_61154173的博客
04-23 884
dfs迷宫01背包问题,这几天在做HNCTF的week3,week4部分,学到了一些不知道的没接触过的东西,所以记录一下。
NSS [HNCTF 2022 WEEK3]ssssti
Jay17的博客
08-04 403
NSS [HNCTF 2022 WEEK3]ssssti
[魔改TEA]1.[GDOUCTF 2023]Tea 2.[HNCTF 2022 WEEK2]TTTTTTTTTea
yjh_fnu_ltn的博客
03-02 1147
3、知道TEA加密流程(判断是否未魔改TEA编写相应的解密算法),进入enncodeTEA函数观察加密流程,发现是魔改XTEA,迭代的每次循环使用加法和移位操作,对明文和密钥进行扩散和混乱,实现明文的非线性变换。1、密钥)打开IDA虽然直接给出了密钥,但是观察函数,其中的change函数对密钥进行了修改。(两个32位的无符号整数,共64bit),和加密的。3.观察加密解密函数,编写相应脚本(C++)(四个32位的无符号整数,共128bit)相较于普通的TEA算法进行修改。"),进行相应处理后拿到key。
re [HNCTF 2022 WEEK3]Help_Me! 复现
m0_75098930的博客
04-21 166
使输入的课对应的序号相加小于等于200,乘积最大,就这么个小东西,我写了好久,最开始想递归爆破吧,应该是编程能力太差了,写了好几次都不行,想到原来稍微学了一点的整数规划,cvxpy救大命了。解出的结果是[0. 1. 0. 0. 1. 0. 1. 0. 0. 0. 1. 0. 1. 1. 0. 0. 0. 0. 1. 1.],也就是1 4 6 10 12 13 18 19。64位exe,无壳,逻辑倒是很简单。
[HNCTF 2022 WEEK3]Try2debugPlusPlus
2302_79135465的博客
05-22 217
就是一个简单TEA加密,但是dododo()里有随机数会改变密钥v7的值。只能下断点跳过几个反调试了。不足要补齐,找个对应脚本。
hnctf-pwn-week2
m0_64174759的博客
11-26 938
逆向,整数溢出,orw,栈迁移,ret2csu,partial overwrite
算法练习题13——除自身以外数组的乘积(动态规划)
hello77的blogggg 祝你得偿所愿
09-04 436
给你一个整数数组nums,返回 数组answer,其中answer[i]等于nums中除nums[i]之外其余各元素的乘积。
第四讲:拟合算法
PGeorge6的博客
09-03 1298
与插值问题不同,在拟合问题中不需要曲线一定经过给定的点。拟合问题的目标是寻求一个函数(曲线)使得该曲线在某种准则下与所有的数据点最为接近,即曲线拟合的最好(最小化损失函数)。插值算法中,得到的多项式f(x)要经过所有样本点。但是如果样本点太多,那么这个多项式次数过高,会造成龙格现象。尽管我们可以选择分段的方法避免这种现象,但是更多时候我们更倾向于得到-个确定的曲线,尽管这条曲线不能经过每一个样本点,但只要保证误差足够小即可,这就是拟合的思想。(拟合的结果是得到一个确定的曲线)
算法】单词出现次数和位置统计
最新发布
Hanbuhuic的博客
09-04 295
编写一个程序,用于统计一个给定单词在一段文本中出现的次数以及第一次出现的位置。如果单词在文本中出现,则输出出现次数和第一次出现的位置(位置从0开始计算)。如果单词没有出现,则输出-1。
P7492 [传智杯 #3 决赛] 序列
summ1ts的博客
09-03 353
的数组,表示区间内所有数的二进制表示下某一位是否为1,但这太难写,最后无奈去看官方题解,发现只要维护区间所有数的按位与和And,如果(And&k)==k的话那就不用修改了。那样的话这个题就很简单了,维护最大子段和可以见。一道类似势能线段树的题,区间按位或上k,不满足区间可合并的性质,只能暴力的单点修改。,如果我们能找到一个方法,能够判定区间里的数,或上k后是否有改变,就可以避免。至于时间复杂度用类似势能分析的方法分析一波就行了,时间复杂度。我一开始想的是线段树里维护一个。但是考虑按位或的性质,
算法学习笔记—把数字翻译成字符串
业精于勤,荒于嬉
08-31 955
通过动态规划的方法,我们可以高效地计算出一个数字字符串有多少种不同的翻译方法。这个问题不仅考察了我们对动态规划的理解,还让我们熟悉了如何处理字符串中的边界情况和状态转移。希望通过这个例子的讲解,能够帮助你更好地理解动态规划的应用。😁热门专栏推荐想学习vue的可以看看这个java基础合集数据库合集redis合集nginx合集linux合集手写机制微服务组件spring_尘觉springMVCmybit欢迎大家加入我的社区尘觉社区文章到这里就结束了,如果有什么疑问的地方请指出,诸佬们一起来评论区一起讨论
碰撞检测 | 详解矩形AABB与OBB碰撞检测算法(附ROS C++可视化)
FRIGIDWINTER的博客
09-03 1864
矩形包围盒碰撞检测的核心原理是用矩形近似待检测物体轮廓,通过计算两个矩形间是否有重叠区域来进行碰撞判断。常用的包围形式有轴对齐包围盒(Axis-Aligned Bounding Box, AABB)以及更精细化具有角度的方向包围盒(Oriented Bounding Box, OBB)。本文详解这两种碰撞检测算法,并给出基于C++的算法实现和ROS可视化仿真案例
[排序和二分] 绝对差值和
StudyingPanda的博客
08-31 522
我们不妨取出一个局部去观察,首先,对于任意一个位置的i,abs(nums1[i]-nums2[i])就是这个位置对于答案的贡献,如果我们用j位置的数去置换掉i位置(0<=i,j<n,其中n为nums1数组的长度),那么这个位置的贡献就变成了abs(nums1[j]-nums2[i])。其实也比较容易发现,我们只需要让nums1[j]接近nums2[i]即可,也就是说我们二分查找一下nums1数组中和nums2[i]接近的两个数(可能更小,也可能更大),然后比较哪个更小即可。将第一个元素替换为第二个元素:[
977.有序数组的平方
argcargv的博客
08-31 225
将双指针l、r分别从头和尾向中间移动(简化了很多,不用再处理边界条件):基本相同写法(将双指针从中将最小值的下表,向两边移动)组成的新数组,要求也按。
基于AES的图像加解密算法matlab仿真,带GUI界面
熟悉python,matlab,C,C++,JAVA等
09-02 455
AES是一种块加密算法,这意味着它处理固定长度的数据块。对于AES而言,块大小固定为128位(16字节),而密钥长度可以是128位、192位或256位。AES的工作流程包括多个轮次的替代和置换操作,这些操作增强了数据的安全性。在GUI界面上进行操作,分别对图像进行AES加密,AES解密。:每个字节被替换为其S-box中的对应值。:每列的数据通过矩阵乘法进行混合。:使用特定的逆矩阵代替MixColumns中的矩阵。:每一行的数据按照一定的规则向左或向右移动。:与ShiftRows相反的操作。
[HNCTF 2022 WEEK2]ez_ssrf
07-27
\[HNCTF 2022 WEEK2\]ez_ssrf是一个题目或挑战的名称,它涉及到SSRF(Server-Side Request Forgery)攻击。在这个挑战中,通过构造恶意的请求,攻击者可以利用目标服务器发起未经授权的请求,可能导致信息泄露、远程代码执行等安全问题。根据引用\[2\]中的代码片段,这个挑战可能涉及到通过传递参数来实现SSRF攻击,其中包括目标主机和端口。具体的攻击方法和解决方案需要根据题目的具体要求和环境来确定。 #### 引用[.reference_title] - *1* *2* [SSRF总结](https://blog.csdn.net/weixin_53090346/article/details/129025771)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [2022 SWPU新生赛&HNCTF web部分题目](https://blog.csdn.net/weixin_63231007/article/details/127135455)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值