re题(9)BUUCTF-re CrackRTF

已于 2024-09-22 10:42:25 修改
阅读量45 收藏 3
点赞数 10
分类专栏: # creak 文章标签: 算法
于 2024-05-03 17:09:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80907001/article/details/138418255
版权

BUUCTF在线评测 (buuoj.cn)

把下载的文件拖到ida

进入main函数

进行分析

int __cdecl main_0(int argc, const char **argv, const char **envp)
{
  DWORD v3; // eax
  DWORD v4; // eax
  char Str[260]; // [esp+4Ch] [ebp-310h] BYREF
  int v7; // [esp+150h] [ebp-20Ch]
  char String1[260]; // [esp+154h] [ebp-208h] BYREF
  char Destination[260]; // [esp+258h] [ebp-104h] BYREF

  memset(Destination, 0, sizeof(Destination));  // Destination重置为0
  memset(String1, 0, sizeof(String1));          // String1重置为0
                                                // 
  v7 = 0;
  printf("pls input the first passwd(1): ");
  scanf("%s", Destination);                     // Destination是flag
  if ( strlen(Destination) != 6 )               // 如果Destination长度需要等于6
  {
    printf("Must be 6 characters!\n");
    ExitProcess(0);
  }
  v7 = atoi(Destination);                       // 字符串转换为整数
  if ( v7 < 100000 )
    ExitProcess(0);
  strcat(Destination, "@DBApp");                // 在后面加上字符串
                                                // 
  v3 = strlen(Destination);                     // v3=des的长度
  sub_40100A((BYTE *)Destination, v3, String1); // sha加密
  if ( !_strcmpi(String1, "6E32D0943418C2C33385BC35A1470250DD8923A9") )// 比较字符串,不区分大小写
  {
    printf("continue...\n\n");
    printf("pls input the first passwd(2): ");
    memset(Str, 0, sizeof(Str));                // 重置str
    scanf("%s", Str);
    if ( strlen(Str) != 6 )
    {
      printf("Must be 6 characters!\n");
      ExitProcess(0);
    }
    strcat(Str, Destination);                   // 在str后追加des
    memset(String1, 0, sizeof(String1));        // 重置str1
    v4 = strlen(Str);                           // v4=str的长度
    sub_401019((BYTE *)Str, v4, String1);       //还是sha1加密
    if ( !_strcmpi("27019e688a4e62a649fd99cadaafdb4e", String1) )// 由于无法爆破,所以这一行哈希值代码我们无法利用,只能跳过
下面又有一个函数sub_40100F,点进去看一看
    {
      if ( !(unsigned __int8)sub_40100F(Str) )  // 一个函数,返回值不能等于0
      {
        printf("Error!!\n");
        ExitProcess(0);
      }
      printf("bye ~~\n");
    }
  }
  return 0;
}

进入 sub_40100A函数,查资料ALG_ID (Wincrypt.h) - Win32 apps | Microsoft Learn发现是sha1加密

学一下hashlib模块的用法,我们可以用python中的hashlib模块把前六位密码爆破出来(100001-999999),写第一个密码的脚本

结果为123321@DBApp

前六位是123321

第二个密码我们不知道输入的是什么

进入sub_40100F函数

进入sub_401005函数

resourcehacker汉化版-resourcehacker 5.1.7绿色汉化版下载 附使用教程 - 多多软件站 (ddooo.com)

下载hacker 

char __cdecl sub_4014D0(LPCSTR lpString)
{
  LPCVOID lpBuffer; // [esp+50h] [ebp-1Ch]
  DWORD NumberOfBytesWritten; // [esp+58h] [ebp-14h]
  DWORD nNumberOfBytesToWrite; // [esp+5Ch] [ebp-10h]
  HGLOBAL hResData; // [esp+60h] [ebp-Ch]
  HRSRC hResInfo; // [esp+64h] [ebp-8h]
  HANDLE hFile; // [esp+68h] [ebp-4h]

  hFile = 0;
  hResData = 0;
  nNumberOfBytesToWrite = 0;
  NumberOfBytesWritten = 0;
  hResInfo = FindResourceA(0, (LPCSTR)0x65, "AAA");
  if ( !hResInfo )
    return 0;
  nNumberOfBytesToWrite = SizeofResource(0, hResInfo);
  hResData = LoadResource(0, hResInfo);
  if ( !hResData )
    return 0;
  lpBuffer = LockResource(hResData);
  sub_401005(lpString, (int)lpBuffer, nNumberOfBytesToWrite);
  hFile = CreateFileA("dbapp.rtf", 0x10000000u, 0, 0, 2u, 0x80u, 0); \\此处可以看出最后生成rtf文件
  if ( hFile == (HANDLE)-1 )
    return 0;
  if ( !WriteFile(hFile, lpBuffer, nNumberOfBytesToWrite, &NumberOfBytesWritten, 0) )
    return 0;
  CloseHandle(hFile);
  return 1;
}

上图可以看出最后生成rtf文件

因为输入的密码长度为6

取前6个数05 7D 41 15 26 01

因为rtf开头都是{\rtf1\ansi......,所以取前6个字符

注意这里\r需要转意成\\r

我们得知第二个密码是~!3a@0

运行程序

得到一个rtf文件,打开得到flag

知识点:

atoi()函数,是将字符串转换为整型,然后CryptCreateHash()中有加密算法的标识符,可以上百度搜,用hashlib爆破前六位密码。

FindResourceA:

HRSRC FindResourceA(
  HMODULE hModule,
  LPCSTR  lpName,
  LPCSTR  lpType
);
FindResourceA function
Determines the location of a resource with the specified type and name in the specified module.
确定具有指定类型和名称的资源在指定模块中的位置。
hModule:处理包含资源的可执行文件的模块。NULL值则指定模块句柄指向操作系统通常情况下创建最近过程的相关位图文件。
lpName:指定资源名称。
lpType:指定资源类型。
返回值:如果函数运行成功,那么返回值为指向被指定资源信息块的句柄。为了获得这些资源,将这个句柄传递给LoadResource函数。如果函数运行失败,则返回值为NULL。

SizeofResource表示该函数返回指定资源的字节数大小。

LoadResource function 检索一个句柄,该句柄可用于获取指向内存中指定资源的第一个字节的指针。

一个逆向思维,从异或中发现用到最后生成的文件的前几个数据,我们知道不同文件的头部有文件特有的信息,进行一个反向异或得到第二段密码

su1ka111
关注
专栏目录
学习笔记(2)BUUCTF-RE-CrackRTF
weixin_45951792的博客
07-20 200
下载文件后发现无壳,用IDA打开 找到主函数,发现一共要求我们输入两次密码 先对第一次输入进行分析,首先要求我们输入的字符串长度为6位,然后通过atoi函数将字符串转换成整型数并保存到v7中,且要求该整型数需要大于100000 经过上述操作后将v7与字符串@DBApp连接,通过函数sub_40100A进行加密,然后再与6E32D0943418C2C33385BC35A1470250DD8923A9进行比较,若相同则继续向下 此时对我们来说最重要的就是搞清函数sub_40100A是如何加密的.
BUUCTF - re - CrackRTF
yzl_007的博客
11-08 264
BUUCTF - re - CrackRTF ida分析,需要输入两次密码,估计是两段flag 先看"27019e688a4e62a649fd99cadaafdb4e"是经过sub_401019()函数,跟进过去,应该是一种什么加密方式 这段字符是32位,猜测md5,继续看,还有一个函数,跟进看看 里面有关键信息,生成了一个dbapp.rtf文件 看sub_401005函数 将我们从AAA取出的值和第二次密码连接后的字符串进行异或,但是需要知道AAA中的值,使用ResourceHacker查看,取
re学习笔记(8)BUUCTF-re-CrackRTF
逆向随笔
11-14 910
新手一枚,如有错误(不足)请指正,谢谢!! 目链接:BUUCTF-re-CrackRTF 参考资料: 1. BUUCTF reverse:CrackRTF 2. BUUCTF Reverse CrackRTF 3. 内容hash,签名 (Windows Crypt API) 4. python hashlib模块 IDA打开,进入main函数,分析代码 int main_0() { D...
BUUCTF--CrackRTF--WP
HeyGap的博客
12-24 344
BUUCTF WriteUp CrackRTF
re学习笔记(10)BUUCTF-re-Youngter-drive
逆向随笔
11-18 1502
新手一枚,如有错误(不足)请指正,谢谢!! 目链接:Youngter-drive 直接拖入IDA32,提示警告…… 首先函数就俩,,,在UPX1,伪代码第一句是pusha,保存所有寄存器 而最上面的条也没被读取出来,显示灰色 exe文件,使用官网下载的upx进行脱壳进行脱壳 UPX-3.95-win64 脱壳之后成功加载 然后跳转到_main_0查看 F5伪代码 ...
BUUCTF - CrackRTF
qq_66455531的博客
06-09 131
这个记住函数的特征吧:有‘+’和‘-’ ,有 v5 = 10 *v5 + C - '0' 这类的出现(目前不确定)操作2的函数跟进。代码已经稍微修改过,不影响步骤差不多就是 密文1+@DBApp 加密后与密文比较,密文2与密文1拼接后加密并与另一段密文比较找出密文1和密文2后输入,然后系统会进行某种操作从开头的atio()函数开始分析。得知是windows的函数,并且第二个参数是选择hash类型,搜了一下第二个参数,发现是sha1加密,结合之前的程序分析,写脚本(别人的)结合之前的分析,得到密文2是~!
re学习笔记(9)BUUCTF-re-刮开有奖
逆向随笔
11-16 2374
新手一枚,如有错误(不足)请指正,谢谢!! 目链接:BUUCTF-re-刮开有奖 参考资料: 1. WinMain函数参数介绍
re学习笔记(11)BUUCTF-re-reverse3
逆向随笔
11-19 719
新手一枚,如有错误(不足)请指正,谢谢!! 目链接:BUUCTF-re-reverse3 下载地址:点击下载 IDA32打开,找到_main函数 前往_main_0函数,F5伪代码 修改之后 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ebx int v4; // edi ...
Buuctf-Reverse(逆向) CrackRTF Write up
weixin_50166464的博客
09-07 283
0x00 查壳 日常丢进查壳查位数(一般跑一下比较好 本机一开始跑不了就没跑了) 0x01 简单的流程 丢进ida32查看 直接查看主函数看 大概浏览程序是输入两次秘钥然后就bye了 0x02 第一次输入分析 分析第一次输入 进入40100A函数查看 查看官方文档 第二个参数是所对应的加密方式 看别人博客直接判断出8004是sha1,有点搞不懂是怎么看出来的 另一个依据是这串字符按字节分长度是20,而sha1算法得出sha1长度值长度是160位也就是20个字
二叉树系列 10/11
2301_78191305的博客
10-11 259
在这些路径中,只有红色和绿色的路径是伪回文路径,因为红色路径 [2,3,3] 存在回文排列 [3,2,3] ,绿色路径 [2,1,1] 存在回文排列 [1,2,1]。总共有 3 条从根到叶子的路径:红色路径 [2,3,3] ,绿色路径 [2,1,1] 和路径 [2,3,1]。(如果 A 的任何子节点之一为 B,或者 A 的任何子节点是 B 的祖先,那么我们认为 A 是 B 的祖先)(一个节点的祖父节点是指该节点的父节点的父节点。」的,当它满足:路径经过的所有节点值的排列中,存在一个回文序列。
Java 插入排序
在那一刻,我们或许会发现自己站在了时间的另一岸,以更加成熟和宽广的胸怀,去拥抱那份隔代相传的深情。
10-08 240
插入排序(Insertion Sort)是一种简单直观的排序算法。它的工作原理是通过构建有序序列,对于未排序数据,在已排序序列中从后向前扫描,找到相应位置并插入。
打卡第四天 P1081 [NOIP2012 提高组] 开车旅行
hjxxlsx的博客
10-06 443
【代码】打卡第四天 P1081 [NOIP2012 提高组] 开车旅行。
代码随想录算法训练营Day28 | 39. 组合总和、40.组合总和Ⅱ、131.分割回文串
jiabao0520的博客
10-08 1295
训练营第28天:39. 组合总和、40.组合总和Ⅱ、131.分割回文串
c语言练习2(字符串和函数的使用)
m0_74859128的博客
10-10 232
回文函数用于判断一个给定的字符串是否为回文。输入是一个字符数组(字符串),输出是一个布尔值,表示该字符串是否为回文。编写一个 C 语言程序,计算两个整数在二进制表示中有多少位不同。2. 比较这两个整数在二进制表示中的每一位(共32位)是否不同。1. 提示用户输入两个整数。3. 统计不同的位的数量。4. 输出不同的位数。
生成哈夫曼树
TTz012的博客
10-08 250
例如:由叶子节点:5 15 40 30 10,生成的最优二叉树如下图所示,该树的最短带权路径长度为:40 * 1 + 30 * 2 + 5 * 4 + 10 * 4 = 205。所谓树的带权路径长度,就是树中所有的叶节点的权值乘上其到根节点的路径长度(若根节点为 0 层,叶节点到根节点的路径长度为叶节点的层数)二叉树节点中,左节点权值小于右节点权值,根节点权值为左右节点权值之和。给定长度为 n 的无序的数字数组,每个数字代表二叉树的叶子节点的权值,数字数组的值均大于等于1。
【三】【算法】P1007 独木桥,P1012 [NOIP1998 提高组] 拼数,P1019 [NOIP2000 提高组] 单词接龙
最新发布
m0_74163972的博客
10-11 414
你希望找些刺激,于是命令你的士兵们到前方的一座独木桥上欣赏风景,而你留在桥下欣赏士兵们。另外,总部也在安排阻拦敌人的进攻,因此你还需要知道你的部队最多需要多少时间才能全部撤离独木桥。单词接龙是一个与我们经常玩的成语接龙相类似的游戏,现在我们已知一组单词,且给定一个开头的字母,要求出以这个字母开头的最长的“龙”(每个单词都最多在“龙”中出现两次),在两个单词相连时,其重合部分合为一部分,例如。突然,你收到从指挥部发来的信息,敌军的轰炸机正朝着你所在的独木桥飞来!的数据,满足初始时,没有两个士兵同在一个坐标,
设计算法int IsExistEL(MGraph G),判断G是否存在EL路径,若存在,则返回1 ,否则返回0。
m0_56332819的博客
10-11 108
设计算法int IsExistEL(MGraph G),判断G是否存在EL路径,若存在,则返回1 ,否则返回0。C语言
算法】---归并排序(递归非递归实现)
何春秋的博客
10-03 1192
归并排序 in Java
TP-Link TL-WA932RE设置教程:扩展WiFi信号
TP-Link TL-WA932RE无线信号扩展器的设置教程主要分为四个步骤,旨在帮助用户扩大WiFi信号覆盖范围,解决家中或办公室无线网络覆盖不足的问。首先,确保你拥有一台已接入互联网的无线路由器,这将作为TL-WA932RE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值