re题(14)babyre

已于 2024-09-10 19:22:45 修改
阅读量446 收藏 4
点赞数 3
分类专栏: 加密算法 # 脱壳 文章标签: 算法
于 2024-05-11 19:11:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80907001/article/details/138580823
版权

 下载:

链接: https://pan.baidu.com/s/1namyd7m2SrKpSzNrbCEoYg

提取码: 1234 

 

用ida打开文件,发现一点线索也没有

dccef94d0f0c43cab72b7ae332a1e08a.png

 

 

查一下壳,带着upx壳

 

 

b45d8714f5fb4d6aa31e5e1c1a06c309.png

 

 

用命令脱一下壳

可是我脱完壳之后用ida再打开还是没脱壳的样子,而再查壳是脱壳的状态,于是我拿着没脱壳的文件看了两天/(ㄒoㄒ)/~~,后来知道应该是我最开始用ida打开过了,不知道怎么回事只剩下一个ida打包的文件,把ida打包的文件脱壳之后再打开还是原来的样子,把文件删了再下载重新做就好了

 

 

bb0d37b8289249d5ae085433c8a5e689.png

 

脱完壳用ida打开,找到main函数反汇编,分析一下

part1-4是输入四个数并分别处理过了,然后v12也就是flag就是处理过的四个数,分析后边对v12的操作,发现对v12没有影响,所以直接算四个数就好了

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  unsigned __int64 v3; // rax
  unsigned int v5; // [rsp+0h] [rbp-110h] BYREF
  unsigned int v6; // [rsp+4h] [rbp-10Ch] BYREF
  unsigned int v7; // [rsp+8h] [rbp-108h] BYREF
  unsigned int v8; // [rsp+Ch] [rbp-104h] BYREF
  char v9[96]; // [rsp+10h] [rbp-100h] BYREF
  __int64 s2[2]; // [rsp+70h] [rbp-A0h] BYREF
  char s[32]; // [rsp+80h] [rbp-90h] BYREF
  char v12[104]; // [rsp+A0h] [rbp-70h] BYREF
  unsigned __int64 v13; // [rsp+108h] [rbp-8h]

  v13 = __readfsqword(0x28u);
  v5 = 0;
  printf("Part 1: ");
  __isoc99_scanf("%u", &v5);
  if ( (unsigned int)sub_1229(v5, -1380855784) )// v5==3821413212
    goto LABEL_7;
  v6 = 0;
  printf("Part 2: ");
  __isoc99_scanf("%u", &v6);
  if ( (unsigned int)sub_1257(v6) )             // v6==98124621
    goto LABEL_7;
  v7 = 0;
  printf("Part 3: ");
  __isoc99_scanf("%u", &v7);
  if ( (unsigned int)sub_12A4(v7) )             // v7==78769651
    goto LABEL_7;
  v8 = 0;
  printf("Part 4: ");
  __isoc99_scanf("%u", &v8);
  if ( (unsigned int)sub_1346(v8) )             // v8==4017045635
    goto LABEL_7;
  memset(s, 0, sizeof(s));
  sprintf(v12, "flag{%08x-%08x-%08x-%08x}", v5, v6, v7, v8);// flag{0xe3c6235c-0x5d9434d-0x4b1edf3-0xef6f4083}
                                                // flag{0x-372526695}
                                                // 
  sub_2481((__int64)v9);                        // 对v9变换
  v3 = strlen(v12);
  sub_24D3((__int64)v9, (__int64)v12, v3);      // 用flag对v9变换,flag没变
  sub_2578((__int64)v9, (__int64)s);            // 用v9对s变换
  s2[0] = 0x5C338CC28AC3B9C9LL;
  s2[1] = 0x4982C83EACACDBE0LL;                 // s2存的内容
  if ( memcmp(s, s2, 0x10uLL) )                 // s和s2对比
  {
LABEL_7:
    puts("Wrong!");
    return 0LL;
  }
  else
  {
    puts("Right!");
    printf("Your flag is: %s\n", v12);
    return 0LL;
  }
}

 

 

 

 

 

四个数的处理就是四个算式

要人工解四个算式的话基本不可能

所以我们要用到python的模块

 

df56615cba2b41938339398a896569dc.png

 

575b356436ba4e9f810cf3d421a89592.png

 

 

 

 

7f7250fac77c4683936fda2c99f66989.png

 

用python的z3模块就ok了

在这里学习:Z3求解器基础学习 (一) 从例子入门 - 说芬兰语的雪 - 博客园 (cnblogs.com)

 

from z3 import *

s = Solver()  # 设置一个解方程的类Solver(必须要设置)

v5=BitVec('v5',32)
v6=BitVec('v6',32)
v7=BitVec('v7',32)
v8=BitVec('v8',32)

s.add(v5 + 1380855784 == 907301700)

s.add((v6 | 0x8E03BEC3) - 3 * (v6 & 0x71FC413C) + v6 == -1876131848)

s.add(v7<=0x10000000)
s.add(4 * ((~v7 & 0xA8453437) + 2 * ~(~v7 | 0xA8453437))
     + -3 * (~v7 | 0xA8453437)
     + 3 * ~(v7 | 0xA8453437)
     - (-10 * (v7 & 0xA8453437)
      + (v7 ^ 0xA8453437)) == 551387557)

s.add(v8<=0x10000000)
s.add(11 * ~(v8 ^ 0xE33B67BD)
     + 4 * ~(~v8 | 0xE33B67BD)
     - (6 * (v8& 0xE33B67BD)
      + 12 * ~(v8 | 0xE33B67BD))
     + 3 * (v8 & 0xD2C7FC0C)
     + -5 * v8
     - 2 * ~(v8 | 0xD2C7FC0C)
     + ~(v8 | 0x2D3803F3)
     + 4 * (v8 & 0x2D3803F3)
     - -2 * (v8 | 0x2D3803F3) == -837785892)

print(s.check())#check是保证有解
answer=s.model()#model是输出运算结果
print(answer)

 

用z3解完得到4个数,但是提交flag是不对的,我们用devc爆破一下(c语言爆破更快),爆破就是

循环遍历一个范围,来找符合公式的数

be305dd3cae14b4bac325133d0adecc7.png

 

爆破完,发现是v8出错了,下面是v8的爆破

0439693761484791a60b8679cb4034d1.png

 

得到flag

 

data=[3821413212,98124621,78769651,67321987]
print('flag{'+'%08x-'%data[0]+'%08x-'%data[1]+'%08x-'%data[2]+'%08x'%data[3]+'}')

#flag{e3c6235c-05d9434d-04b1edf3-04034083}

 

此题用到了python的z3库,z3库主要用来解方程,还用到了爆破,爆破就是在一个数字范围内进行循环,把数字代入公式,直到找到一个数字代入之后与正确结果相同

 

su1ka111
关注
专栏目录
XCTF攻防世界BABYRE逆向
云舒的博客
04-19 797
攻防世界BABYRE逆向 拿到目,查壳如下: 拖拽IDA Pro7.5打开,查看main函数,代码如下: 可以看到: (*(unsigned int (__fastcall **)(char *))judge)(s), 再一看上面的judge是一个数组的形式,心想:这是哪门子的写法,,,。强制转换unsigned int????这不是函数返回结果才能这么写嘛,再看到后面的**__fastcall**猜测是函数的动态生成。。。写法高档,作者🐂就完事了。。。查看judge汇编代码,按下C(编码),P(
QCTF - re -babyre(Rust逆向)
BadRer的博客
07-21 7941
前言 这是一个Rust语言编写的程序,之前也没有接触过这种语言,一时确实无从下手,因此我也将此分析放到了最后。为了更好的了解Rust编程以及逆向,先尝试使用Rust编写一个helloworld。所以我在自己的电脑上搭建的Rust编译环境。 Rust环境搭建 官网 在网上找了好久才找到一些Rust的编程示例,这好像是最近兴起的类C的语言。 gitbook上有其第一版的程序设计指导。 ...
BUUCTF [QCTF2018]babyre
weixin_53349587的博客
01-05 1683
1.拿到文件,发现是Rust逆向,特点是主函数无法进行反编译,只能通过汇编语言逆向求解,通过搜索字符串,找到关键函数: 2.理清逻辑关系,找到关键判断: 其中的cmp判断输入的长度是否为20h,也就是32位,也就是说,需要我们输入的字符为32位。 3.动态调试: 我们输入abcdefghijklmnopqrstuvwxyzABCDEF,F8单步运行,中间的函数和过程不用看,一直动调看输入的字符串怎么变化的。 第一次变化: 四个一组,位置发生了变化。 第二次变化: 通过..
BUUCTF-[SCTF2019]babyre1
weixin_61154173的博客
02-10 820
我们发现后面有v11,v12,v13,v14。在根据这4个数据在堆栈中的位置,可以知道这四个就是v10[26],v10[27],v10[28],v10[29],知道这些,又是异或操作那不就可以向前异或求出v10的前四个元素了嘛。用户输入为v15,从操作可以看出w向上,s向下,a向左,d向右,x向下走一个迷宫大小,y向上走一个迷宫大小。这里是真没看出来是什么,经过查阅wp,部分师傅是用爆破求出,有的则看出这是base64的解密过程,我通过把'sctf_9102'进行base64加密就是正确的input2。
[Reverse]BABYRE(idapython解)
qq_24481913的博客
12-24 314
脚本内容就是每一位数字对0xC也就是12进行异或,我们这里需要使用到的是 PatchByte 函数.(我个人的理解 PatchByte函数就是将后面的值赋值给前面的地址)这一段对judge函数进行了处理,那我们思路就来了我们只需要按照这个方式将judge数组里面的东西处理了之后再按c分析代码就可以出来judge函数了。循环的内容是将上面字符串循环13次恰好等于[rbp+var_13]的长度,也就是进行处理字符串。我们点击下面的run运行之后会发现judge的值已经被我们改变了。
2017WHCTF REVERSE babyRE
ACdream
10-07 2927
这个其实比较简单,考察点是GDB调试与逆向分析 拖入OD分析,main无法F5,于是查看汇编代码以及汇编流程图 查看逻辑,很明显字符串的长度为0x0E(14个字符),然后调用了judge函数,判断字符串合法性 然后发现,IDA解析不了judge函数,肯定是有某些绕过静态反汇编的手段,于是开始GDB 直接在scanf的地方下断,开始进入judge的判断单步 注意这里0x4
xctf攻防世界 REVERSE 高手进阶区 BABYRE
l8947943的博客
04-13 1923
0x01. 进入环境,下载附件 给出的babyRE后缀文件,不懂是什么玩意,按照常规流程进行操作吧 0x02. 问分析 使用IDA打开,找到main函数,F5反编译,得到代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h]
[SUCTF2018]babyre [ACTF新生赛2020]fungame
寻梦&之璐
06-02 838
文章目录[SUCTF2018]babyre惯用思维常人思维GAMEOVER[ACTF新生赛2020]fungame [SUCTF2018]babyre 惯用思维 首先呢,是个bin文件,需要用binwalk把文件提取出来。 binwalk -e [SUCTF2018\]babyre.bin 是一个xml文件,我打开后除了正常结构就是乱码。。。 然后就没法分析了。。。xml不能放在ida里面分析。。 常人思维 查看一下文件类型,居然是64位的exe程序,任何东西都保持怀疑的态度。。笑死人。。。。
CTF逆向-[SUCTF2018]babyre-WP-cpp简单迭代并按表输出值的爆破
serfend's blog
04-13 2070
CTF逆向-[SUCTF2018]babyre-WP-cpp简单迭代并按表输出值的爆破 来源:https://buuoj.cn/ 内容:https://github.com/hebtuerror404/CTF_competition_warehouse_2018 附件:链接:https://pan.baidu.com/s/1j-DBK5eELYR3c1L6hhB1qg?pwd=2kxh 提取码:2kxh 答案:SUCTF{Flag_8i7244980f} 总体思路 去除反调试,动调 发现没有逻辑分支,发现
〖Python语法进阶篇⑬〗- 正则表达式 - re 模块常用函数
易编橙 · 终身成长社群,相遇已是上上签!
04-19 4万+
直奔主,今天我们来学习一下 re 模块的常用函数 。
解决Error starting ApplicationContext.To display the conditions report re-run your application xxx的问
热门推荐
念兮为美
08-05 13万+
今天在项目启动类中,加上这行代码`@MapperScan("com.**.mapper")`后,报出了如是错误:Error starting ApplicationContext. To display the conditions report re-run your application with 'debug' enabled.解决这个错误之后,又列举了这种错误的其他解决方式。......
软件逆向分析初试reverse;ctf-re 入门,详解
CHERRY_cong的博客
05-01 1775
软件逆向分析初试re;ctf 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 实验环境:Ubuntu 20.04.1 LTS GNU gdb (Ubuntu 9.1-0ubuntu1) 9.1 Ghidra 9.2.2 Java Version 15 IDA Version 7.5.201028 Windo...
Python常用模块 之 re:提供整个正则表达式的实现
孤寒者的博客
05-04 11万+
正则表达式并不是python所特有的,它也可以用在其它编程语言中。但是Python的re库提供了整个正则表达式的实现,利用这个库,可以在Python中使用正则表达式。 相信通过本文的学习,每一位读者都可以熟练的掌握re库,冲冲冲~
力扣 困难 154.寻找旋转排序数组中的最小值 II
qq_51352130的博客
09-23 342
153.寻找旋转排序数组中的最小值在此基础上,进行二分之前,单独处理一下左指针和最后一个数相同的情况就好了。left++;} else {
atcoder abc372 启发式合并, dp
2201_75845839的博客
09-22 486
现在考虑如何存数据。可以用并查集合并两个集合,并且在合并的时候一定要将小的集合合并到大的集合中去,因为小集合合并到大集合中,最后的集合一定大于小集合元素数量的两倍,因此合并的时间复杂度不会超过logn。思路:判断当前变化的位置对结果是否会产生影响,在询问前先计算有多少ABC, 每次变换位置x前后扫描一下[x - 2, x + 2]范围内是否有ABC,变换前有让cnt --, 变换后有让cnt ++思路:三进制转换,可以参考二进制,先把当前可以加入的最大的3的幂次加入,这样一定可以凑出答案。
【优选算法】(第一篇)
最新发布
weixin_73861555的博客
09-25 984
这个⽅法是往后我们学习「快排算法」的时候,「数据划分」过程的重要⼀步。如果将快排算法拆解的话,这⼀段⼩代码就是实现快排算法的「核⼼步骤」。
算法笔记】二分查找 红蓝染色法
weixin_51325964的博客
09-23 806
一个菜鸟的算法笔记
文档矫正算法:DocTr++
Guo_Python的博客
09-23 398
论文提出了一种新的数据处理方式,解决了以前文档矫正只能处理带有边界信息的完整文档,文章通过数据处理定义了三种类型的训练数据。(a)包含完整文档边界,(b)包含部分文档边界,(c)不包含文档边界。算法框架如下:对于任意弯曲的文档,作者首先通过CNN抽取特征,然后通过transformer结构进行编码和解码,最后用Flow Head预测偏移场,用偏移场矫正弯曲图片。
Python正则表达式re模块深度解析
"Python正则表达式re模块详细介绍" Python的`re`模块提供了一整套功能强大的正则表达式操作,与Perl语言中的正则表达式类似,它支持Unicode字符,使得处理非ASCII字符变得方便。在Python中,正则表达式主要用于字符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值