re题(15-21)BUUCTF-re

已于 2024-05-23 17:37:21 修改
阅读量160 收藏 4
点赞数 7
文章标签: java 前端 服务器
于 2024-05-15 00:14:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80907001/article/details/138874919
版权

BUUCTF在线评测 (buuoj.cn)

放到ida

可以看出执行顺序是4,5,1

unsigned __int64 get_flag()
{
  unsigned int v0; // eax
  int i; // [rsp+4h] [rbp-3Ch]
  int j; // [rsp+8h] [rbp-38h]
  __int64 s; // [rsp+10h] [rbp-30h] BYREF
  char v5; // [rsp+18h] [rbp-28h]
  unsigned __int64 v6; // [rsp+38h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  v0 = time(0LL);
  srand(v0);
  for ( i = 0; i <= 4; ++i )
  {
    switch ( rand() % 200 )
    {
      case 1:
        puts("OK, it's flag:");
        memset(&s, 0, 0x28uLL);
        strcat((char *)&s, f1);
        strcat((char *)&s, &f2);
        printf("%s", (const char *)&s);
        break;
      case 2:
        printf("Solar not like you");
        break;
      case 3:
        printf("Solar want a girlfriend");
        break;
      case 4:
        s = 0x7F666F6067756369LL;
        v5 = 0;
        strcat(&f2, (const char *)&s);
        break;
      case 5:
        for ( j = 0; j <= 7; ++j )
        {
          if ( j % 2 == 1 )
            *(&f2 + j) -= 2;
          else
            --*(&f2 + j);
        }
        break;
      default:
        puts("emmm,you can't find flag 23333");
        break;
    }
  }
  return __readfsqword(0x28u) ^ v6;
}

 写脚本

flag="GXY{do_not_"
f2=[0x7F,0x66,0x6F,0x60,0x67,0x75,0x63,0x69][::-1] #小端序的问题,所以要逆序一下

for j in range(8):
    if j%2==1 :
        s=chr(f2[j]-2)
    else:
        s=chr(f2[j]-1)

    flag+=s

print (flag)

BUUCTF在线评测 (buuoj.cn)

jadx 1.4.4安装:Release 1.4.4 · skylot/jadx · GitHub

 

使用教程:jadx-gui-1.4.4 反编译工具使用教程 - 莫贞俊晗 - 博客园 (cnblogs.com)

 放到jadx里,找到主函数

这里有两步,第一步:是在主函数main上输入flag,再调用Encrypt来进行加密

public static void main(String[] args) {
    Scanner s = new Scanner(System.in);
    System.out.println("Please input the flag );
    String str = s.next();
    System.out.println("Your input is );
    System.out.println(str);
    char[] stringArr = str.toCharArray();
    Encrypt(stringArr);
  }

第二步就是通过逆向Encrypt函数来获取flag 

 

public static void Encrypt(char[] arr) {
    ArrayList<Integer> Resultlist = new ArrayList<>();
    for (int i = 0; i < arr.length; i++) {
      int result = arr[i] + 64 ^ 0x20;
      Resultlist.add(Integer.valueOf(result));
    } 
    int[] KEY = { 
        180, 136, 137, 147, 191, 137, 147, 191, 148, 136, 
        133, 191, 134, 140, 129, 135, 191, 65 };
    ArrayList<Integer> KEYList = new ArrayList<>();
    for (int j = 0; j < KEY.length; j++)
      KEYList.add(Integer.valueOf(KEY[j])); 
    System.out.println("Result:");
    if (Resultlist.equals(KEYList)) {
      System.out.println("Congratulations);
    } else {
      System.err.println("Error);
    } 
  }

 这题很好理解,就是输入的每个字符都加上64 ^ 0x20

for (int i = 0; i < arr.length; i++) 
      int result = arr[i] + 64 ^ 0x20;

然后再和KEY进行比较,相等就是我们要求的flag了 

if (Resultlist.equals(KEYList)) 
      System.out.println("Congratulations);

 这里放上Python的求解代码:

 

key = [ 180, 136, 137, 147, 191, 137, 147, 191, 148, 136, 133, 191, 134, 140, 129, 135, 191, 65 ]
flag = ""

for i in range(0,len(key)):
    for x in range(0,1024):     # 这里通过暴力破解来获取flag
        temp = x + 64 ^ 0x20    # 每个字符都加上固定的64 ^ 0x20
        if temp == key[i]:      # 如果相等就表示这是我们要的flag字符
            flag = flag + chr(x)
            break
print("flag{"+flag+"}")


#flag{This_is_the_flag_!}

BUUCTF在线评测 (buuoj.cn)

放到ida

进各个函数看一下

找到flag

BUUCTF在线评测 (buuoj.cn)

放到jadx找主函数,写个脚本

str=['d','d','2','9','4','0','c','0','4','4','6','2','b','4','d','d','7','c','4','5','0','5','2','8','8','3','5','c','c','a','1','5']

str[2]=chr(ord(str[2])+ord(str[3])-50)
str[4]=chr( ord(str[2])+ord(str[5])-0x30 )
str[30]=chr( ord(str[0x1f])+ord(str[9])-0x30)
str[14]=chr( ord(str[27])+ord(str[28])-97 )

for i in range(16):
    x=str[0x1f-i]
    str[0x1f-i]=str[i]
    str[i]=x

for i in str:
    print (i,end="")

BUUCTF在线评测 (buuoj.cn)

查下壳,有upx壳 

找到主函数,

从for循环了解到flag长度应该是12,将flag的ASCII值作为下标取值,与v4数组比较。很简单,只需要利用v4数组在_data_start__中找位置,就是我们flag的值

int __cdecl main(int argc, const char **argv, const char **envp)
{
  _BYTE v4[12]; // [esp+12h] [ebp-2Eh] BYREF
  _DWORD v5[3]; // [esp+1Eh] [ebp-22h]
  _BYTE v6[5]; // [esp+2Ah] [ebp-16h] BYREF
  int v7; // [esp+2Fh] [ebp-11h]
  int v8; // [esp+33h] [ebp-Dh]
  int v9; // [esp+37h] [ebp-9h]
  char v10; // [esp+3Bh] [ebp-5h]
  int i; // [esp+3Ch] [ebp-4h]

  __main();
  qmemcpy(v4, "*F'\"N,\"(I?+@", sizeof(v4));
  printf("Please input:");
  scanf("%s", v6);
  if ( v6[0] != 65 || v6[1] != 67 || v6[2] != 84 || v6[3] != 70 || v6[4] != 123 || v10 != 125 )
    return 0;
  v5[0] = v7;
  v5[1] = v8;
  v5[2] = v9;
  for ( i = 0; i <= 11; ++i )
  {
    if ( v4[i] != _data_start__[*((char *)v5 + i) - 1] )
      return 0;
  }
  printf("You are correct!");
  return 0;
}

 

 

 


v4 = [42,70,39,34,78,44,34,40,73,63,43,64]
 
model = r"}|{zyxwvutsrqponmlkjihgfedcba`_^]\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>=<;:9876543210/.-,+*)(" + chr(0x27) + r'&%$# !"'
 
pos = []
 
for i in v4:
    pos.append(model.find(chr(i))+1)
s = [chr(x + 1) for x in pos]
flag = ''.join(s)
print ('flag{'+flag+'}')
#flag{U9X_1S_W6@T?}

 

BUUCTF在线评测 (buuoj.cn)

Python解包及反编译: PyInstaller Extractor+uncompyle6 - 知乎 (zhihu.com)

把.pyc文件变成py文件

 有了程序

code = ['\x1f','\x12','\x1d','(','0','4','\x01','\x06','\x14','4',',','\x1b','U','?','o','6','*',':','\x01','D',';','%','\x13']
flag = ''
for i in range(len(code)-2,-1, - 1):
    code[i] = chr(ord(code[i]) ^ ord(code[i + 1]))
for i in range (len(code)):
    num = chr((ord(code[i]) - i)%128)
    flag +=num
print(flag)

 

https://buuoj.cn/challenges#findit

看第二串字符

仔细观察pvkq,发现f——>p移10位,l——>v移10位,a——>k移10位,g——>q移10位,

所以这我们还需要将得到的字符串进行一次凯撒加密

 

flag{c164675262033b4c49bdf7f9cda28a75}

su1ka111
关注
  • 7
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
超微 X11DPS-RE主板用户手册
03-27
### 超微 X11DPS-RE 主板用户手册关键知识点解析 #### 一、产品概述 超微 X11DPS-RE 主板是一款高性能服务器主板,旨在为数据中心、云计算等应用场景提供强大的计算能力和高可靠性的硬件支持。本用户手册详细介绍...
Re-ID Paper
09-04
《Re-ID Paper》集合是CVPR 2017年会上关于行人重识别(Person Re-identification,简称Re-ID)的专论文合辑,包含了12篇相关领域的研究,涉及了从数据集构建到算法优化等多个重要方面。这些论文不仅探讨了Re-ID...
re -24 buuctf [GXYCTF2019]simple CPP
weixin_45847059的博客
12-01 357
[GXYCTF2019]simple CPP 前话:遇到复杂的代码别慌,开着动态调试,编写注释便往下步过,总会结束 hint:flag中间有一段乱码,因为构建的Z3表达式有多组解,乱码应为e!P0or_a ida打开,代码很长 在此之上的代码,就是输入的字符串与一组字符串异或后,每8个字节一赋值给4个变量v16,v15,v14,v13。 将这一步每个式子都用变量v16,v15,v14,v13构建等式。最终会得到5个等式。 s.add((v14 & ~v16) == 0x1120416101
re(33)BUUCTF-re
2301_80907001的博客
08-13 130
x查看交叉引用,有个lookatyou函数,这个函数是在init里的,init在main函数之前运行。用这个密码表解密是乱码,应该是一个变表,这里有两种方法。第一种,远程调试这个程序,随便下个断点,运行。第二种,进入lookatyou函数。再查看base64密码表已经改变。写个脚本算出变表后的密码表。查壳无壳,放到ida。有个base64加密。
re -11 buuctf [FlareOn3]Challenge1
weixin_45847059的博客
11-19 297
[FlareOn3]Challenge1 外话:其实在搜索字符串时发现这串字符时,就该想到可能是base64改表加密的 由此关键函数,分析一下,str1与str2要相同,而str2已经赋值,str1是输入的值再经过sub_401260函数后的值。 分析一下函数,这就是base64加密函数阿。每三个字符一取,转换为2进制为24位再对这24位分为4个6位,再分别与63进行与操作。最后还有个’=‘补位,似乎也只有base家族由这种操作了。 但这表被改了,base64改表加密,知道了这点就可以开始写脚本
re(28)BUUCTF-re
2301_80907001的博客
07-16 228
这个函数和__gmpz_cmp(比较), __gmpz_init_set_str都属于GNU 高精度算法库。看到0123456789abcdef可能是个加密。关键是_gmpz_powm这个函数。发现powm函数和rsa加密一样。最后是比较v6和v7。
re(8)BUUCTF-re rsa
2301_80907001的博客
05-02 33
下载完成后可以放在一个磁盘的第一级目录中方便安装,我放在了F盘。根据自己pycharm用的解释器版本下载。我的是python是3.8的,就下载这个。我们需要用到两个模块rsa和gmpy2。打开新建文件夹里的pyvenv.cfg。箭头位置是新建文件夹的路径,点确定。接下来要用pycharm写脚本。用上面网址将公钥解析一下。用这个网址计算一下p和q。点箭头的位置,添加解释器。将false改为true。像下面这样就安装成功了。之后打开cmd,输入。
re -15 buuctf [WUSTCTF2020]level4
weixin_45847059的博客
11-22 343
[WUSTCTF2020]level4 前话:在没看wp之前我以为这道简单的雅痞,看完之后补了一中午二叉树前中后序遍历该怎么画图。对考研又有把握了呢。。。 ida打开后,我是真的没把stuct,left,right联想到跟左右(二叉树的前序遍历),只感觉type1,type2是关键函数,转而跟进他们的参数,发现没有值,猜测是运行后会生成。于是便像动态调试(调试64位elf文件需要虚拟机linux作为环境,具体咋搭前面有篇文章讲过)。 起初想在程序最后下个断点,看看跑完了是个啥状态。然后发现只有一个字
re -14 buuctf crackMe
weixin_45847059的博客
11-21 642
crackMe 打开ida后,看见代码包含了很多个while循环,而且最后量个while循环结束之后都有printf,便想着看看回显了个啥。 于是他便卡在了第一个断点处,看看应该printf啥: 而最后一个printf的字符串为: 所以要做的也就是不触发前一个printf的判断,直接出while循环。 思路已经明确那么现在也就是要保证让两个if条件都不为0(即sub_8C1830与v4不为0)以达到break的效果 进入loc_8C11A0里发现没被声明为函数,先全部选中按p声明下,然后反编译
re -01 buuctf xor
weixin_45847059的博客
10-31 151
xor 找到main函数,反编译 查看global存放数据 写python脚本: 先将所有字符全转为字符型,拼接为字符串后再异或运算 s = ['f', 0xa, 'k', 0xc, 'w&O.@', 0x11, 'x', 0xD, 'Z;U', 0x11, 'p', 0x19, 'F', 0x1F, 'v"M#D', 0xE, 'g', 0x6, 'h', 0xF, 'G2O', 0] for i in range(1,22): if isinstance(s[i], int):
re -02 buuctf 新年快乐
weixin_45847059的博客
10-31 126
新年快乐 发现存在upx壳 脱壳后,反编译main函数 得到:flag{HappyNewYear!}
MIPI A-PHY : Profile 2 Re-Training and Re-Transmission
06-18
### MIPI A-PHY: Profile 2 Re-Training and Re-Transmission详解 #### 一、MIPI A-PHY概述 MIPI(Mobile Industry Processor Interface)联盟制定了一系列的标准接口规范,旨在为移动通信设备中的处理器与周边...
Re-slicing_Re-slicingbandwidth_migration_
09-29
在IT行业中,"Re-slicing" 和 "bandwidth migration" 是两个重要的概念,尤其是在网络管理和资源优化领域。这里我们将深入探讨这两个概念,并结合它们的关系来理解如何通过迁移实现带宽的重新分配。 首先,让我们来...
re-ducks-examples:re-ducks模块化方法的Redux Todo示例
02-05
**re-ducks-examples:深入理解模块化Redux Todo应用** `re-ducks-examples` 是一个专门为Redux开发者设计的学习资源,它演示了如何将传统的Redux文件结构转变为模块化的`re-ducks`方法。这个项目源自Redux官方示例...
JAVA进阶补充
2301_80150315的博客
08-15 753
概念:把已经有的方法拿过来用,当作函数式接口中抽象方法的方法体条件:引用处必须是函数式接口被引用的方法需要已经存在被引用方法的形参和返回值需要跟抽象方法的形参和返回值保持一致被引用方法的功能需要满足当前需求:方法引用符意义:就是为让控制台的报错信息更加的见名知意自定义异常的步骤:定义异常类写继承关系空参构造带参构造​file对象就表示一个路径,可以是文件的路径、也可以是文件夹的路径;这个路径可以是存在的,也允许是不存在的构造方法描述根据文件路径创建对象。
手撕快排——三种实现方法(附动图及源码)
最新发布
jsjs1346的博客
08-16 541
🤖💻👨‍💻👩‍💻🌟🚀🤖🌟👨‍💻👩‍💻👨‍💻👩‍💻🚀是一种高效的排序算法,广泛应用于各种场景。它采用策略,将一个数组分成两个子数组,然后递归地对这两个子数组进行排序。本文将介绍三种快速排序的实现方法,并附上相应的源码。⚙️一、快速排序的基本原理一个基准元素(pivot)分成两个子数组递归合并O(n log n)O(n log n)O(n^2)后文我们将给出优化方案O(log n)📚三、实现霍尔方法是快速排序原始版本中使用的分区方法。
进程间通信 ---共享内存
BUG制造机的博客
08-14 891
在这篇文章中向大家介绍了共享内存的原理以及常用的指令函数,希望大家有所收获!😁。
SpringBoot快速入门(手动创建)
m0_74124657的博客
08-11 558
代码如下//引导类项目的入口//注解添加导入进来你可以浏览器中查看自己编写的代码,看是否正确localhost:你命名的端口号(默认是8080。后面你也可以在配置文件修改)
j2re-1-4-0
01-19
j2re-1-4-0是Java软件平台的一个版本。Java是一种跨平台的编程语言,允许开发人员以相同的代码在不同的操作系统上运行程序。j2re-1-4-0是Java 2平台标准版(J2SE)1.4.0的缩写。 这个版本的Java带来了一些重要的新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值