re题(26)BUUFCTF-[2019红帽杯]easyRE

已于 2024-09-17 21:25:15 修改
阅读量450 收藏 9
点赞数 5
分类专栏: # 主动防御 文章标签: python
于 2024-09-17 01:45:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80907001/article/details/142309746
版权

BUUCTF在线评测 (buuoj.cn)

f12查看字符串,找到关键字符串

 跳转过去,点黄色的部分再跳转 

f5反汇编 

分析一下

开头就是三个字符串,因为后面有个循环是36次,这三个字符串加起来长度也是36,我们推测这三个字符串是连在一起的

__int64 sub_4009C6()
{
  __int64 result; // rax
  int i; // [rsp+Ch] [rbp-114h]
  __int64 v2; // [rsp+10h] [rbp-110h]
  __int64 v3; // [rsp+18h] [rbp-108h]
  __int64 v4; // [rsp+20h] [rbp-100h]
  __int64 v5; // [rsp+28h] [rbp-F8h]
  __int64 v6; // [rsp+30h] [rbp-F0h]
  __int64 v7; // [rsp+38h] [rbp-E8h]
  __int64 v8; // [rsp+40h] [rbp-E0h]
  __int64 v9; // [rsp+48h] [rbp-D8h]
  __int64 v10; // [rsp+50h] [rbp-D0h]
  __int64 v11; // [rsp+58h] [rbp-C8h]
  char v12[13]; // [rsp+60h] [rbp-C0h] BYREF
  char v13[4]; // [rsp+6Dh] [rbp-B3h] BYREF
  char v14[19]; // [rsp+71h] [rbp-AFh] BYREF
  char v15[32]; // [rsp+90h] [rbp-90h] BYREF
  int v16; // [rsp+B0h] [rbp-70h]
  char v17; // [rsp+B4h] [rbp-6Ch]
  char v18[72]; // [rsp+C0h] [rbp-60h] BYREF
  unsigned __int64 v19; // [rsp+108h] [rbp-18h]

  v19 = __readfsqword(0x28u);
  qmemcpy(v12, "Iodl>Qnb(ocy", 12);
  v12[12] = 127;
  qmemcpy(v13, "y.i", 3);
  v13[3] = 127;
  qmemcpy(v14, "d`3w}wek9{iy=~yL@EC", sizeof(v14));
  memset(v15, 0, sizeof(v15));
  v16 = 0;
  v17 = 0;
  sub_4406E0(0LL, v15, 37LL);
  v17 = 0;
  if ( sub_424BA0(v15) == 36 )
  {
    for ( i = 0; i < (unsigned __int64)sub_424BA0(v15); ++i )
    {
      if ( (unsigned __int8)(v15[i] ^ i) != v12[i] )
      {
        result = 4294967294LL;
        goto LABEL_13;
      }
    }
    sub_410CC0("continue!");
    memset(v18, 0, 65);
    sub_4406E0(0LL, v18, 64LL);
    v18[39] = 0;
    if ( sub_424BA0(v18) == 39 )
    {
      v2 = sub_400E44(v18);
      v3 = sub_400E44(v2);
      v4 = sub_400E44(v3);
      v5 = sub_400E44(v4);
      v6 = sub_400E44(v5);
      v7 = sub_400E44(v6);
      v8 = sub_400E44(v7);
      v9 = sub_400E44(v8);
      v10 = sub_400E44(v9);
      v11 = sub_400E44(v10);
      if ( !(unsigned int)sub_400360(v11, off_6CC090) )
      {
        sub_410CC0("You found me!!!");
        sub_410CC0("bye bye~");
      }
      result = 0LL;
    }
    else
    {
      result = 4294967293LL;
    }
  }
  else
  {
    result = 0xFFFFFFFFLL;
  }
LABEL_13:
  if ( __readfsqword(0x28u) != v19 )
    sub_444020();
  return result;
}

 写个脚本爆破一下,这里v[12]12和v[13]3是数字,我在python中写\127,爆破的结果不对,是因为这是8进制的,写十六进制的\x7f就可以,或者写\177,爆破的结果只得到一条信息,然而并不是真正的flag

C语言——转义字符_c语言转义字符-CSDN博客

p='Iodl>Qnb(ocy\x7fy.i\x7fd`3w}wek9{iy=~yL@EC'

flag1 = []
for i in range(36):
        for key in range(32, 127):
            if chr(key ^ i) == p[i] :
                flag1.append(chr(key))
print(''.join(flag1))

#Info:The first four chars are `flag`

 

再往下看,又是一个循环,我们点进sub_400E44函数 

 sub_410CC0("continue!");
    memset(v18, 0, 65);
    sub_4406E0(0LL, v18, 64LL);
    v18[39] = 0;
    if ( sub_424BA0(v18) == 39 )
    {
      v2 = sub_400E44(v18);
      v3 = sub_400E44(v2);
      v4 = sub_400E44(v3);
      v5 = sub_400E44(v4);
      v6 = sub_400E44(v5);
      v7 = sub_400E44(v6);
      v8 = sub_400E44(v7);
      v9 = sub_400E44(v8);
      v10 = sub_400E44(v9);
      v11 = sub_400E44(v10);
      if ( !(unsigned int)sub_400360(v11, off_6CC090) )
      {
        sub_410CC0("You found me!!!");
        sub_410CC0("bye bye~");
      }

 

有点复杂,进入黄色的部分看看

 一看到这一串,我们可以猜到是base64加密,且加密了10次,我们找找是对什么进行了加密 

 

加密完是个if语句,里面有个函数,猜测是个比较的函数,括号里是用来比较的两个字符串,看看第二个字符串是什么

 sub_410CC0("continue!");
    memset(v18, 0, 65);
    sub_4406E0(0LL, v18, 64LL);
    v18[39] = 0;
    if ( sub_424BA0(v18) == 39 )
    {
      v2 = sub_400E44(v18);
      v3 = sub_400E44(v2);
      v4 = sub_400E44(v3);
      v5 = sub_400E44(v4);
      v6 = sub_400E44(v5);
      v7 = sub_400E44(v6);
      v8 = sub_400E44(v7);
      v9 = sub_400E44(v8);
      v10 = sub_400E44(v9);
      v11 = sub_400E44(v10);
      if ( !(unsigned int)sub_400360(v11, off_6CC090) )
      {
        sub_410CC0("You found me!!!");
        sub_410CC0("bye bye~");
      }

我们点进去,一直找到源头,是一大串字符,看字符串的最后是两个等号,这也是base64加密的一个标志,我们对它进行10次base64解密 

 

 

是个网址,进去看看 

 

是篇文章,这是作者把理论运用到题目里了啊 

 

我们再往下找,发现没啥有用信息了,但是我们刚找字符串的时候是不是在字符串的下面发现了可疑的字符,点进去看一看

 

分析一下 

unsigned __int64 sub_400D35()
{
  unsigned __int64 result; // rax
  unsigned int v1; // [rsp+Ch] [rbp-24h]
  int i; // [rsp+10h] [rbp-20h]
  int j; // [rsp+14h] [rbp-1Ch]
  unsigned int v4; // [rsp+24h] [rbp-Ch]
  unsigned __int64 v5; // [rsp+28h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  v1 = sub_43FD20(0LL) - qword_6CEE38;
  for ( i = 0; i <= 1233; ++i )
  {
    sub_40F790(v1);
    sub_40FE60();
    sub_40FE60();
    v1 = sub_40FE60() ^ 0x98765432;
  }
  v4 = v1;                                      // 上面都没用
  if ( ((unsigned __int8)v1 ^ byte_6CC0A0[0]) == 102 && (HIBYTE(v4) ^ (unsigned __int8)a0x56) == 103 )// v1等于v4,相当于v1第一个和最后一个字节和byte_6CC0A0的第一个和第四个字节异或,异或完的是f和g,猜测这个是v1这四个字母分别与byte_6CC0A0前四位异或完是flag。
前面第一条信息说前四个字符是flag,这里也可以知道v1是4个字符
为什么v1会是一个数组呢,因为HIBYTE()函数的作用是获取高字节也就是数组的最后一位,同时还有BYTE()、BYTE1()、BYTE2()第一个是获取数组的第一位,第二个就是获取第二位,依次类推。


                                                // 逆向异或可以得到v1数组也就是v4数组
  {
    for ( j = 0; j <= 24; ++j )
      sub_410E90((unsigned __int8)(byte_6CC0A0[j] ^ *((_BYTE *)&v4 + j % 4)));// 这是让byte_6CC0A0与v4数组循环异或,抑或完的就是flag
  }
  result = __readfsqword(0x28u) ^ v5;
  if ( result )
    sub_444020();
  return result;
}

写个脚本,得到flag

key2=[0x40,0x35,0x20,0x56,0x5D,0x18,0x22,0x45,0x17,0x2F,0x24,0x6E,0x62,0x3C,0x27,0x54,0x48,0x6C,0x24,0x6E,0x72,0x3C,0x32,0x45,0x5B]
key3='flag'
key4=[]
flag=[]
for x in range(4):
    key4.append(chr(key2[x] ^ ord(key3[x])))
print(key4)
for i in range(25):
    flag.append(chr(key2[i]^ord(key4[i%4])))
print(''.join(flag))
#flag{Act1ve_Defen5e_Test}

本题用到了主动防御,就是引导别人走向错误解题方向,把真正的解题方向隐藏起来,让人更难破解

su1ka111
关注
专栏目录
BUUCTF-[2019红帽杯]easyRE
weixin_61154173的博客
11-30 592
BUUCTF-2019红帽杯easyRE
BUUCTF-re-[2019红帽杯]easyRE
qq_61774705的博客
06-18 761
用IDA64打开文件,shift+F12查看字符串 分析关键代码:脚本如下: 继续查看sub_400E44函数继续分析 脚本如下: 继续分析 代码如下: 发现此函数的逻辑就是将字符串进行异或,还可以发现if语句中,有判断是否等于‘f’和‘g’的条件,根据已有信息猜测这个字符数组就是‘flag’。函数的作用是获取高字节也就是数组的最后一位,同时还有第一个是获取数组的第一位,第二个就是获取第二位,依次类推。查看数组byte_6CC0A0数据:可以看出byte_CC0A3=byte_CC0
[Buuctf] [2019红帽杯] easyRE
weixin_74305514的博客
03-02 1177
主动防御
BuuCTF [2019红帽杯]easyRE
m0_74154467的博客
06-15 386
Buuctf解思路
[2019红帽杯]easyRE1
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-30 1787
buuctf-[2019红帽杯]easyRE1
2019 红帽杯 easyRE
mishixiaodai的博客
11-18 2642
记一次被带入坑的逆向 拿到目,发现是elf文件,拖入Linux运行程序,发现什么提示也不给,输入任意字符串,程序退出。 拖入64位的ida中,查找字符串,发现几个很有用的字符串,查看第三个字符串处的代码 先给了一大串数字,将类型转变成char[36]后如下图所示。分析伪代码发现函数名都是统一的sub_。 进入第一个函数sub_4406E0,发现很难理解此函数是干嘛的,但通过主程序,我们可以猜测,该函数的作用应该是读取我们的输入。同理,根据if语句中的v15[i] ^ i) != v14[i],我
BUUCTF - [2019红帽杯]easyRE
:-)
11-23 1052
BUUCTF - [2019红帽杯]easyRE 个人认为这道是最近我刷的目中难度较高的了,也是自己能力问,不多说了,开始做 这篇文章配图规律为,图片在上文字在下,希望大家还看到习惯 拖入die分析,elf64位文件,打开Linux跑跑看 输错就退出,毫不讲理… 那咱直接上静态分析吧,这里跟大家说一下哈,我的做的习惯一般是静态分析无果,才去寻求动态调试,并不是说这道用动态的方法做不出来,有能力的师傅可以自己去动态,我就继续坚持我的习惯了。 shift+F12看看字符,看到字符表,肯定用到了
re学习笔记(25)BUUCTF-re-[2019红帽杯]easyRE
逆向随笔
01-12 3914
[2019红帽杯]easyRE 新手一枚,如有错误(不足)请指正,谢谢!! 目链接:BUUCTF-re-[2019红帽杯]childRE 目下载:点击下载 IDA64位载入,shift+F12查看字符串,然后双击过去 "x"键交叉引用,切换到关键代码 F5反汇编显示 截取的部分代码 int i; // [rsp+Ch] [rbp-114h] char str0[36]; // [r...
re学习(15)BUUCTF 2019红帽杯easyRe(寻找数据+xor问)
m0_66039322的博客
07-13 475
虽然带有easy,但是并不是那么easy。CTF偏向于算法,实战偏向于程序逻辑,执行的流程。
BUUCTF逆向[2019红帽杯]easyRE
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
10-23 1064
*(&v15 + i) 有了前面的分析,这条语句就不难理解了,我们输入的字符串保存到 v51 中,然后取出每个字符与 i 值异或再与 v15 到 v50 的字符进行比较(&v15是首元素的地址,+i 表示指向下一个的意思)跟过来后可以发现是我们前面看到的与 base64 有关的东西,所以我们猜测 sub_400E44 是一个 base64 加密处理函数,由代码可知对同一个数据加密了 10 次,加密后的数据是什么,我们接着找。我们去看看,发现是看雪的一篇文章,到这里我们基本可以确定这是一个干扰项。
2019红帽杯恶臭的数据包.7z
11-11
2019红帽杯恶臭的数据包
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
buu-[2019红帽杯]easyRE
qaq517384的博客
03-05 562
查壳 64位ida 直接查看字符串能看到you found me和一些奇怪字符串 有些类似base的东西 先找you found me 跟进后CTRL+X交叉引用找到函数,f5查看伪代码 signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8
【BUUCTF逆向 [2019红帽杯]xx】
chuxuezhewocao的博客
06-27 613
BUUCTF刷记录,本主要是一道C++程序,主要在于理清代码逻辑,c++的反汇编伪代码看的还不是很熟练。代码稍长,可以分段看,首先来到第一段,是一个获取输入的部分: 这里有一个容易看错的地方,就是存储输入的那个变量叫Code,然后v6指向的内容也叫Code,但是这两个不是一个东西,后者跟进去后可以看到如图上标注所示 这里是最后一个异或的逻辑,相当于从v20[3]开始,每一位都会和前面的几个数据循环异或,范围就是range(i//3),逆的时候从后往前算 总体的逻辑差不多是这样,但是在解的时候卡在了解
BUUCTF Reverse/[2019红帽杯]Snake
ookami6497的博客
07-31 967
BUUCTF Reverse/[2019红帽杯]Snake 下载解压缩后得到可执行文件,而且有一个unity的应用程序,应该是用unity编写的游戏 打开是一个贪吃蛇游戏 用.NET Reflector打开Assembly-CSharp.dll。(unity在打包后,会将所有的代码打进一个Assembly-CSharp.dll的文件里面,通过这个文件的反编译,就是详细看见里面的代码内容) 再将Assembly-CSharp.dll拖入IDA中查看函数关系 有个start函数,但
简单101. 对称二叉树 (python)20240922
Sep21m_wyy的博客
09-22 383
【代码】简单101. 对称二叉树 (python)20240922。
【工具】Windows|两款开源桌面窗口管理小工具Deskpins和WindowTop
qq_46106285的博客
09-21 925
写这篇的初衷是怕自己忘了这两个工具的名字。
python 将 aac 转为 mp3,保持原有目录结构
最新发布
nongcunqq的博客
09-23 466
2f。
Python 类class的用法详解
十七次方
09-22 803
Python 中,使用 class 关键字来定义一个类。类定义通常包括类变量、实例变量和方法。
红帽6.6如何修复cve-2016-2183漏洞
09-15
CVE-2016-2183是一个安全漏洞,影响了红帽6.6版本中的内核。要修复这个漏洞,通常需要打上相应的安全补丁。以下是修复这个漏洞的一般步骤,但请注意,这些步骤可能需要根据您的具体系统配置和环境进行适当调整: 1....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值