re题(37)BUUCTF-[GWCTF 2019]xxor

最新推荐文章于 2024-09-25 11:06:23 发布
最新推荐文章于 2024-09-25 11:06:23 发布
阅读量474 收藏 14
点赞数 23
分类专栏: 学习 文章标签: java 算法 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80907001/article/details/142407558
版权

BUUCTF在线评测 (buuoj.cn)

用ida打开文件,ctrl+e定位main函数

也可以用shift+F12查找字符串,找与我们解题有关的字符串

通过字符串定位到引用字符串的函数

进入main entry 但还不是我们要分析的代码

进入__libc_start_main中的main参数,是我们要分析的代码

首先进入sub_400770

找到a1,也就是v7中存放的数据

用z3写个脚本

from z3 import *
a3, a4, a5 = Ints('a3 a4 a5')
x=Solver()
x.add(a3 - a4 == 2225223423)
x.add(a4 + a5 == 4201428739)
x.add(a3 - a5== 1121399208)

check=x.check()
print(check)

model=x.model()
print(model)

#sat
#[a5 = 2652626477, a3 = 3774025685, a4 = 1548802262]

得到结果

unsigned int a1[6] = { 3746099070,550153460, 3774025685 ,1548802262 ,2652626477 ,2230518816 };

 刚入门逆向的臭毛病是习惯Hide casts隐藏指针以清晰代码方便阅读的,但在本题中,倘若不留意类型而直接隐藏,在IDA窗口中将得到这样的数据:

//未隐藏指针的代码:注意到 v7 应该是一个unsigned int 数组
 if ( (unsigned int)sub_400770(v7, a2) != 1 )
  {
    puts("NO NO NO~ ");
    exit(0);
  }

显然,这些数据并不是标准的unsigned int类型,在获取这些数据时可以按h变为16进制进行存放

if ( a1[2] - a1[3] == 2225223423LL
    && a1[3] + a1[4] == 4201428739LL
    && a1[2] - a1[4] == 1121399208LL
    && *a1 == -548868226
    && a1[5] == -2064448480
    && a1[1] == 550153460 )

也可以从汇编窗口逐个获取并计算,且存放数组使用相应的类型

.text:00000000004007D0                 mov     [rbp+var_8], rax
.text:00000000004007D4                 mov     eax, 84A236FFh
.text:00000000004007D9                 cmp     [rbp+var_18], rax
.text:00000000004007DD                 jnz     short loc_400845
.text:00000000004007DF                 mov     eax, 0FA6CB703h
.text:00000000004007E4                 cmp     [rbp+var_10], rax
.text:00000000004007E8                 jnz     short loc_400845
.text:00000000004007EA                 cmp     [rbp+var_8], 42D731A8h
.text:00000000004007F2                 jnz     short loc_400845
.text:00000000004007F4                 mov     rax, [rbp+var_28]
.text:00000000004007F8                 mov     eax, [rax]
.text:00000000004007FA                 cmp     eax, 0DF48EF7Eh
.text:00000000004007FF                 jnz     short loc_400834
.text:0000000000400801                 mov     rax, [rbp+var_28]
.text:0000000000400805                 add     rax, 14h
.text:0000000000400809                 mov     eax, [rax]
.text:000000000040080B                 cmp     eax, 84F30420h
.text:0000000000400810                 jnz     short loc_400834
.text:0000000000400812                 mov     rax, [rbp+var_28]
.text:0000000000400816                 add     rax, 4
.text:000000000040081A                 mov     eax, [rax]
.text:000000000040081C                 cmp     eax, 20CAACF4h

    可以注意到,IDA中并没有为tmp1、tmp2声明变量(实际上,它们本不是这个名字,但为了方便阅读而被我改成了这个名字;从汇编窗口可以知道它们均为4个字节的变量(int))

  如下代码展示了LODWORD和HIDWORD的结果,乍一看似乎相当不同,但实际上这不过是一种比较别扭的写法罢了

    注意到tmp2的结果和a1[1]相同,而将a1[0]的类型换为int之后也将得到与tmp1相同的结果,也就是说,这两个函数并没有起到任何作用,只是做了简单的赋值罢了

    (尽管我想说具体问题具体分析,但倘若使用的是LOBYTE和HIBYTE的话,结果就将彻底不同了。但通常来说,出题人并不会特地去这样写,至少一般来说,并没有LODWORD这样的函数)

unsigned int a1[6] = { 3746099070,550153460, 3774025685 ,1548802262 ,2652626477 ,2230518816 };
int tmp1, tmp2;
tmp1 = LODWORD(a1[0]);// -548868226
tmp2 = HIDWORD(a1[1]);// 550153460

  

该汇编代码为for循环中对变量 j 的操作

    在C伪代码中可以看见为 j++,而在汇编中的结果显然应该是 j+=2,所以过于依赖伪代码的话在编写解密脚本时将遇到麻烦

    因此我们可以知道,这个循环每次获取 v6 中的两个进行加密并放入

  (应该记得,形参a1为输入流v6,a2为加密表{2,2,3,4}(DWORD类型数组每4字节一个,应将中间的0省略))

    分别获取 v3为第一个数组,v4为第二个数字,v5为一个轮替变量

    经过一个for循环后,将结果放回原数组

用c++写个脚本
 

#include<iostream>
using namespace std;
int main()
{	
	unsigned int a1[6] = { 3746099070,550153460, 3774025685 ,1548802262 ,2652626477 ,2230518816 };
	unsigned int table[4] = { 2,2,3,4 };
	unsigned int decode[6];
	int v5 = 1166789954 * (0x3F+1);
	unsigned int v3, v4;
	
	for (int i = 0; i <= 5; i+=2)
	{
		int v5 = 0x458BCD42 * 64;
		v3 = a1[i];
		v4 = a1[i + 1];
		for (int j = 0; j <= 0x3F; j++)
		{
			v4 -= (v3 + v5 + 20) ^ ((v3 << 6) + table[2]) ^ ((v3 >> 9) + table[3]) ^ 0x10;
			v3 -= (v4 + v5 + 11) ^ ((v4 << 6) + table[0]) ^ ((v4 >> 9) + table[1]) ^ 0x20;
			v5 -= 0x458BCD42;
		}
		decode[i] = v3;
		decode[i + 1] = v4;
	}
	for (int i = 0; i < 6; i++)
	{
		printf("%x", decode[i]);//666c61677b72655f69735f6772656174217d
	}
}

 

最终得到的decode数组便是flag,但由于VS默认显示为10进制数,所以应该将结果输出为16进制数并另外进行转换

unsigned int decode[6]={6712417, 6781810, 6643561, 7561063, 7497057, 7610749};

 

知识点:

根据变量类型和输入数据类型判断输入数据在变量中存储方式,如输入的是int 型变量是int64型。
dword可以实现取数据的低四位
HIDWORD函数与LODWORD函数分别取数据的高四位和低四位,HIWORD和LOWORD函数实现取数据的高两位和低两位

最后解出来a1数组,还要把数组变成十六进制,一个数据是6位十六进制数,6个数据就是36位16进制数,两个16进制数作为一个scaii可以变成一个字符,36个16进制数就是18个字符
c语言如何实现获取低四位和高四位

 

public int getHeight4(byte data){//获取高四位
    int height;
    height = ((data & 0xf0) >> 4);
    return height;
}
  
public int getLow4(byte data){//获取低四位
    int low;
    low = (data & 0x0f);//0x0f(00001111)
    return low;    
}

su1ka111
关注
专栏目录
BUUCTF-[GWCTF 2019]xxor
qq_66455531的博客
07-07 334
HIWORD和LOWORD就是把每一个元素对半分,高位分给HIWORD低位分给LOWORD。这里把输入的数组的高低位分开,高位保留,低位进行tea加密。这里最需要注意的是,v6 和 v7数组的声明是i64,也就是每个元素64bit,也就是8个字节。得到flag{re_is_great!能推出来数组,然后再看tea加密部分。解密就是加密的逆过程,写脚本。先看加密合并后的数组。
BUUCTF - [GWCTF 2019]xxor 1
:-)
11-27 1721
[GWCTF 2019]xxor 1 其实看到这道的名字,我感觉它做了两次异或操作 ,废话不多说,开始分析 64位ELF,打开Linux运行一下 大概是输入6个字符,经行位操作,然后判断吧,拖进ida分析下 思路很清晰的一道逆向目,应该考验的是对数据存储的理解和写脚本的能力,研究一下它的逻辑 这应该就是它的关键函数了,之前的input1数组是把输入的数据存起来,然后经行操作后存到v7中进行判断 注意HIDWORD()和LODWORD()的宏定义 #define HIDWORD(x) (*((_
BUUCTF--[GWCTF 2019]xxor
Hk_Mayfly的博客
04-09 1021
测试文件:https://www.lanzous.com/ib5y9cb 代码分析 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 signed int i; // [rsp+8h] [rbp-68h] 4 signed int j; // [rsp+Ch] [rbp-64h] 5...
CTF学习笔记 Reverse篇(1) BUUCTF-re-[GWCTF 2019]xxor
哼哼唧唧
11-28 669
2、这里dword_601078是取了每个v6元素四个字节中的后两个字节中的值,dword_60107c则是取了每个v6元素四个字节中前两个字节的值,这里解释一下为什么dword——601078那一条语句没有lodword函数却依然和有lodword函数的结果相同,这是由于dword_601078这个变量只能存储2个字节的数据,因此在读取v6[j]时只能读取其前两个字节,效果其实就跟lodword一样。小白的第一次尝试逆向目,以后也会在有余力的情况下坚持写笔记,不足之处希望各位大佬指出,共同进步~
buuctf re [GWCTF 2019]xxor
OrientalGlass的博客
01-11 464
flag是连续输入6次,每次4个字节,一共24字节,这里a2可能识别为二级指针,有点误导,实际上是当作一级指针使用,可以按键盘上\隐藏掉类型提示。由于flag是int64类型的数组,后续每次取flag[i]的高四位和低四位进行加密处理。加密之后的字符串有一个比较操作,在这个比较函数里面可以通过数学关系求出加密后的字符串值。直接用puts输出解密后的字符串是不行的,因为有一部分字节值为00。根据目提示,要转成16进制输出,再用16进制转字符串。如果使用逐字节输出也是行不通的,得到的是错误答案。
re -05 buuctf [GWCTF 2019]xxor
weixin_45847059的博客
11-09 614
xxor 1.拖入ida,找到关键函数 2. 稍加分析一下 3.有了处理完的数组v[7]以及加密的方法,对此写脚本解密得到原输入值 #include<cstdio> #include<iostream> #include<cstring> using namespace std; typedef long long ll; ll a[7] = { 3746099070, 550153460, 3774025685, 1548802262, 2652626477,
[GWCTF 2019]xxor-buuctf
Lenard404的博客
03-14 5464
buuctf记录 查壳 64位无壳 分析 IDA反编译main函数 结构还是很清晰的,sub_400686是加密函数,sub_400770是对加密后字符串进行比较,即验证函数。 查看sub_400770 符合条件就返回1,用z3进行一个求解: from z3 import * s = IntVector('s',6) solver = Solver() solver.add(s[0]== 0xdf48ef7e) solver.add(s[2]-s[3] == 0x84a236ff) solver.a
buuctf [GWCTF 2019]xxor 19
weixin_47158947的博客
07-31 1378
1.先把下载下来的文件改成exe文件, 2.查看文件是多少位的 3.ida打开 4.主函数,伪代码查看 先从最后面开始看,当if()体里面的值=1的时候才是我们想要的 点开函数 signed __int64 __fastcall sub_400770(_DWORD *a1) { signed __int64 result; // rax if ( a1[2] - a1[3] != 2225223423LL || a1[3] + a1[4] != 4201428739LL || a1[2] - a
re学习笔记(39)BUUCTF-re-[GWCTF 2019]xxor
逆向随笔
02-20 1705
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 目链接:[GWCTF 2019]xxor xorm[0] = 3746099070, xorm[1] = 550153460, xorm[2] = 3774025685, xorm[3] = 1548802262, xorm[4] = 2652626477, xorm[5] = 2230518816 ...
BUUCTF Reverse/[GWCTF 2019]xxor
ookami6497的博客
07-23 343
BUUCTF Reverse/[GWCTF 2019]xxor 查看文件信息发现没有加壳 直接IDA查看代码 __int64 __fastcall main(int a1, char **a2, char **a3) { int i; // [rsp+8h] [rbp-68h] int j; // [rsp+Ch] [rbp-64h] __int64 v6[6]; // [rsp+10h] [rbp-60h] __int64 v7[6]; // [rsp+40h] [rbp-30
buuctf——[MRCTF2020]Transform && buuctf——[GWCTF 2019]xxor &&buuctf—— [V&N2020 公开赛]CSRe
Dicked的博客
12-14 834
[MRCTF2020]Transform main函数 数组 model = [0x9, 0x0A, 0x0F, 0x17, 0x7, 0x18, 0x0C, 0x6, 0x1, 0x10, 0x3, 0x11, 0x20, 0x1D, 0x0B, 0x1E, 0x1B, 0x16, 0x4, 0x0D, 0x13, 0x14, 0x15, 0x2, 0x19, 0x5, 0x1F, 0x8, 0x12, 0x1A, 0x1C, 0x0E, 0] model1 = [0x67, 0x79, 0x7B
BUUCTF-reverse-五道较简单
feng_2016的博客
05-14 1981
[GWCTF 2019]xxor 比较简单,就是Tea加密变种 Tea加密可以到ctfwiki学习,解密原理是逆向求解 解密最好用c语言写,python写有点麻烦 [GUET-CTF2019]re 逻辑很简单,就是比对 注意v[16]和v[17]位置调换了 少个v[6]爆破即可 [V&N2020 公开赛]strangeCpp 关注不合理的夹杂数据 通过welcome字符串中不合理的夹杂数据定位到关键函数 __int64 sub_140013580() { __int64 *v0; // rdi
工厂模式的介绍及实现
户伟伟的博客
09-25 94
工厂模式(Factory Pattern)是一种创建型设计模式,提供了一种创建对象的接口,而无需显式指定对象的具体类。在这种模式中,我们通过定义一个工厂类,专门负责生产各种类型的对象,这样我们可以避免直接在代码中实例化具体类,使代码更具扩展性、灵活性和维护性。解耦:客户端代码与具体的类解耦,避免了对象创建逻辑的重复。简化对象创建:通过工厂统一管理对象的创建逻辑,使代码更清晰易懂。扩展性强:新增类时,只需在工厂中增加创建逻辑,而不必修改现有的业务代码。
Java Stream流编程入门
2301_77207909的博客
09-21 554
Java StreamAPI的使用与常用方法
智能BI平台项目
2302_79400545的博客
09-22 221
BI商业智能:数据可视化、报表可视化系统。
Android系统:系统架构
liufeismart2024的博客
09-23 445
Android的系统结构的设计混合了分层设计和分块设计。
Java Alibaba Druid 数据库连接池
miracle的专栏
09-24 717
Java开发中,数据库连接池是性能优化的重要一环。而作为一款强大的数据库连接池解决方案,凭借其和对多种数据库的支持,成为了许多企业级应用的首选。本篇文章将介绍Druid的核心特性,并结合不同数据库的实际用法。
JPA+Thymeleaf增删改查
最新发布
y050505的博客
09-25 447
在使用JPA(Java Persistence API)和Thymeleaf作为模板引擎进行Web开发时,实现增删改查(CRUD)操作是一个常见的需求。下面,我将简要介绍如何使用Spring Boot框架结合JPA和Thymeleaf来实现这一功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值