[Zer0pts2020]easy strcmp

已于 2024-06-05 19:05:40 修改
阅读量260 收藏
点赞数 2
文章标签: 安全 网络安全 算法
于 2024-05-06 11:44:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79135465/article/details/138488412
版权

main函数里什么都没有,想起来之前一个题elf会先运行init函数

给的数据以小端序存储,不过shift+e时候不需要考虑

会是上一字节溢出的给了下一位

python好像不好处理溢出的问题,再看看

# data='zer0pts{********CENSORED********}'
# data2=[0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x42, 0x09,
#   0x4A, 0x49, 0x35, 0x43, 0x0A, 0x41, 0xF0, 0x19, 0xE6, 0x0B,
#   0xF5, 0xF2, 0x0E, 0x0B, 0x2B, 0x28, 0x35, 0x4A, 0x06, 0x3A,
#   0x0A, 0x4F, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00]
# for i in range(len(data)):
#     tem=(ord(data[i])+data2[i])&0xff
#     print(chr((tem)),end='')
data='zer0pts{********CENSORED********}'
data2=[0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x42, 0x09,
  0x4A, 0x49, 0x35, 0x43, 0x0A, 0x41, 0xF0, 0x19, 0xE6, 0x0B,
  0xF5, 0xF2, 0x0E, 0x0B, 0x2B, 0x28, 0x35, 0x4A, 0x06, 0x3A,
  0x0A, 0x4F, 0x00]
f=0

for i in range(len(data)):
    if f!=0:
        tem = ord(data[i]) + data2[i]+f
        f=0
    else:
        tem=ord(data[i])+data2[i]
    if tem>0xff:
        f=1
    tem&=0xff
    print(chr((tem)),end='')

回头来看,还是对于那个 字符串转 qword 有点迷糊

嗯,像这些字符转化,确实用 C 好写一些

#include <iostream>
using namespace std;
int main() {
	char enc[] = "zer0pts{********CENSORED********}";
	uint64_t qword[] = {0, 0x410A4335494A0942, 0x0B0EF2F50BE619F0, 0x4F0A3A064A35282B, 0};
	for (int i = 0; i < 5; i++) {
		//(uint64_t)(enc[8 * i]) += qword[i]; left can't change
		*(uint64_t*)&(enc[8 * i]) += qword[i];
		//不直接写 p[8*j]是因为要将字符串转成 __int64 , so use pointer
	}
	cout << enc;
	return 0;
}
// &(enc[8 * i]) 获取 enc 字符串中从第 8 * i 字节开始的地址。
//(uint64_t*)&(enc[8 * i]) 将这个地址强制转换为指向 uint64_t 类型的指针。
// * (uint64_t*)&(enc[8 * i]) 解引用这个指针,获取从 enc 的 8 * i 字节开始的8字节数据。

是直接操作内存的,通过指针处理

target = "zer0pts{********CENSORED********}"
target = map(ord, target)

nums = []
for i in range(0, len(target), 8):
	tmp = target[i:i+8]
	num = 0
	try:
		for j in range(8):
			num += tmp[j] << j * 8
	except:
		pass
	nums.append(num)

res = []
qword_201060 = [0, 0x410A4335494A0942, 0xB0EF2F50BE619F0, 0x4F0A3A064A35282B, 0]
for i in range(5):
	res.append(qword_201060[i] + nums[i])

flag = ''
for i in range(5):
	tmp = "%016X" % res[i]
	for j in range(14, -1, -2):
		flag += chr(int(tmp[j:j+2], 16))
print flag.strip('\x00')

而python 分块后要通过位操作,逆序提取字节(使其与内存布局一样)

#   for ( i = 0; *(_BYTE *)(i + flag); ++i )
#     ;
#   v4 = (i >> 3) + 1;   #####calender team number
#   for ( j = 0; j < v4; ++j )  ## deal every a team
# ^^ *(_QWORD *)(8 * j + flag) -= qword_201060[j];
#   return qword_201090(flag, enc);
# }
enc='zer0pts{********CENSORED********}'
encdate=list(map(ord,enc))
print(encdate)
print(len(encdate))
nums=[]
for i in range(0,len(encdate),8):
    tmp=encdate[i:i+8] # 8 char -- a team
    #print(tmp)
    num=0
    # every team change into a int
    try:
        for j in range(8):
            num+=tmp[j]<<j*8 # left move j*8 site
            #为了将字符 tmp[j] 放到 64 位整数中的正确位置
            #将 8 个字符的 ASCII 值按照其在 64 位整数中的位置排列起来,形成一个唯一的 64 位整数表示这 8 个字符的组合
    except:
        pass
    nums.append(num)
res=[]
qword=[0, 0x410A4335494A0942, 0x0B0EF2F50BE619F0, 0x4F0A3A064A35282B, 0]
for i in range(5):
    res.append(qword[i]+nums[i])
flag=''
for i in range(5):
    # 64 位整数转换为 16 进制字符串
    tmp="%016X" % res[i]
    print(tmp)
    # 7B7374703072657A
    for j in range(14,-1,-2):
        flag+=chr(int(tmp[j:j+2],16))
print(flag)
#移除 flag 字符串开头和结尾的空字节(\x00)(espacially deal with num including zero)
print(flag.strip('\x00'))

re_halo
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
buu-[Zer0pts2020]easy strcmp
qaq517384的博客
03-13 499
64位
BUUCTF Reverse/[Zer0pts2020]easy strcmp
ookami6497的博客
08-12 496
BUUCTF Reverse/[Zer0pts2020]easy strcmp 先看文件信息,ELF文件,没有加壳 拖入IDA64位打开 应该没这么简单就给出flag __int64 __fastcall main(int a1, char **a2, char **a3) { if ( a1 > 1 ) { if ( !strcmp(a2[1], "zer0pts{********CENSORED********}") ) puts("Correct!"
[buuctf][Zer0pts2020]easy strcmp
逆向萌新的博客
07-22 528
放入ida64中查看,因为这个是一个64位的可执行文件,有main函数,直接进入main函数查看。右移三位,先当与是8,八个一组,之后去减去qword_201060,看看这里是什么。这里面有一个判断是判断a2[1]是否是等于那个字符串的,之后我们再去找a2。是这些,那么写反推逆运算,因为是小端序,最后要反转过来,所以脚本可写。放在linux中运行一下,发现竟然没有任何输入的位置。...
[Zer0pts2020]easy strcmp 分析与加法
最新发布
Nike_name的博客
06-03 418
类hook,大整数进位
BUU逆向 [Zer0pts2020]easy strcmp wp
苗_的博客
08-08 1188
拖进ida查看main函数,就是一个简单比较: 然后我们就看它对输入的字符进行了什么操作: 右移3位相当于除8,也就是把字符串分为8个一组,对应和qword_201060的值做减法,可以得到主函数里显示的字符串 注意:内存中存储为小端存储 我们只需要写出它的逆过程就可以了: #-*- coding:utf-8 -*- enc = "********CENSORED********" m = [0x410A4335494A0942, 0x0B0EF2F50BE619F0, 0x4F0A3A0
[Zer0pts2020]easy strcmp细节探究
a5555678744的博客
03-22 641
这道题大多数的wp不知道这个程序是怎么跑的。 这道题是由一个知名的日本战队zer0pts出的,还是挺新颖,挺有意思的 总体感知 首先来看看ida里的情景 这就是main函数的所有了,很简单,感觉啥也没有,输入那串用于比较的字符当然是没用的。 那就看看a1是不是在之前有加密,调交叉引用到start函数 但是从这里找也没找到加密,所以,此题暗藏玄机呀。 函数挺少的,注意看下来不难发现下面这个函数绝对是加密函数 很多wp做到这里就结束了,但这不够! 实现细节分析 交叉引用说明.
【reverse】buu-[Zer0pts2020]easy_strcmp——main函数的启动过程+IDA动态调试ELF
hhhhhggghbhh的博客
12-09 187
一种hook,很有趣。
[Zer0pts2020]Can you guess it?
Demonering的博客
07-10 478
知识点: bypass绕过 具体绕过: basename(),$_SERVER['PHP_SELF']和正则匹配 解题过程: 打开source发现源码 源码: <?php include'config.php';//FLAGisdefinedinconfig.php if(preg_match('/config\.php\/*$/i',$_SERVER['PHP_SELF'])){ exit("Idon'tknowwhatyouarethinking,...
CTF_2021_zer0pts
03-08
质询目录结构 / ├── category (The name doesn't matter) │ ├── challenge (The name doesn't matter) │ │ ├── challenge (Place the files required to build the task, which are not distributed ...
linux进程间通信(中嵌教育-嵌入式linux开发课件)
01-04
linux进程间通信(中嵌教育-嵌入式linux开发课件)
Zer0pts2020 easy strcmp
Misaka10046的博客
11-13 916
打开文件,直接在main函数里找到比较的地方,但是发现flag不是这个。
BUUCTF--[Zer0pts2020]easy strcmp
Hk_Mayfly的博客
06-17 1342
测试文件:https://wwa.lanzous.com/i54G4drrp1i 代码分析 打开IDA看了下main函数 这里就是将a2[1]与zer0pts{********CENSORED********}比较,a2[1]是我们的输入。 找到对输入字符串变换处 这里就是将输入分为8个一组,与qword_5605DCE75060数组元素,对应相减,得到zer0pts{***...
re -12 buuctf [Zer0pts2020]easy strcmp
weixin_45847059的博客
11-19 1007
[Zer0pts2020]easy strcmp 前话:这题要用到ida64位远程调试先记录一下配置方法,因为本人使用的是ida7.6版本差异可能导致问题。 application与input file填linux路径下的题目文件路径 dictionary填linu下题目文件所在文件夹的路径(即题目文件的父级) Paramater不填 Hostname用ifconfig填自己的ip,Port端口固定 Password虚拟机密码 运行一下: 去找个地方下个断点: 这里的strcmp函数比较值的结果决定回
[BUUCTF]REVERSE——[Zer0pts2020]easy strcmp
mcmuyanga的博客
02-02 734
[Zer0pts2020]easy strcmp 附件 步骤 例行检查,64位程序 64位ida打开 很简单的一个程序,将a2数组与zer0pts{********CENSORED********}进行比较,相同提示correct! 然后就是要知道a2在进入main函数前经过了什么操作,应该是因为它不是exe文件吧,我没法动调,正常情况下是去动调找找看哪里对传入的字符串a2进行了操作,我在旁边函数列表里随便看看,找到了带有a2参数的函数 右移3位相当于除8,也就是把字符串分为8个一组,对应和qwor
每日一题 [Zer0pts2020]musicblog
Sapphire037的博客
11-04 643
进去一个登陆注册,先随便注册一个,然后进入以下页面 New post,看到他说都会replace radio,例如我们在我们服务器传一个MP3文件,那么Content内填[[url/xxx.mp3]]就可以播放了,但是这里有csp限制,只能在同一个域内请求,可以去看他给的例子,把例子的复制下来放进[[]]里面就可以播放,但是没卵用,看到下面有个if you check this check box,admin will check your post感觉就是xss了,F12观察一下是<audio&g
ZeroDivisionError: division by zer
05-19
这个错误通常是因为代码中尝试将一个数除以0导致的。例如: ```python x = 10 y = 0 z = x/y # 会抛出 ZeroDivisionError ``` 解决这个错误的方法是确保除数不为0,或者在代码中使用异常处理来处理这种情况。例如...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值