[GUET-CTF2019]encrypt

于 2024-05-23 19:27:21 发布
阅读量496 收藏 8
点赞数 3
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79135465/article/details/139143433
版权

我自己大致分析的是输入flag然后先 RC4加密再 base64加密,解了一下发现不对。

那就只能仔细分析了,看有没有魔改

嗯,可以动调试试,嗯就是要找其 key 的值 :0x10,0x20,0x30,0x30,0x20,0x10,0x40

aaaaaaaaaa--->dd426c16da58a81d4e1d

还不知道藏哪去了,找到了,还要加一个偏移的

好像真不是 RC4 啊,但看wp:说就是的

嗯,不好分析,一种做法就是直接调试,得到关键的变量值

第一个就是得到 v9 的值

记录每次 edx 的值

最后就是这个类似base64d了

_DWORD *__fastcall sub_4008FA(__int64 a1, int a2, const char *a3, _DWORD *a4)
{
  int v4; // eax
  int v5; // eax
  unsigned __int8 v6; // al
  int v7; // eax
  unsigned __int8 v8; // al
  int v9; // eax
  int v10; // edx
  _DWORD *result; // rax
  char v13; // [rsp+2Dh] [rbp-13h]
  unsigned __int8 v14; // [rsp+2Eh] [rbp-12h]
  unsigned __int8 v15; // [rsp+2Fh] [rbp-11h]
  int v16; // [rsp+30h] [rbp-10h]
  int v17; // [rsp+34h] [rbp-Ch]

  v16 = 0;
  v17 = 0;
  while ( v17 < a2 )
  {
    v4 = v17++;
    v13 = *(_BYTE *)(v4 + a1);
    if ( v17 >= a2 )
    {
      v6 = 0;
    }
    else
    {
      v5 = v17++;
      v6 = *(_BYTE *)(v5 + a1);
    }
    v14 = v6;
    if ( v17 >= a2 )
    {
      v8 = 0;
    }
    else
    {
      v7 = v17++;
      v8 = *(_BYTE *)(v7 + a1);
    }
    v15 = v8;
    a3[v16] = ((v13 >> 2) & 0x3F) + 61;
    a3[v16 + 1] = ((((int)v14 >> 4) | (16 * v13)) & 0x3F) + '=';
    a3[v16 + 2] = ((((int)v8 >> 6) | (4 * v14)) & 0x3F) + '=';
    v9 = v16 + 3;
    v16 += 4;
    a3[v9] = (v15 & 0x3F) + '=';
  }
  if ( a2 % 3 == 1 )
  {
    a3[--v16] = 61;
  }
  else if ( a2 % 3 != 2 )
  {
    goto LABEL_15;
  }
  a3[v16 - 1] = 61;
LABEL_15:
  v10 = strlen(a3);
  result = a4;
  *a4 = v10;
  return result;
}

下面这是标准base64 

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

char base64_chars[] = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";

void base64_encode(const unsigned char *input, int length, char *output) {
    int i, j;
    for (i = 0, j = 0; i < length;) {
        uint32_t octet_a = i < length ? input[i++] : 0;
        uint32_t octet_b = i < length ? input[i++] : 0;
        uint32_t octet_c = i < length ? input[i++] : 0;
        uint32_t triple = (octet_a << 0x10) + (octet_b << 0x08) + octet_c;

        output[j++] = base64_chars[(triple >> 3 * 6) & 0x3F];
        output[j++] = base64_chars[(triple >> 2 * 6) & 0x3F];
        output[j++] = base64_chars[(triple >> 1 * 6) & 0x3F];
        output[j++] = base64_chars[(triple >> 0 * 6) & 0x3F];
    }

    for (int k = 0; k < mod_table[length % 3]; k++)
        output[*output_length - 1 - k] = '=';

    output[j] = '\0';
}

int main() {
    const char *input = "Hello, World!";
    char output[32]; // ensure it's large enough
    base64_encode((const unsigned char*)input, strlen(input), output);
    printf("Base64 Encoded: %s\n", output);
    return 0;
}

 自己简化一下再分析一下

v16 = 0;
  v17 = 0;
  while ( v17 < a2 )
  {
 v13=a1[v17++];
 if(v17>=a2){
  v6=0;
  v8=0;
} else {
 v6=a1[v17++];
 v8=a1[v17++];
}
v14=v6;
v15=v8;
a3[v16]=((v13>>2)& 0x3f)+61;
a3[v16+1]=((((int)v14 >> 4) | (16 * v13)) & 0x3F) + '=';
a3[v16 + 2] = ((((int)v8 >> 6) | (4 * v14)) & 0x3F) + '=';
v16+=4;
a3[v16+3]=(v15&0x3f)+61;
}
if (a2%3==1){
 a3[v16]=61;
}else if (a2%3!=2){
v10 = strlen(a3);
  result = a4;
  *a4 = v10;
  return result;
}
 a3[v16 - 1] = 61;
//别人更好看
v16 = 0;
	v17 = 0;
	while (v17 < a2)
	{
		v13 = a1[v17++];
		v14 = a1[v17++];
		v15 = a1[v17++];//取三个字符

		a3[v16]     = ((          v13 >> 2            ) & 0x3F) + 61;
		a3[v16 + 1] = ((   (v14 >> 4) | ( v13 << 4)   ) & 0x3F) + 61;
		a3[v16 + 2] = ((   (v15 >> 6) | ( v14 << 2)   ) & 0x3F) + 61;
		a3[v16 + 3] =            (v15 & 0x3F)                   + 61;
		v16 += 4;
	}

	//等号填充
	if (a2 % 3 == 1)
	{
		a3[--v16] = 61;
	}
	else if (a2 % 3 != 2)
	{
		goto LABEL_15;
	}
	a3[v16 - 1] = 61;
LABEL_15:
	v10 = strlen(a3);
	result = a4;
	*a4 = v10;
	return result;
}

data=[0x5a, 0x60, 0x54, 0x7A, 0x7A, 0x54, 0x72, 0x44,0x7C, 0x66, 0x51, 0x50, 0x5B, 0x5F, 0x56, 0x56,0x4C, 0x7C, 0x79, 0x6E, 0x65, 0x55, 0x52, 0x79,0x55, 0x6D, 0x46, 0x6B, 0x6C, 0x56, 0x4A, 0x67,0x4C, 0x61, 0x73, 0x4A, 0x72, 0x6F, 0x5A, 0x70,0x48, 0x52, 0x78, 0x49, 0x55, 0x6C, 0x48, 0x5C,0x76, 0x5A, 0x45, 0x3D]
flag=''
for i in range(0,len(data),4):
	flag+=chr((((data[i]-0x3D)&0x3F)<<2)|(((data[i+1]-0x3D)&0x30)>>4))
	flag+=chr((((data[i+1]-0x3D)&0x0F)<<4)|(((data[i+2]-0x3D)&0x3C)>>2))
	flag+=chr(((data[i+3]-0x3D)&0x3F)|((data[i+2]-0x3D)&0x03)<<6)
j=0
l=[0x10,0x59,0x9C,0x92,0x06,0x22,0xCF,0xA5,0x72,0x1E,0x45,0x6A,0x06,0xCB,0x08,0xC3,0xE4,0x49,0x5A,0x63,0x0C,0xDF,0xF6,0x5F,0x08,0x28,0xBD,0xE2,0x10,0x15,0x1F,0x6E,0xAA,0x5A,0xCA,0xEC,0x80,0xAF,0x9B,0x16,0xBB,0x3D,0x13,0x2F,0x6A,0xA4,0xC7,0x2E,0xBC,0x4B,0x60,0x9A,0xAF,0xE9,0xCE,0xDA,0x67,0x39,0xBA,0x3B,0x85,0xEB,0xD2,0x6B,0xAB,0x06,0x6B,0x10,0x57,0x2C,0x88,0x70,0xF7,0x4F,0xAA,0x7F,0x12,0x47,0xD6,0xDE,0x74,0xB2,0x1D,0xA4,0xD7,0x76,0x9A,0xE0]
a=list(flag)
flag=''
for i in a:
	flag+=chr(ord(a[j])^l[j])
	j+=1
print(flag)

嗯,动静结合,这题感觉很妙啊!

[GUET-CTF2019]encrypt-CSDN博客

buuctf [GUET-CTF2019]encrypt纯静态做法_buuctf encrypt 3-CSDN博客

re_halo
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【BUUCTF逆向 [GUET-CTF2019]encrypt
chuxuezhewocao的博客
06-29 695
BUUCTF逆向刷题,本题涉及到RC4加密,变表base64编码题目一进来可以看到很清晰的函数逻辑,有三个关键函数,后面就是和密文比较: 这里第一个函数是在构造RC4的S盒,第二个函数是对输入的flag进行RC4加密,第三个函数是变表base64加密,这里在字符串中没有找到相关的变表,这个在具体函数中再进行分析: 总结 脚本积累...
[GUET-CTF2019]NO SOS
2er0!=O的博客
08-01 562
[GUET-CTF2019]NO SOS 附件: ..-.-.-.–…….–..-…-..-…–.-.-….-..-..–.-.-..-.-..—- NO SOS 提示不是摩尔斯电码(sos是国际摩尔斯电码救难信号) 不难发现其中的 .- 被修改过,格式有一点错误,修正后的密文: ..-.-.-.--.......--..-...-..-...--.-.-....-..-..--.-.-..-.-..---- 转二进制: 00101010110000000110010001001000110101000
buuctf————[GUET-CTF2019]encrypt
yhfgs的博客
10-13 620
1.查壳。 2.IDA反编译。 加密函数在sub_400686 sub_4007db sub_4008fa 跟进。 第一个和第二个函数为RC4加密。(reverse逆向算法之base64和RC4_yhfgs的博客-CSDN博客) 第三个函数:base64算法的一部分(只是把四个字符一组变成三个字符,没有查表) 3.exp解密 4。get flag flag{e10adc3949ba59abbe56e057f20f883e} ...
BUUCTF_re_[GUET-CTF2019]encrypt
qq_51146365的博客
08-11 1277
BUUCTF_re_[GUET-CTF2019]encrypt分析前置知识具体分析脚本 分析 前置知识 RC4算法 算法特点:算法简单,运行速度快,而且密钥长度时可变的,可变范围1~255 算法中所需的参数(后续解释为什么需要参数的部分原因): 一个256长度的数组,从0到255(记作S盒);一个长度不超过256自定义内容的数组(初始密钥,记作T);明文字节长度(记作L)。 具体实现步骤(仅展示部分代码) 步骤可以细分成几大步,这里统写成两步 步骤1.创建S盒,并伪随机打乱 int i,j=0; for(i
[GUET-CTF2019]encrypt 题解
最新发布
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
05-13 1190
我们如果能得到每次循环的这个数据,与base64解密得到结果(RC加密后的密文)依次异或就能得到明文。我们可以将byte_602080提取出来,下面是提取数据的IDC脚本,得到了密文。这个需要远程动态调试,我们需要在88次循环中截取到每次最后进行异或的这个数据。本题是输入了一个字符串,进行了rc4加密,和魔改的base64加密。我们RC4解密时候,不编写整个RC4加密算法的解密脚本。发现此时edx存储的正是这个要和明文异或的数据。这是使用脚本自动化动态调试得到的每次的数据。魔改的base64加密。
BUUCTF 逆向工程(reverse)之[GUET-CTF2019]re
weixin_44632787的博客
08-25 1237
用IDA打开,发现是有加壳的。所以需要先去壳(这里我用的是kali自带的upx脱壳) 因为找不到入口,所以先去找flag的关键词 最终找到关键函数sub_400E28 __int64 sub_400E28() { const char *v0; // rdi __int64 result; // rax __int64 v2; // rdx unsigned __int64 v3; // rt1 __int64 v4; // [rsp+0h] [rbp-30h] __int64
[GUET-CTF2019]BabyRSA(p,q灵活应用)
qi_SJQ_的博客
12-18 523
1.首先可以推算: n=p*q=(p+1)(q+1)-(p+q)-1 欧拉函数:φ(n)=(p-1)(q-1)=phi=(p+1)(q+1)-2*(p+q) 2.exp: import libnum a=0x1232fecb92adead91613e7d9ae5e36fe6bb765317d6ed38ad890b4073539a6231a6620584cea5730b5af83a3e80cf30141282c97be4400e33307573af6b25e2ea b=0x5248becef1d925d4
buu [GUET-CTF2019]BabyRSA
ao52426055的博客
12-01 1315
查看题目 观察题目给的条件,给了p+q,(p+1)(q+1),e,d,以及密文C. RSA的解密公式:M=C^d mod n 所以我们只要求出n即可。(n = pq) n = (p+1)(q+1) - (p+q) - 1 求M的值,已知C,d,n后 用函数pow(),即可求出 import libnum a = 0x1232fecb92adead91613e7d9ae5e36fe6bb765317d6ed38ad890b4073539a6231a6620584cea5730b5af83a3e80cf30
re学习笔记(46)BUUCTF-re-[GUET-CTF2019]encrypt
逆向随笔
02-29 1275
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:[GUET-CTF2019]encrypt IDA64位载入,直接来到main()函数 其中sub_4006B6()函数 可以看到是初始化了一个256长度的S盒,其中参与S盒初始化的数据是固定的data0数组 可以通过动调来获得初始化后的S盒。 在main()函数第30行下断点,Linux远程调试 随便输入,回车,让I...
2019年CTF4月比赛记录(一):ENCRYPT CTF 部分Web题目writeup与重解
極品━═☆宏的博客
04-05 3343
简简单单做些题,踏踏实实做些事 时间:2019年4月2日至4月4日 一、VolgaCTF—Shop(重解): 打开以后,是个购买题,又是需要花钱买flag的 ๐·°(৹˃̵﹏˂̵৹)°·๐ 按照惯例,肯定是有文章的,随便试一下几个后缀,试出来了: 直接下载就可以了,下载后打开是个文件夹,里面还有三个子文件夹,我愣是没看懂这是干啥的。后来看了一下别人写的wp,还是有点有用的东西的,又一次感觉到...
buuctf [GUET-CTF2019]encrypt纯静态做法
weixin_51373492的博客
12-08 3240
二刷buu,发现网上的这个题的题解大部分都是动调(可能是我没找到静态),于是想写一篇纯静态分析的文章。 这个题的考点如名字所示,就是一个魔改base64和rc4加密。 首先拖进ida 上面那8个硬编码赋值一看就像key,直接改了个名。 看到结尾的密文对比,顿时有了个大致方向 进入sub_4006B6函数里面,发现是rc4的s盒初始化,传入的参数是s盒,key和key的长度 没看出来的可以看下这个博客,关于rc4加密的 https://www.cnblogs.com/zwios/p/4196836.ht
[虎符CTF2021]GoEncrypt wp
小黑的猫窝
06-03 283
拖入IDA64,F5反编译,找到主函数main_main(),很多代码没看懂; 先看到main_statictmp_0,跟进发现“input flag”,即程序运行初始显示的字符串; 接着调用fmt_Fprintln()和fmt_Fscanf()函数,按照函数名称理解应该是实现输出输入的功能,跟进去看了一下,还是什么也没看懂; 接着看到main_check()函数,跟进去看到一行代码: 跟进unk_5041E5,可以发现flag的正则表达式,flag{([0-9a-f]{8})-([0-9a-f]{4})
BUUCTF:[GUET-CTF2019]KO
末初的CSDN博客
11-02 1827
题目地址:https://buuoj.cn/challenges#[GUET-CTF2019]KO arrachment.txt Ook!编码 Ook!在线解密:https://www.splitbrain.org/services/ook flag{welcome to CTF}
BUUCTF:[GUET-CTF2019]虚假的压缩包
末初的CSDN博客
04-07 3675
虚假的压缩包是伪加密,修改第二个PK后五位为偶数即可 RSA,解密脚本如下 import gmpy2 p=gmpy2.mpz(3) q=gmpy2.mpz(11) e=gmpy2.mpz(3) l=(p-1)*(q-1) d=gmpy2.invert(e,l) c=gmpy2.mpz(26) n=p*q ans=pow(c,d,n) print ans 解压密码是:答案是5,用于解压另一个...
BUUCTF学习笔记-随便注
weixin_42271850的博客
03-08 3137
BUUCTF学习笔记-随便注 时间:2020/03/05 考点:堆叠注入、SQL预编译语句。          打开发现是一个输入查询框,右键查看代码发现里面又一个提示sqlmap是没有灵魂的。估计这一题是SQL注入,但提示应该不能直接用sqlmap,但还是先去尝试一下。  &nbsp...
BUUCTF--[GUET-CTF2019]re
Hk_Mayfly的博客
04-07 1124
测试文件:https://www.lanzous.com/ib3elba 脱壳 获取信息 64位文件 upx加壳 代码分析 1 __int64 sub_400E28() 2 { 3 const char *v0; // rdi 4 __int64 result; // rax 5 __int64 v2; // rdx 6 unsigned _...
虚拟机挑战解析:hgame-week4-easyvm与cg-ctf WxyVM
"虚拟机题目解析,包括hgame-week4-easyvm、cg-ctf wxyVM1/2,涉及虚拟机基础知识、数据处理及逆向工程" 虚拟机技术是计算机科学中的一个重要领域,它允许在单一硬件系统上运行多个操作系统实例。在网络安全和密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值