i春秋夏令营Reverse

最新推荐文章于 2024-08-14 11:48:13 发布
最新推荐文章于 2024-08-14 11:48:13 发布
阅读量1.1k 收藏 16
点赞数 27
分类专栏: CTF逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79344173/article/details/140477853
版权

前言:第一次参加,只写了前两个,最后一个赛后复现。写的尽量详细一点,希望大家都能看懂

snake

运行贪吃蛇游戏

进行查壳

解包一下

在解包的文件中找到与文件名相同的.pyc文件\snake\snake.exe_extracted\snack.pyc

老本的pyinstxtractor.py可能生成的不是.pyc文件,需要用010补一下文件头
55 0D 0D 0A 00 00 00 00 00 00 00 00 00 00 00 00,再将末尾改为.pyc就可以使用工具了

snake.pyc包含了游戏逻辑与加密算法,简单筛选一下保留加密算法部分(游戏逻辑显示大于9999分就可以直接获得flag,so游戏佬除外)

#魔改RC4
import random
import key

def initialize(key):
    key_length = len(key)
    S = list(range(256))
    j = 0
    for i in range(256):
        j = (j + S[i] + key[i % key_length]) % 256
        S[i] = S[j]
        S[j] = S[i]
    return S

def generate_key_stream(S, length):
    i = 0
    j = 0
    key_stream = []
    for _ in range(length):
        i = (i + 1) % 256
        j = (j + S[i]) % 256
        S[i] = S[j]
        S[j] = S[i]
        key_stream.append(S[(S[i] + S[j]) % 256])
    return key_stream

def decrypt(data, key):
    S = initialize(key)
    key_stream = generate_key_stream(S, len(data))
    decrypted_data = None((lambda .0 = None: [ i ^ data[i] ^ key_stream[i] for i in .0 ])(range(len(data))))
    return decrypted_data

key_bytes = bytes((lambda .0: [ ord(char) for char in .0 ])(key.xor_key))
data = [101,97,39,125,218,172,205,3,235,195,72,125,89,130,103,213,120,227,193,67,174,71,162,248,244,12,238,92,160,203,185,155]
decrypted_data = decrypt(bytes(data), key_bytes)

在解包的PYZ-00.pyz_extracted中找一下key.pyc,有的pyinstxtractor.py得到的文件夹为空,可以换一个版本进行解决,反编译得到key

推荐几个反编译pyc的网站:

python反编译 - 在线工具 (tool.lu)

在线Python pyc文件编译与反编译

pyc反编译 - 工具匠

exp:

def rc4_decrypt(key, length):
    S = list(range(256))
    j = 0
    for i in range(256):
        j = (j + S[i] + key[i % len(key)]) % 256
        S[i], S[j] = S[j], S[i]

    i = j = 0
    text = []
    for _ in range(length):
        i = (i + 1) % 256
        j = (j + S[i]) % 256
        S[i], S[j] = S[j], S[i]
        text.append(S[(S[i] + S[j]) % 256])
    return text

key = b'V3rY_v3Ry_Ez'
data = [101, 97, 39, 125, 218, 172, 205, 3, 235, 195, 72, 125, 89, 130, 103, 213, 120, 227, 193, 67, 174, 71, 162, 248, 244, 12, 238, 92, 160, 203, 185, 155]
text = rc4_decrypt(key, len(data))
flag = ''
for i in range(len(data)):
    flag += chr(data[i] ^ text[i] ^ i)
print(flag)

得到flag{KMLTz3lT_MePUDa7A_P5LpzCBT}

HardSignin

无法运行程序,直接查壳——upx,直接使用工具脱不了,应该是被魔改了,010查看一下

使用另外一个查壳工具发现改成了vmp,修改回来(共三处UPX1,UPX2,UPX!)

使用UPX Unpacker或者指令upx -d HardSignin.exe都可以

使用ida32打开发现没有main函数

对_main进行交叉引用Upo.text:loc_401029mov dword ptr [ebp-4], offset _main,发现四个TLS回调函数,但是存在基础花指令修改一下

第一处:(右键->Patching->change byte->E2改为90->快捷键C转为汇编代码)

第二处:(右键->Patching->change byte->9A改为90->快捷键C转为汇编代码)

第二处:(右键->Patching->change byte->C2改为90->快捷键C转为汇编代码)

TlsCallback_0,TlsCallback_1,TlsCallback_2后按快捷键P转换为函数

TlsCallback_0函数存在一点问题,字节异或0x66

由于是可以运算,我们直接写exp,shift+F2打开编辑窗口,编写脚本

from ida_bytes import *
addr = 0x00401890
for i in range(170):
    patch_byte(addr + i,get_wide_byte(addr + i)^0x66)

C+P转换得到主函数main:

分析encrypt函数:

其余密文的脚本(由于XTEA加密是四字节所以64//4):

from ida_bytes import *
from idaapi import *
addr = 0x00404000
enc = []
for i in range(64//4):
    enc.append(get_dword(addr + i * 4))
print(enc)
#[3036486489, 3653154923, 3598177203, 408905200, 1396350368, 645614189, 1318861428, 3625534240, 3046501746, 1445070236, 2433841867, 213678751, 3463276874, 699118653, 845347425, 3058494644]

两个加密的key都是随机生成的,交叉索引找到TLS1和TLS2

srand(0x114514u)是mz_base64的随机种子

srand(0x1919810u)是mz_RC4和mz_XTEA的随机数种子

  1. 解密mz_XTEA:
#include<stdio.h>
#include<stdlib.h>
#include<stdint.h>
#include<string.h>

void XTEA_decrypt(uint32_t* enc, uint32_t* key);

int main() {
    uint8_t RC4_key[16] = { 0 };
    char XTEA_key[16] = { 0 };
    uint32_t enc[] = { 3036486489, 3653154923, 3598177203, 408905200, 1396350368, 645614189, 1318861428, 3625534240, 3046501746, 1445070236, 2433841867, 213678751, 3463276874, 699118653, 845347425, 3058494644 };
    srand(0x1919810u);
    for (int i = 0; ; ++i){
        if (i >= 16)
            break;
        RC4_key[i] = rand() % 255;
        XTEA_key[i] = rand() % 255;
    }
    XTEA_decrypt(enc, (uint32_t*)XTEA_key);//指针强转
    //uint8_t* temp = (uint8_t*)enc;
    for (int i = 0; i < 16; i++) {
        //printf("%d, ", temp[i]);
        printf("%d, ", RC4_key[i]);
    }
    return 0;
}
void XTEA_decrypt(uint32_t* enc, uint32_t* XTEA_key) {
    uint32_t v7, v6, v5;
    for (int i = 0; i < 16; i += 2){
        v7 = enc[i];
        v6 = enc[i + 1];
        v5 = 0x9E3779B9 * 0x64;
        for (int j = 0; j < 0x64; ++j)
        {
            v6 -= (XTEA_key[(v5 >> 11) & 3] + v5) ^ (v7 + ((v7 >> 5) ^ (16 * v7)));
            v5 -= 0x9E3779B9;
            v7 -= (XTEA_key[v5 & 3] + v5) ^ (v6 + ((v6 >> 5) ^ (16 * v6)));
        }
        enc[i] = v7;
        enc[i + 1] = v6;
    }
}

得到:188, 237, 0, 123, 134, 244, 22, 147, 149, 249, 135, 220, 103, 168, 162, 127, 77, 226, 98, 159, 123, 52, 174, 233, 69, 3, 126, 53, 66, 208, 139, 112, 240, 251, 46, 199, 221, 233, 185, 115, 227, 204, 26, 117, 173, 220, 253, 20, 168, 200, 69, 22, 49, 110, 42, 8, 44, 15, 29, 159, 7, 186, 213, 239

  1. 解密mz_RC4
def rc4_decrypt(ciphertext, key):
    S = list(range(256))
    j = 0
    for i in range(256):
        j = (j + S[i] + key[i % len(key)]) % 256
        S[i], S[j] = S[j], S[i]

    i = j = 0
    plaintext = []
    for byte in ciphertext:
        i = (i + 1) % 256
        j = (j + S[i]) % 256
        S[i], S[j] = S[j], S[i]
        k = S[(S[i] + S[j]) % 256]
        plaintext.append(byte ^ k)

    return bytes(plaintext)
enc = [188, 237, 0, 123, 134, 244, 22, 147, 149, 249, 135, 220, 103, 168, 162, 127, 77, 226, 98, 159, 123, 52, 174, 233,
       69, 3, 126, 53, 66, 208, 139, 112, 240, 251, 46, 199, 221, 233, 185, 115, 227, 204, 26, 117, 173, 220, 253, 20,
       168, 200, 69, 22, 49, 110, 42, 8, 44, 15, 29, 159, 7, 186, 213, 239]
RC4_key = [118, 137, 51, 73, 25, 19, 195, 199, 173, 216, 228, 104, 252, 72, 4, 188]

decrypted_data = rc4_decrypt(enc, RC4_key)
print(decrypted_data)
#b'C+vFCnHRGPghbmyQMXvFMRNd7fNCG8jcU+jcbnjRJTj2GTCOGUvgtOS0CTge7fNs'
  1. 解密mz_base64

求变表

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>

void swap(char* a, char* b) {
    char temp = *a;
    *a = *b;
    *b = temp;
}

int main() {
    char base64table[] = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";
    int v6, v4;
    srand(0x114514u);
    for (int i = 0; i < 100; ++i) {
        v6 = rand() % 64;
        v4 = rand() % 64;
        swap(&base64table[v6], &base64table[v4]);
    }
    printf("%s\n", base64table);
    return 0;
}
//4yZRiNP8LoK/GSA5ElWkUjXtJCz7bMYcuFfpm6+hV0rxeHIdwv32QOTnqg1BDsa9

解密:

import base64
text1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
text2 = '4yZRiNP8LoK/GSA5ElWkUjXtJCz7bMYcuFfpm6+hV0rxeHIdwv32QOTnqg1BDsa9'
enc = 'C+vFCnHRGPghbmyQMXvFMRNd7fNCG8jcU+jcbnjRJTj2GTCOGUvgtOS0CTge7fNs'

decoded_bytes = base64.b64decode(enc.translate(str.maketrans(text2, text1)))

print(decoded_bytes.decode("utf-8"))

flag{C0ngr@tulat1on!Y0u_Re_suCces3fu1Ly_Signln!}

bedtea

运行代码,无壳直接用IDA64打开,一个C++程序

main函数还是比较复杂的

逻辑:flag->魔改TEA加密->二叉树倒叙->异或0x33->enc

难点在于密文和密钥都是隐藏的,需要进行动态调试,但是动调调试会出现不正确的密文,需要修改检测动态调试的值,在此之前看一下魔改的TEA是怎么样的吧!

本地动态调试就可以,在此下断点

发现RAX寄存器为1,修改一下

去sub_401E80()函数观察xmmword_408040(TEA_key)的变化,F9运行,两个地址来回断

记录一下:0x03050D08,0x15223759,0x90E9179262

密文地址:

写脚本提取一下(为了方便起见直接倒叙加异或):

from idaapi import *
import ida_bytes
enc = []
addr = 0x0000000000405080
for i in range(24):
    enc.append(ida_bytes.get_word(addr + i * 2))
enc.reverse()
dec = [x ^ 0x33 for x in enc]
print(dec)

[211, 109, 186, 193, 54, 101, 42, 137, 120, 145, 245, 49, 250, 190, 194, 49, 144, 12, 68, 67, 212, 174, 66, 69]

exp:(本来想写个自动化脚本,但是时间成本太高了,一共加密三大轮回,替换都比解决bug快,难受)

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>

int main() {
    uint8_t enc[] = { 211, 109, 186, 193, 54, 101, 42, 137 };
                    //{ 120, 145, 245, 49, 250, 190, 194, 49 }
                    //{ 144, 12, 68, 67, 212, 174, 66, 69}
    uint32_t* denc = (uint32_t*)enc;
    uint32_t v15 = denc[0];
    uint32_t v13 = denc[1];
    uint32_t v14 = 0x9E3449B8 * 22;
    //key1[] = {0x03, 0x05, 0x0D, 0x08}
    //key2[] = {0x15, 0x22, 0x37, 0x59}
    //key3[] = {0x90, 0xE9, 0x179, 0x262};
    for (int i = 0; i < 22; i++) {
        v13 -= (v14 + v15) ^ (0x0D + (v15 >> 4)) ^ (0x08 + 32 * v15);
        v15 -= (v14 + v13) ^ (0x05 + (v13 >> 4)) ^ (0x03 + 32 * v13);
        v14 -= 0x9E3449B8;
    }
    denc[0] = v15;
    denc[1] = v13;
    printf("%s\n", enc);
    return 0;
}

得到:

flag{y0ux戸1??DC援BE烫烫嚈`榾

_reallyl烫烫?騡待?

1ke_te@}烫烫獞胇X鷞

手动拼接:flag{y0u_reallyl1ke_te@}(flag{y0ux_reallyl1ke_te@}不对一下就知道了,在提交答案时还设置了坑)

w1hake2
关注
  • 27
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL SERVER Reverse函数使用技巧
二月十六的博客
07-06 1万+
       Reverse函数,是SQL SERVER是一个函数,主要是用来实现字符串倒置的一个功能,可以把字符串里各个字符的顺序倒过来,看下这个例子:DECLARE @str NVARCHAR(1000) SET @str='ABCD' SELECT @str       结果是:       我们应用Reverse之后的效果:DECLARE @str NVARCHAR(1000) SET @...
REVERSE关键字之REVERSE函数
bisal的专栏
09-25 6040
昨天说到@dbsnake讲的一个reverse函数索引避免全表扫描的案例,REVERSE关键字可以用于函数和索引。REVERSE函数和REVERSE索引。这次先试试REVERSE函数。 SQL> select reverse('12345') from dual; REVER ----- 54321 REVERSE函数是将数字的顺序逆序打印。 SQL> select rev
c语言reverse怎么起作用,reverse的用法
weixin_29021195的博客
05-16 9659
c++ 中reverse函数用法如string ss("hello"); reverse()的参数是什么才能只反转ello,即变成horeverse 函数的作用是 反转元素的顺序。 函数定义如下: template void reverse( BidirectionalIterator _First, BidirectionalIterator _Last ); 参数 _First 指向第一个元素...
BUUCTF reverse题解汇总
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-31 7715
BUUCTF平台刷题过程中做的一些逆向题解的总结归类
i春秋网鼎杯网络安全大赛Beijing题目writeup
iqiqiya的博客
08-20 6278
题目信息: 下载链接:https://pan.baidu.com/s/1jZ36MzyiHsILxkJ0LwsOXg 密码: 37k3   IDA载入 发现函数很少 也没有啥可以字符串  那就直分析 先看main函数   可以直接F5变成c伪代码 双击任意dword_804Axxx 接着向下翻到dword_段   最后得到顺序6 9 0 1 10 0 8 0 11 2 ...
java vector reverse,倒置函数reverse的用法
weixin_42531163的博客
03-13 2812
倒置字符串函数reverse:用于倒置字符串s中的各个字符的位置,如原来字符串中如果初始值为123456,则通过reverse函数可将其倒置为654321,程序如下:#include#includevoid reverse(char s[]){int c,j,i;for(i=0,j=strlen(s)-1;i{c=s[i];s[i]=s[j];s[j]=c;}}main()//主函数,用于测试r...
[XCTF-Reverse] 入门1-6
weixin_52640415的博客
03-15 5312
被封在小区了,本上安不了虚拟机。只能先整整不用虚拟机的了。reverse跟pwn有不少相通之处,都是看代码,这个比较容易跨界。 先从入门学起。 1,HackYou CTF_open-source 这个直接给了一个c程序,运行需要3个参数:第1个是0xcafe;第2个%5!=3且%17==8;第3个是指定串。然后这样拼起来就是flag unsigned int hash = first * 31337 + (second % 17) * 11 + strlen(argv[3]) - 16158102
java reverse 怎么实现,java实现reverse字符串
weixin_39540704的博客
03-20 2791
Java中reverse()的用法reverse()方法表示的是将一个输入流倒叙输出。 举例: StringBuffer sb =new StringBuffer("abcd"); System.out.println(sb.reverse().toString()); 输出结果:dcba; 备注:此方法针对的是io流,不能针对字符串。java reverse的方法public String re...
CTF逆向(Reverse)知识点总结
ZXW_NUDT的博客
07-08 2680
CTF逆向(Reverse)知识点总结
REVERSE关键字之REVERSE索引
bisal的专栏
09-26 6227
昨天说到REVERSE关键字可以指REVERSE函数和REVERSE索引,简单介绍了下REVERSE函数的含义,今天简单整理下REVERSE索引。 REVERSE索引也是一种B树索引,但它物理上将按照列顺序保存的每个索引键值进行了反转。例如, A reverse key index is a type of B-tree index that physically revers
第二讲代码和实验.zip_imagine41i_od_reverse engineering
09-24
在本课程的第二讲中,我们探讨的主题是“代码和实验”,主要集中在逆向工程(Reverse Engineering)和缓冲区溢出(Buffer Overflow)这两个关键的IT安全领域。逆向工程是一种技术,允许我们分析已编译的软件,理解其...
C++ reverse介绍及使用
10-09
在C++编程语言中,`std::reverse`函数是一个非常实用的工具,它允许程序员轻松地反转各种序列,包括字符串和数组。这个函数是C++标准库中的成员,位于`<algorithm>`头文件中。本篇文章将深入探讨`std::reverse`函数...
Scroll Reverse
12-09
标题“Scroll Reverse”所指的是一个针对MacOS操作系统的应用程序,它的主要功能是解决用户在使用鼠标滚轮或触控板滚动时感到不便的问题。在MacOS系统中,默认情况下,滚轮向上滚动会向下移动页面,这与许多Windows...
什么是reverse常见的reverse有哪些
05-19
### 什么是“reverse”及其常见应用 “Reverse”一词来源于英语,其基本含义是“反转”或“颠倒”,即改变某个事物原有的排列顺序、方向等。在信息技术领域,“reverse”的应用场景非常广泛,涵盖了软件开发、数据...
linklist-reverse.rar_linklist reverse
09-24
在本程序"linklist-reverse.rar_linklist reverse"中,主要涉及了链表的创建以及链表元素的逆序显示两个关键知识点。下面将详细阐述这两个概念及其在实际编程中的应用。 首先,我们来了解链表的基本概念。链表不同...
安全:企业上云后不可忽视的安全挑战与解决方案
A526847的博客
08-14 314
企业上云是数字化转型的必然趋势,但云安全风险也如影随形。企业必须正视云安全挑战,采取切实有效的措施来保障云安全。通过数据加密、访问控制、安全审计、备份与恢复、灾备管理、选择可信的云服务供应商和加强内部安全管理等手段,企业可以构建完善的云安全体系,确保云服务的可靠性和安全性。在未来的数字化转型中,云安全将成为企业不可或缺的重要保障。
vue框架的安全设计
BinParker的博客
08-10 183
使用 Vue 时最基本的安全规则就是不要将无法信赖的内容作为你的组件模板。使用无法信赖的模板相当于允许任意的 JavaScript 在你的应用中执行。更糟糕的是,如果在服务端渲染时执行了这些代码,可能会导致服务器被攻击
等保2.0时代,企业如何平衡安全与发展
最新发布
waitaikong_的博客
08-14 212
此外,等保2.0还强化了安全管理的要求,企业需要建立完善的安全管理体系,包括安全策略、管理制度、人员培训、应急预案等,以确保安全保护措施的有效实施。等保2.0(网络安全等级保护2.0)是中国网络安全领域的重要标准,它在原有等保1.0的基础上进行了全面升级,以适应云计算、大数据、物联网、移动互联网等新兴技术的安全保护需求。等保2.0的实施促使企业加强网络安全管理和技术防范措施,这不仅有助于提升企业的网络安全防护水平,降低安全风险,还能提高企业的竞争力和信誉度。
安全无忧!Windows7全补丁旗舰版:集成所有补丁!
lihuiyun184291的博客
08-13 372
今日,系统之家小编给大家分享集成所有补丁的Windows7旗舰版系统,集成至2023.12所有官方补丁,修复了系统高危漏洞,让大家时刻都能舒心地展开操作。系统基于微软 Windows 7 2009 SP1 旗舰版进行离线制作,全新升级的优化方案,系统性能更好,运作更加流畅,且系统安装步骤简单易懂,支持硬盘安装。
lambda reverse
03-17
lambda reverse是一个匿名函数,用于反转字符串或列表。它lambda表达式来定义函数,并通过调用该函数来实现反转操作。以下是lambda reverse的示例代码: 1. 反字符串: ```python reverse_str = lambda s: s[::-1] print(reverse_str("Hello")) # 输出:olleH ``` 2. 反转列表: ```python reverse_list = lambda lst: lst[::-1] print(reverse_list([1, 2, 3, 4])) # 输出:[4, 3, 2, 1] ``` lambda reverse使用切片操作符[::-1]来实现反转,它会返回一个新的反转后的字符串或列表。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值