VCTF纳新赛reverse算法解析

最新推荐文章于 2024-07-08 22:12:26 发布
最新推荐文章于 2024-07-08 22:12:26 发布
阅读量1.7k 收藏 37
点赞数 46
文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_81097378/article/details/136787074
版权

题目概况

本次题目是来自VCTF纳新赛的题目

链接
https://ctf.venomsec.com/#/indexicon-default.png?t=N7T8https://ctf.venomsec.com/#/index本次的文案是以reverse方向为主的,所以就在这两个题目上下手

先来看第一个题目

ezre

先进行查壳操作,可以看到是64位的

打开前的准备

用ida打开文件之后,进入以下界面

同样的,按F5进入mian函数界面

点击mian进入主函数,得到以下代码

代码如下:

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  size_t v3; // rax
  const char *v4; // rax
  size_t v6; // [rsp+8h] [rbp-8h]

  __isoc99_scanf("%21s", byte_41E0);
  v6 = strlen(byte_41E0);
  v3 = strlen(aThi51sKey);
  sub_1492(&unk_4160, aThi51sKey, v3);
  sub_16B3(&unk_4160, byte_41E0, v6);
  v4 = (const char *)sub_1249(byte_41E0, (unsigned int)v6);
  if ( !strcmp(s1, v4) )
    puts("success!");
  else
    puts("fail!");
  return 0LL;
}

代码分析

大致思路

首先,在代码的最开头,我们通过伪C代码的分析可以知道:

第7行先进行代码的输入(最多能输入21个字符),将这段字符的位置传给byte_41E0的位置

第8行和第9行分别计算两个位置所带的字符串的长度

第10行到第12行对上面的两个位置以及unk_4160进行某些操作

现在的主要思路就是在第10到第12行的位置的分许中来进行

内部函数的分析

第10行

点击进去进行分析

代码如下:

unsigned __int64 __fastcall sub_1492(__int64 a1, __int64 a2, unsigned __int64 a3)
{
  __int64 v3; // kr00_8
  char v5; // [rsp+27h] [rbp-99h]
  int i; // [rsp+28h] [rbp-98h]
  int j; // [rsp+28h] [rbp-98h]
  int v8; // [rsp+2Ch] [rbp-94h]
  __int64 v9[17]; // [rsp+30h] [rbp-90h] BYREF
  unsigned __int64 v10; // [rsp+B8h] [rbp-8h]

  v10 = __readfsqword(0x28u);
  v8 = 0;
  memset(v9, 0, 128);
  for ( i = 0; i <= 127; ++i )
  {
    *(_BYTE *)(i + a1) = i;
    *((_BYTE *)v9 + i) = *(_BYTE *)(i % a3 + a2);
  }
  for ( j = 0; j <= 127; ++j )
  {
    v3 = v8 + *(unsigned __int8 *)(j + a1) + *((char *)v9 + j);
    v8 = (((HIDWORD(v3) >> 25) + (_BYTE)v8 + *(_BYTE *)(j + a1) + *((_BYTE *)v9 + j)) & 0x7F) - (HIDWORD(v3) >> 25);
    v5 = *(_BYTE *)(j + a1);
    *(_BYTE *)(j + a1) = *(_BYTE *)(v8 + a1);
    *(_BYTE *)(a1 + v8) = v5;
  }
  return v10 - __readfsqword(0x28u);
}

我们主要来考虑一下for循环的问题

第一个for循环的代码逻辑

首先它将0到127位置上的值都变为了i(一一对应的,第i个位置就是i)

也就可以理解为将这些值初始化的一个操作

紧接着,从a2取地址值将位置进行操作传给v9   

a3是从main函数里面传输进去的

要注意的是,这里的a2不是字符,是a2的地址a3是mian函数里面的字符串长度

同样的,看到i%a3的计算,我们不难看出

for ( i = 0; i <= 127; ++i )
  {
    *(_BYTE *)(i + a1) = i;
    *((_BYTE *)v9 + i) = *(_BYTE *)(i % a3 + a2);
  }

这里的rc4加密算法的模已经被更改了

(正常的rc4的模为256,而这里为128,更改过后的要注意变化)

总体来说,分为了以下几步:

进入加密算法函数看加密的过程进行分析

base64加密过程

点进去base64加密过程的函数中,我们可以看到这样的一串

这是一个base64算法的加密过程

点击下面的a123456789xyza进去,我们可以得到这样的一串字符串

这就是经过更改的表

注意:这一串字符串并不是原本的base64解码的表格

原本的表格是这样的

由此可知,我们的数表在这里进行了更改

对该代码进行base64解码

在线工具推荐使用赛博厨子 网址

From Base64, To Hex - CyberCheficon-default.png?t=N7T8https://cyberchef.org/#recipe=From_Base64('0123456789XYZabcdefghijklABCDEFGHIJKLMNOPQRSTUVWmnopqrstuvwxyz%2B/%3D',true,false)To_Hex('0x%20with%20comma',0)&input=M3BuMUVrOTJobUFFZzM4RVhNbjk5SjlZQmY4PQ截图如下:

获得的结果:

0x0f,0x3c,0x41,0x75,0x72,
0x42,0x53,0x06,0x5d,0x4c,
0x32,0x1d,0x2a,0x5c,0x49,
0x26,0x22,0x4b,0x69,0x22

如果不嫌麻烦,可以自行创建一个脚本进行解码操作,不过进行的步骤有点复杂,我之后会来开一期进行讲解

将上述的地址的字符进行输出,代码如下:

#include <stdio.h>
#include <string.h>

int main()
{
    char a[] = {0x0f, 0x3c, 0x41, 0x75, 0x72, 0x42, 0x53, 0x06, 0x5d, 0x4c, 0x32, 0x1d, 0x2a, 0x5c, 0x49, 0x26, 0x22, 0x4b, 0x69, 0x22};
    
    for (int i = 0; i < sizeof(a)/sizeof(a[0]); i++) {
        printf("%c", a[i]);
    }

    return 0;
}

输出结果如下:

<AurBS]L2*\I&"Ki"

不过官方的wp的解答的情况是这样的

\x0f<AurBS\x06]L2\x1d*\\I&"Ki"

那就以官方的为准

同时,进行rc4的算法解密

import base64
import string

def rc4_init(s,key,length):
	k = []
	for i in range(128):
		k.append('0')
	for i in range(128):
		s[i] = i
		k[i] = key[i%length]
	j = 0
	for i in range(128):
		j = (j+s[i]+ord(k[i]))%128
		#print j
		tmp = s[i]
		s[i] = s[j]
		s[j] = tmp


def rc4_crypt(s,data,length):
	i = 0
	j = 0
	data1 = ''
	for k in range(length):
		i = (i+1)%128
		j = (j+s[i])%128
		tmp = s[i]
		s[i] = s[j]
		s[j] = tmp
		t = (s[i]+s[j])%128
		data1 += chr(data[k]^s[t])
	return data1


str1 = "3pn1Ek92hmAEg38EXMn99J9YBf8="

string1 = "0123456789XYZabcdefghijklABCDEFGHIJKLMNOPQRSTUVWmnopqrstuvwxyz+/="
string2 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/="

data = base64.b64decode(str1.translate(str.maketrans(string1,string2)))
print(data)
key = "Thi5_1S_key?"
s = []
for i in range(128):
	s.append(0)
rc4_init(s,key,len(key))
data1 = rc4_crypt(s,data,len(data))
print(data1)
#
\x0f<AurBS\x06]L2\x1d*\\I&"Ki"'
flag{Simple_rEvErse}

flag{Simple_rEvErse}

「已注销」
关注
  • 46
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
VCTF复现
m0_73725283的博客
03-20 657
然后跟进sub_1249函数看一下,可以发现是一个base64编码(如果不知道的话可以扔给chatGPT让它帮忙分析,也可以得到是base64编码)所以我们先进行base64解码,我直接在线网站解码,不行,这应该不是常规的base64编码,应该换表了,我们跟进base64编码代码看一下。这也意味着m-n是key的倍数,我们试一下分解m-n(尝试了一下暴力,数据太大跑不出来)这道题好神奇,没见过这种,主要考的点居然是位数差异的问题,其实很简单,但是好难想到啊。然后再进行解码(可以拿脚本,或者在线网站都行)
2024年VCTF纳新 crypto 狂飙
dreamwang12的博客
03-16 765
2024年VCTF纳新 crypto 狂飙 自己记记玩玩
2024 第一届VCTF纳新-Misc-f0rensicmaster
2401_84466361的博客
06-16 767
题目描述下载并查看附件使用R-STUDIO打开镜像文件打开分区1导出文件并查看将获得的logo.png进行压缩,比较CRC值存在明文攻击使用ARCHPR进行明文攻击查看key文件存在恢复密钥输入密钥到加密分区点击ROOT发现flag.txt导出查看尝试十六进制解码一眼摩斯密码摩斯密码解密复制到浏览器打开下载该文件并查看发现是乱码。
2024 第一届VCTF 纳新 Web方向 题解WP
Jay17的博客
03-17 1269
2024 第一届VCTF 纳新 Web方向 题解WP
VCTF纳新[狂飙]--crypto
ljc13626678577的博客
03-18 623
ctf密码学,对称加密AES里面cbc模式的题,还原key的值
[VCTF2024纳新]-Reverse:ezre解析(变异rc4,换表base64)
2301_79326813的博客
03-20 232
查壳查看ida。
[VCTF2024纳新]-PWN:ezhp_code解析
2301_79326813的博客
03-17 276
查看保护查看ida简单来说就是创建堆块和删除堆块而已,创建堆块的函数附带有写入函数。但这里要注意一个程序里面的特殊的地方在我们创建堆块时,程序会先创建一个0xa0大小堆块,并且这个地方还有个特殊的check_handle函数,如果在这个堆块地址+40的地方如果有函数地址,就会跳转执行。并且创建堆块使用的时malloc,释放堆块也并没有清空堆块内容,所以我们可以加以利用。
VCTF题解
2301_80096119的博客
03-21 348
RC4一个字节一个字节地加解密。给定一个密钥,伪随机数生成器接受密钥并产生一个S盒。1:S-Box 也就是所谓的S盒,是一个256长度的char型数组,每个单元都是一个字节,算法运行的任何时候,S都包括0-255的8比特数的排列组合,只不过值的位置发生了变换。如果密钥的长度是256字节,就直接把密钥的值赋给k,否则,轮转地将密钥的每个字节赋给k。2:密钥K char key[256] 密钥的长度keylen与明文长度、密钥流的长度没有必然关系。这里直接看到就是一个rc4的128位,分析应该上面的。
VCTF-WP(re)
m0_75243362的博客
03-21 674
​ 1.先查一手壳,64位无壳​ 2.找到主函数一顿分析发现有爆红跟进一下,然后让ida重新分析一手(选中红色部分按p)​ 3.重新分析之后这块儿参数都没了,不知道是不是ida的问题,然后跟进sub_1248函数瞅一眼,应该是base64编码,然后最后码表从s中取​ 4.回头瞅了一眼密文最后有个等号,确定应该就是base64,然后直接用在线平台自定义base64解出来,得到一串看不见的字符,一直怀疑是不是哪儿搞错了,然后怀着怀疑的态度,接着往上逆回去。
欧姆龙小型限位开关 D4C.pdf
09-25
欧姆龙小型限位开关 D4Cpdf,欧姆龙小型限位开关 D4C:超小·超薄·高度密封性的小型限位开关,已通过EN(TüV)、UL、CSA、CCC规格认证。...)VCTF耐油软线型及预制线型为CE标记对应产品。(但仅适用于标准型)
欧姆龙PLC可编程控制器CPM2C-S1□0C-DRT.pdf
09-18
连接支持VCTF、简单分支的扁平电缆。RS-232C通信,可连接BCR、PT等,在从站侧处理数据可减轻主站的负担。扩展单元(最大3个单元)。在分支块中可通过1节点实现。多点时,会因减少了通信部而降低成本。
【代码随想录_Day27】509 斐波那契数 70 爬楼梯 746 使用最小花费爬楼梯
最新发布
qq_43671872的博客
07-08 611
509 斐波那契数70 爬楼梯746 使用最小花费爬楼梯今天的题目难度不低,尽量还是写一些简洁代码 ^ _ ^
算法力扣刷题 三十一【150. 逆波兰表达式求值】
danaaaa的博客
07-04 671
后缀表示法。
【力扣】数组中的第K个最大元素
m0_61876562的博客
07-05 267
l, left](该部分小于基准元素key)、[left + 1, right - 1](等于基准元素key)、[right, r](大于基准元素key)。3、计算每部分所包含的元素个数,分别为a 、b = right - left - 1、 c = r - right + 1;请注意,你需要找的是数组排序后的第。你必须设计并实现时间复杂度为。个最大的元素,而不是第。1、随机选择基准元素。
算法】插入排序
贱贱的剑
07-03 1008
介绍了两种不同的插入排序算法,以及效率对比
LSH算法:高效相似性搜索的原理与Python实现II
uncle_ll的博客
07-02 929
lsh基于随机平面的实现
秋招力扣刷题——从前序与中序遍历序列构造二叉树
qq_50604294的博客
07-04 211
给定两个整数数组 preorder 和 inorder ,其中 preorder 是二叉树的先序遍历, inorder 是同一棵树的中序遍历,请构造二叉树并返回其根节点。:两种代码的结束条件以及分割的右区间处理方式不同,后者更容易理解一点。
详解反向传播(BP)算法
PiggyRuns的博客
07-02 1223
一文详解反向传播算法公式推导以及pytorch实现
Python基于卷积神经网络分类模型(CNN分类算法)实现时装类别识别项目实战
胖哥真不错的博客
07-03 1041
Python基于卷积神经网络分类模型(CNN分类算法)实现时装类别识别项目实战

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值