第七届强网杯强网先锋ezre

已于 2023-12-21 00:04:29 修改
阅读量427 收藏 5
点赞数 9
文章标签: python 开发语言
于 2023-12-20 17:31:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_79822944/article/details/135113662
版权

首先进入后发现是控制流平坦化,所以先用D-810去混淆,然后发现它有个main函数,我们进去看。

从上往下一步步分析,

 

2002889d3a93837d720c2cc5edec7264.png

s是我们的输入,v16和v3都是长度。

然后进入第一个函数sub_401980。发现像是一段加密函数,用插件查找加密特征,发现base64的编码,可以确定这是base64加密函数,但是现在只能确定的是表是变的。找到base表,

 

5c0d97f375c7c4cb111b497f0c7cdd89.png

IDA分析不准确,选中按A。

 

3f5e582a9921e21743a4e0ce94e45db5.png

现在的base表十分清晰可观。

回去接着分析,那么v11就是加密后的input,然后下面有一个4次的for循环

 

7dd10b26c373faa1c422fdb92330e28c.png

看见srand函数,然后进入sub_401D10查看

 

154aa4abcef440c381021f8457b38e3c.png

简单分析发现是对base表的变表操作。

再往下是一个if判断,和1进行与运算,就是判断奇偶,奇数进入if,偶数进入else。

if是之前的base加密,然后进入else的函数看一下。

简单看了下发现是根据索引再根据base表赋值,大概就可以看出是个base的解码函数,但是由于base表一直在变,所以这一步解密也是加密操作。

最下面有个很奇怪的判断。

 

4dfcab4ce7d81c32bacaa9ade4e7d232.png

查看if里变量的调用,找到在这个函数赋值

 

9c1bc0daf5ca60071e19799364255eef.png

这个函数的作用是根据是否处于动调进行操作,很明显,如果我们动调,dword_4062c0就会被赋值1,那么就会进入这个if判断。

所以正常情况下运行我们因该进入的是else段。

再往下又是一个函数sub_401EB0

进入查看

 

eb0d00d2b8117f3a079fe757468a7439.png

因为是根据%来进行操作,所以我们最好的选择是用z3进行求解。

出来再往下看,发现已经到字符判断,也就是最后了。

总结一下来看,我们需要再静态下拿到最后的对照字符表来作为密文解密,第一步是根据密文运用z3来暴力破解最后的一个加密,然后再根据4次循环的奇数偶数来进行base解加密,最后再来一次base解密即可。

z3暴力求解脚本

from z3.z3 import *
s=Solver()
table=[0x3A, 0x2C, 0x4B, 0x51, 0x68, 0x46, 0x59, 0x63, 0x24, 0x04, 0x5E, 0x5F, 0x00, 0x0C, 0x2B, 0x03, 0x29, 0x5C, 0x74, 0x70, 0x6A, 0x62, 0x7F, 0x3D, 0x2C, 0x4E, 0x6F, 0x13, 0x06, 0x0D, 0x06, 0x0C, 0x4D, 0x56, 0x0F, 0x28, 0x4D, 0x51, 0x76, 0x70, 0x2B, 0x05, 0x51, 0x68, 0x48, 0x55, 0x24, 0x19]
key=[0x53, 0x46, 0x4E, 0x72, 0x49, 0x42, 0x6D, 0x6E, 0x4F, 0x4C, 0x10, 0x56, 0x74, 0x7E, 0x62, 0x4D,
    0x63, 0x16, 0x6C, 0x4A, 0x1E]
cmp=[BitVec('%d' % i, 8) for i in range(48)]
j=2023
i=0
for i in range(47):
    if i%3==1:
        j = (j + 5) % 20;
        ckey = key[j + 1];
    elif i%3==2:
        j = (j + 7) % 19;
        ckey = key[j + 2];
    else:
        j = (j + 3) % 17;
        ckey = key[j + 3];
    cmp[i]^=ckey
    cmp[i+1]^=cmp[i];
for i in range(48):
    s.add(cmp[i]==table[i])

if s.check():
    m=s.model()
    cmp = [BitVec("%d" % i, 8) for i in range(48)]
    res=[]
    for i in range(48):
        print(m[i])
        res.append(m[cmp[i]])
        print(res)
    print("".join([chr(i)for i in res]))

然后是因为动调干扰的是最后的对照表,所以我们还是可以通过动调来拿到五张base表。

"l+USN4J5Rfj0TaVOcnzXiPGZIBpoAExuQtHyKD692hwmqe7/Mgk8v1sdCW3bYFLr";

"FGseVD3ibtHWR1czhLnUfJK6SEZ2OyPAIpQoqgY0w49u+7rad5CxljMXvNTBkm/8";

"Hc0xwuZmy3DpQnSgj2LhUtrlVvNYks+BX/MOoETaKqR4eb9WF8ICGzf6id1P75JA";

"pnHQwlAveo4DhGg1jE3SsIqJ2mrzxCiNb+Mf0YVd5L8c97/WkOTtuKFZyRBUPX6a";

"plxXOZtaiUneJIhk7qSYEjD1Km94o0FTu52VQgNL3vCBH8zsA/b+dycGPRMwWfr6";

这里是用的网上的C语言base64脚本修改来写,我一般不喜欢用库,因为怕魔改加密。

#include<stdio.h>
#include<string.h>
#include<stdlib.h>

unsigned char* base64_encode(const char* str0, unsigned char base64_map[64])
{
    unsigned char* str = (unsigned char*)str0;	//转为unsigned char无符号,移位操作时可以防止错误
    //数组形式,方便修改
    long len;				//base64处理后的字符串长度
    long str_len;			//源字符串长度
    long flag;				//用于标识模3后的余数
    unsigned char* res;		//返回的字符串
    str_len = strlen((const char*)str);
    switch (str_len % 3)	//判断模3的余数
    {
        case 0:flag = 0; len = str_len / 3 * 4; break;
        case 1:flag = 1; len = (str_len / 3 + 1) * 4; break;
        case 2:flag = 2; len = (str_len / 3 + 1) * 4; break;
    }
    res = (unsigned char*)malloc(sizeof(unsigned char) * len + 1);
    for (int i = 0, j = 0; j < str_len - flag; j += 3, i += 4)//先处理整除部分
    {
        //注意&运算和位移运算的优先级,是先位移后与或非
        res[i] = base64_map[str[j] >> 2];
        res[i + 1] = base64_map[(str[j] & 0x3) << 4 | str[j + 1] >> 4];
        res[i + 2] = base64_map[(str[j + 1] & 0xf) << 2 | (str[j + 2] >> 6)];
        res[i + 3] = base64_map[str[j + 2] & 0x3f];
    }
    //不满足被三整除时,要矫正
    switch (flag)
    {
        case 0:break;	//满足时直接退出
        case 1:res[len - 4] = base64_map[str[str_len - 1] >> 2];	//只剩一个字符时,右移两位得到高六位
            res[len - 3] = base64_map[(str[str_len - 1] & 0x3) << 4];//获得低二位再右移四位,自动补0
            res[len - 2] = res[len - 1] = '='; break;				//最后两个补=
        case 2:
            res[len - 4] = base64_map[str[str_len - 2] >> 2];				//剩两个字符时,右移两位得高六位
            res[len - 3] = base64_map[(str[str_len - 2] & 0x3) << 4 | str[str_len - 1] >> 4];	//第一个字符低二位和第二个字符高四位
            res[len - 2] = base64_map[(str[str_len - 1] & 0xf) << 2];	//第二个字符低四位,左移两位自动补0
            res[len - 1] = '=';											//最后一个补=
            break;
    }
    res[len] = '\0';	//补上字符串结束标识
    return res;
}
unsigned char findPos(const unsigned char* base64_map, unsigned char c)//查找下标所在位置
{
    for (int i = 0; i < strlen((const char*)base64_map); i++)
    {
        if (base64_map[i] == c)
            return i;
    }
}
unsigned char* base64_decode(const char* code0, unsigned char base64_map[64])
{
    unsigned char* code = (unsigned char*)code0;

    long len, str_len, flag = 0;
    unsigned char* res;
    len = strlen((const char*)code);
    if (code[len - 1] == '=')
    {
        if (code[len - 2] == '=')
        {
            flag = 1;
            str_len = len / 4 * 3 - 2;
        }

        else
        {
            flag = 2;
            str_len = len / 4 * 3 - 1;
        }

    }
    else
        str_len = len / 4 * 3;
    res = (unsigned char*)malloc(sizeof(unsigned char) * str_len + 1);
    for (int i = 0, j = 0; j < str_len - flag; j += 3, i += 4)
    {
        unsigned char a[4];
        a[0] = findPos(base64_map, code[i]);		//code[]每一个字符对应base64表中的位置,用位置值反推原始数据值
        a[1] = findPos(base64_map, code[i + 1]);
        a[2] = findPos(base64_map, code[i + 2]);
        a[3] = findPos(base64_map, code[i + 3]);
        res[j] = a[0] << 2 | a[1] >> 4;		//取出第一个字符对应base64表的十进制数的前6位与第二个字符对应base64表的十进制数的后2位进行组合  
        res[j + 1] = a[1] << 4 | a[2] >> 2;	//取出第二个字符对应base64表的十进制数的后4位与第三个字符对应bas464表的十进制数的后4位进行组合  
        res[j + 2] = a[2] << 6 | a[3];	   //取出第三个字符对应base64表的十进制数的后2位与第4个字符进行组合 
    }

    switch (flag)
    {
            char a[1024];
        case 0:break;
        case 1:
            {
                a[0] = findPos(base64_map, code[len - 4]);
                a[1] = findPos(base64_map, code[len - 3]);
                res[str_len - 1] = a[0] << 2 | a[1] >> 4;
                break;
            }
        case 2: {
            a[0] = findPos(base64_map, code[len - 4]);
            a[1] = findPos(base64_map, code[len - 3]);
            a[2] = findPos(base64_map, code[len - 2]);
            res[str_len - 2] = a[0] << 2 | a[1] >> 4;
            res[str_len - 1] = a[1] << 4 | a[2] >> 2;
            break;
        }
    }
    res[str_len] = '\0';
    return res;
}

int main()
{
    int i;
    //测试数据 hello
    //aGVsbG8=
    //aGVsbG82
    //aGVsbG==
    /*char str[100];
	int flag;
	printf("请选择功能:\n");
	printf("1.base64加密\n");
	printf("2.base64解密\n");
	scanf("%d", &flag);
	printf("请输入字符串:\n");
	scanf("%s", str);
	if (flag == 1)
		printf("加密后的字符串是:%s", base64_encode(str));
	else
		printf("解密后的字符串是:%s", base64_decode(str));*/
    char str[] = { 0x3A, 0x2C, 0x4B, 0x51, 0x68, 0x46, 0x59, 0x63, 0x24, 0x04, 0x5E, 0x5F, 0x00, 0x0C, 0x2B, 0x03,
                  0x29, 0x5C, 0x74, 0x70, 0x6A, 0x62, 0x7F, 0x3D, 0x2C, 0x4E, 0x6F, 0x13, 0x06, 0x0D, 0x06, 0x0C,
                  0x4D, 0x56, 0x0F, 0x28, 0x4D, 0x51, 0x76, 0x70, 0x2B, 0x05, 0x51, 0x68, 0x48, 0x55, 0x24, 0x19 };
    char str2[] = "WZqSWcUtWBLlOriEfcajWBSRstLlkEfFWR7j/R7dMCDGnp==";
    char base1[] = "l+USN4J5Rfj0TaVOcnzXiPGZIBpoAExuQtHyKD692hwmqe7/Mgk8v1sdCW3bYFLr";
    char base2[] = "FGseVD3ibtHWR1czhLnUfJK6SEZ2OyPAIpQoqgY0w49u+7rad5CxljMXvNTBkm/8";
    char base3[] = "Hc0xwuZmy3DpQnSgj2LhUtrlVvNYks+BX/MOoETaKqR4eb9WF8ICGzf6id1P75JA";
    char base4[] = "pnHQwlAveo4DhGg1jE3SsIqJ2mrzxCiNb+Mf0YVd5L8c97/WkOTtuKFZyRBUPX6a";
    char base5[] = "plxXOZtaiUneJIhk7qSYEjD1Km94o0FTu52VQgNL3vCBH8zsA/b+dycGPRMwWfr6";
    char base6[21] = {0};
    int j = 0;
    /*for (i =6; i <27; i++)
	{
		base6[j] = base5[i] ^ 0x27;
		printf("0x%x,", base6[j]);
		j++;
	}*///char key[] = { 0x53,0x46,0x4e,0x72,0x49,0x42,0x6d,0x6e,0x4f,0x4c,0x10,0x56,0x74,0x7e,0x62,0x4d,0x63,0x16,0x6c,0x4a,0x1e };
    char* stt = base64_decode(str2,base5);;
    char* srr = base64_encode(stt, base4);
    stt = base64_decode(srr, base3);
    srr = base64_encode(stt, base2);
    stt = base64_decode(srr, base1);
    printf("%s", stt);
    return 0;
}

最后,不知道为什么我的flag少一个括号,可能脚本还有点缺陷,但也已经大差不差了。

 

嗒了啦
关注
  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【天格】战队-未解出题目附件-第六届“强网杯”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网杯”全国网络安全挑战赛中分享了多个未解出的题目附件,这些附件涵盖了网络安全领域的多个子领域,包括逆向工程、漏洞利用(PWN)、密码学(Crypto)以及杂项(Misc)。通过分析这些文件...
2019 第三届强网杯线上赛.zip
12-17
强网杯
强网杯 WriteUp By Nu1L
08-02
2022年第六届“强网杯”全国网络安全挑战赛
【天格】战队-已解出题目附件-第六届“强网杯”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网杯”全国网络安全挑战赛中展现出卓越的技能和深入的理解,这是一场集技术、策略与团队协作于一体的顶级赛事。挑战赛中的解题附件揭示了网络安全领域的多个关键知识点,涵盖了逆向工程、...
强网杯2022 pwn 赛题解析.docx
12-18
强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
cv2读取和保存图片
m0_53291740的博客
07-12 43
cv2.imwrite('b\\img1.png',img)#b存在就可以保存进去。如果b存在,c不存在,程序不会报错,也不会保存图片。如果目录b不存在就会存到当前文件夹。
java集合工具类
hejiefeng111的博客
07-12 202
【代码】java集合工具类。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 477
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
小明的Java问道之路
07-08 2105
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
一键安装ros及出现问题的解决方案
m0_58173801的博客
07-10 538
catkin_make时出现报错如下。
java占位符替换五种方式
weixin_61478518的博客
07-08 498
在业务开发中,经常需要输出文本串。其中,部分场景下大部分文本内容是一样的,只有少部分点是不一样。简单做法是直接拼接字段,但是这会有个问题。后面如果想要修改内容,那么每个地方都要修改,这不符合设计模式中的开闭原则,面向应该对扩展开放,对修改关闭。如何解决这个问题?先来看现实生活中的例子,个人信息填写。一般会要填写表格,已经定义好了姓名,性别,年龄等字段,只要填写对应的个人信息就好了。在程序开发中,我们会预先定义好一个字符串模板,需要改动的点使用占位符。
守望数据边界:sklearn中的离群点检测技术
2401_85742452的博客
07-08 751
本文的目的是帮助读者更好地理解离群点检测,并掌握在sklearn中实现这些技术的方法。通过本文,我们了解到了sklearn中不同的离群点检测技术,并提供了实际的代码示例。Isolation Forest是一种基于随机森林的离群点检测方法,它通过随机选择特征和切分点来“孤立”离群点。在实际应用中,离群点检测可以帮助我们识别数据集中的异常行为,从而进行进一步的分析或采取预防措施。评估离群点检测的效果通常比较困难,因为没有绝对的标准。基于密度的方法,如DBSCAN,根据数据点的密度而非固定阈值来识别离群点。
Python进阶 2024/7/10
最新发布
weixin_73793099的博客
07-12 195
open()打开函数name:打开的目标文件的字符串,可以包含文件所在的具体路径mode:访问模式,只读,只写,追加encoding:编码格式,推荐使用UTF-8r:只读w:用于写入a:用于追加,如果该文件已经存在,新的内容会被写到已有的内容之后;如果文件不存在,创建新文件进行写入。
编程学单词:delta(希腊字母Δ/δ),差值表示
m0_57158496的博客
07-11 992
结语:代码编写中,用“通用”字符命名相应变量,是一个不错的好习惯。其一,不用注释,望文生义,简单明了;其二,代码书写形式风格“标准”统一,方便维护和流转。说明:今天我在堆叠代码时发现有delta样子的单词存在,修习之,对代码书写大有裨益。从今以后,我遇到类似的单词,都将在学习笔记中标识、分享。😋回页目录。
华为910b推理Qwen1.5-72b
weixin_41549308的博客
07-12 332
910b部署推理大模型
字体反爬之自动化通过字体文件生成映射字典
程序烂人的博客
07-12 578
sont.ttf下载地址https://download.csdn.net/download/lingyingdon/89534953官网地址如下python脚本如下 通过执行以下命令脚本分割字体文件(前提是将fontforge添加到环境变量)处理后的图片如下 经过处理后的图片如下 5、最后来看一下运行结果,全自动执行,不需要在一个一个整理字体字典了(我这里在代码中用&#x对uni进行了替换)
Python爬虫教程第5篇-使用BeautifulSoup查找html元素几种常用方法
分享技术,记录思考和感悟
07-11 242
汇总介绍下查询html元素的一些方式,比如通过id查找、通过xpath查找、通过css查找等方式的最佳实践。
查找浮点数的交点
weixin_44617651的博客
07-09 463
在一个项目中,我们需要计算两个函数 f(x) 和 g(x) 在 x 的值从 0 到 1000 之间的交点。为了找到交点,我们需要不断地运行这两个函数,并比较它们的结果。当 f(x) 等于 g(x) 时,我们找到了交点并停止循环。
Pycharm下载、安装及配置
Frost_Descent的博客
07-12 226
Pycharm:适用于数据科学和 Web 开发Python IDE。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值