BUU re easy strcmp wp

最新推荐文章于 2022-07-22 19:45:26 发布
最新推荐文章于 2022-07-22 19:45:26 发布
阅读量198 收藏
点赞数 2
分类专栏: CTF 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CherestSan/article/details/114989131
版权

这道题很有意思

解题很简单,但是里面有一个小hook

解题

逻辑十分简单 就是将命令行输入的字符串参数比较

字符串直接显示 一看就没这么简单 运行输入果然显示Wrong
在这里插入图片描述

估计是存在加密,main函数中没有调用其他函数,想到可能存在hook

gdb动调单步调试的时候可以发现调用strcmp函数直接跳入了函数——0x6ea
在这里插入图片描述

在这里插入图片描述

0x6ea就是加密函数

在这里插入图片描述

第一个参数是输入值 第二个参数是

zer0pts{********CENSORED********}

猜想201090是hook之后的cmp函数 加密过程就是将输入值减去字符串201060

再与第二个参数比较 dump出数据后反过来加就能推出输入

要注意有的字节大于127 是以补码形式存在的负数 需要另行还原

a=[66, 9, 74, 73, 53, 67, 10, 65, 240, 25, 230, 11, 245, 242, 14, 11, 43, 40, 53, 74, 6, 58, 10, 79]
b=[42, 42, 42, 42, 42, 42, 42, 42, 67, 69, 78, 83, 79, 82, 69, 68, 42, 42, 42, 42, 42, 42, 42, 42]
f=''
for i in range(24):
    if a[i]<127:
        f+=chr(a[i]+b[i])
    else:
        f+=chr(b[i]-(((~(a[i]))&0xff)+1))
print(f)

得到结果

zer0pts{l3ts_m4k34DDSOUR_t0d4y}

原理

接下来瞧一瞧这个hook是如何实现的

main函数十分朴素 加密函数也没有任何交叉引用

还好程序规模不大 挨个函数看一看发现函数795有戏
在这里插入图片描述

这里看到201090地址直接赋值为strcmp函数的地址

这个函数存在于函数表889中

在这里插入图片描述

而889被函数init调用

在这里插入图片描述

这就说得通了 init是再main函数之前运行的初始化函数 程序在这里进行了hook

init函数对函数表889遍历 第一个函数6e0没有对相关变量进行更改

重新看下函数795
在这里插入图片描述

201090是我们刚刚在函数EA0中看到的最后return的函数 这里把他地址改变为strcmp的地址

201082双击跟进发现他是库函数表中strcmp函数的地址 将其改变为6EA函数的地址 实现hook

在这里插入图片描述

Cherest_San
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu-[Zer0pts2020]easy strcmp
qaq517384的博客
03-13 499
64位
buu-[2019红帽杯]easyRE
qaq517384的博客
03-05 555
查壳 64位ida 直接查看字符串能看到you found me和一些奇怪字符串 有些类似base的东西 先找you found me 跟进后CTRL+X交叉引用找到函数,f5查看伪代码 signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8
BUUCTF-----easy_strcmp
qq_64558075的博客
12-14 320
1.拿到题目的文件 解压 得到一个名为chall的文件 进行查壳 收集信息,64位程序 2。拖入ida中 这就是主程序 大概的意思就是当a2=zer0pts{********CENSORED********}的时候就会输出Correct! 把这个字符串带回网站进行验证 发现是错误的 那么 真実は一つだ(真相只有一个) 这个题没有这么简单???????? 3.我们来看这个题目中出现过的函数 看完每个函数里面的东西后,我们发现sub_6EA函数有很大的作案嫌疑????
[buuctf][Zer0pts2020]easy strcmp
逆向萌新的博客
07-22 528
放入ida64中查看,因为这个是一个64位的可执行文件,有main函数,直接进入main函数查看。右移三位,先当与是8,八个一组,之后去减去qword_201060,看看这里是什么。这里面有一个判断是判断a2[1]是否是等于那个字符串的,之后我们再去找a2。是这些,那么写反推逆运算,因为是小端序,最后要反转过来,所以脚本可写。放在linux中运行一下,发现竟然没有任何输入的位置。...
re -12 buuctf [Zer0pts2020]easy strcmp
weixin_45847059的博客
11-19 1007
[Zer0pts2020]easy strcmp 前话:这题要用到ida64位远程调试先记录一下配置方法,因为本人使用的是ida7.6版本差异可能导致问题。 application与input file填linux路径下的题目文件路径 dictionary填linu下题目文件所在文件夹的路径(即题目文件的父级) Paramater不填 Hostname用ifconfig填自己的ip,Port端口固定 Password虚拟机密码 运行一下: 去找个地方下个断点: 这里的strcmp函数比较值的结果决定回
[BUUCTF]REVERSE——[Zer0pts2020]easy strcmp
mcmuyanga的博客
02-02 734
[Zer0pts2020]easy strcmp 附件 步骤 例行检查,64位程序 64位ida打开 很简单的一个程序,将a2数组与zer0pts{********CENSORED********}进行比较,相同提示correct! 然后就是要知道a2在进入main函数前经过了什么操作,应该是因为它不是exe文件吧,我没法动调,正常情况下是去动调找找看哪里对传入的字符串a2进行了操作,我在旁边函数列表里随便看看,找到了带有a2参数的函数 右移3位相当于除8,也就是把字符串分为8个一组,对应和qwor
BUU-CTF——WP(MISC[1~20])
hahaha233330的博客
09-11 1183
好久没更新了,手生得很,重新练起来! 这次挑战BUU,贴一下网址:BUU-CTF 一大堆在线工具:MD5 Url、base64、哈希/散列 凯撒、维吉尼亚、猪圈、摩斯 Cryptp 1、MD5 直接用在线工具解密即可得到flag。 ...
BUU-CTF——WP(MISC[21~n])
hahaha233330的博客
10-06 1203
挑战BUU,贴一下网址:BUU-CTF MISC 继续~ 在线工具:Ook!、brainfuck转字符 21. FLAG 22. 另外一个世界 拖入010editor,拉到最后发现:01101011011011110110010101101011011010100011001101110011 二进制转字符串得到flag。 23. 假如给我三天光明 看最下面一排,感觉是盲文,去找盲文表对照即可得到密码kmdonowg。 解压后得到音频文件,拖入Audacity,猜测对应摩斯密码:-.-. - …-.
buu easysql(真的easy吗)
qq_46485934的博客
09-26 2096
这道题让我了解到了两个东西,堆叠注入和set sql_mode=PIPES_AS_CONCAT 一.分析回显 题目为easysql,所以这道题是sql注入题没跑了。按老规矩测试, 输入1,回显 Array ( [0] => 1 ) 输入2,3, 4, 5…,回显都为 Array ( [0] => 1 ) 于是,输入0试试,无回显 心里想(???,这不会是sql盲注吧,1及1以上有回显,0则无回显) 接着我就用burpsuite fuzz了一下,基本全被过滤,and or &&amp
BUUCTF Reverse/[Zer0pts2020]easy strcmp
ookami6497的博客
08-12 496
BUUCTF Reverse/[Zer0pts2020]easy strcmp 先看文件信息,ELF文件,没有加壳 拖入IDA64位打开 应该没这么简单就给出flag __int64 __fastcall main(int a1, char **a2, char **a3) { if ( a1 > 1 ) { if ( !strcmp(a2[1], "zer0pts{********CENSORED********}") ) puts("Correct!"
[Zer0pts2020]easy strcmp 分析与加法
Tokameine的博客
06-23 1505
无壳,放入IDA自动跳到main函数 __int64 __fastcall main(int a1, char **a2, char **a3) { if ( a1 > 1 ) { if ( !strcmp(a2[1], "zer0pts{********CENSORED********}") ) puts("Correct!"); else puts("Wrong!"); } else { printf("Usage: ...
BUU逆向 [Zer0pts2020]easy strcmp wp
苗_的博客
08-08 1188
拖进ida查看main函数,就是一个简单比较: 然后我们就看它对输入的字符进行了什么操作: 右移3位相当于除8,也就是把字符串分为8个一组,对应和qword_201060的值做减法,可以得到主函数里显示的字符串 注意:内存中存储为小端存储 我们只需要写出它的逆过程就可以了: #-*- coding:utf-8 -*- enc = "********CENSORED********" m = [0x410A4335494A0942, 0x0B0EF2F50BE619F0, 0x4F0A3A0
BUUCTF--[Zer0pts2020]easy strcmp
Hk_Mayfly的博客
06-17 1342
测试文件:https://wwa.lanzous.com/i54G4drrp1i 代码分析 打开IDA看了下main函数 这里就是将a2[1]与zer0pts{********CENSORED********}比较,a2[1]是我们的输入。 找到对输入字符串变换处 这里就是将输入分为8个一组,与qword_5605DCE75060数组元素,对应相减,得到zer0pts{***...
BUUCTF--reverse3
weixin_30876945的博客
09-05 337
测试文件:https://buuoj.cn/files/aa4f6c7e8d5171d520b95420ee570e79/a9d22a0e-928d-4bb4-8525-e38c9481469e.rar?token=eyJ0ZWFtX2lkIjpudWxsLCJ1c2VyX2lkIjoxOTAzLCJmaWxlX2lkIjoxNTl9.XXCjMA.QBNzEL8Ujfk_QRbQYa6...
直流电机电枢控制(闭环)simulink.rar
最新发布
09-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。
学习如何对其自动驾驶车辆进行编程simulink.rar
09-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。
空间相关风速时程模拟matlab代码.rar
09-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。
块函数 Square 的线性 Simulink.rar
09-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。
项目水资源分析模拟综合平,长江经济带小水电基础信息管理系统,java_basic.java.io,_myproject.zip
09-09
项目水资源分析模拟综合平,长江经济带小水电基础信息管理系统,java_basic.java.io,_myproject
buu cipher
10-23
Buu Cipher 是一种对称加密算法,也被称为布式密码。它是一种较为简单的加密算法,基于置换和替代的原理进行加密和解密。Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中的不同位置,增加了密文的复杂性。 其次,扩散步骤通过将每个字符替换为另一个字符来进一步混淆数据。此替换过程可以由算法中的扩散函数完成,该函数使用密钥和置换表来生成相应的替代字符。这样,明文中的每个字符都将被替换为不同的字符。 解密过程与加密过程相反。先使用相同的密钥和置换表进行扩散的逆向操作,将密文中的每个字符恢复为替代字符。然后使用相同的密钥和置换表进行混淆的逆向操作,恢复密文中字符的顺序,即可得到原始的明文。 尽管 Buu Cipher 是一种较为简单的加密算法,但它仍可以提供基本的保密性,以防止未授权者对加密数据的解读。然而,它的加密强度相对较低,可能容易受到密码分析方法的攻击。因此,在实际应用中,我们可能需要结合其他更为复杂和安全的加密算法来提高数据的保密性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值