BUUCTF第二十二、二十三题解题思路

最新推荐文章于 2024-02-22 20:41:18 发布
最新推荐文章于 2024-02-22 20:41:18 发布
阅读量685 收藏 10
点赞数 6
文章标签: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EVANGELION_01a/article/details/136173678
版权

第二十二题[WUSTCTF2020]level1

查壳

64位ELF文件,用64位IDA打开。

在函数界面可以看到一个“flag”,跟进该函数。

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int i; // [rsp+4h] [rbp-2Ch]
  FILE *stream; // [rsp+8h] [rbp-28h]
  char ptr[24]; // [rsp+10h] [rbp-20h] BYREF
  unsigned __int64 v7; // [rsp+28h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  stream = fopen("flag", "r");
  fread(ptr, 1uLL, 0x14uLL, stream);
  fclose(stream);
  for ( i = 1; i <= 19; ++i )
  {
    if ( (i & 1) != 0 )
      printf("%ld\n", (unsigned int)(ptr[i] << i));
    else
      printf("%ld\n", (unsigned int)(i * ptr[i]));
  }
  return 0;
}

打开了一个叫“flag”的文件,将值存入ptr,循环19次,如果i和1与运算结果不为0,输出ptr[i]左移i位的值,否则输出ptr[i]与i的乘积,我们发现这个题有两个文件,另一个txt文件应该就是输出的值,只需要将其中的值进行逆运算就可以得到flag。

写一个脚本

ptr = [198, 232, 816, 200, 1536, 300, 6144, 984, 51200, 570, 92160,
     1200, 565248, 756, 1474560, 800, 6291456, 1782, 65536000]

for i in range(19):
    if (i+1) & 1:
        print(chr(ptr[i] >> (i+1)), end="")
    else:
        print(chr(ptr[i] // (i+1)), end="")

解得flag为flag{d9-dE6-20c}

第二十三题[GUET-CTF2019]re1

查壳

64位,upx壳,先脱壳,再用64位IDA打开,检索字符串,找到一个'Correct!'字符串,跟进,反汇编查看伪代码。

__int64 __fastcall sub_400E28(__int64 a1, int a2, int a3, int a4, int a5, int a6)
{
  int v6; // edx
  int v7; // ecx
  int v8; // r8d
  int v9; // r9d
  __int64 result; // rax
  __int64 v11[5]; // [rsp+0h] [rbp-30h] BYREF
  unsigned __int64 v12; // [rsp+28h] [rbp-8h]

  v12 = __readfsqword(0x28u);
  memset(&v11[1], 0, 24);
  sub_40F950((unsigned int)"input your flag:", a2, a3, a4, a5, a6);
  scanf((unsigned int)"%s", (unsigned int)v11, v6, v7, v8, v9, 0);
  if ( (unsigned int)sub_4009AE(v11) )
    printf("Correct!");
  else
    printf("Wrong!");
  result = 0LL;
  if ( __readfsqword(0x28u) != v12 )
    sub_443550();
  return result;
}

初始化v11,输入flag,如果 (unsigned int)sub_4009AE(v11),输出‘Correct!’,关键在于函数 (unsigned int)sub_4009AE(v11),跟进。

_BOOL8 __fastcall sub_4009AE(char *a1)
{
  if ( 1629056 * *a1 != 166163712 )
    return 0LL;
  if ( 6771600 * a1[1] != 731332800 )
    return 0LL;
  if ( 3682944 * a1[2] != 357245568 )
    return 0LL;
  if ( 10431000 * a1[3] != 1074393000 )
    return 0LL;
  if ( 3977328 * a1[4] != 489211344 )
    return 0LL;
  if ( 5138336 * a1[5] != 518971936 )
    return 0LL;
  if ( 7532250 * a1[7] != 406741500 )
    return 0LL;
  if ( 5551632 * a1[8] != 294236496 )
    return 0LL;
  if ( 3409728 * a1[9] != 177305856 )
    return 0LL;
  if ( 13013670 * a1[10] != 650683500 )
    return 0LL;
  if ( 6088797 * a1[11] != 298351053 )
    return 0LL;
  if ( 7884663 * a1[12] != 386348487 )
    return 0LL;
  if ( 8944053 * a1[13] != 438258597 )
    return 0LL;
  if ( 5198490 * a1[14] != 249527520 )
    return 0LL;
  if ( 4544518 * a1[15] != 445362764 )
    return 0LL;
  if ( 3645600 * a1[17] != 174988800 )
    return 0LL;
  if ( 10115280 * a1[16] != 981182160 )
    return 0LL;
  if ( 9667504 * a1[18] != 493042704 )
    return 0LL;
  if ( 5364450 * a1[19] != 257493600 )
    return 0LL;
  if ( 13464540 * a1[20] != 767478780 )
    return 0LL;
  if ( 5488432 * a1[21] != 312840624 )
    return 0LL;
  if ( 14479500 * a1[22] != 1404511500 )
    return 0LL;
  if ( 6451830 * a1[23] != 316139670 )
    return 0LL;
  if ( 6252576 * a1[24] != 619005024 )
    return 0LL;
  if ( 7763364 * a1[25] != 372641472 )
    return 0LL;
  if ( 7327320 * a1[26] != 373693320 )
    return 0LL;
  if ( 8741520 * a1[27] != 498266640 )
    return 0LL;
  if ( 8871876 * a1[28] != 452465676 )
    return 0LL;
  if ( 4086720 * a1[29] != 208422720 )
    return 0LL;
  if ( 9374400 * a1[30] == 515592000 )
    return 5759124 * a1[31] == 719890500;
  return 0LL;
}

发现代码很长,是多个if嵌套,可以确定a的值就是flag,只需要将含有a的算式逆运算即可。


a1 = [0]*32
a1[0] = chr(166163712//1629056)
a1[1] = chr(731332800 // 6771600)
a1[2] = chr(357245568 // 3682944)
a1[3] = chr(1074393000 // 10431000)
a1[4] = chr(489211344 // 3977328)
a1[5] = chr(518971936 // 5138336)
a1[7] = chr(406741500 // 7532250)
a1[8] = chr(294236496 // 5551632)
a1[9] = chr(177305856 // 3409728)
a1[10] = chr(650683500 // 13013670)
a1[11] = chr(298351053 // 6088797)
a1[12] = chr(386348487 // 7884663)
a1[13] = chr(438258597 // 8944053)
a1[14] = chr(249527520 // 5198490)
a1[15] = chr(445362764 // 4544518)
a1[16] = chr(981182160 // 10115280)
a1[17] = chr(174988800 // 3645600)
a1[18] = chr(493042704 // 9667504)
a1[19] = chr(257493600 // 5364450)
a1[20] = chr(767478780 // 13464540)
a1[21] = chr(312840624 // 5488432)
a1[22] = chr(1404511500 // 14479500)
a1[23] = chr(316139670 // 6451830)
a1[24] = chr(619005024 // 6252576)
a1[25] = chr(372641472 // 7763364)
a1[26] = chr(373693320 // 7327320)
a1[27] = chr(498266640 // 8741520)
a1[28] = chr(452465676 // 8871876)
a1[29] = chr(208422720 // 4086720)
a1[30] = chr(515592000 // 9374400)
a1[31] = chr(719890500 // 5759124)
for i in range(32):
    if(i == 6):
        continue
print(a1[i], end='')

解出flag{e65421110ba03099a1c039337}flag{e65421110ba03099a1c039337}

但是原函数并没有判断a6,所以没有与a6相关的算式,我们解出的flag实际上缺了第七位

使用穷举法枚举a6可能的值,能猜出a6的值为1,正确的flag为flag{e165421110ba03099a1c039337}flag{e65421110ba03099a1c039337}

网安小白001
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2021年mathorcupD解题思路参考-代码.zip
10-11
给大家提供一个参考
fread使用中遇到的问
Briver Song的专栏
07-07 4801
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <object class
buuojCTF [WUSTCTF2020]level11
kevinhezhuzhu的博客
05-20 239
下载文件发现有两个文件,其中有一个txt文件,里面有一些数字。 不知道是啥,把另一个文件拖进ida,很容易找到main函数。 int __cdecl main(int argc, const char **argv, const char **envp) { FILE *stream; // ST08_8@1 int result; // eax@7 __int64 v5; // rcx@7 signed int i; // [sp+4h] [bp-2Ch]@1 char pt
BUUCTF第十二、十三、十四解题思路
EVANGELION_01a的博客
02-04 840
当(a1 + 4 * i)的值小于v6时,如果i自增后的值大于等于result,转到LABLE_13,分析一下这个函数:将(a1 + 4 * result)的值赋给v6,将a1,a2,i-1作为sub_4010F0函数的输入执行该函数,将a3的值赋给result,返回result的值。在if循环中,判断v7[0]+34与string[0]是否相等,v7[0]+34的值为U,则string[0]的值为U,判断v10与string[1]是否相等,v10= J,则string[1]=J。结果为base64加密。
BUUCTF第十九、二十解题思路
EVANGELION_01a的博客
02-17 791
分析代码:将字符串“Qsw3sj_lz4_Ujw@l”赋值给v12,用v2接收输入,进行判断(这里把ascll码转换成字符串可以看出整个if嵌套语句的条件能拼出ACTF{},与flag没有关系)。首先需要了解rsa加密:rsa加密是对明文的E次方后除以N后求余数的过程,N = p * q,其中p和q是两个大素数,而公钥是E和N的组合。根据L=lcm(p-1,q-1),算出L,再根据1 < D < L,E*D mod L = 1算出D,有了D和N,就可以对密文进行解密了。写一个脚本(需要安装rsa)
BUUCTF第二十四、二十五解题思路
EVANGELION_01a的博客
02-22 1216
分析:赋值v1,再将v1赋值v4,如果高字节与低字节异或为“f”和“g”(四个字节异或很有可能是“flag”),循环取出v1的四个字节与*((_BYTE *)&v4 + j % 4))异或。分析sub_400360发现该函数是strcmp,将v11与off_6CC090比较,如果非零,输出“You found me!无壳,32位,用32位IDA打开,打开后的main函数很短,可以找到一句“jmz _main_0”——跳转到 _main_0,说明真正的主函数是_main_0,跟进。
BUUCTF第十六、十七解题思路
EVANGELION_01a的博客
02-06 507
@”复制到v4中去,将输入的内容赋值给v6,如果v6的值不等于A、C、T、F、{、},返回0,将v7赋值给v5[0],将v8赋值给v5[1]、将v9赋值给v5[2],for循环11次,如果v4中字符串的一位不等于_data_start__中的一位-1,返回0。”,应该与flag有关,对其交叉引用找到函数进行反汇编得到伪代码。分析代码:将input1中的每一位替换得到code,再将code每一位与后一位异或,得到下面输出的code,写脚本解出input1就可以得到flag。先解压,得到可执行文件,查壳。
BUUCTF-MISC】解+思路
qq_48149564的博客
10-31 4881
buurctf杂项的
BUUCTF
qq_51175992的博客
05-27 3863
BUUCTF解,主要包括CTF中的Crypto、Misc方向,其中一些目的解法参考了其他博主大佬的思路。这个文章主要是用于自学和提供思路解法,会不定时更新
BUUCTF之pwn解(一些栈+程序分析)
热门推荐
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
第十解题思路——开启时间之轮1
08-03
写在前面这是一道数论高配。整数要用大整数,方程要用模方程,模方程要用二次模方程,二次模方程要用二次模合数方程,求逆要选离散对数。感谢作者大神,学习了。该选用
2021年mathorcupD解题思路-参考资料代码.zip
09-07
2021年mathorcupD解题思路-参考资料代码
蓝桥杯第十三届第二场程序设计
05-15
蓝桥杯第十三届第二场程序设计
2021第十二届蓝桥杯Python组国赛(真解)
04-30
2021第十二届蓝桥杯Python组国赛(真解)
android手机应用源码Imsdroid语音视频通话源码.rar
最新发布
05-20
android手机应用源码Imsdroid语音视频通话源码.rar
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
05-20
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
JavaScript_超过100种语言的纯Javascript OCR.zip
05-20
JavaScript
美赛e解题思路2024
02-04
美赛e通常会要求解决一个实际的工程或管理问,涉及到建模、数据分析、优化等方面。解题思路通常分为以下几个步骤: ...以上是美赛e解题思路的一般流程,具体问具体分析,需要根据具体问的特点来灵活应对。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值