[羊城杯 2020]login writeup

最新推荐文章于 2023-06-29 20:02:43 发布
最新推荐文章于 2023-06-29 20:02:43 发布
阅读量750 收藏
点赞数 1
文章标签: 其他 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HLi1219/article/details/122224943
版权

ExeinfoPE查壳,之前我用0.3的版本查不出来,因为没有壳,打开发现什么都找不到,更新了ExeinfoPE才找到了pyinstaller的壳。

至于pyinstaller,翻了很多文章,找到了它的打包原理,原来是利用Cython把Python转换成C语言,然后编译打包。(43条消息) Pyinstaller原理详解_XHG78999的代码之家-CSDN博客_pyinstaller讲解

利用pyinstxtractor.py 进行反编译,修复生成文件下的login文件的头,我用到了010eidtor,修复方法参考了了这篇文章struct里面提供了各个pyc文件修复头

[分享]PyInstaller 解包-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com

用010editor打开struct和login文件,将struct里面E3之前的字节复制到login里面

 

 然后将login加上pyc后缀,利用uncompyle6将pyc文件反编译成py文件得的源代码:

# uncompyle6 version 3.8.0
# Python bytecode 3.6 (3379)
# Decompiled from: Python 3.8.10 (tags/v3.8.10:3d8993a, May  3 2021, 11:48:03) [MSC v.1928 64 bit (AMD64)]
# Embedded file name: login.py
# Compiled at: 1995-09-28 00:18:56
# Size of source mod 2**32: 257 bytes
import sys
input1 = input('input something:')
if len(input1) != 14:
    print('Wrong length!')
    sys.exit()
else:
    code = []
    for i in range(13):
        code.append(ord(input1[i]) ^ ord(input1[(i + 1)]))

    code.append(ord(input1[13]))
    a1 = code[2]
    a2 = code[1]
    a3 = code[0]
    a4 = code[3]
    a5 = code[4]
    a6 = code[5]
    a7 = code[6]
    a8 = code[7]
    a9 = code[9]
    a10 = code[8]
    a11 = code[10]
    a12 = code[11]
    a13 = code[12]
    a14 = code[13]
    if (a1 * 88 + a2 * 67 + a3 * 65 - a4 * 5 + a5 * 43 + a6 * 89 + a7 * 25 + a8 * 13 - a9 * 36 + a10 * 15 + a11 * 11 + a12 * 47 - a13 * 60 + a14 * 29 == 22748) & (a1 * 89 + a2 * 7 + a3 * 12 - a4 * 25 + a5 * 41 + a6 * 23 + a7 * 20 - a8 * 66 + a9 * 31 + a10 * 8 + a11 * 2 - a12 * 41 - a13 * 39 + a14 * 17 == 7258) & (a1 * 28 + a2 * 35 + a3 * 16 - a4 * 65 + a5 * 53 + a6 * 39 + a7 * 27 + a8 * 15 - a9 * 33 + a10 * 13 + a11 * 101 + a12 * 90 - a13 * 34 + a14 * 23 == 26190) & (a1 * 23 + a2 * 34 + a3 * 35 - a4 * 59 + a5 * 49 + a6 * 81 + a7 * 25 + (a8 << 7) - a9 * 32 + a10 * 75 + a11 * 81 + a12 * 47 - a13 * 60 + a14 * 29 == 37136) & (a1 * 38 + a2 * 97 + a3 * 35 - a4 * 52 + a5 * 42 + a6 * 79 + a7 * 90 + a8 * 23 - a9 * 36 + a10 * 57 + a11 * 81 + a12 * 42 - a13 * 62 - a14 * 11 == 27915) & (a1 * 22 + a2 * 27 + a3 * 35 - a4 * 45 + a5 * 47 + a6 * 49 + a7 * 29 + a8 * 18 - a9 * 26 + a10 * 35 + a11 * 41 + a12 * 40 - a13 * 61 + a14 * 28 == 17298) & (a1 * 12 + a2 * 45 + a3 * 35 - a4 * 9 - a5 * 42 + a6 * 86 + a7 * 23 + a8 * 85 - a9 * 47 + a10 * 34 + a11 * 76 + a12 * 43 - a13 * 44 + a14 * 65 == 19875) & (a1 * 79 + a2 * 62 + a3 * 35 - a4 * 85 + a5 * 33 + a6 * 79 + a7 * 86 + a8 * 14 - a9 * 30 + a10 * 25 + a11 * 11 + a12 * 57 - a13 * 50 - a14 * 9 == 22784) & (a1 * 8 + a2 * 6 + a3 * 64 - a4 * 85 + a5 * 73 + a6 * 29 + a7 * 2 + a8 * 23 - a9 * 36 + a10 * 5 + a11 * 2 + a12 * 47 - a13 * 64 + a14 * 27 == 9710) & (a1 * 67 - a2 * 68 + a3 * 68 - a4 * 51 - a5 * 43 + a6 * 81 + a7 * 22 - a8 * 12 - a9 * 38 + a10 * 75 + a11 * 41 + a12 * 27 - a13 * 52 + a14 * 31 == 13376) & (a1 * 85 + a2 * 63 + a3 * 5 - a4 * 51 + a5 * 44 + a6 * 36 + a7 * 28 + a8 * 15 - a9 * 6 + a10 * 45 + a11 * 31 + a12 * 7 - a13 * 67 + a14 * 78 == 24065) & (a1 * 47 + a2 * 64 + a3 * 66 - a4 * 5 + a5 * 43 + a6 * 112 + a7 * 25 + a8 * 13 - a9 * 35 + a10 * 95 + a11 * 21 + a12 * 43 - a13 * 61 + a14 * 20 == 27687) & (a1 * 89 + a2 * 67 + a3 * 85 - a4 * 25 + a5 * 49 + a6 * 89 + a7 * 23 + a8 * 56 - a9 * 92 + a10 * 14 + a11 * 89 + a12 * 47 - a13 * 61 - a14 * 29 == 29250) & (a1 * 95 + a2 * 34 + a3 * 62 - a4 * 9 - a5 * 43 + a6 * 83 + a7 * 25 + a8 * 12 - a9 * 36 + a10 * 16 + a11 * 51 + a12 * 47 - a13 * 60 - a14 * 24 == 15317):
        print('flag is GWHT{md5(your_input)}')
        print('Congratulations and have fun!')
    else:
        print('Sorry,plz try again...')
# okay decompiling login.pyc

import hashlib
from z3 import *

a1=Int("a1")
a2=Int("a2")
a3=Int("a3")
a4=Int("a4")
a5=Int("a5")
a6=Int("a6")
a7=Int("a7")
a8=Int("a8")
a9=Int("a9")
a10=Int("a10")
a11=Int("a11")
a12=Int("a12")
a13=Int("a13")
a14=Int("a14")

a = Solver()

a.add(a1 * 88 + a2 * 67 + a3 * 65 - a4 * 5 + a5 * 43 + a6 * 89 + a7 * 25 + a8 * 13 - a9 * 36 + a10 * 15 + a11 * 11 + a12 * 47 - a13 * 60 + a14 * 29 == 22748)
a.add(a1 * 89 + a2 * 7 + a3 * 12 - a4 * 25 + a5 * 41 + a6 * 23 + a7 * 20 - a8 * 66 + a9 * 31 + a10 * 8 + a11 * 2 - a12 * 41 - a13 * 39 + a14 * 17 == 7258)
a.add(a1 * 28 + a2 * 35 + a3 * 16 - a4 * 65 + a5 * 53 + a6 * 39 + a7 * 27 + a8 * 15 - a9 * 33 + a10 * 13 + a11 * 101 + a12 * 90 - a13 * 34 + a14 * 23 == 26190)
a.add(a1 * 23 + a2 * 34 + a3 * 35 - a4 * 59 + a5 * 49 + a6 * 81 + a7 * 25 + (a8 * 128) - a9 * 32 + a10 * 75 + a11 * 81 + a12 * 47 - a13 * 60 + a14 * 29 == 37136)
a.add(a1 * 38 + a2 * 97 + a3 * 35 - a4 * 52 + a5 * 42 + a6 * 79 + a7 * 90 + a8 * 23 - a9 * 36 + a10 * 57 + a11 * 81 + a12 * 42 - a13 * 62 - a14 * 11 == 27915)
a.add(a1 * 22 + a2 * 27 + a3 * 35 - a4 * 45 + a5 * 47 + a6 * 49 + a7 * 29 + a8 * 18 - a9 * 26 + a10 * 35 + a11 * 41 + a12 * 40 - a13 * 61 + a14 * 28 == 17298)
a.add(a1 * 12 + a2 * 45 + a3 * 35 - a4 * 9 - a5 * 42 + a6 * 86 + a7 * 23 + a8 * 85 - a9 * 47 + a10 * 34 + a11 * 76 + a12 * 43 - a13 * 44 + a14 * 65 == 19875)
a.add(a1 * 79 + a2 * 62 + a3 * 35 - a4 * 85 + a5 * 33 + a6 * 79 + a7 * 86 + a8 * 14 - a9 * 30 + a10 * 25 + a11 * 11 + a12 * 57 - a13 * 50 - a14 * 9 == 22784)
a.add(a1 * 8 + a2 * 6 + a3 * 64 - a4 * 85 + a5 * 73 + a6 * 29 + a7 * 2 + a8 * 23 - a9 * 36 + a10 * 5 + a11 * 2 + a12 * 47 - a13 * 64 + a14 * 27 == 9710)
a.add(a1 * 67 - a2 * 68 + a3 * 68 - a4 * 51 - a5 * 43 + a6 * 81 + a7 * 22 - a8 * 12 - a9 * 38 + a10 * 75 + a11 * 41 + a12 * 27 - a13 * 52 + a14 * 31 == 13376)
a.add(a1 * 85 + a2 * 63 + a3 * 5 - a4 * 51 + a5 * 44 + a6 * 36 + a7 * 28 + a8 * 15 - a9 * 6 + a10 * 45 + a11 * 31 + a12 * 7 - a13 * 67 + a14 * 78 == 24065)
a.add(a1 * 47 + a2 * 64 + a3 * 66 - a4 * 5 + a5 * 43 + a6 * 112 + a7 * 25 + a8 * 13 - a9 * 35 + a10 * 95 + a11 * 21 + a12 * 43 - a13 * 61 + a14 * 20 == 27687)
a.add(a1 * 89 + a2 * 67 + a3 * 85 - a4 * 25 + a5 * 49 + a6 * 89 + a7 * 23 + a8 * 56 - a9 * 92 + a10 * 14 + a11 * 89 + a12 * 47 - a13 * 61 - a14 * 29 == 29250)
a.add(a1 * 95 + a2 * 34 + a3 * 62 - a4 * 9 - a5 * 43 + a6 * 83 + a7 * 25 + a8 * 12 - a9 * 36 + a10 * 16 + a11 * 51 + a12 * 47 - a13 * 60 - a14 * 24 == 15317)

print(a.check())
print(a.model())
#注意login.py中a1 = code[2],a3 = code[0],a1和a3位置互换,a10和a9
a = [10, 24, 119, 7, 104, 43, 28, 91, 108, 52, 88, 74, 88, 33]
flag = ""

for i in range(12, -1, -1):
    a[i] = a[i] ^ a[i + 1]

print(a)
for i in a:
    flag += chr(i)
print(flag)
print(hashlib.md5(flag.encode(encoding='UTF-8')).hexdigest())

解密脚本如上

禾兮兮
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF Reverse/[羊城 2020]login(python程序)
ookami6497的博客
09-12 475
解码完成后用16进制编辑器打开,如010,将login.pyc中的第一行替换为struct.pyc的第一行,然后找个在线pyc反编译。动调了一下,该程序创建了一个线程来读入数据,而这个线程的代码应该是放在内存中直接执行的,本地看不到代码,很蛋疼。随便用个word做个替换,将a1-a14替换成code[]这样z3变量命名方便点。查看信息,python文件。工具来解包,可以参考这个。
2020YCBCTF羊城官方Writeup.pdf
10-28
2020YCBCTF羊城官方Writeup.pdf
buuctf————[羊城 2020]login
yhfgs的博客
09-30 796
1.查壳。 无壳,64位。(当时还不知到PyInstaller ) 2.直接丢到IDA反编译。发现啥也没有。 (连个提示性的字符串也没有,但运行是有input something。很迷。) 看了看大佬的wp,才知道这是PyInstaller打包的exe,需要解包。 3.解包,反编译。 (1)解包; 下载PyInstaller Extractor(PyInstaller Extractor download | SourceForge.net) 把login.exe与下载得到的pyins.
[羊城 2020]login
qq_41853048的博客
06-29 78
明天回家了,不能再摆了,连实习都找不到了,狠狠的学!
羊城2020 login
weixin_61154173的博客
11-03 120
z3,python
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
2020-纵横-Writeup.pdf
03-15
2020年纵横CTF比赛Writeup 高清PDF版
2023 强网 Writeup
最新发布
01-29
2023 强网 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析和知识点总结...
2019美亚writeup
03-26
本资源摘要信息来自2019美亚writeup,内容涉及电子数据取证大赛的相关检材和试题等。电子数据取证大赛是一项测试电子数据取证和分析能力的比赛,参赛者需要对提供的镜像文件进行分析,回答相关问题。 本资源摘要...
[羊城 2020]login [SUCTF2019]hardcpp
寻梦&之璐
06-03 6580
文章目录[羊城 2020]login思路:一个py编译的exe,需要解包,然后反编译成py文件1.解包:python pyinstxtractor.py login.exe提示:pyinstxtractor.py这玩意github 上很多,随便找2.进入文件夹,然后进行login版本hex填充用编辑工具010打开login和struct,进行对比,main前面缺少几个字节,我们直接将struct前面的几个字节复制到main上面去,再将login保存为pyc格式文件3.uncompyle6 login.py
[羊城 2020]login + pyinstaller细节解包
m0_46296905的博客
04-29 1434
题目:[羊城 2020]login pyinstaller打包后的64位程序。 一、pyinstaller解包 【参考看雪论坛的发帖】 (一).exe——>.pyc 方法1:PyInstaller Extractor 用PyInstaller Extractor解包 把pyinstxtractor.py和attachment.exe文件放在同个目录下 打开cmd,进入该目录,输入: python pyinstxtractor.py attachment.exe 这里有个值得注意的地方就是执行这个
[buuctf.reverse] 070_[羊城 2020]login
weixin_52640415的博客
05-11 531
z3求解,数组 ; python生成的exe文件解包,还原头部
BUUCTF-RE-2020-羊城 login
Henlenl的博客
09-24 1197
wp pyc RE 先用pyinstxtractor.py反编译为pyc文件 看到如下信息 但是注意 要对比login和struct头部的字节差异 将差异补上后 login这个文件加上.pyc后缀 然后就能用uncompyle6 将pyc反编译为python代码 # uncompyle6 version 3.7.4 # Python bytecode 3.6 (3379) # Decompiled from: Python 3.7.0 (v3.7.0:1bf9cc5093, Jun 27 2018,
2020年「羊城」网络安全大赛 Re部分 WriteUp
qq_42436176的博客
09-11 2121
Re login 使用PyInstaller Extractor v2.0把exe进行解包, 在解包指令中发现Python version: 36, 切换到python3.6环境中 可以看见入口文件为login.pyc, 使用uncompyle6 login.pyc解析pyc文件 看到一堆数字, 嗯, 又是方程组, 上z3 from z3 import * a1, a2, a3, a4, a5, a6, a7, a8, a9, a10, a11, a12, a13, a14 = Ints("a1 a2 a
羊城-RE
playmaker的博客
09-12 525
login pyinstaller打包,用工具解一下,得到login.pyc修复一下文件头,反编译解方程组。 from z3 import * s=Solver() code=[BitVec(('x%d'%i),32) for i in range(14)] a1 = code[2] a2 = code[1] a3 = code[0] a4 = code[3] a5 = code[4] a6 = code[5] a7 = code[6] a8 = code[7] a9 = code[9] a10 = co
2020羊城、第六届工控比赛部分题目复现
m0re's blog
09-17 2401
本文目录羊城easyconBlackCat工控签到ICS_1ICS_4ICS_10ICS_12 羊城 easycon 环境打开 dirsearch扫描得到两个可以访问的文件 一个是index.html、另一个是index.php访问index.php会有个弹窗,看到 题目中提示菜刀。所以猜测这个是连接密码。 使用蚁剑连接,成功连接。 但是,那个bbbbbbb.txt没有flag,是base64转图片,使用在线网站可以直接转换得到图片,这个是需要加上一个头的,缺少图片头的格式。 BlackCa
羊城战队writeup
weixin_45883223的博客
09-12 2320
com nc 183.129.189.60 10028 按1,得到一堆数字,z3解方程组,exp如下: from z3 import * a1, a2, a3, a4, a5, a6, a7, a8, a9, a10, a11, a12, a13, a14, a15, a16, a17, a18, a19, a20, a21, a22, a23, a24, a25, a26, a27, a28, a29, a30, a31, a32, a33, a34, a35 = Ints("a1 a2 a3 a4 a5
羊城2020login
09-10
羊城2020login是一个使用Python编写并编译成exe文件的程序。要解包这个exe文件并反编译成py文件,可以使用pyinstxtractor.py工具进行解包操作。找到login.exe文件后,可以使用命令"python pyinstxtractor.py login.exe"进行解包。解包后,需要对login版本进行hex填充。可以用010编辑工具打开login和struct两个文件,对比它们的内容,找到main前面缺少的几个字节,并将这些字节复制到main上面去。然后将login文件保存为pyc格式文件。最后,可以使用uncompyle6工具对login.pyc文件进行反编译,以获取原始的Python代码。 需要注意的是,对于该题目的具体解法和flag信息,我无法提供。因为flag信息是比赛中的答案,获取它可能会违反比赛的规则。如果您需要更多关于羊城2020login题目的信息,建议直接参考官方的writeup文件或者相关的讨论。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值