【CTF-Reverse】刮开有奖

已于 2023-03-26 19:42:45 修改
阅读量294 收藏
点赞数
分类专栏: CTF初学 文章标签: windows
于 2023-03-18 20:39:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LeeOrange_45/article/details/129641468
版权

今天做了一道reverse,根本不会

看完wp(re学习笔记(9)BUUCTF-re-刮开有奖_re 刮开有奖_Forgo7ten的博客-CSDN博客),感觉茅塞顿开,遂写之

可以说我是抄他的,事实上是看了一遍他的然后自己做了一遍再写了一下wp巩固!

0x1题目描述

给了一个32位exe文件,打开后并不能得到有效的信息。

如下图:(跟没没啥按钮,我咋刮,这不扯犊子)

0x2  ida分析

丢入ida,映入眼帘的是一坨啥也不知道的代码。但是我知道WinMain可是一个exe文件的开始函数啊,随看向WinMain

 笑了,这是什么啊!

Microsoft的文档:

从对话框模板资源创建模式对话框。 在显示对话框之前,函数会将应用程序定义的值作为WM_INITDIALOG消息的 lParam 参数传递给对话框过程。 应用程序可以使用此值初始化对话框控件。

INT_PTR DialogBoxParamA(
  [in, optional] HINSTANCE hInstance,
  [in]           LPCSTR    lpTemplateName,
  [in, optional] HWND      hWndParent,
  [in, optional] DLGPROC   lpDialogFunc,
  [in]           LPARAM    dwInitParam
);

hInstance:包含对话框模板的模块的句柄。 如果此参数为 NULL,则使用当前可执行文件。

lpTemplateName:对话框模板。

hWndParent:拥有对话框的窗口的句柄。

lpDialogFunc:指向对话框过程的指针。

dwInitParam:要传递给WM_INITDIALOG消息的 lParam 参数中的对话框的值。

不管咋样吧,前两个参数是模板,第三个是窗口句柄,第四个是指针,第五个是值。

不可能在模板中嵌入flag吧,那就只能去指针里头转转。

里头是这个鬼样子:

INT_PTR __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4)
{
  const char *v4; // esi
  const char *v5; // edi
  int v7[2]; // [esp+8h] [ebp-20030h] BYREF
  int v8; // [esp+10h] [ebp-20028h]
  int v9; // [esp+14h] [ebp-20024h]
  int v10; // [esp+18h] [ebp-20020h]
  int v11; // [esp+1Ch] [ebp-2001Ch]
  int v12; // [esp+20h] [ebp-20018h]
  int v13; // [esp+24h] [ebp-20014h]
  int v14; // [esp+28h] [ebp-20010h]
  int v15; // [esp+2Ch] [ebp-2000Ch]
  int v16; // [esp+30h] [ebp-20008h]
  CHAR String[65536]; // [esp+34h] [ebp-20004h] BYREF
  char v18[65536]; // [esp+10034h] [ebp-10004h] BYREF

  if ( a2 == 272 )
    return 1;
  if ( a2 != 273 )
    return 0;
  if ( (_WORD)a3 == 1001 )
  {
    memset(String, 0, 0xFFFFu);
    GetDlgItemTextA(hDlg, 1000, String, 0xFFFF);
    if ( strlen(String) == 8 )
    {
      v7[0] = 90;
      v7[1] = 74;
      v8 = 83;
      v9 = 69;
      v10 = 67;
      v11 = 97;
      v12 = 78;
      v13 = 72;
      v14 = 51;
      v15 = 110;
      v16 = 103;
      sub_4010F0(v7, 0, 10);
      memset(v18, 0, 0xFFFFu);
      v18[0] = String[5];
      v18[2] = String[7];
      v18[1] = String[6];
      v4 = (const char *)sub_401000(v18, strlen(v18));
      memset(v18, 0, 0xFFFFu);
      v18[1] = String[3];
      v18[0] = String[2];
      v18[2] = String[4];
      v5 = (const char *)sub_401000(v18, strlen(v18));
      if ( String[0] == v7[0] + 34              // 90+34=124
        && String[1] == v10
        && 4 * String[2] - 141 == 3 * v8
        && String[3] / 4 == 2 * (v13 / 9)
        && !strcmp(v4, "ak1w")
        && !strcmp(
              v5,
              "V1Ax") )
      {
        MessageBoxA(hDlg, "U g3t 1T!", "@_@", 0);
      }
    }
    return 0;
  }
  if ( (_WORD)a3 != 1 && (_WORD)a3 != 2 )
    return 0;
  EndDialog(hDlg, (unsigned __int16)a3);
  return 1;
}

 

 长度是8

 进入红框中的函数看看

1.  sub_4010F0:

从a2到a3的循环,清一色去(4*i+a1),a1应当是数组的首地址,a2,a3是数组的边界索引。

 将其变为可执行的C代码(怎么变的??就复制到vs里头,然后哪里爆红改哪里)

注意:所有的4*i全改为i,因为他之前是汇编dword,访问下一个元素,地址需要+4,在c语言orc++之中,直接索引+1就可以解决了

int  sub_4010F0(int* a1, int a2, int a3)
{
    int result; // eax
    int i; // esi
    int v5; // ecx
    int v6; // edx

    result = a3;
    for (i = a2; i <= a3; a2 = i)
    {
        v5 = i;
        v6 =a1[i];
        if (a2 < result && i < result)
        {
            do
            {
                if (v6 > a1[result])
                {
                    if (i >= result)
                        break;
                    ++i;
                    a1[v5] =a1[result];
                    if (i >= result)
                        break;
                    while (a1[i] <= v6)
                    {
                        if (++i >= result)
                            goto LABEL_13;
                    }
                    if (i >= result)
                        break;
                    v5 = 4 * i;
                    a1[result] =a1[i];
                }
                --result;
            } while (i < result);
        }
    LABEL_13:
       a1[result] = v6;
        sub_4010F0(a1, a2, i - 1);
        result = a3;
        ++i;
    }
    return result;
}

 将v7中的元素全都弄进去。得到:

变成char

 2.第二个函数

// a1 为 v9的地址
// a2 为 v9的长度
_BYTE *__cdecl sub_401000(int *a1, int a2)
{
  int v2; // eax
  int v3; // esi
  size_t v4; // ebx
  _BYTE *v5; // eax
  _BYTE *v6; // edi
  int v7; // eax
  _BYTE *v8; // ebx
  int v9; // edi
  signed int v10; // edx
  int v11; // edi
  signed int v12; // eax
  signed int v13; // esi
  _BYTE *result; // eax
  _BYTE *v15; // [esp+Ch] [ebp-10h]
  _BYTE *v16; // [esp+10h] [ebp-Ch]
  int v17; // [esp+14h] [ebp-8h]
  int v18[4]; // [esp+18h] [ebp-4h]

  v2 = a2 / 3;
  v3 = 0;
  if ( a2 % 3 > 0 )
    ++v2;
  v4 = 4 * v2 + 1;                              // v4为长度
                                                // 
                                                // 当进行编码的数据长度是3的倍数时,len=strlen(str_in)/3*4;
                                                // 当进行编码的数据长度不是3的倍数时,len=(strlen(str_in)/3+1)*4;
                                                // 为Base64加密
  v5 = malloc(v4);
  v6 = v5;                                      // v6指向分配的动态内存空间
  v15 = v5;                                     // v15指向分配的动态内存空间
  if ( !v5 )
    exit(0);                                    // 动态分配内存失败,退出
  memset(v5, 0, v4);                            // 给分配的v5清零
  v7 = a2;
  v8 = v6;                                      // v8指向分配的动态内存空间
  v16 = v6;                                     // v16指向分配的动态内存空间
  if ( a2 > 0 )
  {
    while ( 1 )
    {
      v9 = 0;
      v10 = 0;
      v18[0] = 0;
      do
      {
        if ( v3 >= v7 )
          break;
        ++v10;
        v9 = *(a1 + v3++) | (v9 << 8);          // 将v9左移8位,然后与v9各个位二进制求或
      }
      while ( v10 < 3 );
      v11 = v9 << 8 * (3 - v10);                // v9向左移8的倍数位
      v12 = 0;
      v17 = v3;
      v13 = 18;
      do
      {
        if ( v10 >= v12 )
        {
          *(v18 + v12) = (v11 >> v13) & 63;
          v8 = v16;
        }
        else
        {
          *(v18 + v12) = 64;
        }
        *v8++ = byte_407830[*(v18 + v12)];      // byte_407830 存放 "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/="
                                                // 此处更证明了为Base64加密
        v13 -= 6;
        ++v12;
        v16 = v8;
      }
      while ( v13 > -6 );
      v3 = v17;
      if ( v17 >= a2 )
        break;
      v7 = a2;
    }
    v6 = v15;
  }
  result = v6;
  *v8 = 0;
  return result;
}

4.在原函数中,有写成功条件:

string[0]==v7[0]+34=='3'+34= 'U'

string[1]=v10='J'

string[2]=(3*'E'+141)/4='W'

string[3]='Z'/9*2*4='P'

v4="ak1w"

v5="V1Ax"

在sub_401000函数中,可以看出是Base64编码,所以我们可以将v4带入base64解码里头,可以得到

string[5]='j'

string[6]='M'

string[7]='p'

同理可以得到:string[4]='1'

string="UJWP1jMP"

所以flag就是flag{UJWP1jMP}

0x3 总结

     .base64加密的特征:

        存有“A~Za~z0~9+/=”

        数组长度是3的倍数-》直接长度÷3*4,若不是,则÷③后+1再×4

        

LeeOrange_13
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buuctf 刮开有奖wp
Reslu0515的博客
08-08 367
buuctf 刮开有奖 正常EXE文件,无壳,直接打开。 毫无反应,ENTER退出,拖入IDA。 找到主要部分,开始分析程序。 BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4) { const char *v4; // esi const char *v5; // edi int v7; // [esp+8h] [ebp-20030h] int v8; // [esp+Ch] [ebp-
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
BUUCTF 刮开有奖(特别详细了,尽自己全力理解所写)
太阳照耀我走四方
08-13 5197
title: BUUCTF 刮开有奖 date: 2021年8月13日 15点23分 tags: BUUCTF categories: BUUCTF 自己的心声(痛骂wp抄袭狗) 这道题,其实有点坑,对于目前的我来说,还是有点难度的。 在复盘之前,我想对网上一些直接抄袭别人文章的人说,可真tm不要脸啊。你若跟着别人的wp,把题做出来了,自己跟着软件啥的,实验成功之后,写一篇wp啊,抄袭别人的。主要tm一个字不改,也不说是抄袭的。 本来做题没思路了,做不下去了,想看一篇高质量的wp,跟着大佬学一学,百度一下.
BUUCTF--刮开有奖
weixin_30876945的博客
09-08 1776
文件链接:https://buuoj.cn/files/abe6e2152471e1e1cbd9e5c0cae95d29/8f80610b-8701-4c7f-ad60-63861a558a5b.exe?token=eyJ0ZWFtX2lkIjpudWxsLCJ1c2VyX2lkIjoxOTAzLCJmaWxlX2lkIjoyMDd9.XXT5Dg.7mQMViMZzaEYSVj_dfX...
[buuctf]刮开有奖
逆向萌新的博客
08-11 1536
buuctf 刮开有奖
BUUCTF-Reverse-刮开有奖
Fzuim的博客
01-28 375
直接IDA打开分析,这个exe是32位程序。 关键窗口函数,String字符串从v18~v25,共8个字符。 字符串处理核心代码区。sub_4010F0对字符串 ZJSECaNH3ng,进行处理,直接扣出来,运行一下。 // TestDemo.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <windows.h> typedef DWORD _DWORD; int sub_4010F0(char* a1, int a2, int
[BUUCTF]REVERSE——刮开有奖
mcmuyanga的博客
11-02 2378
刮开有奖 附件 步骤: 例行检查,无壳,32位程序 32位ida载入,shift+f12检索程序里的字符串,看到了一个base64加密的特征字符串,猜想这题用到了base64加密 从main函数开始看程序 DialogBoxParam函数百度后得知是根据对话框模板资源创建一个模态的对话框,直接看函数主体 if ( a2 == 272 ) return 1; if ( a2 != 273 ) return 0; if ( (_WORD)a3 == 1001 )
2023江苏省赛任务三CTF-Reverse
12-10
1.对RE1进行逆向分析,找出文件中的FLAG并提交;(8分) 2.对RE2进行逆向分析,找出文件中的FLAG并提交;(12分) 3.对RE3进行逆向分析,找出文件中的FLAG并提交;(15分) 4.对RE4进行逆向分析,找出文件中的...
ctf-all-in-one
01-30
ctf-all-in-one
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
CTF逆向(reverse)入门脑图
10-25
CTF逆向(reverse)入门脑图,xmind格式文件。Reverse即逆向工程,题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。主要考查参赛选手的逆向分析能力。 仅供CTF竞赛参考使用,请不要做违法乱纪的事情
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
buuctf——刮开有奖
yhfgs的博客
05-28 516
1.get文件,查壳。 无壳,32位wen'ai
BUUCTF_刮开有奖
weixin_46009088的博客
10-18 1669
BUUCTF_刮开有奖 打开程序,一个大大的刮开有奖,没有其他有用的信息…,如图: 用IDA载入,找到WinMain函数,按F5载入,如图: 看到DialogBoxParamA函数,该函数从对话框模板资源创建模式对话框,应用程序可以使用此值初始化对话框控件(MSDN文档截取的)。既然有初始化对话框,那么必然有读取对话框的函数,我们点进DialogBoxParamA找一下,如图: 噢!看到了GetDlgItemTextA函数,我们发现他在DialogFunc中,我们用F5载入它看看,如下: BOOL.
BUUCTF reverse 刮开有奖
goat_2003的博客
06-18 167
每天一道ctf,能多不能少 题目链接 下载好以后双击点开 发现是这么个玩意儿,但我们却没法对它进行操作,好吧,查一下壳,然后直接用ida打开,查看主函数,这里我发现主函数是这种的 学识短浅的我只能去百度,大概了解了一下:windows支持两种应用程序,一种是一种是基于控制台用户界面的应用程序(Console User Interface,简称CUI),另一种是基于图形用户界面的程序(Graphic User Interface,简称GUI)。然后main函数和WinMain函数分别是这两种应用程序的主函
BUUCTF Reverse/刮开有奖
ookami6497的博客
07-16 216
BUUCTF Reverse/刮开有奖 一个没有加壳的32位程序 用IDA32位打开,找到start,查看伪码 找到main函数 继续跳转 接下来就是分析代码了 INT_PTR __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4) { const char *v4; // esi const char *v5; // edi int v7[2]; // [esp+8h] [ebp-20030h
BUUCTF逆向第14题刮开有奖
最新发布
Knozya的博客
01-31 778
而我们已知flag长度为8,后六位我们解码已得出,但是不知道顺序,现在需推断出前两位,因为上面破解的长字符串中(也就是sub_4010F0中)的结果可知前两位为'U' 'J',又因为第三位为‘W’接下来我们继续跟进sub_401000,内容多的有点懵了,往下滑发现有个byte_407830可以跟进。又发现sub_4010F0和sub_401000可能对字符串做出了改变,分别跟进,先跟进前者,如下。跟进后不难发现为base64编码形式,也就是说我们需要对其所对应的v4和v5进行解码,结果如下。
buuctf-re-刮开有奖
qianmengfusheng的博客
03-13 753
什么都别说,上来就是直接ida(如果函数不对就是有壳) 很快乐,没有壳 直接在winMain上F5,DialogBoxParamA(hInstance, (LPCSTR)0x67, 0, DialogFunc, 0); 众所周知,对话框的处理函数是自己传进去的也就是 DialogFunc 点进去 找到了{ MessageBoxA(hDlg, "U g3t 1T!", "@_...
CTF reverse
12-25
CTF reverseCTF逆向工程)是指在CTF竞赛中涉及到的逆向分析和破解技术。逆向工程是通过对软件进行反汇编、反编译等操作,来理解其内部结构和实现原理的过程。在CTF reverse中,参赛选手需要具备较强的逆向分析能力,能够通过逆向分析来猜测软件的功能和实现思路,并进行验证。 CTF reverse的主要目标是解决给定的逆向工程问题,例如破解密码、还原加密算法、分析恶意软件等。参赛选手需要使用逆向工程技术来分析和理解给定的程序或者二进制文件,找出其中隐藏的信息和漏洞,并利用这些信息来解决问题。 在CTF reverse中,常用的工具包括IDA Pro、OllyDbg、Ghidra等。参赛选手可以使用这些工具来进行反汇编、反编译、调试等操作,以便深入理解程序的运行机制和逻辑。 总结起来,CTF reverse是一项需要逆向分析能力的竞赛项目,参赛选手通过对软件进行逆向工程来解决给定的问题。这需要他们具备扎实的逆向分析技术和对计算机系统的深入理解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LeeOrange_13

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值