20210929gfsj_re_csaw2013reversing2

最新推荐文章于 2024-08-29 14:28:28 发布
最新推荐文章于 2024-08-29 14:28:28 发布
阅读量95 收藏
点赞数
文章标签: php javascript html5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leong_Vinson/article/details/123767782
版权

题目描述:听说运行就能拿到Flag,不过菜鸡运行的结果不知道为什么是乱码

运行一下,出现弹窗,标题是flag,内容是好乱的码。查了一下,无壳,32位exe

拿去IDA分析

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  int v3; // ecx
  CHAR *lpMem; // [esp+8h] [ebp-Ch]
  HANDLE hHeap; // [esp+10h] [ebp-4h]

  hHeap = HeapCreate(0x40000u, 0, 0);
  lpMem = (CHAR *)HeapAlloc(hHeap, 8u, MaxCount + 1);
  memcpy_s(lpMem, MaxCount, &unk_409B10, MaxCount);
    //unk_409B10存的是乱码,复制到lpMem里
  if ( sub_40102A() || IsDebuggerPresent() )
  {
    __debugbreak();//跳出if语句,执行MessageBoxA语句
    sub_401000(v3 + 4, lpMem);//解码函数
    ExitProcess(0xFFFFFFFF);//退出程序
  }
  MessageBoxA(0, lpMem + 1, "Flag", 2u);//lpMem存的是flag
  HeapFree(hHeap, 0, lpMem);
  HeapDestroy(hHeap);
  ExitProcess(0);
}

所以在if语句中,我们要绕过__debugbreak();ExitProcess(0xFFFFFFFF);。回去看main的汇编代码

.text:00401083 call    sub_40102A
.text:00401088 test    eax, eax
.text:0040108A jnz     short loc_401096		;if的条件语句,要让它跳到96去

.text:0040108C call    ds:IsDebuggerPresent
.text:00401092 test    eax, eax
.text:00401094 jz      short loc_401089		;if的条件语句

.text:00401096
.text:00401096 loc_401096:
.text:00401096 inc     ecx
.text:00401097 inc     ecx
.text:00401098 inc     ecx
.text:00401099 inc     ecx
.text:0040109A int     3               ; Trap to Debugger	;产生中断
.text:0040109B mov     edx, [ebp+lpMem]
.text:0040109E call    sub_401000		;解密函数
.text:004010A3 jmp     short loc_4010EF
		;jmp EF直接退出,所以不能jmp到EF去,要jmp到B9调用MessageBox

.text:004010EF
.text:004010EF loc_4010EF:             ; uExitCode
.text:004010EF push    0FFFFFFFFh
.text:004010F1 call    ds:ExitProcess
.text:004010F1 _main endp
.text:004010F1

.text:004010B9						;弹窗	
.text:004010B9 loc_4010B9:             ; uType
.text:004010B9 push    2
.text:004010BB push    offset Caption  ; "Flag"
.text:004010C0 mov     eax, [ebp+lpMem]
.text:004010C3 inc     eax
.text:004010C4 push    eax             ; lpText
.text:004010C5 push    0               ; hWnd
.text:004010C7 call    ds:MessageBoxA

绿色线连着的表示条件为true时执行的逻辑,而红色线表示条件为false时执行的逻辑。

加载进OD,遇到问题下断点,直到在注释窗口遇到MessageBox函数,在函数上下附近找找,跟IDA以上相似的汇编代码,修改对应指令,就可得到flag。

jnz short 00ED1096	=>	jz short 00ED1096
int3	=>	nop
jmp short 00ED10EF	=>	jmp short 00ED10B9

flag{reversing_is_not_that_hard!}
v5le0n9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
20210929gfsj_re_maze
Leong_Vinson的博客
03-27 140
题目描述:菜鸡想要走出菜狗设计的迷宫 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { const char *v3; // rsi signed __int64 v4; // rbx signed int v5; // eax char v6; // bp char v7; // al const char *v8; // rdi __int64 v10; // [rsp+0h] [rbp-28h] v
gfsj(csaw2013reversing2
cainiao78777的博客
02-11 196
csaw2013reversing2 1.下载附件并查壳 32位,无壳 2.用ida打开找到main函数 (字符串无可用信息) 可以明显看到这是在提示用动态调试 这个sub_401000应该是属于解密函数 在看其他信息有这个int 3断点,和loc_4010B9输出窗口 所以大致猜测 思路就是取消断点,跳转至解密函数,再跳转至输出窗口。 拖入od 1.让程序跳转至解密函数 2.找到断点地址109A,并取消断点。 3.找到输出窗口地址,即10B9,在解密函数下面进行跳转。 得到flag 总结:
20211024gfsj_re_re2cpp
Leong_Vinson的博客
03-31 649
关键代码for循环,C++看得我头昏脑胀 for ( i = std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::begin(&v12); ; sub_400D7A(&i) ) { v14 = std::__cxx11::basic_string<char,std::char_traits<char>,std::allo
20211013gfsj_re_EasyRE
Leong_Vinson的博客
03-27 325
exeinfoPE.exe查壳,无壳,C++编译,32位可执行文件 IDA看看 sub_401050((const char *)&unk_402158, &v7);//scanf函数 v0 = strlen((const char *)&v7);//输入的长度 if ( v0 >= 0x10 && v0 == 24 )//长度等于24 { v1 = 0; v2 = (char *)&v8 + 7; do
攻防世界 -- very_easy_sql
weixin_48031371的博客
09-14 7578
攻防世界 -- very_easy_sql
[GFCTF 2021]Baby_Web(复现)
qq_53460654的博客
12-20 4750
打开环境 所以要我们读取上层目录的某个文件 所以我想应该会存在任意文件读取和路径穿越漏洞 然后标签有CVE-2021-41773 所以直接github拿到这个漏洞的 工具 payload 我们来读一下index.php.txt <?php error_reporting(0); define("main","main"); include "Class.php"; $temp = new Temp($_POST); $temp->display($_GET['filename']); ?
【XCTF】GFSJ0010:适合作为桌面
0leg的博客
07-28 1967
这看起来虽然是一道简单的图片隐写题,但后续涉及到python的编译与反编译,需要一定编程基础。
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界(练习区)——Misc 解题思路(一到三题)
Ryanax的博客
03-20 668
攻防世界(练习区)——Misc
一道关于php文件包含的CTF题
m0_62903168的博客
08-27 2188
这是index.php的页面。点击login后会发现url里多了action的参数,那么我们就可以通过它来获取源码。?再通过base64的解码可以查看源码。
使用 树莓派3B+ 对日本葡萄园进行经济实惠的环境监测
最新发布
EDATEC的博客
08-29 1150
然而,他也热衷于酿造 “优质葡萄酒”,随着他所居住的东京北部胜沼地区葡萄酒旅游业的兴起,他感觉到了商机。菊岛热衷于在他所谓的 “Hinno ”物联网系统中使用太阳能,日语中的 “Hinno ”表明这是一种简单的农民葡萄栽培方法,因为太阳能还可以用来为电栅栏供电,防止动物靠近作物。他还可以在办公室里随时观察大气状况。对于 菊岛邦夫—Vineyard Kikushima 而言,Raspberry Pi 生态系统提供了支持和信息,通过基于温度和湿度监测的有针对性的最低限度杀虫剂方案,来提高葡萄的健康产量。
Nginx的lnmp服务搭建
2201_75745826的博客
08-29 1082
nginx是一款功能强大的web服务器。和apache一样,有http和https两个服务。nginx功能强大,且库使用第三方模块,正反向代理等。Nginx默认采用多进程工作方式,Nginx启动后,会运行一个master进程和多个worker进程。其中master充当整个进程组与用户的交互接口,同时对进程进行监护,管理worker进程来实现重启服务、平滑升级、更换日志文件、配置文件实时生效等功能。worker用来处理基本的网络事件,worker之间是平等的,他们共同竞争来处理来自客户端的请求。
【Linux篇】网络请求和下载与端口
2301_80912559的博客
08-26 1478
如图,计算机A的微信连接计算机B的微信,A使用的50001即动态端口,临时找一个端口作为出口。计算机B的微信使用端口5678,即注册端口,长期绑定此端口等待别人连接。在win系统中,可以通过任务管理器选择进程后,点击结束进程从而关闭。IP地址相当于小区地址,在小区内可以有很多住户(程序)而门牌号(端口)就是各个住户(程序)的联系地址。为管理运行的程序,每一个程序在运行的时候,便被操作系统注册为系统中的一个进程。计算机程序之间的通讯,通过IP只能锁定计算机,但是无法锁定具体的程序。
【网络安全】XML-RPC漏洞之盲SSRF
等风来
08-27 324
我收到的响应是这样的,响应体中的状态为0,表示请求已成功发送:
Upload-Lab第20关:如何利用文件名可控漏洞?
didiplus
08-27 447
在Upload-Lab的第20关中,系统没有对上传文件的内容进行验证,而是仅对用户输入的文件名进行了检查。具体来说,系统使用文件后缀名的黑名单进行过滤,但由于上传的文件名是用户可控的,这为绕过机制提供了可能性。此外,函数还有一个特性,即它会忽略文件名末尾的/.,这可以被利用来绕过后缀名的黑名单检查,从而上传恶意文件。通过这一关的学习,我们可以深入理解 Apache 配置文件的作用及其在安全防护中的重要性。同时,这也提醒我们在设计和开发上传功能时,必须考虑到所有可能的攻击面,确保服务器配置的安全性和稳健性。
第三章 封装与继承
weixin_65279640的博客
08-28 1239
面向对象三大特征之一 ——封装概念:将类的某些信息隐藏在类内部,不允许外部程序直接访问,而是通过该类提供的方法来实现对隐藏信息的操作和访问把尽可能多的东西藏起来,对外提供便捷的接口。说白了就是把对象中的属性信息封装在对象类内部,不让用户直接使用类属性进行访问,而是定义一个方法作为类属性的接口提供给用户访问使用。封装的两个大致原则把所有的属性藏起来把尽可能多的东西藏起来,对外提供便捷的接口。
使用 Puppeteer 在 PHP 中解决 reCAPTCHA 以进行网页抓取
weixin_68994939的博客
08-28 1057
为了让您了解一些背景信息,reCAPTCHA 是一种旨在保护网站免遭自动化滥用的系统。它要求用户完成对人类来说很容易但对机器人来说很困难的任务,例如识别图像中的物体或选中一个框。虽然这些挑战对于安全来说非常有用,但它们对于网页抓取来说却很麻烦。:此版本以“我不是机器人”复选框和基于图像的挑战而闻名。用户可能需要点击图像或完成特定操作来证明他们不是机器人。它在区分真实用户和机器人方面非常有效。:此版本在后台运行。它不直接要求用户交互,而是分析用户在整个网站上的行为,并分配一个风险评分。
畅捷通CRM newleadset.php SQL注入漏洞复现
0xSec
08-26 572
用友畅捷CRM newleadset.php 处存在SQL注入漏洞 ,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
xss-labs通关攻略 11-15关
2301_82061181的博客
08-27 389
步骤二:修改User Agent:click me!" type="button" onmouseover="alert(/xss/)进行放包。步骤二:修改Cookie: user=click me!" type="button" onmouseover="alert(/xss/)" type="button" onmouseover="alert(/xss/)进行放包。name='步骤一:利用burp抓包。步骤一:利用burp抓包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值