20211026gfsj_re_babyre

最新推荐文章于 2024-11-07 10:27:17 发布
最新推荐文章于 2024-11-07 10:27:17 发布
阅读量416 收藏
点赞数
文章标签: php 数据库 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leong_Vinson/article/details/123870981
版权

二进制文件

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [rsp+0h] [rbp-20h]
  int v5; // [rsp+18h] [rbp-8h]
  int i; // [rsp+1Ch] [rbp-4h]

  for ( i = 0; i <= 181; ++i )
  {
    envp = (const char **)(*((unsigned __int8 *)judge + i) ^ 0xCu);
    *((_BYTE *)judge + i) ^= 0xCu;
  }
  printf("Please input flag:", argv, envp);
  __isoc99_scanf("%20s", &s);
  v5 = strlen(&s);
  if ( v5 == 14 && (unsigned int)judge(&s) )//输入长度为14的字符串,judge()这个应该是函数?
      										//但在IDA中打不开
    puts("Right!");
  else
    puts("Wrong!");
  return 0;
}

看一下汇编怎么说

.text:0000000000400637
.text:0000000000400637 loc_400637:
.text:0000000000400637 cmp     [rbp+var_4], 0B5h;b5=181
.text:000000000040063E jle     short loc_4

.text:0000000000400640 mov     edi, offset format ; "Please input flag:"
;绕过182次循环,直接在这里下断点
.text:0000000000400645 mov     eax, 0
.text:000000000040064A call    _printf
.text:000000000040064F lea     rax, [rbp+s]
.text:0000000000400653 mov     rsi, rax
.text:0000000000400656 mov     edi, offset a20s ; "%20s"
.text:000000000040065B mov     eax, 0
.text:0000000000400660 call    ___isoc99_scanf
.text:0000000000400665 lea     rax, [rbp+s]
.text:0000000000400669 mov     rdi, rax        ; s
.text:000000000040066C call    _strlen
.text:0000000000400671 mov     [rbp+var_8], eax
.text:0000000000400674 cmp     [rbp+var_8], 0Eh;字符串长度14
.text:0000000000400678 jnz     short loc_40

.text:000000000040067A mov     edx, offset judge;将judge偏移地址存进edx
.text:000000000040067F lea     rax, [rbp+s]
.text:0000000000400683 mov     rdi, rax;将段地址存进rdi
.text:0000000000400686 call    rdx ; judge	;运行judge函数,关注rdx的值
.text:0000000000400688 test    eax, eax
.text:000000000040068A jz      short loc_4

.text:000000000040068C mov     edi, offset s   ; "Right!"
.text:0000000000400691 call    _puts
.text:0000000000400696 jmp     short loc_4006A2

虚拟机开起来

gdb babyre
b *(0x400640)				;下断点跳过循环
r							;运行至断点处
n							;步过

 ► 0x400686 <main+128>    call   rdx <judge>
        rdi: 0x7fffffffdd20 ◂— '77777777777777'
        rsi: 0x1
        rdx: 0x600b00 (judge) ◂— 0xd87d8948e5894855
        rcx: 0xd20
 
   0x400688 <main+130>    test   eax, eax
   0x40068a <main+132>    je     main+146 <main+146>

s							;步入函数

   0x600b01 <judge+1>     mov    rbp, rsp
   0x600b04 <judge+4>     mov    qword ptr [rbp - 0x28], rdi
   0x600b08 <judge+8>     mov    byte ptr [rbp - 0x20], 0x66
   0x600b0c <judge+12>    mov    byte ptr [rbp - 0x1f], 0x6d
   0x600b10 <judge+16>    mov    byte ptr [rbp - 0x1e], 0x63
 ► 0x600b14 <judge+20>    mov    byte ptr [rbp - 0x1d], 0x64
   0x600b18 <judge+24>    mov    byte ptr [rbp - 0x1c], 0x7f
   0x600b1c <judge+28>    mov    byte ptr [rbp - 0x1b], 0x6b
   0x600b20 <judge+32>    mov    byte ptr [rbp - 0x1a], 0x37
   0x600b24 <judge+36>    mov    byte ptr [rbp - 0x19], 0x64
   0x600b28 <judge+40>    mov    byte ptr [rbp - 0x18], 0x3b
   0x600b2c <judge+44>    mov    byte ptr [rbp - 0x17], 0x56
 ► 0x600b30 <judge+48>    mov    byte ptr [rbp - 0x16], 0x60
   0x600b34 <judge+52>    mov    byte ptr [rbp - 0x15], 0x3b
   0x600b38 <judge+56>    mov    byte ptr [rbp - 0x14], 0x6e
   0x600b3c <judge+60>    mov    byte ptr [rbp - 0x13], 0x70
   0x600b40 <judge+64>    mov    dword ptr [rbp - 4], 0

进入函数后看到一串赋值,且刚好长度为14,但不是输入jjjjjj…,所以可能这就是judge中存的flag。

66 6d 63 64 7f 6b 37 64 3b 56 60 3b 6e 70

但拿去转成字符串发现是一串乱码pn;`V;d7k(小三角)dcmf,好吧不是flag,再继续看看

   0x600b40 <judge+64>    mov    dword ptr [rbp - 4], 0;[rbp - 4]=0
   0x600b47 <judge+71>     jmp    judge+113 <judge+113>
    ↓
 ► 0x600b71 <judge+113>    cmp    dword ptr [rbp - 4], 0xd
 ;从0开始循环至13,一共14次,可能下面这个循环是转化函数
   0x600b75 <judge+117>    jle    judge+73 <judge+73>
    ↓
   0x600b49 <judge+73>     mov    eax, dword ptr [rbp - 4];eax=0
   0x600b4c <judge+76>     movsxd rdx, eax;rdx=0
   0x600b4f <judge+79>     mov    rax, qword ptr [rbp - 0x28];rax=输入的字符串
   0x600b53 <judge+83>     add    rax, rdx;rax[0]='j'
   0x600b56 <judge+86>     mov    edx, dword ptr [rbp - 4];edx=0
   0x600b59 <judge+89>     movsxd rcx, edx;rcx=0
   0x600b5c <judge+92>     mov    rdx, qword ptr [rbp - 0x28];rdx=输入的字符串
   0x600b60 <judge+96>     add    rdx, rcx;rdx[0]='j'
   0x600b63 <judge+99>     movzx  edx, byte ptr [rdx];edx[0]=0x6a
 ► 0x600b66 <judge+102>    mov    ecx, dword ptr [rbp - 4];ecx=0
   0x600b69 <judge+105>    xor    edx, ecx;edx与ecx异或,0x6a^0=0x6a
   0x600b6b <judge+107>    mov    byte ptr [rax], dl;rax[0]=6a
   0x600b6d <judge+109>    add    dword ptr [rbp - 4], 1;[rbp-4]=1
   0x600b71 <judge+113>    cmp    dword ptr [rbp - 4], 0xd;与13相比
   0x600b75 <judge+117>    jle    judge+73 <judge+73>
    ↓
   0x600b49 <judge+73>     mov    eax, dword ptr [rbp - 4];eax=1
   0x600b4c <judge+76>     movsxd rdx, eax;rdx=1
   0x600b4f <judge+79>     mov    rax, qword ptr [rbp - 0x28];rax=输入的字符串
 ► 0x600b53 <judge+83>     add    rax, rdx;rax[1]='j'
   0x600b56 <judge+86>     mov    edx, dword ptr [rbp - 4];edx=1
   0x600b59 <judge+89>     movsxd rcx, edx;rcx=1
   0x600b5c <judge+92>     mov    rdx, qword ptr [rbp - 0x28];rdx=输入的字符串
   0x600b60 <judge+96>     add    rdx, rcx;rdx[1]='j'
   0x600b63 <judge+99>     movzx  edx, byte ptr [rdx];edx[1]=0x6a
   0x600b66 <judge+102>    mov    ecx, dword ptr [rbp - 4];ecx=1
   0x600b69 <judge+105>    xor    edx, ecx;edx与ecx异或,0x6a^1=0x6b
   0x600b6b <judge+107>    mov    byte ptr [rax], dl;rax[1]=6b
   0x600b6d <judge+109>    add    dword ptr [rbp - 4], 1;[rbp-4]=2
   0x600b71 <judge+113>    cmp    dword ptr [rbp - 4], 0xd;与13相比
   0x600b75 <judge+117>    jle    judge+73 <judge+73>

exp

int flag[14]={0};
int judge[14]={0x66, 0x6d, 0x63, 0x64, 0x7f, 0x6b, 0x37, 0x64, 0x3b, 0x56, 0x60, 0x3b, 0x6e, 0x70};
int i;
for(i=0; i<14; i++)
{
    judge[i] = judge[i]^i;
    printf("%c",(char)flag[i]);
}
//flag{n1c3_j0b}
v5le0n9
关注
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界-Reverse-BABYRE
P_Bloomberg的博客
08-08 536
附件是.exe文件,放入ExeInfoPE中,发现是linux可执行文件 放入IDA64中,F5查看伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { char s[24]; // [rsp+0h] [rbp-20h] BYREF int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i <= 181;
国内GMP大型制药企业全套文件目录参考.pdf
12-16
6. 药品生产设施和设备的管理:诸如“GFSJ-16”、“GF300”、“ZLK-180”等可能是制药企业中的特定设备或设施的型号标识。GMP要求企业必须对生产设施和设备进行适当的维护、清洁、校准和验证,以保证其能够稳定地...
PHP-FPM 性能配置优化
陈万洲的专栏
11-05 793
FastCGI 是的简称,是一种交互程序(此处是 PHP)与 Web 服务器之间的 通信协议。FastCGI 是早期通用网关接口(CGI)的增强版本。注意 FastCGI 和 CGI 都是一种通信协议,独立于任何语言。Web 服务器无须对语言有任何了解。除 PHPphp-fpm 外,像 Python, Ruby, Perl, Tcl, C/C++, 和 Visual Basic 都有其各自的 CGI 和 FastCGI 实现。
jfrog artifactory oss社区版,不支持php composer私库
天草二十六
11-05 486
安装环境:centos操作系统,root用户。如果是mac或ubuntu等操作系统的话,会有许多安装的坑等着你。一切都是徒劳,安装折腾那么久,最后还是不能使用。这就是写本文的初衷,切勿入坑就对了。
跳蚤市场之商品发布功能
水寿十八公专栏
11-05 640
上述代码中,我们首先定义了一个大类和小类的对应关系`categoryMapping`,然后通过JavaScript获取到大类和小类的select元素,并监听大类select的变化。在`updateMinorCategoryOptions`函数中,我们首先清空小类的options,然后根据所选的大类获取对应的小类数组,并通过遍历创建小类的options。如果用户已经登录,并且会话中的`is_logged_in`键的值为`true`,则输出"用户已经登录"。否则,输出"用户未登录"。
Automattic 和 Matt Mullenweg 要求驳回 WP Engine 诉讼案中的关键索赔
WP站长
11-03 1062
Automattic 和 Matt Mullenweg 已提交回应,要求法院驳回 WP Engine 诉讼中的第 1-6 项和第 9-11 项指控。WP Engine 于 2024 年 10 月 18 日向北加州法院提交了一份动议,要求获得初步禁令,寻求恢复对 WordPress.org 的访问,并恢复到 2024 年 9 月 20 日的状态。作为回应,Automattic 提交了三份关键文件:驳回 WP Engine 投诉的动议、撤销动议以及反对 WP Engine 初步禁令的动议。
【无标题】
m0_52150489的博客
11-03 301
【代码】【无标题】
基于PHP的设云尘资讯网站设计与实现
程序猿麦小七
11-04 439
本系统设计是基于PHP的信息资讯网站的设计与实现,可以提供给用户便捷的平台。用PHP主流技术建设云尘资讯网站实现信息化的传播,采用THML以及CSS样式建立WEB网页,使得用户访问前端页面优美丰富,能够分享社会事迹、娱乐资讯、科学探究以及搞笑趣事等信息,充分的发挥现在信息化技术的优势,提供给用户闲暇时的阅读和了解,简单快速的获取自己想要的信息。使用到的工具和技术都是开源免费的。首页、登录注册、失物找寻、社会纪实、搞笑专栏、娱乐资讯、科学探究。网站首页、网站管理、内容管理、扩展管理、模板插件、系统管理。
n1book web1信息收集
shierbai的博客
11-03 285
2..index.php.swp这样的会触发下载,需要使用vim -r index.php.swp去做修复才能看。可以使用dirsearch的--delay n和-t n控制延时和线程数量避免429。访问robots.txt,访问里面给出的接口拿到第一部分flag。最后使用curl -o 1.swp xxxxxx(靶场url)1.使用目录扫描工具会遇到429请求过多。再vim -r 1.swp得到第三段。访问index.php~得到第二段。使用dirsearch扫描。
考公人数攀升?地信、测绘、地质、遥感等专业,能报考哪些单位
2403_88103571的博客
11-05 600
近年来,考公人数持续飙升,国考报名人数更逐年攀升。国考报名人数再创新高。政府办公室、自然资源规划局、市场监管局、住房与城乡建设局、能源市场监管局、应总管理局、机关事务管理局、税务局、城市管理局、乡村振兴局、街道办。测绘地理信息局、地震局、水利部、统计局、园林局、海关、自然资源和规划局、住房保障和房地产管理局。测绘地理信息局、地震局、水利湖、统计局、消防、海关、自然资源和规划局、住房保障和房地产管理局。士木工程、建筑环境与能源应用工程、给排水科学与工程、建筑电气与智能化、城市地下空间工。
[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DarkHole:1 通关详解 (附靶机搭建教程)
qq_51577576的博客
11-04 856
[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DarkHole:1 通关详解 (附靶机搭建教程) 从信息收集到拿到低权限,最后提权获取最高权限,详细解读
PHP常量
m0_64315223的博客
11-05 970
但是只需要在后方加上true,就不会区分大小写, PHP 7.3.0 开始,定义不区分大小写的常量已被弃用。· 一个常量由英文字母、下划线、和数字组成,但数字不能作为首字母出现。(常量名不需要加 $ 修饰符)。·PHP 中的常量是指一旦定义后将不能被改变的标识符。·常量可以用const和define()来定义。· 不能使用$符号,否则会获取不到常量。
​​​​​​​PHP类型比较
m0_64315223的博客
11-04 707
严格比较:用三个等号 === 比较,除了比较值,也比较类型。·松散比较:使用两个等号 == 比较,只比较值,不比较类型。在php中符号分为两种,一种是==,还是一种是===·注意=,当一个=号时,是赋值而不是比较。
asp.net+uniapp养老助餐管理系统 微信小程序
qq2295116502的博客
11-05 791
以往流浪猫狗的救助网站相关信息的管理,都是工作人员手工统计。这种方式不但时效性低,而且需要查找和变更的时候很不方便。随着科学的进步,技术的成熟,计算机信息化也日新月异的发展,社会也已经深刻的认识,计算机功能非常的强大,计算机已经进入了人类社会发展的各个领域,并且发挥着十分重要的作用。本系统利用网络沟通、计算机信息存储管理,有着与传统的方式所无法替代的优点。比如计算检索速度特别快、可靠性特别高、存储容量特别大、保密性特别好、可保存时间特别长、成本特别低等。
yii 常用一些调用
weixin_39289004的博客
11-06 375
yii 常用一些调用 (增加中) 调用YII框架中 jquery:Yii::app()->clientScript->registerCoreScript(‘jquery’); framework/web/js/source的js,其中registerCoreScript key调用的文件在framework/web/js/packages.php列表中可以查看 在view中得到当前c...
PHP弱类型安全问题
sheji888的专栏
11-07 395
PHP弱类型安全问题主要源于PHP语言的弱类型特性,这种特性允许变量在不同类型之间自由转换,并在比较时进行自动的类型转换。
PHP单商户多门店会员管理系统小程序源码
2401_84413944的博客
11-04 456
在如今的零售市场,单商户多门店的经营模式越来越普遍,但如何高效管理这些分散门店的会员信息,成为了商家们的一大挑战。单商户多门店会员管理系统应运而生,它通过一个统一的平台,将所有门店的会员数据整合起来,实现了一“码”当先,多店联动的会员管理新纪元。无论是积分累积、优惠券发放,还是会员等级提升,会员只需携带一个二维码或手机号,即可在所有门店享受同等的会员待遇,真正做到了无缝消费体验。这些宝贵的数据,为商家提供了精准营销的依据,帮助商家更好地了解会员需求,制定个性化的营销策略,提升会员满意度和忠诚度。
PHP+MySQL开发的一套招聘管理系统开发案例源码功能介绍
vd15528175269的博客
11-04 427
‌‌,也称为(HRMS)的细化分支,是一种基于互联网的招聘管理平台。它旨在协助企业以更高效的方式完成外部人才的吸引、识别、筛选及录用工作。在国外,这种系统常被称为(ATS)、(TAS)或‌。
Xserver v1.4.2发布,支持自动重载 nginx 配置
最新发布
yanwushu的博客
11-07 205
🎉 保存站点信息和手动修改 vhost 配置文件之后,自动重载 nginx 配置。🐞 fix bug : 保存站点文件时,覆盖用户 vhost 配置的错误。🐞 fix bug : root 密码不支持空格,给出提示。🎉 下载依赖组件时,显示进度条,展示下载进度。本次更新为大家带来了更好的用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值