RE | BUUCTF 刮开有奖1

于 2024-04-25 18:34:52 发布
阅读量655 收藏 13
点赞数 23
分类专栏: CTF 文章标签: re ctf 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mintind/article/details/138185819
版权

题目:BUUCTF 刮开有奖1
参考:
BUUCTF 刮开有奖(特别详细了,尽自己全力理解所写)(这是主参考,写得很详细
BUUCTF_刮开有奖(主参考的参考,思路很清晰

我是大菜鸡…尽力写自己的理解了,哪里有不对的希望指正

主函数分析

首先查壳无壳32位,ida32打开,看字符串
有一个疑似u get it的东东
在这里插入图片描述点进去,看这个DialogFunc函数(好眼熟的函数名
在这里插入图片描述
分析一下
首先获取了一个string,并且string长度为8
一系列的赋值,后面是不知道干嘛的函数,疑似对v7这一串进行了魔改,而且v7以及后面一串赋值都在char范围内,后边又传参v7,怀疑是(隔开放的?)char数组
在这里插入图片描述然后把string的一部分赋给v18,然后v4、v5由v8魔改而来
在这里插入图片描述最后对string和v7进行一系列比较,对v4、v5加限制,条件全部满足就输出u get it
在这里插入图片描述现在就比较明朗了,我们要构造一个string满足最后的所有条件,就是flag(大概吧

把魔改后的v7搞出来

我一看这种函数就头疼…看不懂一点…看别人的题解才发觉,其实不用看懂啊,你c语言复现一下不就行了!!

注意点:

  1. v7 int数组改char,删掉所有DWORD
  2. *(a1 + 4 * i)这种要改成a1[i],因为ida中定义的是int数组,int占四个字节,而我们改成char数组了,char只占一个字节,还用*(a1 + 4 * i)就会变成a1[4*i]
  3. 见代码注释,有一个*(a1 + v5)要改成a1[v5 / 4](其实好像和i还是有关联的但是我懒得看了
#include <vector>
#include <iostream>
#include <cstdio>
#include <algorithm>
using namespace std;

typedef long long ll;
const int N = 1e5 + 5;

int sub_4010F0(char *a1, int a2, int a3)
{
  int result; // eax
  int i; // esi
  int v5; // ecx
  int v6; // edx

  result = a3;
  for ( i = a2; i <= a3; a2 = i )
  {
    v5 = 4 * i;
    v6 = a1[i];
    //v6 = i[a1];
    if ( a2 < result && i < result )
    {
      do
      {
        if ( v6 > a1[result] )
        {
          if ( i >= result )
            break;
          ++i;
          //特别注意这里,写a1[i] = a1[result]是不行的,因为v5和现在的i*4已经不相等了
          a1[v5 / 4] = a1[result];
          if ( i >= result )
            break;
          while ( a1[i] <= v6 )
          {
            if ( ++i >= result )
              goto LABEL_13;
          }
          if ( i >= result )
            break;
          v5 = 4 * i;
          a1[result] = a1[i];
        }
        --result;
      }
      while ( i < result );
    }
LABEL_13:
    a1[result] = v6;
    sub_4010F0(a1, a2, i - 1);
    result = a3;
    ++i;
  }
  return result;
}

int main()
{
	char v7[] = {90,74,83,69,67,97,78,72,51,110, 103};
	
    sub_4010F0(v7, 0, 10);
    cout << v7 << endl;
	return 0;
}

得到3CEHJNSZagn
在这里插入图片描述

拼出flag

(把string改名flag了)已知:

在这里插入图片描述前几行只涉及flag和v7数组,我们已经知道了,可以直接得到flag前几位
在之前求v7的代码后边加上几行:

str[0] = v7[0] + 34;
str[1] = v7[4];
str[2] = (char)((int)(3 * v7[2] + 141) / 4);
str[3] = 2 * (v7[7] / 9) * 4;
cout << str << endl;

得到flag[0-3] = UJWP在这里插入图片描述后两行要求v4=ak1w,v5=V1Ax
再看前面,v4v5都是从flag中截取一部分,再经过sub_401000函数得到
在这里插入图片描述看看这个函数
在这里插入图片描述看看这个byte_407830,char数组,大小写字幕数字和=
在这里插入图片描述再加上v4v5原本长度是4,处理完确只用了三个
合理怀疑是base64(?
找个网站解码
在这里插入图片描述得到

v4:ak1w <- jMp
v5:V1Ax <- WP1

再根据v18和flag的对应关系

//v18: jMp
v18[0] = flag[5];
v18[2] = flag[7];
v18[1] = flag[6];
//v18: WP1
v18[1] = flag[3];
v18[0] = flag[2];
v18[2] = flag[4];

得出flag[5-7] = jMpflag[2-4] = WP1
最终flag数组就是UJWP1jMp
(话说这里解出flag的2-7,跟前面与v7比较得到的flag0-3有重合啊怎么回事,虽然是一样的)

过了
在这里插入图片描述

感觉学会了很多又好像没学会…

Mintind
关注
  • 23
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cancas 手动
07-29
cancas 手动
2020中国发者有大调查.pdf
01-21
CSDN-2020中国发者有大调查
BUUCTF (特别详细了,尽自己全力理解所写)
太阳照耀我走四方
08-13 4992
title: BUUCTF date: 2021年8月13日 15点23分 tags: BUUCTF categories: BUUCTF 自己的心声(痛骂wp抄袭狗) 这道题,其实有点坑,对于目前的我来说,还是有点难度的。 在复盘之前,我想对网上一些直接抄袭别人文章的人说,可真tm不要脸啊。你若跟着别人的wp,把题做出来了,自己跟着软件啥的,实验成功之后,写一篇wp啊,抄袭别人的。主要tm一个字不改,也不说是抄袭的。 本来做题没思路了,做不下去了,想看一篇高质量的wp,跟着大佬学一学,百度一下.
[buuctf]
逆向萌新的博客
08-11 1518
buuctf
BUUCTF——
fzucaicai的博客
11-11 715
有个GetDlgItemText,我实在没搞懂,明明没有用MFC画出对话框,为什么要来一个GetDlgItemText获取输入框内容,并传给了edit_string。直接找到WinMain,发现里面只有一个对话框API(如果只有一个对话框,那真就没有输入框了),CallBack函数是DialogFunc。这里有几个比较坑的点,sub_4010F0这个函数的第一个参数是地址,但是我们追进去发现IDA对类型判断有误。按照这个解密,v7[0],v10,v8,v16,v4,v5都知道了。进入DialogFunc。
BUUCTF逆向第14题
Knozya的博客
01-31 718
而我们已知flag长度为8,后六位我们解码已得出,但是不知道顺序,现在需推断出前两位,因为上面破解的长字符串中(也就是sub_4010F0中)的结果可知前两位为'U' 'J',又因为第三位为‘W’接下来我们继续跟进sub_401000,内容多的有点懵了,往下滑发现有个byte_407830可以跟进。又发现sub_4010F0和sub_401000可能对字符串做出了改变,分别跟进,先跟进前者,如下。跟进后不难发现为base64编码形式,也就是说我们需要对其所对应的v4和v5进行解码,结果如下。
[BUUCTF]
m0_68259687的博客
06-11 292
大概如下修改,将(a1+数字)视为数组里面的编号,其中注意将偏移中乘4操作去掉(机器语言地址+4),总的来说哪里红了改哪里。想起搜索字符串的时候搜到过base64 的base,猜测第二个处理的函数sub_40100为base64加密。进入对v7进行某种操作的函数sub_4010F0,分析后发现应该是要使用脚本来反推。按照下面这段的逻辑拼接出string即为flag。随手在函数和字符串中搜索flag,没有发现。双击进入DialogFunc这个函数,分析。拖入IDA中,嗯,看函数应该没有加壳。
在线知识答题有v1.5.6.zip
10-19
1. 更新微信获取用户昵称头像的官方新接口 2. 新提交微信审核的小程序需要更新
Uniapp有猜歌游戏系统源码 带流量主
11-13
猜歌游戏是一款基于uni-app、uniCloud、uniAD 发的小游戏,通过猜歌曲、观看广告赚取现金励。 本游戏基本特征如下: 玩家可以通过猜歌、做任务等方式直接获取现金励 玩家可以通过猜歌、拆红包、做任务等...
微信小程序在线成语接龙答题有猜灯谜小程序源码可流量主
04-30
微信小程序在线成语接龙答题有源码是一款搭建在微擎上使用的 里面有成语接龙、答题有、猜灯谜 成语接龙答题有红包,可配合流量主推广,广告变现,后台含有区间余额区间励配置,自定义金额提现配置; 答题...
BUUCTF Reverse刷题笔记03——
Taikx的博客
06-11 313
一、运行程序 二、拉入ExeinfoPe分析 三、拉入32位IDA分析 进入main函数,F5查看伪代码 int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) { DialogBoxParamA(hInstance, (LPCSTR)0x67, 0, DialogFunc, 0); return 0; } 进入DialogFunc函数 BOOL __.
BUUCTF_
weixin_46009088的博客
10-18 1627
BUUCTF_程序,一个大大的,没有其他有用的信息…,如图: 用IDA载入,找到WinMain函数,按F5载入,如图: 看到DialogBoxParamA函数,该函数从对话框模板资源创建模式对话框,应用程序可以使用此值初始化对话框控件(MSDN文档截取的)。既然有初始化对话框,那么必然有读取对话框的函数,我们点进DialogBoxParamA找一下,如图: 噢!看到了GetDlgItemTextA函数,我们发现他在DialogFunc中,我们用F5载入它看看,如下: BOOL.
BUUCTF逆向wp
最新发布
2302_81740139的博客
02-05 638
接着对v7到v16都进行了一个赋值,且在变量声明中v7到v16的地址是连续的,所以sub_4010F0该函数对这几个都进行了处理。解出string0和string1的话,在原来的C语言代码中把最后的注释//删掉,之后运行可以得到flag的前两位U和J。第五步 回到伪代码界面,黄色为base6加密先不看,先解码红色部分的,解出后便可得到string后六位的结果。注意:string数组赋值给v18的时候的顺序是错乱的,需要手动排序一下,再结合之前两位U和J。V18则是获取了string数组里的部分元素。
BUUCTF第十二、十三、十四题解题思路
EVANGELION_01a的博客
02-04 858
当(a1 + 4 * i)的值小于v6时,如果i自增后的值大于等于result,转到LABLE_13,分析一下这个函数:将(a1 + 4 * result)的值赋给v6,将a1,a2,i-1作为sub_4010F0函数的输入执行该函数,将a3的值赋给result,返回result的值。在if循环中,判断v7[0]+34与string[0]是否相等,v7[0]+34的值为U,则string[0]的值为U,判断v10与string[1]是否相等,v10= J,则string[1]=J。结果为base64加密。
BUUCTF reverse
firfis的博客
04-25 1553
一、 所需工具: IDA(反编译工具) exeinfope(查壳工具) CaptfEncoder(编码转换) 题解: 拖入exeinfope 检查是否套壳[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 发现并没有。 查看文件是32位还是64位。方法如下:使用记事本直接打你的exe文件。只要看第二行即可,第二行头不远处有PE两个字母,再后面两个空格后第三个字符就是标记了,如果是字母L的话,就是32位应用程序,如果是d?就表示是64位应用程序。 将.exe文
[BUUCTF]REVERSE------
BangSen1的博客
01-25 323
例行检查,无壳,32bit 32位IDA打,shift+f12查看字符串,看到了一个base64加密的字符串。 进入主函数 查看函数 已经对函数进行部分注释,下面进行base64解密。 String总共是8位,这是String的存储 base64加密的汇编指令处 根据相对应的位置,String的第一位是经过sub_4010F0函数后的第一位加上34,也就是"U",第二位是"J",第三、四、五位是v5,也就是"WP1",第六、七、八位是v4,也就是"jMp" flag{UJWP1
[BUUCTF]-RE wp
Kiwi23333的博客
10-05 378
[BUUCTF]-RE wp
BUUCTF Reverse 不一样的flag
A_dmin的博客
07-18 6162
BUUCTF Reverse 不一样的flag 一天一道CTF题目,能多不能少 题目提示: 下载文件用IDA打(32),直接查看主函数: int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // [esp+17h] [ebp-35h] int v4; // [esp+30h] [ebp-...
BUUCTF--rsa
weixin_30607659的博客
09-24 1765
测试文件:https://buuoj.cn/files/ed10ec009d5aab0050022aee131a7293/41c4e672-98c5-43e5-adf4-49d75db307e4.zip?token=eyJ0ZWFtX2lkIjpudWxsLCJ1c2VyX2lkIjoxOTAzLCJmaWxlX2lkIjoyMDV9.XYl7ag.BZcdhjGojXT726Y0wj4...
buuctf逆向
08-06
根据提供的引用内容,这段代码是一个用C语言编写的函数,名为sub_4010F0。它的功能是对输入的字符串进行某种处理。具体来说,它使用了一个...因此,如果想要了解buuctf逆向的具体内容,可能需要更多的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值