oflo ---- N1ctf 2020

最新推荐文章于 2024-04-08 08:16:52 发布
最新推荐文章于 2024-04-08 08:16:52 发布
阅读量566 收藏 1
点赞数 3
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misaka10046/article/details/109283780
版权

首先打开程序,发现是个ELF文件,然后打开IDA找到main函数按F5试图反汇编,但是按了一下,发现好像不行。
在这里插入图片描述
然后看到下面有一串花指令,随手去掉。
在这里插入图片描述
然后发现上面有一堆数据,按c进行编译
在这里插入图片描述
发现编译了的下面还是有一串花指令,顺手去掉
在这里插入图片描述

整理
在这里插入图片描述
但是还是不能反编译,于是继续看。发现一串奇怪的代码,观察作用,发现并没有什么用,混淆编译器用的花指令。顺手拿掉,同样还发现程序里面有很多个这个。全部去掉。
在这里插入图片描述

.text:0000000000400B0E E8 03 00 00 00                          call    loc_400B16
.text:0000000000400B0E                         ; ---------------------------------------------------------------------------
.text:0000000000400B13 E8                                      db 0E8h
.text:0000000000400B14 EB                                      db 0EBh
.text:0000000000400B15 12                                      db  12h
.text:0000000000400B16                         ; ---------------------------------------------------------------------------
.text:0000000000400B16
.text:0000000000400B16                         loc_400B16:                             ; CODE XREF: sub_400A69+A5↑j
.text:0000000000400B16 58                                      pop     rax //把地址传到rax
.text:0000000000400B17 48 83 C0 01                             add     rax, 1 //地址加一
.text:0000000000400B1B 50                                      push    rax //压入
.text:0000000000400B1C 48 89 E0                                mov     rax, rsp //栈顶指针赋值到rax
.text:0000000000400B1F 48 87 00                                xchg    rax, [rax] //栈顶指针指的值也就是地址加一和rax中存的栈顶指针互换
.text:0000000000400B22 5C                                      pop     rsp //把之前栈顶指针值弹到rsp
.text:0000000000400B23 48 89 04 24                             mov     [rsp], rax //把rax中存放的下一位地址传到栈离
.text:0000000000400B27 C3                                      retn //retn的指令会自动移到下一位,再加上原本加了1,就正好运行到了400B14的位置跳过了400B13

.text:0000000000400B14 EB 12                                   jmp     short loc_400B28 //按c看看400B14的代码是啥

在这里插入图片描述
这边直接搜索xchg这个函数。然后发现整个程序里面有四处,全改了。
改完之后就能看之前按c编译出来的那一串代码了。

在这里插入图片描述
又把另外一段也整理反编译了下。整理出来几段函数
在这里插入图片描述

但是看函数好像还是不大对头。。于是打算开始动调。。

然后发现了这个函数,qword_602048指向的是之前编译出来的一个函数,a1 - 572是一个计数器,而a1 - 560是你的输入,所以猜测这个函数应该是根据你的输入前五位来修复之前的qword_602048指向的函数。输入前五位是n1ctf,所以输入n1ctf再在这下个断点。
在这里插入图片描述
qword_602048指向的函数
在这里插入图片描述
然后就能看到函数已经被修护完毕。
在这里插入图片描述
F5成功反编译
在这里插入图片描述
观察看到retaddr里面存放的是上面的那一串数组,a1中存放的是Linux的版本号,a2是你的输入

在这里插入图片描述
a1中存放的值,写出脚本

>>> a = [53,45,17,26,73,125,17,20,43,59,62,61,60,95]
>>> b = [0x4c,0x69,0x6e,0x75,0x78,0x20,0x76,0x65,0x72,0x73,0x69,0x6f,0x6e,0x20]
>>> flag = ''
>>> for i in range(len(a)):
	flag += chr(a[i] ^ (b[i] + 2))

	
>>> flag
'{Fam3_is_NULL}'

再加上n1ctf
所以就是n1ctf{Fam3_is_NULL}

哪位大表哥还有re题的能发发吗。。

0xwangliang
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
【N1CTFOflo WriteUp
古月浪子的博客
10-22 508
二进制文件里面有很多call+e8+jmp+[return address += 1]这种操作,导致IDA无法处理,直接F5出来的几乎不能看,索性手动nop一下 对sub_400A69前10个字节进行动态patch,异或的内容是输入的前5个字符,根据flag的格式,猜测是n1ctf,IDAPython脚本: a='n1ctf' for i in range(10): PatchByte(0x400a69+i,Byte(0x400a69+i)^ord(a[i%5])) 跑完脚本以后可以正常F5该函
n1ctf(部分复现)
pwnyuan's blog
11-05 1101
N1CTF 2020 部分复现BeforeCryptoVSS源码思路脚本其他视觉密码方案Mersenne Twisterrandcrack库-RandCrackEasy_RSA源码思路脚本其他基于密码学中格的基础知识FlagBot源码思路After Before 这半个月一连串的比赛,淦,爷要脑溢血了(两眼一黑,直接去世) 导致我现在才复现N1CTF 菜狗表示签到和签退好评,淦 复现的时候学到好多,有些东西要找个时间梳理一下了,这里仅仅放一下我的一些理解和想法好了 继续肝ctf! 淦啊!这已经不是wp了,是
N1CTF2020 Web SignIn-wp
Firebasky的博客
10-20 1005
报名了N1CTF 结果没有做 有点后悔 最后才看wp跟着做一次 还有谢谢atao师傅提供的脚本。 看来自己也要学习一下怎么写简单的脚本啦。 一 源代码 <?php class ip { public $ip; public function waf($info){//设置waf } public function __construct() { if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ .
2020NU1LCTF两道pwn
abelxu
10-25 476
Signin 分析 new函数 只能对两个vector进行操作。每次new的数量超过限制时就会申请两倍的空间并把原来的空间释放 unk_2032A0和unk_2032C0的数据结构 struct Node{ void begin;#指向第一个元素,也是堆地址 void now;#指向当前元素 void end;#指向最后一个元素 } show函数 输出Node.now指向的元素 delete函数 并不会检测now指针是否小于begin。多次释放配合show可以泄露堆上的内容。 0x
Bugku:加密 python(N1CTF)
qq_26961571的博客
03-05 841
这道题的题目就告诉了我们要用python。 这里看到有两个python,第一个打开。 用的是N1ES这个什么东西来加密了flag,后面也有一长串的注释,下一个文件也是, 不过这个文件的函数让我觉得有点熟悉,发现是Feistel加密!!【对称加密算法噢噢】 那就简单了,基本上不用改里面的方法。这时候搬出Feistel加密的流程: 看到了吗,完全一样,只是顺序不一样。 那么只需要小小修改python代码就可以了。 这个代码是python2的环境,先调整为...
N1CTF 2023 pwn_Pwnn1canary
qq_62172019的博客
10-26 261
N1CTF 2023 pwn_Pwnn1canary
python(N1CTF)详解
crispr的博客
07-07 2506
python(N1CTF)详解 前言 本来想晚上记录的,但是一看明天高考,想早点起来记录,结果睡到九点多。。。赶紧爬起来记录下这题,这题综合考察了一些,说难最后写exp基本上没改,说不难你得把python全看一遍,加密方式也要了解才能解出来。下面来看看这个题。 正文 题目给了两个python文件,一个是加密的,一个是加密后base64给的密文,这里贴一下: #challenge.py from N1ES import N1ES import base64 key = "wxy191iss0000000000
N1CTF-WRITE-UP
郁离歌丶的博客
03-13 2428
N1CTF-WRITE-UP写在前面:萌新第一次打国际赛(莫名紧张)没做出几题,国际赛就是国际赛,环境也十分接近实战,赛完也放出了源码和wp,十分良心的主办方,为Nu1L打call打call。(然而我并不会做几个题233333继续努力吧,还差得很远很远...)2333333等我写wp的时候环境已经挂了,没办法懒是致命伤。所以下面用记忆和盗图做题23333333WEB77777进去就看到了信息目标是...
N1CTF 2023 pwn_n1array
qq_62172019的博客
10-27 198
N1CTF2023 pwn_n1array
[CTF复现]N1CTF2021-queryallthings
anwen12的博客
11-24 803
N1CTF2021-queryallthethings 0x01 osquery 突破 开局一张图,答案全靠猜 看到sql注入冲压!. 一顿fuzz发现是pgsql!!! 虫虫 堆叠注入 查一下用户 查一下权限, yi? 怎么什么都没有??? 这里可以通过一个特性来确定 https://www.sqlite.org/schematab.html http://47.57.246.66:12321/?str=world'; select * from sqlite_temp_master;--+ 可以理解
python(N1CTF) 100详解
gbxiaowang的博客
05-03 2067
N1es.py challenge.py 题中有两个文件,一个是封装好的N1ES.py,另一个是challenge.py,通过调用n1se实现加密操作。 逐步分析其加密生成方式: 1.首先给出了key key=“wxy191iss00000000000cute” 先调用的是string_to_bits函数 o = string_to_bits(self.key) def string_to...
n1ctf2018_null(通过劫持线程arena达到任意地址分配)
seaaseesa的博客
07-26 2412
n1ctf2018_null(通过劫持线程arena达到任意地址分配) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,主函数启动了一个线程 在线程里,是一个循环 其中输入函数存在溢出,由于a2没有更新,因此,如果将数据分成2部分读入的话,第二次,仍然可以读入a2个数据,从而溢出。 溢出尺寸比较大,如果能够覆盖到线程arena,那么就能将fake_chunk链接到fastbin,进而分配过去。但是arena是先mmap出来的,heap是过后才分配出来,因此,线程heap的
N1CTF2019——warmup WP
qq_41252520的博客
10-12 740
前言 国内实力战队出的题目质量都非常高,我不敢想象这就是pwn的签到题。首先说一下这道题如何质量高。这道题涉及到了double free、UAF、tcache attack、IO_FILE的利用。赛后复现用去了我差不多3天的时间来钻研。 保护 分析 程序只有增加、删除、编辑三个操作,并且保护全开,这种情况下只能利用IO_FILE来泄露内存。增加操作中已经限制了分配的大小: 漏洞有些隐蔽,...
对一道n1ctf赛题的详细分析
蚁景网安学院
11-26 545
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客极客技术、信息安全热点安全研究分析等安全相关的技术文章稿件通过并发布还能收获200-800元不等的稿酬最近做...
[N1CTF 2022] solve_pow,baby_N1ES
weixin_52640415的博客
11-09 479
N1CTF 2022
N1CTF+BCTF(3道sql注入)
m0_38094687的博客
04-28 439
前言 三道sql注入题,涨姿势. 正文 77777 题目及分析 部分代码审计,实际上就是要对hi进行bool盲注,如果分数更新了,就说明注入为真. 解题脚本 #hi = where ord(mid((select group_concat(user())), 1, 1)) &gt; 0 &amp;flag=55553 import requests url =...
N1CTF2021 Collision exp解析write up
qq_42940521的博客
11-24 5166
N1CTF2021 Collision exp解析write up Collision 本人并没有在n1ctf2021中做出这道题,本文的最终exp是根据出题人提供的exp修改得到的。我将在本文中分享我的做这道题的经历以及解题exp的分析 原始exp链接: https://github.com/Nu1LCTF/n1ctf-2021/blob/main/Misc/collision/exp.py 题面描述如下: 附件链接如下: 链接:https://pan.baidu.com/s/1tYfzP7YOiB8U
n1ctf2020-web-signin
veinard_F的博客
10-20 682
水平不够,复现困难,先做个简单的记录,,, 题目源码: class ip { public $ip; public function waf($info){ } public function __construct() { if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $this->ip = $this->waf($_SERVER['HTTP_X_FORWARDED_FOR'])
N1CTF Junior 2024 Web Official Writeup(Nu1L Team组织的官方纳新赛事,旨在选拔优秀人才加入Nu1L Team
最新发布
04-08 900
小北觉得这一次的N1 Junior的题大部分都有个共同性,就是二次思维,也就是单次Attack无法达到利用,那就double attack!!!自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
Zabbix 远程代码执行漏洞(CVE-2020-11800)复现
weixin_47531489的博客
07-20 1817
1 简介 abbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix由2部分构成,zabbix server与可选组件zabbix agent。zabbix server可以通过SNMP,zabbix agent,ping,端口监视等方法提供对远程服务器/网络状态的监视,数据收集等功能,它可以运行在Linux,Solaris,HP-UX,AI

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值