逆向 Writeup:西湖论剑2020逆向第一题Cellular

最新推荐文章于 2023-02-12 22:02:08 发布
最新推荐文章于 2023-02-12 22:02:08 发布
阅读量959 收藏 1
点赞数 2
分类专栏: 逆向 CTF 文章标签: 信息安全 经验分享 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Niatruc/article/details/109082173
版权
本文介绍了一种解决编程挑战的方法,涉及对程序的黑盒测试和路径搜索算法。通过在OD中修改目标程序,以观察循环次数来判断路径是否正确,并使用Python脚本生成和测试可能的输入字符串。最终,通过逐步试错找到正确路径——'RLRLLRLLLRRLLRLLRLRLLRLLR',并计算其MD5散列值以获得最终答案。解题过程中展示了路径搜索算法的工作原理和一系列尝试的路径组合。
摘要由CSDN通过智能技术生成

摘要

  1. 题目为“蜜蜂如何筑巢”,问题的实质是寻找路径。应该将程序视为黑盒。刚开始解题思路不对,一直试图理清代码中的逻辑。
  2. 解答的方法是尝试将各种由‘L’和‘R'组合的长为25的字符串作为输入,直到打印信息“Congratulations”。可采用遍历法,或逐步试错法。本篇采用后者。
  3. 本篇方法概括:
    3.1 在OD中修改源码,改变关键函数CheckFlag的返回值为其中的大循环的循环次数(通过该次数可得知当前前行方向正确与否,从而调整路径方向);修改打印部分代码,使其打印的信息能反映刚刚说的循环次数。
    3.2 写python脚本,生成输入字符串,借由其subprocess模块将字符串传给Cellular程序进行判断。通过逐步试错找到正确路径。
  4. 如果有好的测试工具的话也许就不用自己写脚本这么麻烦了。但目前没找着。

题目概括

程序界面如下。需要输入’L’和’R’组成的字符串。
在这里插入图片描述

使用IDA解析,其主函数如下图。
在这里插入图片描述
关键函数CheckFlag的逻辑如下图。
在这里插入图片描述
在用OD调试时看到其中有类似链表的数据结构。
在这里插入图片描述

对于CheckFlag函数其实只要大概明白其意思即可,无需深究。其中for循环的i值会在解题时用到。

解题过程

修改原始程序

将程序拖入OD,找到CheckFlag函数结尾返回部分,修改其返回值为for循环的i值。
在这里插入图片描述

修改数据段,添加27个可打印的字符。
在这里插入图片描述

修改主函数中打印”Congratulations“信息的代码,使用CheckFlag返回的数值作为索引,从上一步添加的数据中按索引找一个字符并打印。这个字符将在下一步起判断作用。
在这里插入图片描述

编写搜索正确字符串的python脚本

# 定义一个函数,用于运行Cellular程序、接受输入、获取程序在标准输出流打印的信息.
def test_path(ans):
    path = "C:/Users/bohan/ctffiles/cellular/Cellular_pad2.exe"
    cellular = subprocess.Popen([path], stdin=subprocess.PIPE, stdout=subprocess.PIPE)
    output = cellular.communicate(ans.encode())[0]
    correct_len = output[output.index(b'Path') + 5] - ord('a')
    return correct_len

用于搜索路径的算法如下:

arr_len = 25
bit_arr = [0 for _ in range(arr_len)]
bit_arr
cur_index = 0
def select_path(path_is_adapted):
	'''path_is_adapted为True时则继续前进,为False则需改当前cur_index所指处的方向'''
    global cur_index
    if cur_index < arr_len and path_is_adapted:
        cur_index += 1
    elif cur_index > -1 and not path_is_adapted:
        bit_arr[cur_index] += 1  # 更改方向
        while bit_arr[cur_index] > 1 and cur_index > -1:  # 如果左右两个方向都试过了,则要向前移动,改前面的方向
#             print("cur_index ", cur_index)
            bit_arr[cur_index] = 0
            cur_index -= 1  # 向前移动指针
            bit_arr[cur_index] += 1  # 然后更改方向
            
    return cur_index

def get_cur_path():
    arr = bit_arr[0:cur_index + 1]
    lr = ['L', 'R']
    path_str = ''.join([lr[i] for i in arr])
    return arr, path_str

测试部分:

correct_len = 0
while correct_len != -49:  # correct_len为-49(字符'a'和字符’0‘的ascii码值相减所得)时表明打印了字符零,也即找到了正确路径
    bit_path, path_str = get_cur_path()
    print(bit_path, path_str)
    try:
        correct_len = test_path(path_str)
        print(correct_len)
        if correct_len == len(path_str) and correct_len != 25:
            print("T")
            select_path(True)
        else:
            print("F")
            select_path(False)
    except:
        print("发生异常")
        select_path(False)
        
    if not path_str:
        print("无路径")
        break

运行后打印的情况如下(下图为打印结果的最后几行):
在这里插入图片描述从上图知最终路径为:‘RLRLLRLLLRRLLRLLRLRLLRLLR’。当然最后还得用md5计算其散列值,才得到最终flag。

附一个搜索过程中列出的所有路径,方便理解上述路径搜索算法:

LL
LR
R
RL
RLL
RLLL
RLLR
RLLRL
RLLRLL
RLLRLLL
RLLRLLR
RLLRLLRL
RLLRLLRR
RLLRLLRRL
RLLRLLRRR
RLLRLR
RLLRR
RLLRRL
RLLRRLL
RLLRRLLL
RLLRRLLLL
RLLRRLLLLL
RLLRRLLLLR
RLLRRLLLLRL
RLLRRLLLLRR
RLLRRLLLLRRL
RLLRRLLLLRRR
RLLRRLLLR
RLLRRLLR
RLLRRLLRL
RLLRRLLRR
RLLRRLLRRL
RLLRRLLRRR
RLLRRLR
RLLRRR
RLLRRRL
RLLRRRLL
RLLRRRLLL
RLLRRRLLLL
RLLRRRLLLLL
RLLRRRLLLLLL
RLLRRRLLLLLR
RLLRRRLLLLLRL
RLLRRRLLLLLRR
RLLRRRLLLLLRRL
RLLRRRLLLLLRRR
RLLRRRLLLLR
RLLRRRLLLR
RLLRRRLLLRL
RLLRRRLLLRR
RLLRRRLLLRRL
RLLRRRLLLRRR
RLLRRRLLR
RLLRRRLR
RLLRRRR
RLR
RLRL
RLRLL
RLRLLL
RLRLLLL
RLRLLLLL
RLRLLLLR
RLRLLLLRL
RLRLLLLRLL
RLRLLLLRLR
RLRLLLLRLRL
RLRLLLLRLRR
RLRLLLLRLRRL
RLRLLLLRLRRR
RLRLLLLRR
RLRLLLLRRL
RLRLLLLRRLL
RLRLLLLRRLR
RLRLLLLRRR
RLRLLLLRRRL
RLRLLLLRRRLL
RLRLLLLRRRLLL
RLRLLLLRRRLLR
RLRLLLLRRRLR
RLRLLLLRRRR
RLRLLLR
RLRLLLRL
RLRLLLRLL
RLRLLLRLR
RLRLLLRLRL
RLRLLLRLRR
RLRLLLRLRRL
RLRLLLRLRRR
RLRLLLRR
RLRLLLRRL
RLRLLLRRLL
RLRLLLRRLR
RLRLLLRRR
RLRLLLRRRL
RLRLLLRRRLL
RLRLLLRRRLLL
RLRLLLRRRLLR
RLRLLLRRRLR
RLRLLLRRRR
RLRLLR
RLRLLRL
RLRLLRLL
RLRLLRLLL
RLRLLRLLLL
RLRLLRLLLLL
RLRLLRLLLLLL
RLRLLRLLLLLR
RLRLLRLLLLLRL
RLRLLRLLLLLRR
RLRLLRLLLLLRRL
RLRLLRLLLLLRRLL
RLRLLRLLLLLRRLLL
RLRLLRLLLLLRRLLR
RLRLLRLLLLLRRLLRL
RLRLLRLLLLLRRLLRLL
RLRLLRLLLLLRRLLRLLL
RLRLLRLLLLLRRLLRLLR
RLRLLRLLLLLRRLLRLLRL
RLRLLRLLLLLRRLLRLLRLL
RLRLLRLLLLLRRLLRLLRLR
RLRLLRLLLLLRRLLRLLRLRL
RLRLLRLLLLLRRLLRLLRLRLL
RLRLLRLLLLLRRLLRLLRLRLLL
RLRLLRLLLLLRRLLRLLRLRLLR
RLRLLRLLLLLRRLLRLLRLRLLRL
RLRLLRLLLLLRRLLRLLRLRLLRR
RLRLLRLLLLLRRLLRLLRLRLR
RLRLLRLLLLLRRLLRLLRLRR
RLRLLRLLLLLRRLLRLLRR
RLRLLRLLLLLRRLLRLR
RLRLLRLLLLLRRLLRR
RLRLLRLLLLLRRLR
RLRLLRLLLLLRRR
RLRLLRLLLLR
RLRLLRLLLLRL
RLRLLRLLLLRR
RLRLLRLLLLRRL
RLRLLRLLLLRRLL
RLRLLRLLLLRRLLL
RLRLLRLLLLRRLLR
RLRLLRLLLLRRLLRL
RLRLLRLLLLRRLLRLL
RLRLLRLLLLRRLLRLLL
RLRLLRLLLLRRLLRLLR
RLRLLRLLLLRRLLRLLRL
RLRLLRLLLLRRLLRLLRLL
RLRLLRLLLLRRLLRLLRLR
RLRLLRLLLLRRLLRLLRLRL
RLRLLRLLLLRRLLRLLRLRLL
RLRLLRLLLLRRLLRLLRLRLLL
RLRLLRLLLLRRLLRLLRLRLLR
RLRLLRLLLLRRLLRLLRLRLLRL
RLRLLRLLLLRRLLRLLRLRLLRLL
RLRLLRLLLLRRLLRLLRLRLLRLR
RLRLLRLLLLRRLLRLLRLRLLRR
RLRLLRLLLLRRLLRLLRLRLR
RLRLLRLLLLRRLLRLLRLRR
RLRLLRLLLLRRLLRLLRR
RLRLLRLLLLRRLLRLR
RLRLLRLLLLRRLLRR
RLRLLRLLLLRRLR
RLRLLRLLLLRRR
RLRLLRLLLR
RLRLLRLLLRL
RLRLLRLLLRR
RLRLLRLLLRRL
RLRLLRLLLRRLL
RLRLLRLLLRRLLL
RLRLLRLLLRRLLR
RLRLLRLLLRRLLRL
RLRLLRLLLRRLLRLL
RLRLLRLLLRRLLRLLL
RLRLLRLLLRRLLRLLR
RLRLLRLLLRRLLRLLRL
RLRLLRLLLRRLLRLLRLL
RLRLLRLLLRRLLRLLRLR
RLRLLRLLLRRLLRLLRLRL
RLRLLRLLLRRLLRLLRLRLL
RLRLLRLLLRRLLRLLRLRLLL
RLRLLRLLLRRLLRLLRLRLLR
RLRLLRLLLRRLLRLLRLRLLRL
RLRLLRLLLRRLLRLLRLRLLRLL
RLRLLRLLLRRLLRLLRLRLLRLLL
RLRLLRLLLRRLLRLLRLRLLRLLR
Niatruc
关注
专栏目录
西湖论剑2020-BrokenSystems
luoluopeach
10-09 578
目名称:BrokenSystems 目内容:Successfully modified the encryption module of the encryption system, and then it’s up to you. from Crypto.PublicKey import RSA from Crypto.Cipher import PKCS1_OAEP from secret import flag import os rsa = RSA.generate(2048) public.
西湖论剑 easyCpp writeup
qq_43547885的博客
01-13 346
西湖论剑 easyCpp writeup 文章目录西湖论剑 easyCpp writeup分析Part01:初始化Part02:调用 `transform` 对 `vector` 进行操作Part03:调用 `accumulate` 对数组元素进行处理Part04:剩余的一点总结**对于 STL 库函数的分析****lambda 表达式的逆向** 一道经典的 C++ 的逆向,做完之后总结一下 分析 64位elf,无壳,直接拖入 IDA 中进行分析 主要的逻辑全部在 main 函数中实现 Part01
西湖论剑2020线上初赛re之Cellular
qq_43682582的博客
10-09 834
西湖论剑re之Cellular前言过程总结 前言 作为一个菜鸡,从未体验过用od和ida两个结合在一起居然是如此的快乐,实在是太感动了(第一次用od整出了flag,快乐) 过程 首先就是查看文件类型 32位.exe程序,无壳,放入ida打开,Shift+F12查找字符串 出现了这个,一看就觉得应该是个迷宫类的目。 F5看伪代码 发现两个关键函数,猜测第一个函数应该就是在构造地图,第二个很明显就是检测输入是否正确了。 跟进去后发现两个函数都很复杂,我是觉得很头大的了,然后又想起了之前在攻防..
西湖论剑逆向_loader
re1wn
10-10 5903
ddddhm
西湖论剑WP
weixin_33754913的博客
04-11 710
先水几句,这次的确实难啊,动用洪荒之力了,第一名的神仙也没有全部做完。 官方说这次的目有两道没被做出来,我猜应该是PWN和RE吧 本来我们是45名的,最后5分钟那帮人啊,硬生生给我们挤出前50,我都想砸电脑了, 后来官方又说前65名成功获得参赛资格,我去!又活了,但是无奈前50只刷掉几个队伍, 还是很遗憾没有进线下赛,本菜鸡尽力了,唉,下面进入正 ...
西湖论剑 2020 loader
Misaka10046的博客
11-05 223
打开压缩包,用TXT格式打开bat文件,看到一串乱码。 用命令行对bat的混淆进行整理 发现这个bat的作用就是调用loader.exe,再传参114514进入exe 然后就IDA开始动调,限制一波传参,然后开始 首先这里判断传参,如果没传114514就弹出 进入那个sub_401A6E函数,里面的大致操作是把一个加密了的文件解密并写入内存空间。在C盘Temp中其实能找到这个文件的。但是懒得解密,所以直接去内存里面找。 然后一个个整理,Makefunction。然后整理出来了个这个东西 一个个查看
西湖论剑WriteUp By Nu1L.pdf
11-26
"西湖论剑WriteUp By Nu1L" 本文档涵盖了多个IT领域的知识点,涵盖了信息安全、密码学、编程语言和算法等领域。下面将逐一介绍这些知识点。 1. Reverse ROR(Reverse Rotate Right):从代码中可以看到,作者使用...
buuoj re逆向1-64writeup(截图+c++源码+过程).rar
12-31
buuoj re逆向1-64writeup(截图+c++源码+过程) 与前面发的一模一样,只不过打包了,喜欢的可以支持一下
writeup:CTF挑战撰写
05-28
自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和FlappyPig。 r3kapig是可以烧烤和烧烤的美味佳肴,团队的任务是为主人提供最美味的食物。 :P 我们将在此处发布我们的官方文章。 有关更多信息,请...
Writeup:CTF撰写
05-01
写出存储库 该存储库用于上传文章。 关于ctf文件夹 ctf文件夹中的许多markdown二进制文件都是从复制的。
2020西湖论剑Crypto BrokenSystem wp
weixin_44795952的博客
10-09 541
目 打开压缩包的三个文件 查看加密代码 from Crypto.PublicKey import RSA from Crypto.Cipher import PKCS1_OAEP from secret import flag import os rsa = RSA.generate(2048) public_key = rsa.publickey().exportKey() f=open("public.key","w") f.write(public_key.decode()) f.close()
西湖论剑2020 pwn mmutag wp
weixin_45677731的博客
10-11 506
拿到目,给了libc库,太可了,爱了爱了 开局malloc(0x68)输入姓名,这个0x68给人一种熟悉的感觉 程序会顺便输出保存着chunk指针的栈地址,暂时没发现有什么吊用 heap的部分,只有malloc和free的功能 并且固定申请0x68的chunk free这里,出现了经典的free之后未置0 而且还刚好是0x68的chunk 常见做法就是double free后劫持malloc_hook 然后就是泄露libc基地址 始终没找到什么好办法,泄露出来的栈地址看似也无法得到libc_base
后记:2020西湖论剑逆向babyre的wp
sln_1550的博客
10-12 758
这个目对我而言太难了,比赛的时候只做了个crypto简单逆向的flow,这个babyre没时间看,赛后花了2天才搞出来。 目是个PE32的可执行程序,体积挺大的,调试的时候一直报非法指令,应该是有反调试的措施。 用x64dbg也是一样,看来动态调试这条路是走不通了,干脆耐心的分析代码。 首先根据报错,查到主程序逻辑是在sub_1543D0里: 这里是一个虚机,具体代码在开头会有初始化: 右边注释是我手工写的 0x01, 0x63, 0x00, load strings 0 & output
西湖论剑2020writeup
Z745526156的博客
10-14 1357
2020西湖论剑 writeup(复现) MISC Yusa_yyds 下载附件得到观察game.pacp,发现本为USB浏览分析 观察有发送数据的字段(Leftover Capture Data字段),即IP==2.15.2与HOST之间通信的报文 和网上的资料相对比 分析该USB流量分析为键盘或者手柄 观察多个报文的时间间隔 有一些报文时间间隔明显大于其他的时间间隔 除去红框中URB_BULK in ...
西湖论剑2023 Berkeley writeup ——bpf字节码逆向
qq_41866334的博客
02-09 702
bpf字节码逆向
西湖论剑2023 Dual personality writeup ——天堂之门技术的分析
qq_41866334的博客
02-04 1298
天堂之门技术分析
2023西湖论剑复现
最新发布
Luodehahajiang的博客
02-12 409
导出HTTP流,发现一个flag压缩包(有密码),找到解密算法。连接adb shell到目录data/system删除相应文件。结果分离出一个压缩包,mp3解出的就是压缩包密码。MP3stego分析一下,没有密码。分析觉得把黑白做01分离出来有东西。根据文件名47,rot47解密。重启后发现很多压缩包和两张图片。binwalk分离出一张图片。npbk文件,导入夜神模拟器。run一下或者F12。打开后发现有pin码。
西湖论剑 2023 比赛复现
shinygod的博客
02-11 1428
在copy 路由会检验 ip 地址是否为 127.0.0.1,且请求体不能有__proto__。在 curl 路由中我们可以用http 请求走私来访问 copy 从而可以绕过 copy 路由里面的 ip 检测,然后利用constructor.prototype 替代__proto__,最后打ejs就行了。
2022 TCTF / RisingstarCTF reverse vintage 两关的Writeup
qq_41866334的博客
09-22 1366
2022 TCTF的一道游戏reverse
2020 YCBCTF羊城杯官方Writeup:PHP与Web安全解技巧实录
2020YCBCTF羊城杯官方Writeup是一份详细的竞赛报告,涵盖了该年度网络安全 Capture The Flag (CTF) 比赛中的一系列挑战,主要集中在Web、PHP、漏洞利用、密码学、以及逆向工程等不同领域。以下是各个部分的主要知识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值