XCTF-攻防世界CTF平台-Reverse逆向类——31、hackme

最新推荐文章于 2023-08-08 19:11:37 发布
最新推荐文章于 2023-08-08 19:11:37 发布
阅读量682 收藏 6
点赞数 1
分类专栏: XCTF-攻防世界-Reverse逆向类题目 # linux逆向 # 调试器 文章标签: c语言 IDA idc脚本 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Onlyone_1314/article/details/119954943
版权

先用ExeinfoPE查壳查看文件信息:
在这里插入图片描述

是Linux ELF 64位文件,没有加壳
然后用IDA64打开文件,打开字符串窗口:
在这里插入图片描述

可以看到“Give me the password:”、“Congras\n”、“Oh no!\n”字符串,可能是程序输出的字符串,双击 “Give me the password:”找到它在数据段中存储的位置:
在这里插入图片描述

选中aGiveMeThePassw按X快捷键,找到使用该变量的地方:
在这里插入图片描述

跳转到函数中使用aGiveMeThePassw变量的地方:
在这里插入图片描述

尝试按F5反编译代码:
在这里插入图片描述

我们也可以先找到Linux ELF文件的start函数,程序启动都是从它开始的,它负责初始化一些环境变量之类的参数,然后调用main函数,main函数结束之后又会返回start函数:
在这里插入图片描述

其中sub_400F8E函数便是main函数所在的位置,其他函数都是main函数之前的初始化以及main函数之后的清除。
sub_400F8E函数中:
在这里插入图片描述

sub_407470((__int64)"Give me the password: ", a2);
sub_4075A0((__int64)"%s", v3);

sub_407470函数很像printf函数输出提示语句“Give me the password: ”,sub_4075A0函数则很像scanf函数获取我们的输入,注意的是sub_4075A0函数在我的IDA中刚开始F5反编译识别出来是:

sub_4075A0((__int64)"%s");

点进sub_4075A0函数查看之后返回又变成了

sub_4075A0((__int64)"%s", v3);

这里应该是IDA的反编译识别参数出了问题,也是IDA的F5反编译功能的弊端,它能给我们提供方便,但有时候也会给我们带来困扰误导我们。
查看源汇编代码:
在这里插入图片描述

可以看到sub_407470函数和sub_4075A0函数,都有edi和rsi两个参数。
再回到源代码的分析:
在这里插入图片描述

所以程序的逻辑就是:
1、输入的字符串保存在v3[136],长度i为22时就给BOOL变量v13赋值1,否则为0;(也就是说输入字符串的长度必须为22,否则下面v13的值就会为0输出“Oh no!”);
2、之后由v12从10递减到0控制10次循环,10次循环中每次v9通过sub_406D90()函数 % 22获得一个22以内的数,作为输入的字符数组和指定的字节数组byte_6B4270的下标;
3、然后由v10从0递增到v9+1控制v9次循环,v9次循环次循环中v11 = 1828812941 * v11 + 12345,经过v9次循环之后得到一个v11的值;
4、判断如果v8(字节数组byte_6B4270中下标v9的值)不等于v11异或v7(输入字符数组的值中下标v9的值),就会把v13的值变为0;
5、最后判断v13的值如果为1就输出"Congras\n",如果为0就输出"Oh no!\n"。
其中sub_406D90()函数是一个随机数发生器,随机产生一个伪随机数,sub_406D90() % 22得到的就是一个22以内的数,作为输入的字符数组和指定的字节数组byte_6B4270的下标。
也就是我们要输入一个长度为22的字符串,然后程序有10次循环,每次生成一个随机下标,从指定字节数组byte_6B4270中取出随机下标的字节v8,从输入的字符数组中取出随机下标的字符v7,以及经过随机下标次递归的v11,要求每次v8等于v7异或v11,就能通过判断输出"Congras\n"。
所以我们要得到输入的字符串,只需要循环22次从0到21,每次把byte_6B4270[i]和每次计算得到的v11异或即可得到对应的输入的字符。
其中byte_6B4270[]的值:
在这里插入图片描述

直接在IDA中编写idc脚本,可以直接使用byte_6B4270[]的值
源代码flag.idc:

auto i;
auto v11 = 0;
auto v7;
for(i = 0;i < 22; ++i){
v11 = 1828812941 * v11 + 12345;
v7 = v11 ^ Byte(0x6B4270 + i);
Message("%s",v7);
}

运行截图:
在这里插入图片描述

得到falg是flag{d826e6926098ef46}
把byte_6B4270[]的值dump出来,C语言写的代码
flag.c:

#include<stdio.h>

int main()
{
    int byte_6B4270[] ={
    0x5F, 0xF2, 0x5E, 0x8B, 0x4E, 0x0E, 0xA3, 0xAA, 0xC7, 0x93,
    0x81, 0x3D, 0x5F, 0x74, 0xA3, 0x09, 0x91, 0x2B, 0x49, 0x28,
    0x93, 0x67, 0x00, 0x00
    };
    //输入的字符串
    int v7 = 0;
    int v11 = 0;
    int i;
	for(i=0;i<22;i++)
	{
        v11 = v11 * 1828812941 + 12345;
		v7 = byte_6B4270[i] ^ v11;
		printf("%c",v7);
	}
    return 0;
}

运行截图:
在这里插入图片描述

得到falg是flag{d826e6926098ef46}

大灬白
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2019 *CTF hack_me
csdn546229768的博客
05-08 753
题目 2019 *CTF hack_me 保护 $ checksec ./hackme.ko [*] '/home/hnhuangjingyu/hackme/hackme.ko' Arch: amd64-64-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x0) -------------------------------
CTF:我的CTF [Capture The Flag]笔记的集合。 这些CTF包括TryHackMe [THM],HackTheBox [HTB]和ETC [等等,所有其他CTF也在此处列出]。 该存储库还包括King of the Hill活动
05-13
周大福 我的CTF [Capture The Flag]笔记的集合。 这些CTF包括TryHackMe [THM],HackTheBox [HTB]和ETC [等等,所有其他CTF也在此处列出]。 该存储库还包括King Of The Hill事件。
re学习(30)攻防世界-hackme(代码复原2)
最新发布
m0_66039322的博客
08-08 327
首先载入IDA,Ctrl+F查找main函数,没有找到,然后Shift+F2查找字符串,发现特殊字符串,跟进,然后交叉引用查看字符串位置,寻找flag。思路: 1.输出成功,v26不为0,说明关系式:v21=((unsigned __int8)v24 ^ v20)→2.在汇编代码第37行,输入v16=v20,所以求的值为v20。→5.v24可以由汇编代码40行while计算出来。→3.根据关系式,求的值v20=v21^v24。→4.v21在第汇编代码第36行也可以提取出来。
linux kernal pwn STARCTF 2019 hackme(一) 劫持modprobe_path
yongbaoii的博客
04-20 509
从用户态传入了0x20的数据,其数据放在了pool里面 在IDA里面看的话就是 就是他传入的四个QWORD 。 我们可以看得出来30001的时候就是通过v17来找到相关地址,然后kfree,再清零 所以其实就看得出来v17是index。 功能30002 v8是slab的地址 v20是从哪开始写 v9[1]里面就是size 所以就是往里面写 功能30003 上面是写进去 所以这个自然就是读出来 功能30000 读入一段 根据这一段申请slab 漏洞有两个 首先我们显而易见的在读写slab的时候对of.
jarvisoj pwn smashes (2015 32c3-ctf hackme) [Stack Smash]
ACdream
02-07 543
题目链接: https://www.jarvisoj.com/challenges 题目bin文件来源: github - ctfswriteup - 2015 - 32c3ctf - pwn - hackme   分析过程: 开启了NX与Canary 程序流程: 输入名字之后,即可输入一个地址去覆盖flag~这里涉及的知识点是:Stack Smash 当程序开启了Can...
XCTF-RE】新手练习区-Hello, CTF.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/gisa2b
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-Mobile】新手练习区-02-easy-dex.apk
08-16
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5089&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easydex
XCTF-Mobile】新手练习区-05-easyjni.apk
08-05
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyjni
XCTF-RE】新手练习区-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
hackme web wp(全)
zhwho的博客
04-07 1273
HackmeCTF—WP WEB 1.hide and seek 根据题目意思猜测网页源代码里可能会有 提示,右键查看网页源代码,发现flag 2.guestbook 看到no data,点击new post可以插入新的数据,然后再回到message list可以看到刚才插入的数据,点进去阅读,看到可疑的URL:?mod=read&id=152如图2.1 图2.1 尝试SQL注入 首先...
攻防世界 reverse hackme
09-18 855
hackmeXCTF 3rd-GCTF-2017 __int64 __fastcall sub_400F8E(__int64 a1, __int64 a2) { char input[136]; // [rsp+10h] [rbp-B0h] int v4; // [rsp+98h] [rbp-28h] char v5; // [rsp+9Fh] [rbp-21...
XCTF 3rd-GCTF-2017 hackme
YenKoc的博客
03-22 560
一.查壳的老生常谈了。。2分的题目就不多bb了。 二.。elf文件,拖入ida,直接查找字符串,找到对应的函数 三.直接分析: 这里讲道理我当时很懵逼,因为进去这个函数后,发现伪码非常复杂,这里困了挺久了,看了wp才知道,这玩意 应该是一个随机数,在0到21中,同时代码还提到了22这个数字,猜测是flag对应的长度,所以应该是这里 然后才能猜测到的,然后这里又有个坑,循环只有10次,肯定是无法...
hackme 攻防世界RE
Zarcs_233的博客
01-19 444
__int64 __fastcall sub_400F8E(__int64 a1, char a2) { __int64 v2; // r8@1 __int64 v3; // rdx@1 __int64 v4; // rcx@1 __int64 v5; // r8@1 __int64 v6; // r9@1 signed int v7; // eax@5 char bu...
攻防世界 hackme wp
__ys的博客
12-20 149
hackme 丢进IDA 通过shift+F12搜索字符串 进入main函数 简单分析一波发现flag长度为22,但是接下来 sub_406D90() 很奇怪,很明显是分析不出来的。 于是我动态调试了一下发现每一次v7的值都不一样,因此我猜测 sub_406D90() 应该是个随机数函数。 这样就好办了。我们理一下思路,发现do while循环就是每次取输入字符串的某个字符,进行一系列操作,判断是否与 byte_6B4270[] 中相同位置的字符相等,不相等则flag错误。 由于 byte_6B427
攻防世界-reverserMe WP
qq_41252520的博客
07-30 345
查壳 分析 程序主要代码: 程序的流程主要是将输入的数据进行base64解码,然后循环异或0x25,最后与正确结果对比。 这道题的难点主要就是分析base64decode和辨别junk code。首先还是进入base64decode去看看: 这部分主要是验证输入的合法性,然后准备开始解密base64的字母表(通过观察byte_12A4E40可知)。这也正是用算法分析器分析不出来是ba...
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手题目,小白重新归来
CTF逆向-[RoarCTF2019]polyre-WP_控制流扁平化去混淆idcpy去指令
serfend's blog
03-24 4458
CTF逆向-[RoarCTF2019]polyre-WP_控制流扁平化去混淆idcpy去指令 来源:BUUCTF在线评测/ 内容:无 附件:百度网盘 请输入提取码 提取码:nyty 答案:flag{6ff29390-6c20-4c56-ba70-a95758e3d1f8} 总体思路 使用deflat.py对程序扁平化处理。 使用ida的python idc工具对多余指令去除。 检查算法发现是crc64,按其流程逆运算 详细步骤 检查文件信息 打开程序发现控..
IDA的脚本IDC的一个简单使用
weixin_34004750的博客
12-12 546
目的:主要是想学习一下IDA的IDC的脚本的使用。这里做了一个小的测试。 这里使用的是VS2015Community来生成文件的。 一、编写测试程序: 这里先生成我们的目标数据。 然后编写测试程序。得到下面的代码。 #include <stdio.h> #include <string.h> //the xor key is 'B' ,异或的ke...
攻防世界upload1
07-28
- *2* *3* [XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)](https://blog.csdn.net/Onlyone_1314/article/details/121503130)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值