BUUCTF CrackRtf题解

于 2022-12-29 22:41:47 发布
阅读量317 收藏
点赞数
分类专栏: Reverse 文章标签: 安全 学习 其他 经验分享 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OrientalGlass/article/details/128482470
版权

一.总结

  1. 句柄的概念:逻辑上是二级指针,数值上是32位无符号整数
  2. CSP(Cryptographic Service Providers):加密服务提供程序
  3. ALGID:用于指示使用的哈希算法,0x8003指示
    MD5,0x8004指示SHA1
  4. md5在线解密网站(其他网站亲测没用)

二.基本步骤

32位程序,打开后找到main->main0,即可查看关键代码
程序大概步骤是:

  1. 输入第一个6字符长的字符串destion,假设是123321,将字符串和"@DBApp"拼接构成"123321@DBApp"
  2. 将destion字符串进行sha1哈希加密,string1保存对应的哈希值,比较哈希值
  3. 输入第二个6字符字符串,假设是 ~!3a@0,再将上文的"123321@DBApp"拼接到第二次输入的字符串的后方构成 str字符串"~!3a@0123321@DBApp"
  4. 将str字符串进行md5哈希加密,string1保存对应md5值,比较md5值
  5. 最后一个判断,不怎么影响结果,所以只要把str字符串对应md5值解密即可

三.关键函数

1.主函数

int __cdecl main_0(int argc, const char **argv, const char **envp)
{
  DWORD destion_len; // eax
  DWORD v4; // eax
  char Str[260]; // [esp+4Ch] [ebp-310h] BYREF
  int v7; // [esp+150h] [ebp-20Ch]
  char String1[260]; // [esp+154h] [ebp-208h] BYREF
  char Destination[260]; // [esp+258h] [ebp-104h] BYREF

  memset(Destination, 0, sizeof(Destination));
  memset(String1, 0, sizeof(String1));
  v7 = 0;
  printf("pls input the first passwd(1): ");
  scanf("%s", Destination);                     // 必定是6位
  if ( strlen(Destination) != 6 )
  {
    printf("Must be 6 characters!\n");
    ExitProcess(0);
  }
  v7 = atoi(Destination);
  if ( v7 < 100000 )                            // 预计v7并不怎么会影响运行
    ExitProcess(0);
  strcat(Destination, "@DBApp");                // 加上了@DBAPP
  destion_len = strlen(Destination);
  sub_40100A((BYTE *)Destination, destion_len, String1);// sha1哈希处理,string1保存了destination的40位哈希值
  if ( !_strcmpi(String1, "6E32D0943418C2C33385BC35A1470250DD8923A9") )
  {
    printf("continue...\n\n");
    printf("pls input the first passwd(2): ");
    memset(Str, 0, sizeof(Str));
    scanf("%s", Str);
    if ( strlen(Str) != 6 )                     // 也是6个字符
    {
      printf("Must be 6 characters!\n");
      ExitProcess(0);
    }
    strcat(Str, Destination);
    memset(String1, 0, sizeof(String1));
    v4 = strlen(Str);
    sub_401019((BYTE *)Str, v4, String1);       // 0x8003u,md5哈希算法
    if ( !_strcmpi("27019e688a4e62a649fd99cadaafdb4e", String1) )
    {
      if ( !(unsigned __int8)sub_40100F(Str) )  // 并不影响结果
      {
        printf("Error!!\n");
        ExitProcess(0);
      }
      printf("bye ~~\n");
    }
  }
  return 0;
}

2.sub_40100A(sha1哈希加密函数)

点进去找到sub_401230函数
这里的一些关键函数都可以百度查windows api查到

  1. CryptAcquireContextA应该是获取CSP句柄权限
  2. CryptCreateHash创建数据流哈希对象,第二个参数0x8004u代表sha1加密
  3. CryptHashData把数据添加到指定哈希对象,这个应该就是进行哈希处理
  4. CryptGetHashParam检索实际哈希值,这个应该是用于把哈希对象的哈希值赋给v6数组
  5. wsprintfA将数据写入指定缓冲区,这里用于字符串复制
  6. lstrcatA类似于strcat函数功能,也适用于复制
  7. ALG_ID加密使用的哈希算法的id,0x8003表示sha1,0x8004表示md5
// pbdata是传入的字符数组指针,dwdatalen是数组长度,lpstr是字符指针
int __cdecl sub_401230(BYTE *pbData, DWORD dwDataLen, LPSTR lpString1)
{
  DWORD i; // [esp+4Ch] [ebp-28h]
  char String2[4]; // [esp+50h] [ebp-24h] BYREF
  char v6[20]; // [esp+54h] [ebp-20h] BYREF
  DWORD pdwDataLen; // [esp+68h] [ebp-Ch] BYREF
  HCRYPTHASH phHash; // [esp+6Ch] [ebp-8h] BYREF 表示哈希对象的句柄
  HCRYPTPROV phProv; // [esp+70h] [ebp-4h] BYREF csp句柄

  if ( !CryptAcquireContextA(&phProv, 0, 0, 1u, 0xF0000000) )// 获取csp句柄权限?
    return 0;
  if ( CryptCreateHash(phProv, 0x8004u, 0, 0, &phHash) )// 启动数据流哈希对象,这里参数是0x8004u,控制选择何种哈希算法,查询得知这是sha1
  {
    if ( CryptHashData(phHash, pbData, dwDataLen, 0) )// 将数据添加到指定哈希对象,用于计算哈希值
    {
      CryptGetHashParam(phHash, 2u, (BYTE *)v6, &pdwDataLen, 0);// 检索实际哈希值
      *lpString1 = 0;                           // 内容清空
      for ( i = 0; i < pdwDataLen; ++i )
      {
        wsprintfA(String2, "%02X", (unsigned __int8)v6[i]);// 将数据写入指定缓冲区
        lstrcatA(lpString1, String2);           // 将一个字符串追加到另一个字符串,这里是把哈希值复制给string1
      }
      CryptDestroyHash(phHash);                 // 销毁引用的哈希对象
      CryptReleaseContext(phProv, 0);           // 释放csp(加密服务提供程序)句柄
      return 1;
    }
    else
    {
      CryptDestroyHash(phHash);
      CryptReleaseContext(phProv, 0);
      return 0;                                 // 失败返回0,其他关闭操作相同
    }
  }
  else
  {
    CryptReleaseContext(phProv, 0);
    return 0;
  }
}

3.sub_401019(md5哈希加密)

点进去看到sub_401040,在点进去和上一个函数对比可以发现这个是md5哈希加密

4.atoi(这个函数不清楚具体作用)

猜测是返回输入字符串例如"123321"对应整数数值123321

int __cdecl atol(const char *String)
{
  int v4; // [esp+8h] [ebp-Ch]
  int v5; // [esp+Ch] [ebp-8h]
  int C; // [esp+10h] [ebp-4h]
  const char *Stringa; // [esp+1Ch] [ebp+8h]

  while ( (int)SrcSizeInBytes <= 1
        ? *((_WORD *)off_428A60 + *(unsigned __int8 *)String) & 8
        : _isctype(*(unsigned __int8 *)String, 8) )
    ++String;
  C = *(unsigned __int8 *)String;               // String首字符
  Stringa = String + 1;
  v4 = C;                                       // 也是String首字符
  if ( C == '-' || C == '+' )
    C = *(unsigned __int8 *)Stringa++;
  v5 = 0;
  while ( (int)SrcSizeInBytes <= 1 ? *((_WORD *)off_428A60 + C) & 4 : _isctype(C, 4) )
  {
    v5 = 10 * v5 + C - '0';                     // 盲猜v5等于输入的字符串的对应数值,例如123456
    C = *(unsigned __int8 *)Stringa++;
  }
  if ( v4 == '-' )
    return -v5;
  else
    return v5;
}

通过MD5在线解密"27019e688a4e62a649fd99cadaafdb4e",得到"~!3a@0123321@DBApp
在这里插入图片描述

"此时可以知道第一个输入的字符串就是123321,第二个是~!3a@0
运行程序输入对应字符串后,程序会在其所在目录创建一个dbapp.rtf文件
在这里插入图片描述

在这里插入图片描述

打开可以得到flag{N0_M0re_Free_Bugs}

OrientalGlass
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buuctf--CrackRTF
Dicked的博客
11-18 727
buuctfCrackRTF 无壳,32位 IDA F5 分析伪代 进入sub_40100A 搜索发现这是hash算法,即sub_40100A进行了hash加密。 6E32D0943418C2C33385BC35A1470250DD8923A9是加密后的字符串。 0x8004u是标识码,不同的标识码代表不同的加密方式,标识符代表加密方式。 通过查询知道了这是sh1加密,通过python的hashlib包可以进行爆破解密。 import hashlib flag = "@DBApp" fo
c如何通过偏移量取出文件中的字节_ELF文件分析指引2
weixin_27885845的博客
12-28 288
在工程师milter:ELF文件分析指引​zhuanlan.zhihu.com中,我们大概了解了ELF文件的结构,知道了ELF文件由文件头和段组成。今天我们继续学习ELF文件的链接。段的具体结构上篇文章中,我们知道段表中存储着每个段的基本信息,这些基本信息用一个叫段描述符的结构来组织。 想要查看段描述符的结构,可以在 /usr/include/elf.h中搜Elf32_Shdr,如下所示:typ...
BUUCTF----CrackRtf
qq_64558075的博客
12-05 873
1.拿到题目文件 2.进行查壳 发现基本信息,无壳,并且为32为程序 3.在cmd中对该程序进行运行 运行发现,大概意思是输入,密码,得到flag 4.拖入ida进行分析 发现要输入两次密码 对程序的整个过程进行分析 发现第一次输入的密码进入了sub_40100A函数,跟进函数 通过百度,发现是哈希加密算法,通过查询标识符,发现是sha加密 网上学习,python的hashlib模块的使用,编写脚本,得出前6位密码 ...
BUUCTFCrackRTF题详细解法
DALE1186487104的博客
07-23 2200
首先拿到题目,分析一波有没有加壳:(题目和注册机我会放到压缩包里的)发现是VC++ 5.0 那我们直接进IDA里先搜索字符串,F5大法好,得到的是这样的界面观察第一部分输入的是六个字符,且大于100000,那么我们判断是6位数字atoi函数是将数字转化为字符串。后面用STRcat函数将"@DBApp"接到输入的字符串后进入加密函数加密与"6E32D0943418C2C33385BC35A...
BUUCTF Reverse CrackRTF
A_dmin的博客
07-20 3119
BUUCTF Reverse CrackRTF 一天一道CTF题目,能多不能少 题目描述: 下载文件,无壳直接ida打开,查看主函数: 可以看到,需要我们输入两次密码,而且每次输入密码都必须是6位数 否则退出,并且有两次判断~~ 先看第一次,第一次要求我们输入6位数,然后连接上@DBApp, 通过一个sub_40100A函数进行加密,然后与6E32D0943418C2C33385BC35A14...
PAT甲级所有题解代码
02-03
这里包含了179道PAT甲级的代码AC题解,供有需要通过PAT考试的同学下载学习使用。
洛谷CF1458B题解
02-05
有关CF1458B的题解
snail codewar题解
02-19
snail codewar题解
蓝桥杯 蓝桥杯竞赛练习题的题解
最新发布
05-23
**内容概要**:本资源提供了蓝桥杯竞赛练习题的详细题解,涵盖了不同难度和类型的题目,包括基础算法、数据结构、数学建模、动态规划、图论、字符串处理等。每道题解都包括题目描述、思路解析、代码实现和运行结果。...
CQOI2018简要题解
04-04
CQOI2018题解
CTFCrackTools
08-20
CTFCrackTools是一款ctf经常用的工具,可以进行各种密码之间的加解密和进制之间的转换
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
有意思的 CrackRTF
m0_62690279的博客
05-17 266
CrackRTF 最近刷题遇到的不会又不错的题,考了几个我没有见过的API,以及一种奇妙的给出flag的方式 题目描述 在互联网时代,兼容就是胜利,兼容就是王道。为了遏制微软一家独大的趋势,小明自诩民族斗士,向微软CEO挑战,CEO给了他一个文件,据说破解后能得到一个微软的多信息文本格式文件。只有得到了才能获得挑战CEO的机会。小明绞尽脑汁,最后不得不求助大家。。。兄弟们该出手时就出手! 注意:得到的 flag 请包上 flag{} 提交 main函数: int __cdecl main_0(int arg
buuctf crackrtf
weixin_45701079的博客
10-10 805
buuctf 逆向 crackrtf 首先查壳,没壳。ida打开,发现主函数 代码如下 int __cdecl main_0() { DWORD v0; // eax DWORD v1; // eax CHAR String; // [esp+4Ch] [ebp-310h] int v4; // [esp+150h] [ebp-20Ch] CHAR String1; // [esp+154h] [ebp-208h] BYTE pbData; // [esp+258h] [ebp-1
buu-CrackRTF
qaq517384的博客
02-09 2008
exe文件,输错就直接退出 32位无壳 32位ida看main函数 int __cdecl main_0() { DWORD v0; // eax DWORD v1; // eax CHAR String; // [esp+4Ch] [ebp-310h] int v4; // [esp+150h] [ebp-20Ch] CHAR String1; // [esp+154h] [ebp-208h] BYTE pbData; // [esp+258h] [ebp-104h] m
CrackRTF WP
辰星的博客
10-06 199
一道有点心思的Re题目,我也被最后一步坑了。 程序总体流程: 获取第一次输入,并且输入只能是6位的数字,并拼接上"@DBApp"调用win32API进行加密,第一次选择的是sha1加密,加密完成后与一个hash值进行比较,注意这给是值比较不是字符串比较,因此写脚本的时候要注意一下大小写。 第二次,故技重施,不同的是这次的输入只是将长度限制位6个字符而不仅限于数字,并且拼接上sha1爆破出来的结果,随后再次调用WIN32 api进行加密,这次是进行md5加密。不过因为,这次由于第二次输入条件的宽松限制,md
BUUCTF_CrackRTF
weixin_46009088的博客
10-26 501
BUUCTF_CrackRTF 学到了不少东西,尽量写的详细一点吧!!! 丢进IDA,找到main_0,F5反汇编(感觉写了这么多进去main函数就是main_0下次直接找main_0了) int __cdecl main_0() { DWORD v0; // eax DWORD v1; // eax CHAR String; // [esp+4Ch] [ebp-310h] int v4; // [esp+150h] [ebp-20Ch] CHAR String1; // [esp+.
CryptCreateHash + CALG_MD5
谢绝留言与私信
09-19 1727
前言看见反汇编中有一段算md5的代码,记录一下。记录// testCase1.cpp : Defines the entry point for the console application. //#include "stdafx.h" #include <windows.h> #include <Wincrypt.h> #include <stdlib.h> #include <stdio.h>
BUUCTF逆向的一些WP(4)
qq_62188797的博客
07-06 497
目录[GWCTF 2019]pyre[ACTF新生赛2020]easyre[ACTF新生赛2020]romeCrackRTF[FlareOn4]login[2019红帽杯]easyRE是pyc文件,可以用反编译工具,我这里是在线反编译,地址。 直接写脚本: [ACTF新生赛2020]easyre upx壳脱掉后 v6 = "ACTF{}",v5为括号中的内容,至于为什么是,我认为是靠猜和经验,伪代码本身不难。_data_start是字符串(这样伪代码才合理),其中有几个十六进制数要转为字符脚本
buuctfmisc题解wireshark
04-10
具体的题解步骤可能因题目而异,但通常的解题思路如下: 1. 下载并安装Wireshark:首先需要从Wireshark官网下载并安装适合你操作系统的版本。 2. 打开Wireshark并开始捕获数据包:打开Wireshark后,选择合适的网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

OrientalGlass

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值