Buuctf reverse [FlareOn4]IgniteMe 题解

最新推荐文章于 2023-07-05 17:26:57 发布
最新推荐文章于 2023-07-05 17:26:57 发布
阅读量480 收藏 1
点赞数
分类专栏: Reverse 文章标签: 开发语言 c语言 安全 学习 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OrientalGlass/article/details/129226713
版权

一. 查壳
无壳32位程序请添加图片描述
二. ida打开

请添加图片描述

  1. GetStdHandle函数根据微软官方文档可以得知是获取标准输入/输出/错误的句柄
    参数里的 0xFFFFFFF6转换一下是4294967286, 对应(DWORD) -10
    所以这里的WriteFile函数实际上是实现了printf的功能

请添加图片描述

  1. sub_4010F0()函数
    其功能是通过ReadFile函数读取输入的字符串并保存到地址为403078的内存处
int sub_4010F0()
{
  unsigned int v0; // eax
  char Buffer[260]; // [esp+0h] [ebp-110h] BYREF
  DWORD NumberOfBytesRead; // [esp+104h] [ebp-Ch] BYREF
  unsigned int i; // [esp+108h] [ebp-8h]
  char v5; // [esp+10Fh] [ebp-1h]

  v5 = 0;
  for ( i = 0; i < 260; ++i )
    Buffer[i] = 0;                              // 清空buffer数组
  ReadFile(hFile, Buffer, 260u, &NumberOfBytesRead, 0);// 读取数据到buffer中
  for ( i = 0; ; ++i )
  {
    v0 = strlen_401020(Buffer);                 // int类型修改为char*,获取字符串长度
    if ( i >= v0 )
      break;
    v5 = Buffer[i];
    if ( v5 != '\n' && v5 != '\r' )
    {
      if ( v5 )
        input_403078[i] = v5;                   // 将Buffer串保存到403078中
    }
  }
  return 1;
}

其中的401020()函数的功能不难发现是返回字符串长度,这里用strlen命名便于理解
另外ida可能会把函数参数认为是int类型(由于32位指针占4字节),可以右键使用set call type将int改为char*

在这里插入图片描述

  1. sub_401050函数
    这个函数的功能是:
    对输入字符串进行加密,加密操作是从flag的末尾到flag的开头进行一个异或操作
    将加密后的字符串和程序保存的加密串进行比较,所以加密串是已知的

v4的初始值由sub_401000()函数赋值,401000中仅有一个rol4函数
_ROL4_函数的功能是循环左移,位移时最高位不舍弃,将最高位挪回最低位
比如二进制数据 10000,循环左移2位后得到00010
这里循环左移四位后再右移一位,最终返回值是0x380004,也就是v4初值

在这里插入图片描述

int sub_401050()
{
  int len; // [esp+0h] [ebp-Ch]
  int i; // [esp+4h] [ebp-8h]
  unsigned int j; // [esp+4h] [ebp-8h]
  char v4; // [esp+Bh] [ebp-1h]

  len = strlen_401020(input_403078);
  v4 = sub_401000();                            // 返回的是0x380004
  for ( i = len - 1; i >= 0; --i )
  {
    encode_flag[i] = v4 ^ input_403078[i];      // 异或操作
    v4 = input_403078[i];
  }
  for ( j = 0; j < 39; ++j )
  {
    if ( encode_flag[j] != (unsigned __int8)encode_flag000[j] )
      return 0;
  }
  return 1;
}
  1. 解题脚本
#include <stdio.h>

int main() {
	unsigned char encode_flag000[] =
	{
	  0x0D, 0x26, 0x49, 0x45, 0x2A, 0x17, 0x78, 0x44, 0x2B, 0x6C,
	  0x5D, 0x5E, 0x45, 0x12, 0x2F, 0x17, 0x2B, 0x44, 0x6F, 0x6E,
	  0x56, 0x09, 0x5F, 0x45, 0x47, 0x73, 0x26, 0x0A, 0x0D, 0x13,
	  0x17, 0x48, 0x42, 0x01, 0x40, 0x4D, 0x0C, 0x02, 0x69, 0x00
	};

	char tmp = 0x380004;
	unsigned char flag[40] = { 0 };
	for (int i = 38; i >=0; i--)
	{
		flag[i] = encode_flag000[i] ^ tmp;
		tmp = flag[i];
	}
	puts(flag);
	return 0;
}

得到flag{R_y0u_H0t_3n0ugH_t0_1gn1t3@flare-on.com}

OrientalGlass
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buu-[FlareOn4]IgniteMe
qaq517384的博客
03-07 272
32位无壳 程序还是那么个程序,输错flag直接退出 string看不懂,异或吧) 看main void __noreturn start() { DWORD NumberOfBytesWritten; // [esp+0h] [ebp-4h] NumberOfBytesWritten = 0; hFile = GetStdHandle(0xFFFFFFF6); dword_403074 = GetStdHandle(0xFFFFFFF5); WriteFile(dword_403
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
[BUUCTF]REVERSE——[FlareOn4]IgniteMe
mcmuyanga的博客
12-11 310
[FlareOn4]IgniteMe 附件 步骤: 例行检查,32位程序,无壳 32位ida载入 当满足第10行的if条件时,输出G00d j0b!提示我们成功,看一下sub_401050函数 3.sub_401050函数 byte_403180经过10~14行的操作后的值与byte_403000数组相同 v4的值,不大懂这个的结果是什么,动调后看到是0x4 v4返回的是一个定值,动态调试就能出来,v0就是接收函数的整的花里胡哨。 理一下,程序对我们输入的字符串,最后一个字符xor 0x4,
BUUCTF Reverse/[FlareOn4]IgniteMe
ookami6497的博客
07-25 946
BUUCTF Reverse/[FlareOn4]IgniteMe 先查看文件信息:没有加壳且为32位程序 运行,发现又是一道字符串比较的题目 用IDA32位打开分析代码 void __noreturn start() { DWORD NumberOfBytesWritten; // [esp+0h] [ebp-4h] BYREF NumberOfBytesWritten = 0; hFile = GetStdHandle(0xFFFFFFF6); dword_40307
BUUCTF-RE-[FlareOn4]IgniteMe
Henlenl的博客
04-30 553
[FlareOn4]IgniteMe查壳IDA (静动)分析静态动调get flag 查壳 发现程序是没有壳的 IDA (静动)分析 静态 然后 我们再F5 查看start的伪代码 然后我们进入 sub_4010F0 看看 读取某个字符串 然后传入全局变量当中 再进入sub_401050 看看 那么我们现在未知v4的值 为了避免麻烦 其实我们可以直接在IDA动态调试该程序来获取v4的值 动调 我们首先在v4的位置下一个断点 然后选择这个 然后我们在Debugger->Stare proce
re学习笔记(58)BUUCTF-re-[FlareOn4]IgniteMe
逆向随笔
04-02 539
新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:BUUCTF-re-[FlareOn4]IgniteMe 运行程序看一下 IDA32位载入,进入start函数 先去sub_4010F0()函数看一下 就是一个读入字符串存到user_input 全局变量这 查看start函数里的sub_401050函数 sub_401000函数是返回一个固定值。动调得到v4=4 总体逻辑就是将输入倒序...
flare-vm
02-23
______ _ _____ ______ __ ____ __ | ____| | /\ | __ \| ____| \ \ / / \/ | | |__ | | / \ | |__) | |__ _____\ \ / /| \ / | | __| | | / /\ \ | _ /| __|______\ \/ / | |\/| | | | | |____ / ____ \| | \ \| |_...
什么是reverse常见的reverse有哪些
最新发布
05-19
reverse
rails-reverse-proxy:Ruby on Rails的反向代理
02-06
Rails-反向代理Ruby on Rails的反向代理。 反向代理接受来自客户端的请求,将其转发到可以满足该请求的服务器,然后将服务器的响应返回给客户端安装你知道该怎么做。 在您的Gemfile中gem 'rails-reverse-proxy' 然后...
re -06 buuctf [FlareOn4]IgniteMe
weixin_45847059的博客
11-11 174
IgniteMe ida打开后: 根据aG00dJ0b与aN0tT00H0tRWe7r变量内容可以判断出sub_401050是关键函数,其return 1即可得到flag 稍稍分析一下: v4的初始值看不懂,所以我用下断点动态调试去取值 下断点调试时发现显然call sub_401000下的汇编代码就是为v4的赋值操作 在该函数下方找到循环异或,可以看出v4的值 于是,就可以写脚本了: a = [0x0D,0x26,0x49,0x45,0x2A,0x17,0x78,0x44,0x2B,0x6C,
【CTF-ReverseIgniteMe
LeeOrange_45的博客
01-01 144
简单
buuctf————[FlareOn4]IgniteMe
yhfgs的博客
09-24 495
1.查壳。 无壳,32位。 2.IDA反编译。 函数很少,看到start代码。知道关键函数是sub_401050,跟进。 很简单的逻辑就是把flag(byte_403078)逆序与前一位异或,第一位先与v4异或。 得到byte_403180与byte_403000比较(及异或后是byte_403000)。 v4的值:0x04 (要是看不懂,可以跑一下,在循环之前设置断点,运行后v4的值会存在esp+0xb处) 3.脚本解密。 4.get flag flag{R_y0u
buuctf刷题记录12 [FlareOn4]IgniteMe
ytj00的博客
08-01 430
没有加壳,打开 有两个关键函数,sub-4010f0和sub-401050 看到两个’\n’,’\t’猜想这个sub-4010f0函数应该是进行输入和排除掉’\n’,’\t’ 再看sub-401050: sub_401050函数就是将字符串逆向做了异或操作之后,与已知字符串byte_403000对比。 关键是这里的v4 从代码不好直接求出来,动调查看 这里的a1就是v4,可以看到是4 脚本: #include <stdio.h> int main() { int i; char v4
BUUCTF----IgniteMe
qq_64558075的博客
12-08 418
1。拿到文件,老规矩进行查壳 收集信息的,无壳,32位程序 2. 拖入ida 分析主程序 跟进sub_4010F0函数 意思大概是:应该是,把我们输入的东西里面的“\n","\r" 去掉,然后把输入的储存到byte_403078中 接下来就跟进sub _401050函数 分析一下 接下来就是求v4的值,动态体调试一下 得到v4=4,接下来就是提取byte_403000的数据,写脚本 如何快速提取数据? 1)首先右键函数名,点击Array ...
BUUCTF--[FlareOn4]IgniteMe
Hk_Mayfly的博客
04-16 642
测试文件:https://lanzous.com/ibh1vch 代码分析 void __noreturn start() { DWORD NumberOfBytesWritten; // [esp+0h] [ebp-4h] NumberOfBytesWritten = 0; hFile = GetStdHandle(0xFFFFFFF6); dword_4030...
[FlareOn4]IgniteMe
qq_61156124的博客
04-13 210
即将0x80070000向左循环移动4位,即× 24(相当于十六进制向左移动一位),得到0x00700008。v4为函数sub_401000()的返回值,下面的加密函数用v4对输入的字符串进行加密,所以先从sub_401000()函数得出v4的值。__ROL__()函数:循环左移函数,第一个数是循环左移的值,第二个参数是循环左移的位数,最后再整体逻辑右移。(还有动调跑过这个操作后查看ax的值的(返回值是int16所以只看16位,也就是ax),感觉非常方便)看wp遇到未知的函数可以从汇编看出函数操作的内容。
BUUCTF RE WP36-38 [FlareOn4]IgniteMe、[MRCTF2020]Xor、[MRCTF2020]hello_world_go
mumuzi的博客
04-16 775
36.[FlareOn4]IgniteMe 得到的 flag 请包上 flag{} 提交。 其中,txt文档的内容为:Hint:本题解出相应字符串后请用flag{}包裹,形如:flag{123456@flare-on.com} IDA打开,搜索字符串,跟进,交叉引用。 直接反编译,发现 那就不看这里了 直接看sub_4010F0和sub_401050 首先看sub_4010F0()函数 就是将输入的\n和\r给去掉,那么加密函数就应该在sub_401050中了 最后是判断byte_403180是否
BUUCTF-[FlareOn4]IgniteMe
qq_66455531的博客
07-05 276
_ROL__经过搜索发现是汇编的循环左移指令,那么循环右移就是__ROR__,但这里是__ROL4__,我们不知道是什么,于是就通过调试来找到这个值。这里,v4本来等于0x00700004的,我的理解是:因为目标字符里面都是两位的,其实v4也应该保留两位,不然就行不通。就是对输入的字符串进行读取和要求:输入的值不能等于10或13,否则就不读取该元素,最后输出的就是我们输入的字符串。无非就是读取字符串,进行 in()的操作,然后再check()判断,都是逆向题的基操了。再看看check()
buuctf reverse reverse3
09-27
BUUCTF Reverse Reverse3是一个题目,通过对给定的字符串进行逆运算,解密出一个flag。首先,给出的字符串经过了base64加密和按位加的操作,得到了"e3nifIH9b_C@n@dH"这个结果。要得到flag,我们需要进行逆运算。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

OrientalGlass

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值