re学习笔记(9)BUUCTF-re-刮开有奖

已于 2022-05-10 17:53:17 修改
阅读量2.2k 收藏 5
点赞数 6
分类专栏: ctf小白成长ing # reverse 文章标签: CTF BUUCTF reverse 刮开有奖
于 2019-11-16 17:58:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Palmer9/article/details/103078394
版权

推荐肉丝r0ysue课程(包含安卓逆向与js逆向):
https://i-blog.csdnimg.cn/blog_migrate/eb1155e1fa99b3eb95edf8cee74866b8.png
新手一枚,如有错误(不足)请指正,谢谢!!
题目链接:BUUCTF-re-刮开有奖
参考资料:
1. WinMain函数参数介绍
2. Base64编码/解码
IDA32位载入,只有WinMain函数
在这里插入图片描述
查看DialogFunc参数

BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4)
{
  const char *v4; // esi
  const char *v5; // edi
  int v7[11]; // [esp+8h] [ebp-20030h]
  CHAR String[9]; // [esp+34h] [ebp-20004h]
  CHAR v9[3]; // [esp+10034h] [ebp-10004h]

  if ( a2 == 272 )
    return 1;
  if ( a2 != 273 )
    return 0;                                   // 
                                                // a2 = 273
  if ( a3 == 1001 )                             // a3 = 1001
  {
    memset(String, 0, 0xFFFFu);                 // 给string清零
    GetDlgItemTextA(hDlg, 1000, String, 0xFFFF);// 获取对话框文本,然后赋值给string
    if ( strlen(String) == 8 )                  // string的长度要为8
    {
      v7[0] = 90;
      v7[1] = 74;
      v7[2] = 83;
      v7[3] = 69;
      v7[4] = 67;
      v7[5] = 97;
      v7[6] = 78;
      v7[7] = 72;
      v7[8] = 51;
      v7[9] = 110;
      v7[10] = 103;
      sub_4010F0(v7, 0, 10);                    // 对v7进行处理,处理后的数据
                                                // 51  67  69  72  74  78  83  90  97  103  110
      memset(v9, 0, 0xFFFFu);                   // 给v16清零
      v9[0] = String[5];
      v9[2] = String[7];
      v9[1] = String[6];
      v4 = sub_401000(v9, strlen(v9));          // 对v9进行base64加密然后传递给v4
      memset(v9, 0, 0xFFFFu);                   // 给v9清零
      v9[1] = String[3];
      v9[0] = String[2];
      v9[2] = String[4];
      v5 = sub_401000(v9, strlen(v9));          // 对v9进行base64加密然后传递给v4
      if ( String[0] == v7[0] + 34              // string[0] = 'U'
        && String[1] == v7[4]                   // string[1] = 'J'
        && 4 * String[2] - 141 == 3 * v7[2]     // string[2] = 'W'
        && String[3] / 4 == 2 * (v7[7] / 9)     // string[3] = 'P'
        && !strcmp(v4, "ak1w")                  // v4 = "ak1w"
        && !strcmp(
              v5,                               // v5 = "V1Ax"
              "V1Ax") )
      {
        MessageBoxA(hDlg, "U g3t 1T!", "@_@", 0);
      }
    }
    return 0;
  }
  if ( a3 != 1 && a3 != 2 )
    return 0;
  EndDialog(hDlg, a3);
  return 1;
}

其中sub_4010F0(v7, 0, 10)函数,由于参数都是已知的,可以直接算出他处理的结果

// a1 为  v7对应地址
// a2 = 0
// a3 = 10
int __cdecl sub_4010F0(int *a1, int a2, int a3)
{
  int result; // eax
  int i; // esi
  int v5; // ecx
  int v6; // edx

  result = a3;                                  // result = 10
  for ( i = a2; i <= a3; a2 = i )               // i=0;i<=10;a2=i
  {
    v5 = i;
    v6 = a1[i];                                 // 遍历a1对应地址的元素
    if ( a2 < result && i < result )            // a2<10  并且 i<10
    {
      do
      {
        if ( v6 > a1[result] )                  // 如果a1[i] > a1[result]
        {
          if ( i >= result )
            break;                              // 如果i>=result则退出循环
          ++i;                                  // 给i+1
          a1[v5] = a1[result];                  // 让a1[1] = a1[result]
          if ( i >= result )
            break;                              // 如果i>=result则退出循环           重复
          while ( a1[i] <= v6 )                 // 当a1[i] <= v6           此循环一定成立
          {
            if ( ++i >= result )                // 如果i = result - 1
              goto LABEL_13;
          }
          if ( i >= result )
            break;
          v5 = i;
          a1[result] = a1[i];
        }
        --result;                               // result减一
      }
      while ( i < result );
    }
LABEL_13:
    a1[result] = v6;                            // 让a1[result] = 之前的a1[i]
    sub_4010F0(a1, a2, i - 1);                  // 进行递归……
    result = a3;
    ++i;
  }
  return result;
}

运行代码算出v7处理后各个元素的值……
在这里插入图片描述
sub_401000函数,,,

// a1 为 v9的地址
// a2 为 v9的长度
_BYTE *__cdecl sub_401000(int *a1, int a2)
{
  int v2; // eax
  int v3; // esi
  size_t v4; // ebx
  _BYTE *v5; // eax
  _BYTE *v6; // edi
  int v7; // eax
  _BYTE *v8; // ebx
  int v9; // edi
  signed int v10; // edx
  int v11; // edi
  signed int v12; // eax
  signed int v13; // esi
  _BYTE *result; // eax
  _BYTE *v15; // [esp+Ch] [ebp-10h]
  _BYTE *v16; // [esp+10h] [ebp-Ch]
  int v17; // [esp+14h] [ebp-8h]
  int v18[4]; // [esp+18h] [ebp-4h]

  v2 = a2 / 3;
  v3 = 0;
  if ( a2 % 3 > 0 )
    ++v2;
  v4 = 4 * v2 + 1;                              // v4为长度
                                                // 
                                                // 当进行编码的数据长度是3的倍数时,len=strlen(str_in)/3*4;
                                                // 当进行编码的数据长度不是3的倍数时,len=(strlen(str_in)/3+1)*4;
                                                // 为Base64加密
  v5 = malloc(v4);
  v6 = v5;                                      // v6指向分配的动态内存空间
  v15 = v5;                                     // v15指向分配的动态内存空间
  if ( !v5 )
    exit(0);                                    // 动态分配内存失败,退出
  memset(v5, 0, v4);                            // 给分配的v5清零
  v7 = a2;
  v8 = v6;                                      // v8指向分配的动态内存空间
  v16 = v6;                                     // v16指向分配的动态内存空间
  if ( a2 > 0 )
  {
    while ( 1 )
    {
      v9 = 0;
      v10 = 0;
      v18[0] = 0;
      do
      {
        if ( v3 >= v7 )
          break;
        ++v10;
        v9 = *(a1 + v3++) | (v9 << 8);          // 将v9左移8位,然后与v9各个位二进制求或
      }
      while ( v10 < 3 );
      v11 = v9 << 8 * (3 - v10);                // v9向左移8的倍数位
      v12 = 0;
      v17 = v3;
      v13 = 18;
      do
      {
        if ( v10 >= v12 )
        {
          *(v18 + v12) = (v11 >> v13) & 63;
          v8 = v16;
        }
        else
        {
          *(v18 + v12) = 64;
        }
        *v8++ = byte_407830[*(v18 + v12)];      // byte_407830 存放 "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/="
                                                // 此处更证明了为Base64加密
        v13 -= 6;
        ++v12;
        v16 = v8;
      }
      while ( v13 > -6 );
      v3 = v17;
      if ( v17 >= a2 )
        break;
      v7 = a2;
    }
    v6 = v15;
  }
  result = v6;
  *v8 = 0;
  return result;
}

v4 = “ak1w” v5 = “V1Ax” 使用在线网站https://c.runoob.com/front-end/693对v4和v5进行base64解密
在这里插入图片描述
在这里插入图片描述
string[5] = ‘j’
string[6] = ‘M’
string[7] = ‘p’
在这里插入图片描述

string[3] = ‘P’
string[2] = ‘W’
string[4] = ‘1’

可以得到string = “UJWP1jMp”
从而得到flag为 flag{UJWP1jMp}

往期回顾

小白学习笔记(0) CG-CTF-re-3 py交易
小白学习笔记(1) BUUCTF-re xor
小白学习笔记(2)BUUCTF-re-新年快乐
小白学习笔记(3) CG-CT re ReadAsm2
小白学习笔记(4)BUUCTF-re-reverse_1
小白学习笔记(5)BUUCTF-re-内涵软件
小白学习笔记(6)BUUCTF-re-SimpleRev
小白学习笔记(7)BUUCTF-re-rsa
小白学习笔记(8)BUUCTF-re-CrackRTF

Forgo7ten
关注
  • 6
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
autokeras学习笔记-安装篇
06-07
autokeras学习笔记-安装篇
Cadence学习笔记1-原理图.pdf
11-16
Cadence学习笔记1-原理图.pdf
BUUCTF reverse 刮开有奖
firfis的博客
04-25 1562
一、刮开有奖 所需工具: IDA(反编译工具) exeinfope(查壳工具) CaptfEncoder(编码转换) 题解: 拖入exeinfope 检查是否套壳[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 发现并没有。 查看文件是32位还是64位。方法如下:使用记事本直接打开你的exe文件。只要看第二行即可,第二行开头不远处有PE两个字母,再后面两个空格后第三个字符就是标记了,如果是字母L的话,就是32位应用程序,如果是d?就表示是64位应用程序。 将.exe文
buuctf——hello word
yhfgs的博客
05-25 1154
1.下载得到apk文件丢到apkida中找main函数(smali\com\example\helloword\MainActivity.smali(main函数))。 2.get flag flag{7631a988259a00816deda84afb29430a}
buuctf的RSA(二)
最新发布
ndjnddjxn的博客
05-23 1121
在这个例子中,你已经使用了公钥的模数 N 和指数 E 来模拟(尽管没有实际加密过程)公钥,并用私钥的质数因子 p和 q 来计算私钥指数 D,然后用这个私钥来解密一个文件。代码首先导入 gmpy2和 rsa 模块,然后定义了一系列变量,包括公钥的模数 N、公钥的指数 E、两个质数 p,q,以及通过 gmpy2.invert 函数计算出的私钥指数 D。如果B使用A的公钥解密签名得到的哈希值和B自己对原始消息进行哈希运算得到的哈希值相同,那么B就可以确认这条消息是由A发送的,并且没有被篡改。
[BUUCTF] 刮开有奖
m0_68259687的博客
06-11 305
大概如下修改,将(a1+数字)视为数组里面的编号,其中注意将偏移中乘4操作去掉(机器语言地址+4),总的来说哪里红了改哪里。想起搜索字符串的时候搜到过base64 的base,猜测第二个处理的函数sub_40100为base64加密。进入对v7进行某种操作的函数sub_4010F0,分析后发现应该是要使用脚本来反推。按照下面这段的逻辑拼接出string即为flag。随手在函数和字符串中搜索flag,没有发现。双击进入DialogFunc这个函数,分析。拖入IDA中,嗯,看函数应该没有加壳。
[buuctf]刮开有奖
逆向萌新的博客
08-11 1527
buuctf 刮开有奖
Buuctf-Reverse-helloworld 题解&思路总结
m0_62239233的博客
05-07 756
Buuctf-Reverse-helloworld 题解&思路总结
《WebGL编程指南》学习笔记webgl-study-notes
01-12
《WebGL编程指南》学习笔记webgl-study-notes
ccnp学习笔记---stp
02-16
ccnp学习笔记---stp
JSP学习笔记-2.pdf
11-28
JSP学习笔记-2.pdf
BUUCTF逆向第14题刮开有奖
Knozya的博客
01-31 758
而我们已知flag长度为8,后六位我们解码已得出,但是不知道顺序,现在需推断出前两位,因为上面破解的长字符串中(也就是sub_4010F0中)的结果可知前两位为'U' 'J',又因为第三位为‘W’接下来我们继续跟进sub_401000,内容多的有点懵了,往下滑发现有个byte_407830可以跟进。又发现sub_4010F0和sub_401000可能对字符串做出了改变,分别跟进,先跟进前者,如下。跟进后不难发现为base64编码形式,也就是说我们需要对其所对应的v4和v5进行解码,结果如下。
BUUCTF Reverse刷题笔记03——刮开有奖
Taikx的博客
06-11 318
一、运行程序 二、拉入ExeinfoPe分析 三、拉入32位IDA分析 进入main函数,F5查看伪代码 int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) { DialogBoxParamA(hInstance, (LPCSTR)0x67, 0, DialogFunc, 0); return 0; } 进入DialogFunc函数 BOOL __.
CTF-Reverse刮开有奖
LeeOrange_45的博客
03-18 279
注意:所有的4*i全改为i,因为他之前是汇编dword,访问下一个元素,地址需要+4,在c语言orc++之中,直接索引+1就可以解决了。在sub_401000函数中,可以看出是Base64编码,所以我们可以将v4带入base64解码里头,可以得到。从a2到a3的循环,清一色去(4*i+a1),a1应当是数组的首地址,a2,a3是数组的边界索引。可以说我是抄他的,事实上是看了一遍他的然后自己做了一遍再写了一下wp巩固!不管咋样吧,前两个参数是模板,第三个是窗口句柄,第四个是指针,第五个是值。
BUUCTF re-刮开有奖wp
想喝奶茶的胖大海
02-11 1174
检查 查壳 运行 就一个光光的刮开有奖,拖入 ida分析 查看伪c代码 进入函数DialogFunc 由67可知此函数为关键分析代码 由35,36可知string为输入字符串并且长度为8,进入sub_4010F0函数观察,入口参数已知,可直接粘贴修改数组部分就可用编译器编译其中代码 #include <iostream> using namespace std; //v7,0,...
BUUCTF RE 刮开有奖wp
xici_的博客
03-02 224
用ida32位打开文件 进入主函数WinMain 找到主函数
buu逆向刷题(二)
re1wn
09-26 6117
buu刷题
BUUCTF-Reverse:helloword + findit(安卓逆向)
_Co1a
11-21 948
Helloword+finditHellowordfindit 这两道题是安卓逆向的题目~ 第一次接触安卓逆向的题目~ 工具下载:https://down.52pojie.cn/Tools/ Helloword “apk APK是Android Package的缩写,即Android安装包(anapk)。 测试文件:https://buuoj.cn/files/c8f1972d61784f14dc7f86eea83a791f/6176cfc5-d473-4453-a000-29e480ace634.a
BUUCTF Reverse helloword、findit
A_dmin的博客
07-23 5122
BUUCTF Reverse helloword、findithellowordfindit 一天一道CTF题目,能多不能少 记录一下这两道题,这两道题是安卓逆向的题目~ 第一次接触安卓逆向的题目~ helloword 题目意思如下: 下载APK文件,使用APKIDE打开,找到主函数: 啊~快乐的题目:flag{7631a988259a00816deda84afb29430a} findit ...
re学习笔记(56)WUSTCTF – Re方向WP
12-21
新手一枚,如有错误(不足)请指正,谢谢!! WUSTCTF-re-Cr0ssFun IDA64载入,进入main函数 查看check函数 都提取出来就是flag了。。。 得到flag为wctf2020{cpp_@nd_r3verse_@re_fun} WUSTCTF-re-level1 下载下来压缩包有两个文件,一个是ELF64位,一个是output.txt是程序的输出 IDA64位载入查看main函数 对19位的flag变换后输出,, 写脚本 #include int main(void) { unsigned int i,flag[] = { 198,232,81

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Forgo7ten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值