re学习笔记(63)BJDCTF3-re-ViQinere|py2

最新推荐文章于 2024-07-27 13:59:36 发布
最新推荐文章于 2024-07-27 13:59:36 发布
阅读量539 收藏 1
点赞数
分类专栏: ctf小白成长ing # reverse 文章标签: 加密解密 信息安全 CTF 反编译 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Palmer9/article/details/106299758
版权

好久没做题了,,,手都生疏了。费半天劲也就做了两道,,,在线求大腿
第一题ViQinere解题脚本>=97写成了>97楞是找了俩小时的BUG,,,
py2题一个简单的原生tea加密,,因为字面值默认是32位导致运算的时候溢出了,又找了好几个小时的BUG,,,,,

ViQinere

在这里插入图片描述
看输出前的那个加密函数
在这里插入图片描述
里面的jiami()函数是这样的
在这里插入图片描述
整个加密逻辑就在那一个函数里,,写逆脚本,,,爆破也可
nc连接服务器得到加密后的密文
在这里插入图片描述

#include <stdio.h>
#include <string.h>
int bh(char x)
{
    if (x > 96 && x <= 122)
        return x - 97;
    else if (x >= 65 && x <= 90)
        return x - 65 - 128;
    else return x;
}

char TaQini[] = "TaQini";
char abcd[] = "zyxwvutsrqponmlkjihgfedcba";

int main(void)
{
    int i, n = 0, p, j, k;
    char result[54] = "FQD{GfjuJ5UbLrWjZjpvErXkiAZzlvO0xTa!cwnLLAsy3B0iEvEy}";
    char flag[55] = { 0 },temp;
    for (i = 0; i < 54; i++)
    {
        if (result[i] >= 97 && result[i] <= 122)
        {
            temp = bh(TaQini[n++ & 5]);
            p = strchr(abcd, result[i]) - abcd;
            p = p - (temp & 0x7f) + 97;
            while (p < 97) p += 26;
            while (p > 122)p -= 26;
            flag[i] = p;
        }
        else if (result[i] >= 65 && result[i] <= 90)
        {
            temp = bh(TaQini[n++ & 5]);
            p = strchr(abcd, result[i]+32) - abcd;
            p = p - (temp & 0x7f) + 65;
            while (p < 65) p += 26;
            while (p > 90) p -= 26;
            flag[i] = p;
        }
        else flag[i] = result[i];
    }
    puts(flag);
}

在这里插入图片描述
得到flag BJD{ThisI5MyViQiNireCiPheRHaveY0uTr!edtOBRut3F0rCeIt}
再进行MD5 32位加密就可提交,得到378e148c67dbf85b15bdd0f54a7fa71d

py2

下载下来是个pyo文件,去在线pyc,pyo反编译python反编译反编译得到源代码

import ctypes
from base64 import b64encode, b64decode
 
def decode():
    fd = open('./libc.so', 'rb')
    data = fd.read()
    fd.close()
    fd = open('./libc.so', 'wb')
    fd.write(b64decode(data))
    fd.close()
 
 
def check():
    if b64encode(pwd) == 'YmpkMw==':
        decode()
        dl = ctypes.cdll.LoadLibrary
        lib = dl('./libc.so')
        reply = lib.check
        reply(int(flag[:length // 2], 16), int(flag[length // 2:], 16), int(pwd.encode('hex'), 16))
        print 'your input is BJD{%s}' % flag.decode('hex')
    else:
        print 'your password is wrong!'
 
 
if __name__ == '__main__':
    print 'Please input your flag:'
    flag = raw_input()
    flag = flag.encode('hex')
    length = len(flag)
    print 'Please input your password:'
    pwd = raw_input()
    check()

读取了flag,将其转换为十六进制字符串
读取密码pwd然后base64加密和'YmpkMw=='比较
然后对so文件进行base64解密,可以先运行一次取出解密后的so文件进行静态分析
然后将flag的十六进制字符串分成前后两部分,解释成数值,和pwd='bjd3’解释成十六进制一起传进so文件的check方法内

so文件的check方法
在这里插入图片描述
code方法是原生tea,只不过将32位改成了64位。。
在这里插入图片描述
根据传进去的参数我们可以得到,*a2 a2[1] a2[2] a2[3]是tea的密钥,是check函数里的v4[4]数组
并且全部相等且等于bjd3的十六进制字符串对应的数值也就是0x626a6433

而a1则是待加密的数据,分成了两个64位数据,即v4、v5来加密

加密完后,将v4、v5又重新赋值到a1的地址,并在check函数内进行比较,若相等则成功,不相等则失败

关于tea加密可以看re加密算法:RSA|SM4|RC4|MD5|Tea
解题脚本

脚本需要注意的地方就是tea的sum值,按照32位数的时候会溢出,而我偷懒没有计算出来粘贴上去,而是直接左移5位,,导致溢出算不出来,,,
解决方法是手动计算出SUM赋给变量,或者字面值后添加LL后缀显式表明是64位值,,,

#include <stdio.h>
#include <string.h>
int main()
{
    unsigned __int64 v4, v5,v6;
    v4 = 0x0AF9D869B6947017D;
    v5 = 0x0D760262509C2F6D0;
    int i = 32;
    v6 = 0x9E3779B9LL<<5; //字面值默认为32位值,进行的是32位运算,会溢出
    __int64 a2 = 0x626a6433;
    while (i--)
    {
        v5 -= (v4 + v6) ^ ((v4 << 4) + a2) ^ ((v4 >> 5) + a2);
        v4 -= (v5 + v6) ^ ((v5 << 4) + a2) ^ ((v5 >> 5) + a2);
        v6 -= 0x9E3779B9;

    }
    printf("%.8llx %.8llx", v4, v5);
    return 0;
}

在这里插入图片描述
得到结果 676f745f 74656121
转换为字符串得到got_tea!
在这里插入图片描述

Forgo7ten
关注
专栏目录
【Matlab Computer Vision System ToolBox】学习笔记-3 -点云配准 | 噪音去除 | 降采样
二赛君
02-05 1万+
本系列博客将介绍Matlab中机器视觉工具箱的应用,部分案例,主要关于点云处理方面,更多内容见Matlab官方文档。如有翻译错误请批评指正!所有代码经自己运行测试通过。转载请注明链接 :http://blog.csdn.net/kaspar1992 1. Hide and Show 3-D Point Cloud Figure - 显示和隐藏3D图 player=pcplayer(
RT-DETR改进有效系列目录 | 包含卷积、主干、RepC3、注意力机制、Neck上百种创新机制
Snu77的博客
01-29 1万+
Hello,各位读者们好Hello,各位读者,距离第一天发RT-DETR的博客已经过去了接近两个月,这段时间里我深入的研究了一下RT-DETR在ultralytics仓库的使用,旨在为大家解决为什么用v8的仓库训练的时候模型不收敛,精度差的离谱的问题,我也是成功的找到了解决方案,对于ultralytics仓库进行多处改进从而让其还原RT-DETR官方的实验环境从而达到一比一的效果。同时本人一些讲解视频和包含我所有创新的RT-DETR文档。
2020-BJDCTF
unexpectedthing的博客
03-08 2146
文章目录Mark loves cat考点wp方法1方法2Cookie is so stable考点:Twig模板注入wpThe mystery of ip考点:wpsmarty的模板学习对模板注入的判别EasySearch考点EzPHP考点wp1.主页2. 绕过$_SERVER['QUERY_STRING']3.绕过preg_match常见绕过preg_match的方法4.绕过$_REQUEST的字母匹配$_REQUEST的一些小特性$_REQUEST使用不当绕过WAF漏洞代码$_REQUEST导致的HPP
[网鼎杯 2020 朱雀组]Nmap(详细解读版)
最新发布
weixin_73399382的博客
07-27 1012
这道题考察nmap的一些用法,以及escapeshellarg和escapeshellcmd两个函数的绕过,可以看这里两种解题方法:第一种通过nmap的-iL参数读取扫描一个文件到指定文件中第二种是利用nmap的参数写入webshell-oN 标准保存-oX XML保存-oG保存-oA 保存到所有格式。
buucf - re - [BJDCTF 2nd]8086
qq_44625297的博客
03-28 1332
先查壳,发现没壳,拉进IDA。 Start 函数中调用了sub_10030函数,进去查看 发现sub_10030函数是个死循环,不断跳转到自身。 直接查看汇编,这是一个由8086汇编写成的程序。第一段数据段是将这串字符串写入物理地址,并取名aUDuTZWjQGjzZWz。 接下来则是代码段,就是刚才的死循环段。但是后面还有一串数据,估计就是真正的代码。选中,按C,选force,强制转换成汇编...
BJDCTF2020-re Easy&& BJD hamburger competition&&JustRE
weixin_61154173的博客
01-07 256
ctfshow BJDCTF2020关键就是for循环,v2[j]==1就输出*,否则输出空格,我当初以为这会不会是迷宫,但是没有给地图啊,也没有明显的上下左右的移动,所以应该不是。之前我们运行过,并不是执行这个代码,我们应该改EIP,让程序执行这里。在IDA里看到ques位置是401520,在OD中载入找到这个内存地址。看到有关时间的函数我的第一反应是:是不是在很长的时间后才会显示呀,我运行一下这个程序,发现并不是,因为出现了时间函数的代码“Can you find me?结果正是flag,这道题挺水的。
BJDCTF_ one_gadget
weixin_44864859的博客
04-09 334
考察点:one_gadget 题目给出了 printf 的地址,由此可算得 libc 基址,然后找 one_gadget、计算 libc 中 one_gadget 地址 printf("Give me your one gadget:"); __isoc99_scanf("%ld", &v4); v5 = v4; v4(); v4 是个函数指针,scanf 的时候把 on...
【Matlab Computer Vision System ToolBox】学习笔记-2-3D立体图创建 | 视差图 | 3D点云图
二赛君
02-02 1万+
本系列博客将介绍Matlab中机器视觉工具箱的应用,部分案例,主要关于点云处理方面,更多内容见Matlab官方文档。如有翻译错误请批评指正!所有代码经自己运行测试通过。 1. Create 3-D Stereo Display -创建3D立体图 >> load('webcamsSceneReconstruction.mat'); //导入双目标定的结果文件 >> I
JavaFX+Jfoenix 学习笔记(序)--引言And软件截图
热门推荐
足信方为的博客
07-17 1万+
文章目录(更新中): JavaFX+Jfoenix 学习笔记(序)--引言And软件截图 JavaFX+Jfoenix 学习笔记(一)--环境搭建及多款Hello Word演示 JavaFX+Jfoenix 学习笔记(二)--Stage和Scene JavaFX+Jfoenix 学习笔记(三)--TableView数据表格 JavaFX+Jfoenix 学习笔记(四)--MenuBar菜...
py-eureka-client学习笔记
wangnu_043的博客
10-23 4228
python官方下载地址:https://pypi.org/project/py-eureka-client/ 由于公司使用微服务架构,所以在部署服务时需要使用eureka,但整个项目是使用python开发的,所以学习了一波py-eureka-client模块,相较spring cloud下的java版eureka,代码更直观更好理解,适合我这种从没有接触过啥是微服务的新手,跟着官方提供的tut...
BJDCTF2020
Nobug_的博客
09-06 633
[BJDCTF2020]藏藏藏 打开题目后发现 直接打开下面的jpg文件 出现一个二维码 扫码得flag{you are the best!} [BJDCTF2020]鸡你太美 可以发现打开压缩包里面有两张gif图片 但是第一个gif图片打不开我们把它拖到010Editor 去查看 我们可以发现 第二个gif图片没有文件头 我们把GIF的文件头补齐 就可以拿到flag 47 49 46 38 添加过文件头之后就可以查看图片 flag{zhi_yin_you_are_beautiful} [BJD
BJDCTF-writeup
夏日 の blog
03-23 1899
本篇文章为个人做题时的部分wp,如有错误,请联系我更正。 目录杂项最简单的misc-y1ngA_Beautiful_Picture小姐姐-y1ngEasyBaBa圣火昭昭-y1ngTARGZ-y1ng总结 杂项 最简单的misc-y1ng 题目是一个zip包,尝试解压出错,用AZR压缩包修复工具修复后,解压得到一个secret文件,由于没有后缀名,放入010editor查看,发现含有IHDR ...
BJDCTF2nd
Amherstieae的博客
05-25 1125
本文写于3.24,只是那个时候还莫得博客,遂现在才发出。 写在前面 大家好呀,这里是β-AS,是一枚真的小菜鸡,希望路过的师傅带带我鸭 这是第二届BJDCTF,作为真弟弟只对crypto和misc感兴趣呀,然后接着是关于这两方面这次比赛我们做出来的题的writeup,希望能对大家有所帮助,也希望路过的大佬带带我(这是关键) 哦对了,七校联盟萌新赛????嗯?????? 出题人出来!线下1V1来不来!! (假的,我打不过你) CRYPTO 。1签到-y1ng QkpEe1czbGMwbWVfVDBfQkpEQ
BJDCTF_2nd PWN复盘
weixin_44145820的博客
03-26 675
目录r2t3one_gadgetydsneedgirlfriend2r2t4 r2t3 在name_check函数中有一个strcpy,看起来是溢出的机会,但是前面判断了长度,这里在汇编下才能发现漏洞 即只要长度超过255就会溢出 Exp: from pwn import * r = remote("node3.buuoj.cn", 29302) elf = ELF("./BJDCTF_2...
CTFbjdctf_2020_babystack 1
凉水的博客
01-21 1338
解题思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
buuctf [BJDCTF 2nd]ydsneedgirlfriend2
weixin_45677731的博客
08-13 209
[BJDCTF 2nd]ydsneedgirlfriend2 一道有手就行的堆题 这道题目的实现过程非常简单易懂,最后的脚本也非常简洁,适合我这样的萌新。 64位程序,拖进ida,看几个主要函数 add函数: 注意,如果bss段的0x6020a0这里没有内容的话,程序会先申请一个0x10的chunk,用于存放接下来为用户申请的chunk的地址和print girlfriend name函数的地址,可以看到这个函数用处就是输出内容,同时,这个chunk本身的地址会被放在0x6020a0处 接下来,用户输
BJDCTF2020CRYPTO
ZBDX2113的博客
05-07 1216
这次做一些简单题,巩固一下基础 首先是ctfshow内部赛密码2 全文只给出了ctf和show两个单词,不是什么特殊字符,也不属于特殊解密,类似于这样的,可以想到摩斯密码,它是由-与.组成的,试着用ctf作.,show作-,敲完前四行编码,转换之后为flag,所以挨个敲就好了。 BJDCTF2020签到题 这种题目一般是归纳总结,仅有小写字母与数字组成的密文,我们可以想到MD5,hex,键盘密码等等,这道题使用的是hex编码,直接带入网站就好。 BJDCTF2020编码与调制 这
BJDCTF 2nd--圣火昭昭-y1ng
qq_42016346的博客
03-22 1965
仔细审题,有key那么应该是加密隐写了,还有一个加重的猜字,很容易联想到outguess(猜的英文) 下载附件得到压缩包,照常16进制头尾.分离,无果后再解压 得到张喵喵喵的图片,照常属性.16进制.分离(还有啥好的习惯请师傅赐教呀) 在属性得到 按照题目的提示去掉com得到 gemlove ok直接outguess解密 flag,GET!!(祖安出题人) ...
TF2学习笔记:Chapter 2 - 模型构建与过拟合防治
在本篇TF2学习笔记中,章节2主要探讨了机器学习中的关键概念和技术,包括分类和回归示例,数据预处理,以及如何构建、训练和评估深度学习模型。以下是该章节的核心知识点: 1. **数据预处理**: - 数据集划分:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Forgo7ten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值