re刷题第五天

最新推荐文章于 2020-10-28 08:45:10 发布
最新推荐文章于 2020-10-28 08:45:10 发布
阅读量262 收藏
点赞数
分类专栏: Writeup 攻防世界 文章标签: CTF Reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Prowes5/article/details/100574195
版权

#re刷题第五天

补交一下昨天刷题的WP,今天要打护网杯就不刷题了,最近工作太忙了,有时间总结一下最近开发学到的知识

0x00 re1-100

考察点:进程间通信,静态调式,反反调试

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  __pid_t v3; // eax
  size_t v4; // rax
  ssize_t v5; // rbx
  bool v6; // al
  bool bCheckPtrace; // [rsp+13h] [rbp-1BDh]
  ssize_t numRead; // [rsp+18h] [rbp-1B8h]
  ssize_t numReada; // [rsp+18h] [rbp-1B8h]
  char bufWrite[200]; // [rsp+20h] [rbp-1B0h]
  char bufParentRead[200]; // [rsp+F0h] [rbp-E0h]
  unsigned __int64 v12; // [rsp+1B8h] [rbp-18h]

  v12 = __readfsqword(0x28u);
  bCheckPtrace = detectDebugging();
  if ( pipe(pParentWrite) == -1 )
    exit(1);
  if ( pipe(pParentRead) == -1 )
    exit(1);
  v3 = fork();
  if ( v3 != -1 )
  {
    if ( v3 )
    {
      close(pParentWrite[0]);
      close(pParentRead[1]);
      while ( 1 )
      {
        printf("Input key : ");
        memset(bufWrite, 0, 0xC8uLL);
        gets(bufWrite);
        v4 = strlen(bufWrite);
        v5 = write(pParentWrite[1], bufWrite, v4);
        if ( v5 != strlen(bufWrite) )
          printf("parent - partial/failed write");
        do
        {
          memset(bufParentRead, 0, 0xC8uLL);
          numReada = read(pParentRead[0], bufParentRead, 0xC8uLL);
          v6 = bCheckPtrace || checkDebuggerProcessRunning();
          if ( v6 )
          {
            puts("Wrong !!!\n");
          }
          else if ( !checkStringIsNumber(bufParentRead) )
          {
            puts("Wrong !!!\n");
          }
          else
          {
            if ( atoi(bufParentRead) )
            {
              puts("True");
              if ( close(pParentWrite[1]) == -1 )
                exit(1);
              exit(0);
            }
            puts("Wrong !!!\n");
          }
        }
        while ( numReada == -1 );
      }
    }
    close(pParentWrite[1]);
    close(pParentRead[0]);
    while ( 1 )
    {
      memset(bufParentRead, 0, 0xC8uLL);
      numRead = read(pParentWrite[0], bufParentRead, 0xC8uLL);
      if ( numRead == -1 )
        break;
      if ( numRead )
      {
        if ( childCheckDebugResult() )
        {
          responseFalse();
        }
        else if ( bufParentRead[0] == '{' )
        {
          if ( strlen(bufParentRead) == 42 )
          {
            if ( !strncmp(&bufParentRead[1], "53fc275d81", 0xAuLL) )
            {
              if ( bufParentRead[strlen(bufParentRead) - 1] == '}' )
              {
                if ( !strncmp(&bufParentRead[31], "4938ae4efd", 0xAuLL) )
                {
                  if ( !confuseKey(bufParentRead, 42) )
                  {
                    responseFalse();
                  }
                  else if ( !strncmp(bufParentRead, "{daf29f59034938ae4efd53fc275d81053ed5be8c}", 0x2AuLL) )
                  {
                    responseTrue();
                  }
                  else
                  {
                    responseFalse();
                  }
                }
                else
                {
                  responseFalse();
                }
              }
              else
              {
                responseFalse();
              }
            }
            else
            {
              responseFalse();
            }
          }
          else
          {
            responseFalse();
          }
        }
        else
        {
          responseFalse();
        }
      }
    }
    exit(1);
  }
  exit(1);
}

看下主函数,程序fork了一个子进程进行check,主进程主要用来反调试和输入输出,程序创建了两个管道进行父子进程的通信。
在这里插入图片描述

这里是我们要关注的点,在confusekey中,对输入进行了位置变换,跟进一下
在这里插入图片描述

就是这个地方,我们可以看出来是分成了四个部分进行位置变换,其实准确来说就是两个部分,前后对调了一下,我们直接将它对调回去,就会得到flag。

ps:注意只提交大括号里边的内容

0x01 The Maya Society

考察点:md5,dns,base64,还有脑洞?

题目给了个文件夹,我们把launcher载入IDA,看下main函数

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  size_t v3; // rbx
  size_t v4; // rax
  size_t v6; // rax
  size_t v7; // rax
  __int64 v8; // rdi
  time_t timer; // [rsp+18h] [rbp-128h]
  char v10[8]; // [rsp+20h] [rbp-120h]
  char src; // [rsp+40h] [rbp-100h]
  char s; // [rsp+60h] [rbp-E0h]
  __int64 v13; // [rsp+C8h] [rbp-78h]
  char v14; // [rsp+D4h] [rbp-6Ch]
  char v15; // [rsp+DDh] [rbp-63h]
  char v16; // [rsp+E6h] [rbp-5Ah]
  char v17; // [rsp+EFh] [rbp-51h]
  void (__fastcall *v18)(__int64); // [rsp+F8h] [rbp-48h]
  __int64 v19; // [rsp+100h] [rbp-40h]
  char *v20; // [rsp+108h] [rbp-38h]
  char *dest; // [rsp+110h] [rbp-30h]
  int *v22; // [rsp+118h] [rbp-28h]
  size_t v23; // [rsp+120h] [rbp-20h]
  struct tm *tp; // [rsp+128h] [rbp-18h]

  strcpy(v10, ".fluxfingers.net");
  timer = time(0LL);
  tp = localtime(&timer);
  strftime(&s, 0x63uLL, "%Y-%m-%d", tp);
  v23 = strlen(&s);
  sub_B5A(&s, v23);
  v22 = &dword_2030B8;
  snprintf(
    &v17,
    9uLL,
    "%02x%02x%02x%02x",
    (unsigned __int8)dword_2030B8,
    BYTE1(dword_2030B8),
    BYTE2(dword_2030B8),
    HIBYTE(dword_2030B8));
  v22 = &dword_2030C0;
  snprintf(
    &v16,
    9uLL,
    "%02x%02x%02x%02x",
    (unsigned __int8)dword_2030C0,
    BYTE1(dword_2030C0),
    BYTE2(dword_2030C0),
    HIBYTE(dword_2030C0));
  v22 = &dword_2030B4;
  snprintf(
    &v15,
    9uLL,
    "%02x%02x%02x%02x",
    (unsigned __int8)dword_2030B4,
    BYTE1(dword_2030B4),
    BYTE2(dword_2030B4),
    HIBYTE(dword_2030B4));
  v22 = &dword_2030BC;
  snprintf(
    &v14,
    9uLL,
    "%02x%02x%02x%02x",
    (unsigned __int8)dword_2030BC,
    BYTE1(dword_2030BC),
    BYTE2(dword_2030BC),
    HIBYTE(dword_2030BC));
  snprintf(&src, 0x21uLL, "%s%s%s%s", &v17, &v16, &v15, &v14);
  v3 = strlen(&src);
  v4 = strlen(v10);
  dest = (char *)malloc(v3 + v4 + 1);
  if ( !dest )
    return 1LL;
  *dest = 0;
  strcat(dest, &src);
  strcat(dest, v10);
  v20 = (char *)sub_18A4(dest);
  if ( !v20 )
    return 1LL;
  v6 = strlen(v20);
  v19 = sub_15E0(v20, v6, &v13);
  v7 = strlen(v20);
  v18 = (void (__fastcall *)(__int64))sub_15E0(v20, v7, &v13);
  if ( !v19 )
    return 1LL;
  v8 = v19;
  sub_1858(v19, v13, v18);
  v18(v8);
  return 0LL;
}

简单的分析一下,代码并不难,就是程序获取了一下本地的时间,转换为YYYY-MM-DD的形式,然后md5加密,将($md5).fluxfingers.net这种形式拼接,做dns请求。

*)(__int64))sub_15E0(v20, v7, &v13);
if ( !v19 )
return 1LL;
v8 = v19;
sub_1858(v19, v13, v18);
v18(v8);
return 0LL;
}

简单的分析一下,代码并不难,就是程序获取了一下本地的时间,转换为YYYY-MM-DD的形式,然后md5加密,将($md5).fluxfingers.net这种形式拼接,做dns请求。

这里有一个脑洞。。。日期是一个问题,我们看到html上有一个2012的年份,难道要366天跑一遍?这是我最初的想法,但在写脚本时候碰到一个问题,异常处理出了问题,只能看了下其他师傅的wp,发现提示就是题目名称。maya预言2012-12-21是世界末日,所以日期就为2012-12-21,修改下系统日期运行就会得到flag

Prowes5
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
护网杯REFINAL超详细WP
BadRer的博客
10-15 3808
前言 由于时间原因没有在比赛结束前提交flag,所以干脆写一个详细的解答过程(自认为),适合小白阅读,Pizza大佬请绕过。
WhiteHat Contest 11 : re1-100 ( xman re1-100)逆向基础题
08-07 220
不知道peid到底有什么用 好多逆向题好像都要用这个查询 不过现在做的逆向题都比较菜,先不用 还是一个ida用到底 main()函数,依然是r键先来一波(新手,没经验,见谅) 没有用,f5神级键搞一个。 分析代码 * int __cdecl __noreturn main(int argc, const char **argv, const char **envp)/ { __pid_t ...
i春秋网鼎杯网络安全大赛minified题目writeup
热门推荐
iqiqiya的博客
08-20 1万+
i春秋网鼎杯网络安全大赛minified题目writeup 题目信息:minified 下载链接:https://pan.baidu.com/s/1A42tTEcp4sr_CamXuyRvDQ 密码: hr6m   下载下来是一个压缩包    解压后得到flag_enc.png   如果经常做题,一看就知道是PNG隐写 要用到工具 载入图片后 点击右箭头 发现red0...
2018护网杯pwn
Maxmalloc的博客
01-14 537
CTF WriteUp】2020全国工业互联网安全技术技能大赛(原护网杯)Crypto题解
cccchhhh6819的博客
10-25 6887
Crypto signsystem 题目中的加密算法很奇怪,所以测试一下加密算法的结果,得到如下结论: 在不模n的情况下,该函数加密结果满足以下数列: f(1) = m, f(2) = m^2-2, f(n+2) = m*f(n+1) - f(n) 列出几项观察: m, m^2-2, m^3-3m, m^4-4m^2+2, m^5-5m^3+5m, ... 暂时没有得到有用结论。再看一看e和d的关系,随便找了100个输入,确认e和d在该算法可逆,原理不明。 继续看代码。代码允许输入一个明文m计算enc(
REFramework:框架 w 第一人称(RE2、RE3、RE8)
08-05
第一人称(RE2、RE3) 免费相机(所有游戏) 场景时间尺度(所有游戏) 手动手电筒(RE2、RE3、RE8) FOV 滑块和暗角禁用器(RE2、RE3、RE8) 包含的修复 RE8 启动崩溃 RE8 口吃(杀死敌人、受到伤害等...) ...
AudioC0re:盖茨比100天代码
03-08
盖茨比极简启动器 :rocket: 快速开始创建一个Gatsby网站。 使用Gatsby CLI创建一个新站点,并指定最小的启动器。 # create a new Gatsby site using the minimal starternpm init gatsby 开始开发。...
SX05RE使用指南.pdf
02-20
【Sx05RE使用指南】是一份详细指导用户如何操作和使用Sx05RE游戏系统的文档。Sx05RE系统专为晶晨S905处理器设计,基于开源项目Lakka进行二次开发,它是一个轻量级的Linux系统,集成了多种功能,如媒体中心KODI、游戏...
re2c-0.9.4.exe
最新发布
08-31
5. 安装完成后,re2c 应该已经在系统路径中可用,可以通过命令行直接调用。 在实际应用中,re2c 常常被用来解析输入文件,例如源代码、配置文件等,生成相应的词法分析器来处理这些输入。通过这种方式,开发者可以...
正则表达式+Python re模块详解
10-15
- **`re.search(pattern, string)`**:它只返回第一个匹配项,如果需要访问匹配的分组,可以通过`.group(n)`获取,其中`n`为分组编号。例如,`re.search('9(\d)(\d)', '19740ash93010uru').group(1)`返回`7`,`....
pwn 练习笔记 暑假第五天
SsMing的博客
07-17 983
今天找了jarvisoj上面的两个简单题做一下 level0(难度如名字) ida打开看一下,简单栈溢出 ssize_t vulnerable_function() {   char buf; // [sp+0h] [bp-80h]@1   return read(0, &buf, 0x200uLL); } int __cdecl main(int argc, const cha...
护网杯部分题目题解
0verWatch的博客
10-14 4287
前言 护网杯的这次比赛还是很有收获的,至少在web方面我认为是这样的,还是得继续努力吧。。。 正文 MISC 迟来的签到 AAoHAR1UIFBSJFFQU1AjUVEjVidWUVJVJVZUIyUnI18jVFNXVRs= 题目说要异或,那就直接爆破异或就好 写个小脚本就可以得到flag import base64 a = "AAoHAR1UIFBSJFFQU1AjUVEjVidWUVJV...
护网杯writeup以及赛后反思
沐沐的博客
10-13 1562
迟来的签到题 这个题目给了一个base64加密过的字符串,还有题目的提示信息是easy xor???猜想是先将这个字符串解密然后和一个数来异或,但是不知道和谁异或,所以就采用了爆破的方式来爆破出异或的值和flag。 解题脚本: #conding=utf-8 import base64 as bs s="AAoHAR0jJ1AlVVEkU1BUVCAlIlFTUVUiUFRTVFVeU1FXU...
攻防世界--crackme
weixin_30876945的博客
09-10 331
测试文件:https://adworld.xctf.org.cn/media/task/attachments/088c3bd10de44fa988a3601dc5585da8.exe 1.准备 获取信息 32位文件 北斗压缩壳(nsPack) 1.脱壳 1.1 OD打开(esp定律法) Word或者DWord都可以 ...
护网杯-easy_tornado
wyj_1216 House
10-14 7631
进入题目网站,发现三个文件 首先进入第一个文件Orz.txt,发现提示渲染函数render(),直接将文件内容显示在网页上 再进入第二个文件hint.txt,发现提示md5(cookie_secret + md5(filename)),即先将filenamemd5加密,再将cookie_secret与md5加密后的filename进行md5加密,也就是说,目前我们需要知道的是filename和...
护网杯2020初赛 密码writeup
qq_39642801的博客
10-28 420
2EM tmp1=pbox1(pt)⊕pbox1(key)tmp2=pbox2(pbox1(pt))⊕pbox2(pbox1(key))⊕pbox2(key)ct=pbox2(pbox1(pt))⊕pbox2(pbox1(key))⊕pbox2(key)⊕key tmp1 = pbox1(pt) \oplus pbox1(key) \\ tmp2 = pbox2(pbox1(pt)) \oplus pbox2(pbox1(key)) \oplus pbox2(key) \\ ct = pbox2(pbox1
2018护网杯MISC题目迟来的签到题easy xor???的writeup
iqiqiya的博客
10-13 4113
这道题我异或?半天。。。 最后队友小煤球想出来直接异或给的串中所有字符 得到flag from base64 import * b=b64decode("AAoHAR1WX1VQVlNVU1VRUl5XXyMjI1FWJ1IjUCQnXlZWXyckXhs=") data=list(b)#转成列表 for k in range(200): flag="" ...
强网杯ctf pwn&re writeup (部分)
这里没人
06-04 7104
打了2天的强网杯,虽然一度冲进了前10。可惜最后的时候还是掉出了20名。最后只能无奈打出GG。其中的原因有很多,也不想多说了。 逆向溢出题3连发。我就只会那么多了Orz 先来一道re200 kergen 发送24位的字符串,主要是400B56处的检验函数。检验方法是这样的先是发送字符的第1 10 7 11 2 13 16 17位,中间插入43917202。然后MD5,然后转化成32位字符串形
第五版《密码编码学与网络安全》解答大全
5. **第五章:高级加密标准(AES)** - AES是目前最常用的加密算法之一,此章详细解释了AES的工作模式、密钥管理以及其安全性特性,展示了现代密码学的复杂性和安全性提升。 6. **后续章节未提供** - 剩下的章节...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值