ISCTF2023 Reverse方向 WP

最新推荐文章于 2024-05-24 23:45:01 发布
最新推荐文章于 2024-05-24 23:45:01 发布
阅读量1.3k 收藏 21
点赞数 24
分类专栏: CTF学习笔记 CTF比赛WP 文章标签: 前端 CTF 学习 Crypto Reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sciurdae/article/details/134986964
版权

文章目录

Reverse

crackme

image-20231128235807877

加了UPX壳,可以看到EP Section处UPX标识被修改了

用WinHex修改

image-20231128235912601

之后UPX脱壳

image-20231128235954127

image-20231129000032590

得到flag。

EasyRe

image-20231129000118429

image-20231129002417390

逆向一下,先逆序,再做一些字符的替换,最后异或0x11.

for ( i = v6 - 1; i >= 0; --i )
    v4[v6 - i + 111] = v4[i + 112];

这一部分,实际上就是将数组 v4 中的元素从索引 iv6 - 1 复制到数组 v4 中的索引 v6 - i + 111v6 + 110 的位置

EXP:

enc = ']P_ISRF^PCY[I_YWERYC'
trans_table = str.maketrans('YC', 'BX')
result = enc.translate(trans_table)
re_result = result[::-1]
flag = ''.join([chr(ord(char) ^ 0x11) for char in re_result])

print(flag)
# ISCTFSNXJSIAOWCBXNAL

babyRe

image-20231209082308108

py逆向。用pyinstxtractor解包。

image-20231209082421065

之后找到babyRe.pyc和struct.pyc 拖进WinHex中比较magic number

image-20231209082519282

image-20231209082548264

相同,没有魔改。则直接对babyRe进行反编译,使用uncompyle6 或者 pyc在线反编译

image-20231209082653959

发现是个rsa加密,结合output;已知(p+1)*(q+1)和(p+q);那么根据简单的数学公式,我们可以知道phi 即 (p-1)(q-1) = (p+1)(q+1) - 2(p+q),以及n = p * q = (p+1)(q+1) - (p+q) - 1;

之后根据RSA的计算公式可以解出flag

EXP:

from Crypto.Util.number import long_to_bytes
from gmpy2 import invert

paddq=292884018782106151080211087047278002613718113661882871562870811030932129300110050822187903340426820507419488984883216665816506575312384940488196435920320779296487709207011656728480651848786849994095965852212548311864730225380390740637527033103610408592664948012814290769567441038868614508362013860087396409860
p1xq1=21292789073160227295768319780997976991300923684414991432030077313041762314144710093780468352616448047534339208324518089727210764843655182515955359309813600286949887218916518346391288151954579692912105787780604137276300957046899460796651855983154616583709095921532639371311099659697834887064510351319531902433355833604752638757132129136704458119767279776712516825379722837005380965686817229771252693736534397063201880826010273930761767650438638395019411119979149337260776965247144705915951674697425506236801595477159432369862377378306461809669885764689526096087635635247658396780671976617716801660025870405374520076160
c=5203005542361323780340103662023144468501161788183930759975924790394097999367062944602228590598053194005601497154183700604614648980958953643596732510635460233363517206803267054976506058495592964781868943617992245808463957957161100800155936109928340808755112091651619258385206684038063600864669934451439637410568700470057362554045334836098013308228518175901113235436257998397401389511926288739759268080251377782356779624616546966237213737535252748926042086203600860251557074440685879354169866206490962331203234019516485700964227924668452181975961352914304357731769081382406940750260817547299552705287482926593175925396
n = p1xq1 - paddq - 1
phi = p1xq1 - 2*paddq
e = 65537
d = invert(e,phi)
m = pow(c,d,n)
print(long_to_bytes(m))

# ISCTF{kisl-iopa-qdnc-tbfs-ualv}

easy_z3

py文件打开,发现就是一堆约束条件,用python的z3约束求解。

image-20231209162340796

根据源代码,还需要将计算出的整数转换为ascii码的形式。

EXP:

from z3 import *

s = Solver()

l = [Int(f"l_{i}") for i in range(6)]

s.add((593*l[5] + 997*l[0] + 811*l[1] + 258*l[2] + 829*l[3] + 532*l[4]) == 0x54eb02012bed42c08)
s.add((605*l[4] + 686*l[5] + 328*l[0] + 602*l[1] + 695*l[2] + 576*l[3]) == 0x4f039a9f601affc3a)
s.add((373*l[3] + 512*l[4] + 449*l[5] + 756*l[0] + 448*l[1] + 580*l[2]) == 0x442b62c4ad653e7d9)
s.add((560*l[2] + 635*l[3] + 422*l[4] + 971*l[5] + 855*l[0] + 597*l[1]) == 0x588aabb6a4cb26838)
s.add((717*l[1] + 507*l[2] + 388*l[3] + 925*l[4] + 324*l[5] + 524*l[0]) == 0x48f8e42ac70c9af91)
s.add((312*l[0] + 368*l[1] + 884*l[2] + 518*l[3] + 495*l[4] + 414*l[5]) == 0x4656c19578a6b1170)


flag = ''
if s.check() == sat:

    model = s.model()
    for i in range(6):
        hex_model = hex(model[l[i]].as_long())[2:]
        flag += "".join(chr(int(hex_model[j:j+2],16))for j in range(0,len(hex_model),2))
    print(flag)
# ISCTF{N0_One_kn0ws_m@th_B3tter_Th@n_me!!!}

FloweyRSA

image-20231209090613829

ida打开之后全是爆红,找到花指令的地方。

image-20231209090717075

jz到label1中间的内容是混淆的东西,全部nop掉,

image-20231209090759097

之后在main函数处用P 创建函数,根据提示对相应地址的内容进行修复(nop掉再C转化代码)修完之后,回到main处 P 一下,之后反编译就可以了。

image-20231209090936754

得到:

image-20231209091039222

可以知道是一个RSA加密,密文数据在c中,e为 465,n很小,可以分解得到 p 和 q。

EXP:

from Crypto.Util.number import long_to_bytes
from gmpy2 import invert

enc = [0x753C2EC5, 0x8D90C736, 0x81282CB0, 0x7EECC470, 0x944E15D3, 0x2C7AC726, 0x717E8070, 0x30CBE439, 0x0B1D95A9C,
       0x6DB667BB, 0x1240463C, 0x77CBFE64, 0x11D8BE59]
e = 0x1D1
p = 56099
q = 56369
n = p * q
phi = (p - 1) * (q - 1)
d = invert(e, phi)
flag = b''
for key in enc:
    m = pow(key, d, n)
    flag += long_to_bytes(m)
print(flag)

# b'flag{reverse_is_N0T_@lways_jusT_RE_myy_H@bIb1!!!!!!}'

easy_flower_tea

image-20231209160252169

IDA打开后无法加载,地址爆红,看汇编

image-20231209160415934

image-20231209160459378

直接NOP掉,然后P了反编译就好。

image-20231209160534610

要求我们输入number 1 和number 2,对着俩个数进行加密之后进行验证。查看一下加密函数sub_41100A

image-20231209160631080

就是一个简单的TEA加密。

EXP:


#include <stdio.h>
#include <stdint.h>  // 使用uint32_t数据类型需要包含此头文件
#include <string.h>
 #include<iostream>
 using namespace std;
// 定义加密函数
// 定义加密函数
void tea_decrypt(uint32_t *v, uint32_t *k) {
    uint32_t v0 = v[0], v1 = v[1], i;  // 根据TEA算法,解密轮次的计算需要初始化sum
    uint32_t delta = 0x61C88647;
    uint32_t sum = -(delta*32);
 
    for (i = 0; i < 32; i++) {
        v1 -= ((v0 * 16) + k[2]) ^ (v0 + sum) ^ ((v0 >> 5) + k[3]);
        v0 -= ((v1 * 16) + k[0]) ^ (v1 + sum) ^ ((v1 >> 5) + k[1]);
        sum += delta;
    }
 
    v[0] = v0;
    v[1] = v1;
}
 
int main() {
    uint32_t enc[2]={1115126522,2014982346};
    uint32_t key[]={12,34,56,78};
    tea_decrypt(enc,key);
    cout<<enc[0]<<endl;
    cout<<enc[1];
    return 0;
}

mfx_re

UPX魔改壳,使用WinHex将MFX都改成UPX,mfx改成upx就好了。之后用UPX脱壳

image-20231209162759835

只有处–s[i],逆向一下就是 +1

EXP:

enc = 'HRBSEz51e1a81c,78b3,34d`,84`4,6acce2c776a0|'
print("".join(chr(ord(enc[i])+1)for i in range(len(enc))))
# ISCTF{62f2b92d-89c4-45ea-95a5-7bddf3d887b1}

z3_revenge

image-20231209163202351

image-20231209163235461

一样的用python的z3约束求解。

实际上v4可以看做v0,之后SBYTE1(v4)就是v1,SBYTE2(v4) 为v2;以此类推

z3可以解出

solution_values = [
    73, 83, 67, 84, 70, 123, 53, 53, 54, 52, 48, 48, 53, 102, 45, 50, 100, 100,
    56, 45, 52, 100, 57, 53, 45, 57, 100, 50, 55, 45, 48, 100, 98, 102, 52, 48,
    48, 49, 57, 54, 49, 57, 125
]
flag = []
for i in range(len(solution_values)):
    flag.append(chr(solution_values[i]))
print(''.join(flag))
# ISCTF{5564005f-2dd8-4d95-9d27-0dbf40019619}

WHERE

image-20231214080514798

IDA打开

image-20231214082750499

程序开始23行处设置了一个异常处理函数

  • 使用了 NtCurrentTeb() 函数来获取当前线程的TEB
  • 访问 NtTib 结构,从中获取 ExceptionList 成员的值。
  • 在Windows中,ExceptionList 是 TEB 的一部分,用于指向当前线程的异常链表的头部。
  • 异常链表用于管理当前线程的异常处理信息,当线程执行发生异常时,系统会根据这个链表找到对应的异常处理程序。

之后往下看,

image-20231214083436214

GetModuleHandleA函数 获取 kernel32.dll 动态链接库中的 AddVectoredExceptionHandler 函数的地址,而AddVectoredExceptionHandler 函数用于向进程中添加一个矢量化的异常处理程序。所以这里也是关于异常处理的操作。

接着,

image-20231214083622518

又一次通过 NtCurrentTeb() 函数来获取当前线程的TEB,这一次是通过访问TEB的 ProcessEnvironmentBlock 成员,最终获取了一个叫做 BeingDebugged 的成员的值。在Windows中, BeingDebugged 是用于指示当前进程是否被调试的,如果当前值为非零,表示进程正在被调试。

image-20231214083853664

接上面,如果进程没有被调试,则这里会进入401520中,

image-20231214083954918

这里看一下,似乎都是对调试器的操作,阻止动态分析。

还有一处loc_401660,点进去看看

image-20231214084425601

发现一小段花指令,去除后发现是一个TEA加密,但是目前不清楚是哪里的。

image-20231214084511856

再次返回主函数的时候,发现不见了。不知道是什么情况了,看了wp好像是 VEH异常处理还是SEH异常处理,不太懂(待学)

image-20231214084556145

往下看。

image-20231214084111919

第一部分flag的地方,可以用z3解出来。

再往下,

image-20231214084727331

先验证了 Str 长度为32,爆红的不知道什么,好像是什么空指针异常,想起上面讲的异常处理函数,

image-20231214085941647

点进去看,

image-20231214090000890

发现是一个魔改了一点的RC4

image-20231214090023692

接着看到 sub_401660,这里不就是1我们刚刚 修复的花指令处,虽然不懂具体的过程,但是这里应该就是 TEA加密。

再看下面。

image-20231214085158466

这里拿 刚刚 TEA加密后的密文,先是异或,将得到的数据作为一个二维数组的索引,把当前位置的值设置为1,最后比较返回0。

其实到这里就分析完了。好像也不是很难,但是当初纠结了好久。

逆向一下就好了。

但是其实现在也还有点疑惑,为什么TEA加密的时候的明文和key是相同的,解密的时候密文和key也可以相同,当时就是这里纠结不出来。o(╥﹏╥)o、

具体的EXP就不再写了,分析完了。主要是这个拖了好久了,今天补一下。可以去找官方wp。有EXP。

Sciurdae.
关注
  • 24
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
C++ reverse介绍及使用
10-09
1、本文详细描述了C++语言reverse函数的使用方法。 2、通过详细示例,让读者更直观地阅读,更清晰的理解。 3、示例代码可直接复制,编译后可直接运行。 4、根据示例以及运行结果,让读者加强记忆及理解。
什么是reverse常见的reverse有哪些
05-19
reverse
2023SICTF-Reverse-白猫-[签到]PYC
m0_73734159的博客
12-01 479
题目名称: [签到]PYC 题目简介: 本次比禁止py交易!题目环境: PYC.ZI解压里面有一个file.pyc文件。
[ISCTF2023] Crypto/PWN/Reverse
weixin_52640415的博客
11-29 710
卡迈尔数表
2023ciscn初reverse wp
DD5001的博客
02-18 960
2023ciscn初reverse wp
SICTF2023 WP
qq_63928796的博客
01-20 3125
highlight_file(__FILE__); error_reporting(0); class Happy{ private $cmd; private $content; public function __construct($cmd, $content) { $this->cmd = $cmd; $this->content = $content; } public function __call($name
[SICTF 2023 #Round2] Crypto,PWN,Reverse
weixin_52640415的博客
09-10 842
unsortbin的使用,移栈, java字节码, pyc字节码
GDOUCTF2023 Reverse题解
OrientalGlass的博客
04-17 5581
ida分析之后会出现几个新的窗口,最关键的是这个Matched Functions窗口,绿色代表匹配一致,往下翻在最后可以发现。反汇编窗口往下翻可以看到关键函数,这个循环的基本功能应该是对lmao数组的数据进行异或,但并不容易的值用于异或的中间值是什么。然后打开ls-patched.i64文件,选择Edit>Plugins>BinDiff,进来找不到关键函数,查看strings看到类似迷宫的东西,根据字符串可以定位到关键函数。安装时注意路径即可,默认在C盘,可以自己修改,他会自动绑定IDA的路径。
ISCTF WP MISC
2301_76718200的博客
11-29 1272
echo “cat /home/ctf/flag” >service #将“xxxx”中的内容写入到service中。os.system("cat flag")#“xxx”也可以更改为/bin/bash进行提取。下载后有两个文件一个flag.zip和一个key.ppt。使用环境变量,命令劫持获取flag或使用环境变量提权。在群里发送flag在哪里,机器人回复flag我来了。最终发现将5,6,7,8替换成空格,出现二维码。文件损坏,放入010,插入4个字节补全文件头。
LitCTF2023 郑州轻工业大学首届网络安全 WP 部分
Aluxian_的博客
05-14 6332
由于刚接触CTF没多久 还是属于萌新级别的(中专高中生)也没怎么打过比记录一下学习的过程大佬绕过即可,后续会继续加油努力。PS:记得所有的flag都改为NSSCTF或者LitCTF
BUUCTF reverse1-10 WP
mumuzi的博客
03-28 4252
笔记是按照当时的题目排序写的,顺序可能有出入 做题是从0开始做起,所以前面部分也会尽可能写的详细一点 只要能记录并且了解到怎么做即可,所以就没有去在意排版 遇到不会的函数尽可能去百度了解 因为前面的题难度不大,所以前面的每道题都没有去查壳,除非有特殊:) 题目:easyre、reverse1、reverse2、内涵的软件、新年快乐、helloword、xor、reverse3、不一样的flag、SimpleRev 1.easyre 非常简单的逆向 拖入winhex,搜索flag即可 flag{this_I
Scroll Reverse
12-09
MacOS中鼠标滑轮方向与触控板方向不一致,用Scroll Reverse可以加以调节。第一次使用时可设置成开机自动启动。
Reverse printing_Reverse_printing_
09-30
code for Quera challenge : ...
linklist-reverse.rar_linklist reverse
09-24
本程序的功能:创建链表、并逆序显示链表中的各个元素
vue源码之mustache模板引擎1
qweasl_的博客
05-21 476
模板引擎的一个有点:它是将数据转为视图的最优雅的方法。相信vue的玩家首先想到的是。而还没学vue的朋友,就只能进行dom操作了。通过数组的join方法。以及es6推出的模板字符串。
【Web】CISCN 2024初 题解(全)
uuzeray的博客
05-21 1350
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
【详细介绍WebKit的结构】
cz88888888666的博客
05-23 589
WebKit是一个开源的浏览器引擎,主要用于渲染网页内容,它最初由苹果公司为其Safari浏览器开发,目前被多种浏览器和应用程序使用,包括所有基于iOS和macOS的浏览器,WebKit的设计目标是提供快速、精准且流畅的网页浏览体验。
超详细的前后端实战项目(Spring系列加上vue3)前端篇(二)(一步步实现+源码)
最新发布
2301_79969279的博客
05-24 1134
好了,兄弟们,继昨天的项目之后,开始继续敲前端代码,完成前端部分昨天完成了全局页面的代码,和登录页面的代码,不过昨天的代码还有一些需要补充的,这里添加一下。
buuctf reverse wp
08-03
根据提供的引用内容,我们可以得到以下信息: 引用[1]提供了一个大整数n,以及它的因子p和q。 引用[2]提供了一个函数get_flag(),其中包含了一些逻辑判断和字符串操作。根据代码中的注释,当随机数为1时,会输出一个flag。 引用[3]提供了一个main函数,其中包含了一些字符串比较和逻辑判断。根据代码中的注释,当输入的字符串满足一定条件时,会输出"You are correct!"。 根据以上信息,我们可以推断buuctf reverse wp是关于逆向工程的挑战。具体来说,可能需要分析get_flag()函数和main函数的逻辑,以及对n进行因式分解,以获取flag。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sciurdae.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值