[WUSTCTF2020]level3 笔记与自省

最新推荐文章于 2024-05-09 14:21:07 发布
最新推荐文章于 2024-05-09 14:21:07 发布
阅读量313 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tokameine/article/details/118094811
版权
本文讲述了作者通过IDA分析一个包含base64编码和O_OLookAtYou函数的程序,揭示了初始化函数__libc_start_main中的加密策略。通过查找并理解O_OLookAtYou函数,发现它是对base64_table进行的奇特置换,从而成功解密隐藏的flag。
摘要由CSDN通过智能技术生成

解题过程:

    直接放入IDA分析,跳入main函数,得到如下内容

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char *v3; // rax
  char v5; // [rsp+Fh] [rbp-41h]
  char v6[56]; // [rsp+10h] [rbp-40h] BYREF
  unsigned __int64 v7; // [rsp+48h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  printf("Try my base64 program?.....\n>");
  __isoc99_scanf("%20s", v6);
  v5 = time(0LL);
  srand(v5);
  if ( (rand() & 1) != 0 )
  {
    v3 = base64_encode(v6);
    puts(v3);
    puts("Is there something wrong?");
  }
  else
  {
    puts("Sorry I think it's not prepared yet....");
    puts("And I get a strange string from my program which is different from the standard base64:");
    puts("d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD==");
    puts("What's wrong??");
  }
  return 0;
}

    显然,最底下有一串形似base64编码的字符串

d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD==

    解码发现无法正确得到内容,猜测是映射表被更改过

    观察发现一个明显怪异的函数:“O_OLookAtYou”

__int64 O_OLookAtYou()
{
  __int64 result; // rax
  char v1; // [rsp+1h] [rbp-5h]
  int i; // [rsp+2h] [rbp-4h]

  for ( i = 0; i <= 9; ++i )
  {
    v1 = base64_table[i];
    base64_table[i] = base64_table[19 - i];
    result = 19 - i;
    base64_table[result] = v1;
  }
  return result;
}

    直接放入VS得到置换后结果:

int main()
{
    char base64_table[] = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";
    for (int i = 0; i <= 9; ++i)
    {
        char v1 = base64_table[i];
        base64_table[i] = base64_table[19 - i];
        char result = 19 - i;
        base64_table[result] = v1;
    }
    cout << base64_table;//TSRQPONMLKJIHGFEDCBAUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
}

    得到新表,直接对密文进行解密即可得到flag

--------------------------------------------------------------------------------------------

    明确一点,当main函数找不到期望的内容的时候,应该从start函数开始看

    main函数为用户代码的入口,但在此之前应有许多函数库需要初始化,这些初始化工作则从start函数开始

// positive sp value has been detected, the output may be wrong!
void __fastcall __noreturn start(__int64 a1, __int64 a2, void (*a3)(void))
{
  __int64 v3; // rax
  int v4; // esi
  __int64 v5; // [rsp-8h] [rbp-8h] BYREF
  char *retaddr; // [rsp+0h] [rbp+0h] BYREF

  v4 = v5;
  v5 = v3;
  __libc_start_main(main, v4, &retaddr, _libc_csu_init, _libc_csu_fini, a3, &v5);
  __halt();
}

    本题中,__libc_start_main()函数调用了包括main在内的三个函数(但第三个函数进入后会发现里面什么都没有)

void __fastcall _libc_csu_init(unsigned int a1, __int64 a2, __int64 a3)
{
  signed __int64 v4; // rbp
  __int64 i; // rbx

  v4 = &_do_global_dtors_aux_fini_array_entry - _frame_dummy_init_array_entry;
  init_proc();
  if ( v4 )
  {
    for ( i = 0LL; i != v4; ++i )
      (_frame_dummy_init_array_entry[i])(a1, a2, a3);
  }
}

    v4变量使用了两个标签,不妨进入去看看 

.init_array:0000000000601E08 __frame_dummy_init_array_entry dq offset frame_dummy
.init_array:0000000000601E08                                         ; DATA XREF: LOAD:00000000004000F8↑o
.init_array:0000000000601E08                                         ; LOAD:0000000000400210↑o ...
.init_array:0000000000601E08                                         ; Alternative name is '__init_array_start'
.init_array:0000000000601E10                 dq offset O_OLookAtYou
.init_array:0000000000601E10 _init_array     ends
.init_array:0000000000601E10
.fini_array:0000000000601E18 ; ELF Termination Function Table
.fini_array:0000000000601E18 ; ===========================================================================
.fini_array:0000000000601E18
.fini_array:0000000000601E18 ; Segment type: Pure data
.fini_array:0000000000601E18 ; Segment permissions: Read/Write
.fini_array:0000000000601E18 _fini_array     segment qword public 'DATA' use64
.fini_array:0000000000601E18                 assume cs:_fini_array
.fini_array:0000000000601E18                 ;org 601E18h
.fini_array:0000000000601E18 __do_global_dtors_aux_fini_array_entry dq offset __do_global_dtors_aux

    0000000000601E10地址处引用了O_OLookAtYou函数的地址

    这一系列函数通过_libc_csu_init函数中的for循环去使用

    当然,实际上看看表有没有被更改只需要对base64_table查看其交叉引用即可

    所以最后还是自己瞎忙活一通,算是吃个瘪长个教训吧......

Tokameine
关注
buu-[WUSTCTF2020]level3
qaq517384的博客
03-07 247
64位GCC 查看字符串,base甩脸上 看一眼main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // ST0F_1 const char *v4; // rax char v6; // [rsp+10h] [rbp-40h] unsigned __int64 v7; // [rsp+48h] [rbp-8h] v7 = __readfsqword(0x28u);
buu-[WUSTCTF2020]level4
qaq517384的博客
03-14 3151
64位elf文件 先运行 Traversal type 1:2f0t02T{hcsiI_SwA__r7Ee} Traversal type 2:20f0Th{2tsIS_icArE}e7__w Traversal type 3: //type3(&x[22]); No way! ida查看字符串无恙 查看main函数 int __cdecl main(int argc, const char **argv, const char **envp) { puts("Practice m
[WUSTCTF2020]level3
寻梦&之璐
05-12 1009
拖进ida base64 d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD== 看到有个base64,然后找下码表 拿去解密后,一团乱码 所以肯定码表被换了,被代码换了,细看后找到这个函数 O_OLookAtYou() 写个脚本: #include<iostream> using namespace std; int main() { char a[] = { "ABCDEFGHIJKLMNOPQRSTUVWXYZabcde
WUSTCTF(2020)level3
HLi1219的博客
11-09 1294
快比赛了,老害怕了,我什么都不会,真就去体验? 打开PE查找相关信息 可以用Ubuntu打开,在kali里面打开后找到信息语句 接着用ida打开后找到相关的句子定位到了main函数,F5反编译 直接看最后那段base64的语句,尝试利用正常的base64表解密,发现不行,联想到了可能是换表了,点击上面的base_encode函数,找加密表 我擦,正常的base64表,那可能是对这个表进行了置换,Crrl+X 查看调用情况 慢慢找到了0_0LookAtYou函数 ...
BUU-[WUSTCTF2020]level3
qq_45771413的博客
04-19 262
查壳 无壳 ida F5伪代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // ST0F_1 char *v4; // rax char v6; // [rsp+10h] [rbp-40h] unsigned __int64 v7; // [rsp+48h] [rbp-8h] v7 = __readfsqword(0x28u); printf("Try my base
BUUCTF Reverse/[WUSTCTF2020]level4
ookami6497的博客
08-02 642
BUUCTF Reverse/[WUSTCTF2020]level4 先看文件信息,没有加壳 IDA打开找到主函数,看描述说这是一个数据结构的算法,而且有left以及rleft,这不就是数据结构里面的左子树和右子树么 跟进init 看一下这两个输出 运行一下 这type1和type2就是中序遍历和后序遍历没跑,那么猜测type3就是前序遍历了,找到这个已知中序遍历和后序遍历求前序遍历 改下脚 脚本 #include <stdlib.h> #include
re学习笔记(56)WUSTCTF – Re方向WP
12-21
对于"re-level3",问题涉及到了基于自定义base64编码的加密。作者通过动态调试,识别了加密算法并创建了一个Python脚本来解码,从而解出了flag:`wctf2020{Base64_is_the_start_of_reverse}`。这里强调了理解加密...
buu做题笔记——[WUSTCTF2020]朴实无华&[BSidesCF 2020]Had a bad day
weixin_46330722的博客
11-07 674
BUU[WUSTCTF2020]朴实无华robots.txtresponselevel 1level 2level 3[BSidesCF 2020]Had a bad day [WUSTCTF2020]朴实无华 robots.txt 进入题目界面就一个Hack me,抓包也没看到啥有用的。dirsearch开启 ! 扫一扫有没有什么有用的,但是全都429,只能手动扫描了。备份文件,git泄露,robots协议…全都试一遍 。终于在robots.txt里找到了有用的东西。 response 访问是一个有
Elasticsearch与SpringBoot整合笔记 High-level-client-rest方式
千夜
06-25 2937
一. 加入依赖 需要对应ES版本 <!--ElasticSearch 依赖--> <dependency> <groupId>org.elasticsearch.client</groupId> <artifactId>elasticsearch-res...
BUUCTF Reverse/[WUSTCTF2020]level3
ookami6497的博客
07-26 271
BUUCTF Reverse/[WUSTCTF2020]level3 没有加壳 用IDA64位打开,分析代码 int __cdecl main(int argc, const char **argv, const char **envp) { char *v3; // rax char v5; // [rsp+Fh] [rbp-41h] char v6[56]; // [rsp+10h] [rbp-40h] BYREF unsigned __int64 v7; // [rsp+4
buuctf——(WUSTCTF2020level3
yhfgs的博客
06-06 357
1.查壳。 无壳,64位。
[buuctf][WUSTCTF2020]level3
逆向萌新的博客
07-13 1000
[buuctf][WUSTCTF2020]level3
buuctf刷题记录18 [WUSTCTF2020]level3
ytj00的博客
08-01 791
经典无壳,拖进ida 最后输出的里面有衣穿加密字符串,一看就知道是base加密的,然后提上又提示是base64加密,拿去解密发现不对,感觉应该是吧base64的码表改了 然后找半天没找到那个函数, 然后找到这个奇怪的函数,果然是吧码表换了 写出脚本,得到改变的码表 然后根据之前的加密字符串,再写脚本 import base64 import string str1 = "d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD==" strin
[BUUCTF]REVERSE——[WUSTCTF2020]level3
mcmuyanga的博客
12-16 502
[WUSTCTF2020]level3 附件 步骤: 例行检查,64位程序,无壳 64位ida载入,找到关键函数 看样子是个base64加密,但又感觉没那么简单,再翻翻左边的函数,找到了base64加密变表的函数 将加密表变换一下写个解密exp import base64 table = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=' model = list("ABCDEFGHIJKLMNOPQRSTUVWX
BUUCTF RE WP39-40 [WUSTCTF2020]Cr0ssfun、[WUSTCTF2020]level3
mumuzi的博客
04-19 618
39.[WUSTCTF2020]Cr0ssfun 得到的 flag 请包上 flag{} 提交。 感谢 Iven Huang 师傅供题。 比赛平台:https://ctfgame.w-ais.cn/ 无壳IDA打开,main函数 输入v4,进入check函数 其中,check函数中给出了每一位的值 return a1[10] == 112 && a1[13] == 64 && a1[3] == 102 && a1[26]
[WUSTCTF2020]level3题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-24 469
[WUSTCTF2020]level3题解
[WUSTCTF2020]level3-buuctf
Lenard404的博客
03-15 912
buuctf做题记录 查壳 64位无壳 IDA分析 main函数很明显的给了一个密文d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD==和提示:这是一个特殊的base64加密。 给了这样的提示,推测是base64换表 那么查看加密函数: 加密表点进去: 是正常的表,直接用原表解密解不出flag,右键查看表的引用,发现除了加密函数之外还有一个函数对表进行了操作: 点进去查看,果然是改了表: 简单写个脚本解出更改后的表: #include&
[WUSTCTF2020]level3--Reverse
最新发布
m0_72904009的博客
05-09 310
[WUSTCTF2020]level3 逆向CTF
SAP AG的LO515 MM PA Level3课程资料
"LO515 mm PA Level3课程资料,包含SAPAG的版权信息以及对第三方软件商标的声明" 这篇文档似乎是一份关于SAP LO515 MM PA Level3课程的学习资料,该课程可能专注于SAP的物料管理(Material Management)模块在特定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值