2020XCTF天津垓问题求解

最新推荐文章于 2022-03-21 16:22:46 发布
最新推荐文章于 2022-03-21 16:22:46 发布
阅读量694 收藏 1
点赞数
分类专栏: CTF 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WaterDemo22/article/details/104753257
版权

1.天津垓

有一些反调试措施和加壳的保护,但是总体逻辑非常简单

1.1 “Authorize:”求解

核心逻辑是:
在这里插入图片描述

v39是一个数组,长度为14,具体值为:
arrlist = [0x52,0x69,0x73,0x69,0x6e,0x67,0x5f,0x48,0x6f,0x70,0x70,0x65,0x72,0x21]
其中*(&v39+i%14)就是 arrlist[i%14]
v1也是一个数组,长度为18,具体值为:
target = [17,8,6,10,15,20,42,59,47,3,47,4,16,72,62,0,7,16]
其中*(&v1+i)就是target[i]
那么,str[i]就可以通过遍历可视字符[0x20~0x7f]来求解,只要满足v43==target[i]即可,代码如下:

def main():
	arrlist = [0x52,0x69,0x73,0x69,0x6e,0x67,0x5f,0x48,0x6f,0x70,0x70,0x65,0x72,0x21]
	target = [17,8,6,10,15,20,42,59,47,3,47,4,16,72,62,0,7,16]
	idx = 0
	flag1 = ""
	for idx in range(0,18):
		for c in range(0x0,0xff):
			t = ~(c & arrlist[idx%14]) & (c|arrlist[idx%14])
			if t== target[idx]:
				print(idx,chr(c))
				flag1 += chr(c)
	print(flag1)

得出flag1 = Caucasus@s_ability

1.2 壳

相关逻辑如下:
在这里插入图片描述
地址0x164d是被加壳的内容,大小为1045。sub_1506函数在解壳,之后在第5行即可直接调用unk_164d()函数。

解壳的逻辑如下:
在这里插入图片描述
其中第18行就是解码过程,其中*(lpAddress+i)就是unk_164d[i],然后*(v8+i%18)就是str[i%18],可以先把解码之后的内容dump出来,代码如下:

import idc
from binascii import *
s = "Caucasus@s_ability"
def main():
	count = 1045
	start = 0x10040164D
	addr = start
	fp = open('origin','wb')
	for i in range(0,1045):
		c = s[i%18]
		addr = start + i;
		res = idc.Byte(addr)
		res ^= ord(c)
		fp.write(a2b_hex(hex(res)[2:].rjust(2,'0')))
	fp.close()
if __name__ == '__main__':
	main()

用ida打开origin文件,发现不能反编译函数,如下
在这里插入图片描述
很明显,解码是正确的,符合函数的特征,尤其是第一个push指令,现在想要反编译这个代码,方便分析逻辑,于是直接将内容patch到原始exe文件上,代码如下:

def rewrite():
	fp = open('tjh.exe','rb')
	fp2 = open('origin','rb')
	data2 = fp2.read()
	data=fp.read()
	idx = data.find('\x16\x29\xf4\x8f') #是地址0x164d的内容,找到index,可以准确替换
	out_data = data[:idx]
	for i in range(0,1045):
		out_data+=data2[i]
	out_data += data[idx+1045:]
	fp3 = open('out.exe','wb')
	fp3.write(out_data)
	fp3.close()

最后用IDA打开out.exe文件,可以看到反编译成功了,逻辑如下:
在这里插入图片描述
flag是51个字符,验算过程和Authorize类似,这里就不重复说明了,代码如下:

s=r"""
v9 = 2007666;
v10 = 2125764;
v11 = 1909251;
v12 = 2027349;
v13 = 2421009;
v14 = 1653372;
v15 = 2047032;
v16 = 2184813;
v17 = 2302911;
v18 = 2263545;
v19 = 1909251;
v20 = 2165130;
v21 = 1968300;
v22 = 2243862;
v23 = 2066715;
v24 = 2322594;
v25 = 1987983;
v26 = 2243862;
v27 = 1869885;
v28 = 2066715;
v29 = 2263545;
v30 = 1869885;
v31 = 964467;
v32 = 944784;
v33 = 944784;
v34 = 944784;
v35 = 728271;
v36 = 1869885;
v37 = 2263545;
v38 = 2283228;
v39 = 2243862;
v40 = 2184813;
v41 = 2165130;
v42 = 2027349;
v43 = 1987983;
v44 = 2243862;
v45 = 1869885;
v46 = 2283228;
v47 = 2047032;
v48 = 1909251;
v49 = 2165130;
v50 = 1869885;
v51 = 2401326;
v52 = 1987983;
v53 = 2243862;
v54 = 2184813;
v55 = 885735;
v56 = 2184813;
v57 = 2165130;
v58 = 1987983;
v59 = 2460375;
"""
def solve():
	res = s.split('\n')
	n_list = []
	for item in res[1:-1]:
		number = item.split('=')[1].strip(';')
		n_list.append(int(number))
	v61 = 19683
	v62 = 0x8000000b
	flag = ""
	for i in range(0,51):
		for c in range(0x20,0x7f):
			t = v61 * (c%v62)
			if t == n_list[i]:
				flag += chr(c)
	print(flag)

最后解出flag为flag{Thousandriver_is_1000%_stronger_than_zero-one}

Boofish
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
高校战“疫” 天津
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-10 2660
查壳 这个程序根据后面的分析是属于自解密一类的的程序, 这个程序在我电脑上跑不起来,搞了半天环境就是跑不起来 算了直接拖入IDA分析 进到入口函数 然后进入sub_100401B2F 接着进入sub_1004011F6(),这个函数是第一个key的check 解密代码 a = "Rising_Hopper!" tt = [17,8,6,10,15,20,42,59,47,3,47,4,16,...
攻防世界—刷题(6)
yhfgs的博客
11-06 190
一.梅津美治郎 1.查壳:无壳,32位。 2.IDA反编译。 直接shift+f12查看字符串 找到“You passed level1!”(有信息:flag不止一部分。),跟进。得到第一部分flag:r0b0RUlez! 查看sub_4015EA函数,这里应该有第二部分flag。 emmmmm,关键应该在__debugbreak,但是静态调试无法实现。直接动调 这儿有个int 3断点,不太了解这个int 3,问了一下大佬: 这里有个debugbreak函数,这函数的话...
[XCTF-Reverse] 41-44
weixin_52640415的博客
03-21 276
42,梅津美治郎 ida打开,没有啥保护很容易就过一第关,但第2关入口看不到,有个特殊的函数 strcpy(v8, "r0b0RUlez!"); dword_40AD94 = (int)&v9; dword_40ADA0 = (int)&v49; dword_40AD8C = (char *)&v40; dword_40AD90 = (char *)&v31; dword_40AD98 = (int)&v28; lpProcName
CTF 天津
lhk124的博客
09-14 342
运行 可知刚开始的显示以及输入错误后的提示 ida打开 所以是前边的v25-v30放在一起 1个int64是8个字节,1个char是1个字节,因此1个int64可转为8个char 在v25右键->set lvar type 改为 修改后的结果 已经显示出了错误时的报错了。同理,有一些其他地方也是字符串,只是被ida识别错误了,若是不确定是否被识别错误了,可以查看char形式,会发现是一堆字符串。同理,修改多处 修改好后 根据后边的代码逻辑可知:我们应该输.
CTF_task1
weixin_43641850的博客
09-21 249
进入题目地址,给了一张gif图片,显示如下 查看前端代码,没有有用的信息,猜测可从图片格式入手 下载gif文件,以txt文本形式打开,得到flag
高校战“疫”网络安全分享赛Re:天津WP
辰星的博客
03-16 393
复现题 我下载的时候这个题缺了个dll,补上后运行下程序,观察。 需要输入授权字符串。拖入IDA查看,查看字符串,发现有限制调试工具的代码,解除。 找到第一个输入点。需要输入符号位运算的合法输入,写个脚本破解,如下: str = [0x52, 0x69, 0x73, 0x69, 0x6e, 0x67, 0x5f, 0x48, 0x6f, 0x70, 0x70, 0x65, 0x72, ...
re学习笔记(50)高校战“疫”网络安全分享赛—re—天津
逆向随笔
03-09 2188
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 链接: https://pan.baidu.com/s/11oIbMxd2I3-KC5QNxqAZSg 提取码: 2020 EnumFunc()函数,检测窗口名称,反调试,修改代码nop掉10040114B,100401152 挨个函数查看…… 找到sub_1004011F6()函数(修改后) 写脚本爆破出来,,,, #incl...
高校战“疫”网络安全分享赛Writeup——天津
qq_43557177的博客
03-10 865
拿到题目,发现由于缺少cygwin1.dll本机并没有办法运行,但是题还是要做的 直接拖进IDA里,进行分析,查找字符串 看起来是有点东西,双击其中一个 然后按住x查找引用 但是目测这个函数并不能帮到我们,继续对函数名称查找引用 进入第一个函数,有点东西了 大体逻辑是将字符串“Rising_Hopper!”作为key,v1到v18作为数组Number,遍历输入Str,满足一个简单逻辑,Pyt...
XCTF reverse-box
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-11 353
题目要求: 输入flag让程序输出,flag以TWCTF开头,xctf的题目提示被漏掉了 如果对本文有疑问,可在下方给我留言 95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4a 程序放入IDA中分析 这题的关键点就是要获取到v4的值,v4是由sub_80...
高校战疫-Reverse-“天津
Hotspurs的博客
03-09 351
天津.exe 无壳,64位 IDA很快找到第一个关键函数 写脚本逆向: flag1 = '' dat1 = [17,8,6,10,15,20,42,59,47,3,47,4,16,72,62,0,7,16] dat2 = [0x52,0x69,0x73,0x69,0x6E,0x67,0x5F,0x48,0x6F,0x70,0x70,0x65,0x72,0X21] for ...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
关于__Federico Milano 的电力系统分析工具箱.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
mlab-upenn 研究小组的心脏模型模拟.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
混合图像创建大师matlab代码.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
中序遍历二叉树-java版本
04-26
在Java中,实现二叉树的中序遍历同样可以通过递归来完成。中序遍历的顺序是:首先递归地中序遍历左子树,然后访问根节点,最后递归地中序遍历右子树。 在这段代码中,Node类定义了二叉树的节点,BinaryTree类包含一个指向根节点的指针和inOrder方法,用于递归地进行中序遍历。printInOrder方法调用inOrder方法并打印出遍历的结果。 在Main类中,我们创建了一个示例二叉树,并调用printInOrder方法来输出中序遍历的结果。输出应该是:4 2 5 1 3,这表示中序遍历的顺序是左子树(4),然后是根节点(2),接着是右子树的左子树(5),然后是右子树的根节点(1),最后是右子树的右子树(3)。
无头单向非循环链表的实现(SList.c)
最新发布
04-26
无头单向非循环链表的实现(函数定义文件)
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入漏洞来获取敏感数据或者执行非授权操作。这个题目可以帮助参与者提升对于 SQL 注入漏洞的理解和防御能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值