2019_UNCTF BabyXor

最新推荐文章于 2022-07-14 16:37:06 发布
最新推荐文章于 2022-07-14 16:37:06 发布
阅读量3.6k 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1309525802/article/details/106550124
版权

2019_UNCTF BabyXor


1.WriteUp
2.知识点








声明一点以下可能说的不是很友好,所以如有敏感词汇请评论我,作者会改











WriteUp

下载压缩包,解压得到babyXor.exe文件,习惯步骤:exe文件用PEiD查壳

在这里插入图片描述

UPolyX v0.5 * 作为菜鸡说实话第一见这种壳,以前都是upx壳,所以先用万能脱壳工具FFI进行脱壳

在这里插入图片描述
原谅我这个新手看不懂,所以貌似是无法识别这个壳,那就只能手动脱壳
使用esp脱壳大法,这是今天的一个收获之一
将exe拖到od

在这里插入图片描述
直接调试到jmp那里

在这里插入图片描述
使用od脱壳插件

在这里插入图片描述
脱壳后形成脱壳后的exe文件
由于菜所以只能用ida进行伪代码查看,大神就直接通过od进行分析代码结构,无疑让人羡慕

int __cdecl main_0()
{
  int v0; // ST5C_4
  int v1; // ST6C_4
  char *v2; // ST68_4
  void *v3; // ST64_4
  size_t v4; // eax
  int v5; // ST60_4

  sub_4010B4((int)&unk_4395F0, "世界上最简单的Xor");
  sub_40107D(sub_40102D);
  if ( --stru_436270._cnt < 0 )
  {
    _filbuf(&stru_436270);
  }
  else
  {
    v0 = (unsigned __int8)*stru_436270._ptr;
    ++stru_436270._ptr;
  }
  v1 = sub_40108C(&unk_435DC0, 56);
  v2 = (char *)sub_401041((int)&unk_435DC0, (int)&dword_435DF8, 0x38u);
  v3 = malloc(0x64u);
  v4 = strlen(v2);
  memcpy(v3, v2, v4);
  v5 = sub_4010C3(&unk_435DC0, v2, &dword_435E30, 56);
  sub_40101E(v1, v2, v5);
  return 0;
}

根据某个大神的解题思路得到启发,看这些简单一点的代码就应该有flag答案的地方从下往上看函数,看了半天也没有发现flag的踪迹,那就先分析重要函数吧

sub_4010C3(&unk_435DC0, v2, &dword_435E30, 56);
(char *)sub_401041((int)&unk_435DC0, (int)&dword_435DF8, 0x38u);
sub_40108C(&unk_435DC0, 56);
sub_40107D(sub_40102D);
sub_4010B4((int)&unk_4395F0, "世界上最简单的Xor");

找到这些重要的函数先不着急,先看传参,并找出其关联

sub_40108C(&unk_435DC0, 56);

访问&unk_435DC0

在这里插入图片描述
显然是一个数组,不过在此之间,和我一样的菜鸡注意了,怎么找值
1.找类型,此处类型为db,及占4个字节,及是以四个字节为媒介进行分开
2.看地址,上图是一个地址一个地址进行分开
3.看端序,及所谓小端序(高到低)和大端序(低到高)
又上面3个要点可以得到
435DC0=[0x66,0x6d,0x63,0x64,0x7f,0x37,0x35,0x30,0x30,0x6b,0x3a,0x3c,0x3b,0x20]

(char *)sub_401041((int)&unk_435DC0, (int)&dword_435DF8, 56u);

访问&dword_435DF8

在这里插入图片描述
435DF8=[0x37,0x6f,0x38,0x62,0x36,0x7c,0x37,0x33,0x34,0x76,0x33,0x62,0x64,0x7a]

sub_4010C3(&unk_435DC0, v2, &dword_435E30, 56);

访问dword_435E30
得到
435E30=[0x1a,0,0,0x51,0x5,0x11,0x54,0x56,0x55,0x59,0x1d,0x9,0x5d,0x12,0,0]
关联:

 v2 = (char *)sub_401041((int)&unk_435DC0, (int)&dword_435DF8, 56u);
sub_4010C3(&unk_435DC0, v2, &dword_435E30, 56);

可以得到v2的值对sub_4010C3有影响,但是sub_40108C(&unk_435DC0, 56);没有与其有任何关联,所以软柿子肯定要捏一捏,在这之前先可以判断

sub_40107D(sub_40102D);
sub_4010B4((int)&unk_4395F0, "世界上最简单的Xor");

这二个函数应该是打印窗口所以暂时可以不要管

//sub_40108C(&unk_435DC0, 56);
char *__cdecl sub_401190(int a1, unsigned int a2)
{
  char *v3; // [esp+4Ch] [ebp-Ch]
  signed int i; // [esp+54h] [ebp-4h]

  v3 = (char *)malloc(a2 >> 2);
  for ( i = 0; i < (signed int)(a2 >> 2); ++i )
    sprintf(&v3[i], "%c", i ^ *(_DWORD *)(a1 + 4 * i));//435DC0的值与i进行异或得到的结果赋值给v3这个字符串数组
  return v3;
}

我们先脚本输出结果一下

在这里插入图片描述
???flag出现了,而且是断片的,这时就瞬间明白了三个函数可能是进行拼凑flag

//sub_401041((int)&unk_435DC0, (int)&dword_435DF8, 0x38u);
char *__cdecl sub_401240(int a1, int a2, size_t a3)
{
  signed int i; // [esp+4Ch] [ebp-Ch]
  char *v5; // [esp+50h] [ebp-8h]

  v5 = (char *)malloc(a3);//初始化字符串v5
  sprintf(v5, "%c", *(_DWORD *)a2);//将435DF8[0]=v5[0]
  for ( i = 1; i < (signed int)(a3 >> 2); ++i )
    sprintf(&v5[i], "%c", *(_DWORD *)(a1 + 4 * i) ^ *(_DWORD *)(a2 + 4 * i) ^ *(_DWORD *)(a1 + 4 * i - 4));//v5[i]=435DC0[i]^435DF8[i]^435DC0[i-1]
  return v5;
}

得到v5=[55, 100, 54, 101, 45, 52, 53, 54, 52, 45, 98, 100, 99, 97]

//sub_4010C3(&unk_435DC0, v2, &dword_435E30, 56);
char *__cdecl sub_401320(int a1, int a2, int a3, unsigned int a4)
{
  int i; // [esp+4Ch] [ebp-10h]
  char *v6; // [esp+50h] [ebp-Ch]
  char *v7; // [esp+54h] [ebp-8h]

  v7 = (char *)malloc(a4 - 1);
  v6 = (char *)malloc(4 * a4 - 1);
  for ( i = 0; i < (signed int)((a4 >> 2) - 1); ++i )
  {
sprintf(&v6[i], "%c", *(_DWORD *)(a3 + 4 * i + 4) ^ *(char *)(i + a2));//这里的a2等于上面的v5,所以v6[i]=435E30[i+1]^v5[i]
    sprintf(&v7[i], "%c", i ^ v6[i]);
  }
  sprintf(&byte_439558, "%c", dword_435E30 ^ dword_435DF8);
  strcat(&byte_439558, v7);
  return &byte_439558;
}

Python-writeup:

a1=[0x66,0x6d,0x63,0x64,0x7f,0x37,0x35,0x30,0x30,0x6b,0x3a,0x3c,0x3b,0x20]
a2=[0x37,0x6f,0x38,0x62,0x36,0x7c,0x37,0x33,0x34,0x76,0x33,0x62,0x64,0x7a]
a3=[0x1a,0,0,0x51,0x5,0x11,0x54,0x56,0x55,0x59,0x1d,0x9,0x5d,0x12,0,0]
s=''
s2=[]
for x in range(0,14):
    s+=chr(x ^ a1[x])
print(s)
s+=chr(a2[0])
s2.append(a2[0])
for  x in range(1,14):
    s+=chr(a1[x]^a2[x]^a1[x-1])
    s2.append(a1[x]^a2[x]^a1[x-1])
print(s2)
s+=chr(a3[0]^a2[0])
for x in range(0,13):
    s+=chr(x^(a3[x+1]^s2[x]))

print(s)

最终得到flag{2378b077-7d6e-4564-bdca-7eec8eede9a2}















知识点

esp脱壳大法

条件:当按f8后esp变红即可用esp脱壳大法

在这里插入图片描述
使用教程
1.先用先用dd命令转到堆栈刚才esp中的内容指的位置,即dd 0019ff64。随即在该处下硬件断点,如图:

在这里插入图片描述
2.按F9运行,然后我们F8单步走,到了有大跳转时不要再按F8了(这是向上跳转的),我们必须跳过去,因为接下来就有可能是程序的OEP领空
在这里插入图片描述
在这里插入图片描述









山与路
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2019UNCTF-CRYPTO-simple_rsa
zippo1234的博客
11-04 834
2019UNCTF-CRYPTO-simple_rsasimple_rsa题目分析开始1.题目2.分析3.分解n4.求素数5.改n攻击6.脚本7.get flag结语参考 每天一题,只能多不能少 simple_rsa 题目分析 Pollard’s rho algorithm,PollardRho_p_1算法 小素数 n降低 开始 1.题目 简单粗暴的给了个原脚本: #!/usr/bin/env python2 # -*- coding:utf8 -*- from Crypto.Util.number i
算法分析:2019_UNCTF一道逆向题目
m0_64973256的博客
03-17 449
一.下载程序得到查壳得到一个64位的elf文件 二.直接拖进IDA进行静态分析 一拖进IDA便看到了main函数中一些关键字符“You are Right”、“flag{.....}” int __cdecl main(int argc, const char **argv, const char **envp) { char s[240]; // [rsp+0h] [rbp-1E0h] BYREF char v5[240]; // [rsp+F0h] [rbp-F0h] BYREF
2019UNCTF checkin
ChenZIDu的博客
12-13 397
Node.js是一个Javascript运行环境(runtime environment),Node.js不是一个JavaScript框架,Node.js是一个让JavaScript运行在服务端的开发平台,它让JavaScript成为与PHP、Python、Perl、Ruby 等服务端语言平起平坐的脚本语言。 进入之后是一个聊天室. 查看源码app.03bc1faf.js,这个JS文件里有/he...
2019UNCTF-RE-666
zippo1234的博客
11-13 1074
2019UNCTF-RE-666666题目分析开始1.题目2.分析3.逆向脚本4.get flag结语 666 题目分析 简单逆向 开始 1.题目 给出一个666的elf文件 2.分析 查壳无壳。扔进IDA分析 常规套路,定位到flag。找到位置。交叉引用。伪代码。得到 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-1E0h] char v5; // [rsp+
2019UNCTF easyvm
weixin_43884935的博客
03-14 1076
虚拟机逆向入门----2019UNCTF easyvm 自己也是个萌新,难得做了一道虚拟机逆向的题目,还是想分享出来 看题目知道这是一个虚拟机逆向题目,运行一下知道这是匹配字符串 之后用IDA64进行分析,主函数的逻辑还是比较清楚的。 先给s上的96字节置0,再给v3分配40字节空间。调用sub_400C1E初始化v3上的内容。用s接收32字符,如果不是32长度就失败,如果是,则调用 v3函数指...
UNCTF2021 部分wp.pdf
12-10
UNCTF2021 部分 WP 解题报告 本文档对 UNCTF2021 部分 WP 进行了详细的解题报告,涵盖了 WEB、PHP、MYSQL、CRYPTO 等方面的知识点。 1. Fuzz_md5Get 和 Post 传参绕过 在 UNCTF2021 的 WEB 部分中,我们遇到了一...
UNCTF2021WP.pdf
12-10
UNCTF2021WP.pdf
UNCTF misc 和crypot的wp
最新发布
11-09
UNCTF misc 和crypot的wp
jphs_05.rar
01-10
图片隐写
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一篇关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
2019UNCTF-RE-very_easy_re
zippo1234的博客
11-13 332
2019UNCTF-RE-very_easy_revery_easy_re题目解析开始1.题目2.查壳3.IDA静态分析4.上脚本5.get flag结语 每天一题,只能多不能少 very_easy_re 题目解析 的确是very easy,不过不是对我。base64再加简单的转换。 开始 1.题目 给出一个exe程序。 2.查壳 32位,无壳 3.IDA静态分析 丢进IDA。习惯性查字符,找到input。跟踪,交叉,伪代码,得到 sub_411320(&unk_423025); i = 0;
2019UNCTF-MISC-亲爱的
zippo1234的博客
11-10 203
2019UNCTF-MISC-亲爱的亲爱的题目分析开始1.题目2.分离3.密码4.继续分离5.get flag结语 每天一题,只能多不能少 亲爱的 题目分析 信息查找 开始 1.题目 给了一个MP3 2.分离 binwalk发现有个zip藏在后面。用foremost分离。 3.密码 zip的密码,打开zip,在注释里面发现 qmusic 2019.7.27 17:47 这里其实挺坑的,鬼知道这是李现翻唱的海阔天空,还得去QQmusic里面去找,直接搜索还不行,得百度搜索。。。。然后再对应时间找到评论。。
2019UNCTF-RE-rookie_reverse
zippo1234的博客
11-13 208
2019UNCTF-RE-rookie_reverserookie_reverse题目分析开始1.题目2.查壳3.IDA静态分析4.上脚本4.get flag结语 每天一题,只能多不能少 rookie_reverse 题目分析 rookie,新手,菜鸡。。。很适合我的身份。 开始 1.题目 给出一个exe 2.查壳 无壳,64位 3.IDA静态分析 找到main函数。 { size_t v3; // rbx __int64 v4; // rdx char v6[44]; // [rsp+20h]
2019UNCTF-MISC-Hidden secret
zippo1234的博客
11-10 762
2019UNCTF-MISC-Hidden secretHidden secret题目分析开始1.题目2.还原zip3.ntfs流隐写4.base92解码5.get flag结语 每天一题,只能多不能少 最近在打unctf2020,所以简单更新吧。 Hidden secret 题目分析 zip文件修复 base92 开始 1.题目 给了3个文件。里面的内容类似这样 2.还原zip 一眼就应该看出来这个是zip。分成了三段,然后去掉了504B。 那就补回去。用010editor。一段段补上504B拼起来
[XCTF] [2019_UNCTF] 逆向 re_66
0of_blog
05-26 254
下载附件,查看格式 扔进IDA看看main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char s[240]; // [rsp+0h] [rbp-1E0h] BYREF char v5[240]; // [rsp+F0h] [rbp-F0h] BYREF memset(s, 0, 0x1EuLL); printf("Please Input Key: "); __isoc...
2019UNCTF-MISC-信号不好我先挂了
zippo1234的博客
11-10 713
2019UNCTF-MISC-信号不好我先挂了信号不好我先挂了题目分析开始1.题目2.分析3.盲水印4.get flag结语 信号不好我先挂了 题目分析 zsteg 盲水印 开始 1.题目 png图片 2.分析 binwalk未发现异常。zsteg有发现 imagedata .. text: "\"\"\"'&&\"##" b1,rgb,lsb,xy .. file: Zip archive data, at least v2.0 to extract
UNCTF2019新星赛长安十二时辰write up
darui_csdn的博客
11-03 1347
UNCTF2019高校联合招新赛-新星赛中的长安十二时辰write upufss_yn{c_e}cm_sav1105flag为:uncvf{m1sc_1s_s0_ea5y} 总的来说这道题目比较简单,该有的提示也都比较清楚。下面我们较为详细的做一下。 题目给了我们一个说明文档和一张图片,解密就可以了: 结合百度得到的长安十二时辰望楼传信的方式我们可以轻松地知道图片中每个代表的数值。 我们可以得到...
UNCTF writeup(web/misc)
CSU_WJJJ
11-14 308
web web一共六题= =还有一题是找dh嫖的payload 我还是太菜了.jpg easy_ssrf payload:?url=unctf.com/…/…/…/…/flag easy_unserialize 这个题没有懂= =嫖的dh的 待补 payload:?1=“challengechallengechallengechallengechallengechallengechallengechallenge”;s:8:“password”;s:4:“easy”;}aaa babyeval 一顿乱搞 感
[ CTF ] Reverse baby_re
ZXW_NUDT的博客
07-14 913
CTF
UNCTF2021 Web与Crypto挑战解析
"UNCTF2021 部分wp.pdf" 本文档是关于UNCTF2021网络安全竞赛的一些解题心得与解决方案,主要涵盖了WEB、Reserve和Crypto三个领域的挑战。 1. WEB挑战 (1) fuzz_md5 这个挑战涉及到MD5碰撞和preg_replace漏洞的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值