shellctf2022-writeup

最新推荐文章于 2023-07-05 21:22:42 发布
最新推荐文章于 2023-07-05 21:22:42 发布
阅读量389 收藏
点赞数
分类专栏: CTF逆向 文章标签: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a257131460266666/article/details/126413125
版权

WP

dragon

很显然,用IDA打开就能看得出来

strcpy((char *)v5, "SHELLCTF{5348454c4c4354467b31355f523376337235316e675f333473793f7d}");

然后,16进制转字符串

from libnum import *
print(n2s(0x5348454c4c4354467b31355f523376337235316e675f333473793f7d))
#b'SHELLCTF{15_R3v3r51ng_34sy?}'

keygen

我们在阅读主程序后发现有一个getString的函数

char *getString()
{
  char *result; // rax

  result = (char *)malloc(0x19uLL);
  strcpy(result, "SHELLCTF{k3ygen_1s_c0oL}");
  return result;
}

so,flag->SHELLCTF{k3ygen_1s_c0oL}

Pulling_the_strings

我们重点关注

 if ( !wcscmp(flag, ws) )

是一个比较的

flag dq offset unk_2008

我们接着跟进

.rodata:0000000000002008 53                            unk_2008 db  53h ; S

这里转数组就行,我们提取数据

[0x00000053, 0x00000048, 0x00000045, 0x0000004C, 0x0000004C, 0x00000043, 0x00000054, 0x00000046, 0x0000007B, 0x00000054, 0x00000068, 0x00000034, 0x0000006E, 0x0000006B, 0x00000073, 0x0000005F, 0x00000066, 0x00000030, 0x00000072, 0x0000005F, 0x00000074, 0x00000068, 0x00000065, 0x0000005F, 0x00000066, 0x0000006F, 0x0000006F, 0x00000064, 0x0000007D, 0x00000000]

这里推荐一款好用的IDA插件,LazyIDA,懒人必备

s=[0x00000053, 0x00000048, 0x00000045, 0x0000004C, 0x0000004C, 0x00000043, 0x00000054, 0x00000046, 0x0000007B, 0x00000054, 0x00000068, 0x00000034, 0x0000006E, 0x0000006B, 0x00000073, 0x0000005F, 0x00000066, 0x00000030, 0x00000072, 0x0000005F, 0x00000074, 0x00000068, 0x00000065, 0x0000005F, 0x00000066, 0x0000006F, 0x0000006F, 0x00000064, 0x0000007D, 0x00000000]
print(bytes(s))#b'SHELLCTF{Th4nks_f0r_the_food}\x00'

warmup

 v4 = 1;
    for ( i = 0; i <= 26; ++i )
      v4 = (v6[i] >> 2 == s[i]) & (unsigned __int8)v4;
    if ( v4 == 1 )

这里v4必须等于1,所以v6[i] >> 2 == s[i]必须恒成立

enc=[0]*28
enc[0] = 460
enc[1] = 416
enc[2] = 404
enc[3] = 432
enc[4] = 432
enc[5] = 396
enc[6] = 464
enc[7] = 408
enc[8] = 492
enc[9] = 392
enc[10] = 196
enc[11] = 464
enc[12] = 348
enc[13] = 420
enc[14] = 212
enc[15] = 404
enc[16] = 380
enc[17] = 192
enc[18] = 448
enc[19] = 204
enc[20] = 456
enc[21] = 260
enc[22] = 464
enc[23] = 192
enc[24] = 456
enc[25] = 332
enc[26] = 500
for i in range(len(enc)):
    print(chr(enc[i]>>2),end='')
#shellctf{b1tWi5e_0p3rAt0rS}

tea

我们阅读伪代码后发现有4个函数

分别对应 获取输入,进行奇数偶数分开

进行运算,和再次混合与比较

image-20220813171524679

image-20220813171536715

image-20220813171548035

image-20220813171555478

进行了奇偶拼接,加点数字移动,接着进行了字符串打散再拼接,

第三步逆回去时,有2种思路,可能还更多

第一个就是对字符串开头的shellctf{进行特征排,

image-20220813171951836

第二个就是直接爆字符串,枚举所有可能的字符串

s='R;crc75ihl`cNYe`]m%50gYhugow~34i'

enc=[]
for i in s:
    enc.append(ord(i))
enc=enc*50
# print(enc)
a=len(s)>>1
for k in range(len(s)):
    z=''
    for i in range(len(s)):
        
        if i<a:
            if (enc[k+i]+int(3 * (i // 2)))>=128:
                break
            z+=chr((enc[k+i]+int(3 * (i // 2))))
        else:
            z+=chr((enc[k+i]-i//6))
    if '{' in z and '}' in z:
        print(z)#hlcfT_niiy4DByn}selt{01fN7_n_30d

接下来拼回去就行

one

主要经过3个加密

image-20220813172629857

image-20220813172641378

image-20220813172650387

image-20220813172701029

先拿到密文,我的伪代码被我手修过,你们做的话可能那么好看

image-20220813172755927

转16进制,取最后2位再拆开,这个部分就逆完了

主要是对第二部分

 while ( v9 < len_string )
  {
    *(_QWORD *)s1 = 0LL;
    v20 = 0;
    v10 = 0;
    for ( k = 0; k < v7 && len_string > v9 + k; ++k )
    {
      s1[k] = s[v9 + 48 + k];
      ++v10;
    }
    switch ( v10 )
    {
      case 1:
        if ( !strcmp(s1, "0") )
        {
          v22[opt] = 97;                        // 0
        }
        else if ( !strcmp(s1, "1") )
        {
          v22[opt] = 98;                        // 1
        }
        break;
      case 2:
        if ( !strcmp(s1, "00") )
        {
          v22[opt] = 99;                        // 2
        }
        else if ( !strcmp(s1, "01") )
        {                                       // 3
          v22[opt] = 100;
        }
        else if ( !strcmp(s1, "10") )
        {
          v22[opt] = 101;                       // 4
        }
        else if ( !strcmp(s1, "11") )
        {                                       // 5
          v22[opt] = 102;
        }
        break;
      case 3:
        if ( !strcmp(s1, "000") )
        {
          v22[opt] = 49;                        // 1
        }
        else if ( !strcmp(s1, "001") )
        {
          v22[opt] = 50;                        // 2
        }
        else if ( !strcmp(s1, "010") )
        {
          v22[opt] = 51;                        // 3
        }
        else if ( !strcmp(s1, "011") )
        {
          v22[opt] = 52;                        // 4
        }
        else if ( !strcmp(s1, "100") )
        {
          v22[opt] = 53;                        // 5
        }
        else if ( !strcmp(s1, "101") )
        {
          v22[opt] = 54;                        // 6
        }
        else if ( !strcmp(s1, "110") )
        {
          v22[opt] = 55;                        // 7
        }
        else if ( !strcmp(s1, "111") )
        {                                       // 8
          v22[opt] = 56;
        }
        break;
      default:                                  // 0,无效指令
        v22[opt] = 57;                          // 9
        break;
    }
    v9 += v10;
    ++opt;
    v7 = (v7 + 1) % 4;
  }

我们知道对应指令,却无法得知 具体对应去情况,我一开始想岔了,用递归列举全部情况,然后进行筛选,后来仔细审计发现主要指令是按一定顺序的,用v7再逆回去

剩下的函数就是转2进制,逆回去就行。

enc=[0x00000052, 0x00000091, 0x00000041, 0x00000091, 0x00000036, 0x00000090, 0x00000044, 0x00000090, 0x00000027, 0x00000091, 0x00000042, 0x00000091, 0x00000036, 0x00000091, 0x00000024, 0x00000090, 0x00000026, 0x00000091, 0x00000044, 0x00000090, 0x00000036, 0x00000091, 0x00000038, 0x00000090, 0x00000052, 0x00000091, 0x00000041, 0x00000090, 0x00000052, 0x00000090, 0x00000052, 0x00000090, 0x00000045, 0x00000091, 0x00000048, 0x00000091, 0x00000045, 0x00000091, 0x00000024, 0x00000090, 0x00000026, 0x00000091, 0x00000027, 0x00000090, 0x00000046, 0x00000091, 0x00000027, 0x00000090, 0x00000058, 0x00000090, 0x00000047, 0x00000090, 0x00000035, 0x00000090, 0x00000027, 0x00000090, 0x00000037, 0x00000091, 0x00000044, 0x00000090, 0x00000046, 0x00000090, 0x00000044, 0x00000090, 0x00000032, 0x00000091, 0x00000046, 0x00000090, 0x00000052, 0x00000090, 0x00000027, 0x00000090, 0x00000057, 0x00000091, 0x00000044, 0x00000091, 0x00000036, 0x00000090, 0x00000047, 0x00000090, 0x00000058, 0x00000090, 0x00000042, 0x00000090, 0x00000052, 0x00000091, 0x00000056, 0x00000090, 0x00000046, 0x00000090, 0x00000046, 0x00000091, 0x00000054]
command=[]
for i in range(len(enc)):
    Head=str(hex(enc[i]))[2:3]
    Next=str(hex(enc[i]))[3:]
    command.append(int(Head))
    command.append(int(Next))
o=''
v7=2
for i in range(len(command)):
    if v7==1:
        if command[i]==0:
            o+='0'
        elif command[i]==1:
            o+='1'
        else:
            print('Command Wrong!!')
    elif v7==2:
        if command[i]==2:
            o+='00'
        elif command[i]==3:
            o+='01'
        elif command[i]==4:
            o+='10'
        elif command[i]==5:
            o+='11'
        else:
            print('Command Wrong!!')
    elif v7==3:
        if command[i]==1:
            o+='000'
        elif command[i]==2:
            o+='001'
        elif command[i]==3:
            o+='010'
        elif command[i]==4:
            o+='011'
        elif command[i]==5:
            o+='100'
        elif command[i]==6:
            o+='101'
        elif command[i]==7:
            o+='110'
        elif command[i]==8:
            o+='111'
        else:
            print('Command Wrong!!')
    v7=(v7+1)%4
str_1=[]
print(len(o))
print(o)
for i in range(len(o)//8):
        s=o[i*8:(i+1)*8]
        bin_string='0b'
        for j in range(len(s)-1,-1,-1):
            bin_string+=s[j]
        str_1.append(eval(bin_string))
print(bytes(str_1))#b'shellctf{s0Me_b4S3_c0nVer51on5_4_U\xbd'

最后一位没抢救过来

我手补一下

shellctf{s0Me_b4S3_c0nVer51on5_4_U}

switf


加密key是"EULERSNUMBER"

密文是wbppcugz{F4zp0i5_w3l1p5_sW_4_xHhO7j0r}

维吉尼亚,直接解

雨后初霁&
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 1848
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
2022-工大抗疫-web-writeup1
08-03
2022-工大抗疫-web-writeup1
D3CTF2022-官方WriteUp1
08-03
D3CTF2022-官方WriteUp1
使用getopts处理长和短命令行选项
asdfgh0077的博客
02-11 2458
我希望使用我的shell脚本来调用命令行选项的长短形式。 我知道可以使用getopts ,但是像在Perl中一样,我无法对shell进行同样的操作。 关于如何完成此操作的任何想法,这样
对​ e 妹儿公司的字符串处理
owenhuanxu115的博客
12-10 990
【问题描述】 ​ e 妹儿公司的一个主要业务是提供电子邮件服务,每天都有数以万计的用户在使用该平台收发电子邮件e-mail。然而不幸的是,最近公司的邮件服务器遭受到了网络攻击,几乎所有的邮件内容都受到了破坏,每个邮件都只留下了一个长长的字符串。恢复所有邮件是不可能完成的任务,但似乎从这串留下的字符串中还可以解析出一些可能的e-mail地址,这样公司可以通过向这些解析出的e-mail地址发送邮件以减少用户的损失。 ​ 一个有效的e-mail地址的形式符合以下原则: ​ 1、邮件开始部分必须是
KCTF2022春季赛 第六题 writeup
weixin_43044226的博客
06-25 408
KCTF2022春季赛 第六题 writeup这题,BROP提示给的很明显,所以就是盲打,不管怎么说先问(bao)候(da)一下出题人。首先我们一开始什么都不知道,就先确定一下一些基本信息,那么就先测试一下缓冲区的长度,最后发现缓冲区长度为0x10。我们先执行一遍正常流程,大概就是:当存在栈溢出的时候,最后一句话输出不出来,因此可以断定,溢出是发生在自己定义的函数的。大概写一下伪代码: 当然,输出第一句话的语句可能也在 里面,但是不影响,我们先爆破第一个字节 正在...
Shell脚本参数获取的两种方式
m0_46168848的博客
07-05 9770
Shell脚本参数获取的两种方式
SHELL CTF 2022题目及wp
Laffrey的专栏
08-16 374
https://gitcode.net/rickliuxiao/shellctf2022 SHELLCTF2022 真题及wp。
[CTF]-反弹shell[2]
Mr.木Mu
05-27 1542
[二]反弹shell的本质开放端口(腾讯云,宝塔面板)什么是反弹shell反弹shell的本质是什么bash -i/dev/tcp/ip/port实例1:实例2:交互重定向>&、&>常见的反弹shell 的语句怎么理解1234结束极客大挑战where_is_my_FUMO 开放端口(腾讯云,宝塔面板) 测试反弹shell 需要保证端口开放 打开腾讯云 --> 打开安全组 --> 添加规则 添加入站规则 完成之后–> 一键放通 然后进入宝塔面板
ctfshow 吃瓜杯 shellme_Revenge
高高同学
08-19 1271
前两天做的ctfshow的吃瓜杯的题目,做一个记录。 开始 打开题目看到的是phpinfo的页面 然后往下一划艹 这可真是吓了一跳,这么多disable_functions函数 不过也是有惊喜的 cookie里面看到了提示。 然后打开看见了源码 <?php error_reporting(0); if ($_GET['looklook']){ highlight_file(__FILE__); }else{ setcookie("hint", "?looklook", time()
CTFSHOW 套娃shell
羽的博客
04-29 2234
CTFSHOW 套娃shell 1、题目给的是用nc连接的,测试了下,传个请求包过去就可以了,比如(最后的换行不要忘了): GET /?file=/a HTTP/1.1 Host: 127.0.0.1 Connection: close 但是又不是完全是按照这个请求包来的,把host改成其他的,也是可以成功。说明不是完全按照请求头的规则来读取的。 题目里面的正则表达式大概意思就是以/开头,并且后面只能有数字字母和/。 我们需要在服务器上构造一个文件,并且文件内容是可控的,或者是服务器本身就有这样的文件也
2022-HFCTF-江苏翔信二队-Writeup1
08-03
2022-HFCTF-江苏翔信二队-Writeup1
leetcode不会-LC-Writeup:LC-Writeup
06-30
不会LC-Writeup 问题:未交叉的线, 方法:自顶向下的动态规划 直觉: 让A和B成为我们的两个整数数组。 假设我们想在子数组A[0...i]和B[0...j] (包括两端)中找到最大数量的未交叉线。 如果子数组共享相同的最后一...
Pyre-Writeup
03-28
Pyre-Writeup 目录 分析 问题 当前的Python生态系统拥有各种各样的Web服务器和框架,使其成为该生态系统中的关键角色之一。 但是,大多数服务器开始遇到以下问题: 吞吐量和延迟均变慢 不安全的 不够坚固 较高连接...
NepCTF2022 Writeup
个人博客:https://www.mrzry.top
07-19 1031
NepCTF2022 Writeup
Linux学习路线之二【The linux command line---shell篇】
Lucky
01-19 989
在这里插入代码片 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步
[ CTF ] WriteUp- 2022年第三届“网鼎杯”网络安全大赛(玄武组)
ZXW_NUDT的博客
09-12 1706
[ CTF ] WriteUp- 2022年第三届“网鼎杯”网络安全大赛(玄武组)
AI全球气象预报模型;开源数据标注平台;『统计学习导论及R语言应用』Python版源码;『数学』自学路线图与资源;前沿论文 | ShowMeAI资讯日报
热门推荐
ShowMeAI研究中心
08-02 1万+
ShowMeAI资讯日报 08-02 期,Gum 编写炫酷的shell脚本、FourCastNet 全球AI气象预报模型(PyTorch)、CBIM 医学图像分割框架(PyTorch)、Diffgram 开源数据标注平台、InferOpt.jl 机器学习管道的组合优化、分布式/存储引擎论文阅读笔记、『统计学习导论及R语言应用』书籍的Python代码实现、数学自学路线图与资源、时间序列资源、前沿论文…点击获取全部资讯......
[Hack The Boo CTF 2022] writeup
weixin_52640415的博客
10-28 1625
hack the boo ctf 2022
强网杯 2022 谍影重重wp
最新发布
12-18
强网杯2022谍影重重WP是我国一项网络安全竞赛中的一个题目解答。这道题目主要涉及隐写和密码学方面的知识,要求选手解析一段加密信息,并还原出明文信息。 解题过程如下: 首先,选手会得到一段看似普通的文本,但其中隐藏着隐藏着几个不同类型的隐藏信息。选手需要借助隐写分析工具,例如StegSolve,来分析图像中是否含有LSB隐写、色彩分量隐写等信息。此外,选手还要注意文字中是否有使用不常见的Unicode字符来隐藏信息。 在找到隐写信息后,接下来是解密密码学部分。选手需要根据提示,使用正确的解密方法对隐藏信息进行还原。可能涉及到的密码学算法有:凯撒密码、栅栏密码、维吉尼亚密码等。需要选手根据密钥或者加密规则,反推出正确的解密方法,并对隐藏信息进行解码。 通过以上步骤,选手最终可以得到明文信息,也就是这道题目的答案。 这道题目整体难度较高,需要选手具备扎实的密码学和隐写学知识,并具有分析和解决问题的能力。参赛选手需要细心观察、耐心分析,才能顺利解答出这个谜题。同时,这道题目也展示了网络安全竞赛中的一种常见挑战方式,旨在培养选手的思维敏捷性和解决复杂问题的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值