攻防世界 reverse-box

最新推荐文章于 2020-09-19 09:20:43 发布
最新推荐文章于 2020-09-19 09:20:43 发布
阅读量399 收藏 1
点赞数 2
分类专栏: ctf 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bsecure/article/details/106408823
版权

reverse-box

C语言

  • 题目下载下来,弄半天始终觉得有问题。百度发现题目少给了输出字符串。

  • 开始再次看题,被自己坑惨了。。。因为生成数据表的函数中自己只看到了生成的随机数赋值了给了数据表的第一次元素,那整个题就有点奇怪了。看了又看,才发先最后用到了随机数生成数据的,只是屏幕容不下了。。。
    在这里插入图片描述

  • 另外就是先将每次生成索引值 v7 用C语言写出来后打印看看, 但大多数是负数,很大的数。这显然不对的,因为我们运行程序时输入的参数都是可打印字符 (ASCII: 32-127),伪代码不靠谱,果断去看看了汇编。
    在这里插入图片描述

  • 其次就是 伪代码中的 __ROR__了,看了汇编知道了 ror 指令,将数据想右位移动指定的位数。以为只是简单的 >> ,就这样写了整个题的爆破代码。但是始终不对,花了很时间,不甘心,就ida中动调,C语言中调试,每个步骤对比结果,才找到是 ror 这里错了。。。 原来 ror 是右移动位后会把多余的位移动到最左边,即一个圆圈转。

  • exp:

    #include <stdio.h>
#include <stdlib.h>
#include <string.h> 

void generate(int a, int *result)
{
	int v7 = 1, v2 = 0, v3 = 0, temp = 0;
	int v4 = 0, v5 = 0, v8 = 1, v9 = 0;
	result[0] = a;
	do
	{
		v2 = v7 ^ 2 * v7;
		if((v7 & 0x80) == 0)
			v3 = 0;
		else
			v3 = 27;
		v7 = v2 ^ v3;
		v7 = v7 & 0xFF;
		
    	v4 = (4 * (2 * v8 ^ v8) ^ 2 * v8 ^ v8)&0xff;
		v9 = ((16 * v4 ^ v4)&0xff);
    	if ( v9 >= 0 && v9 <= 127 )
      		v5 = 0;
    	else
      		v5 = 9;
    	v8 = (v9 ^ v5);
		if(v7 < 127)
    		result[v7] = (((v8 >> 4) | ((v8 & 0xF) << 4)) ^ ((v8 >> 5) | ((v8&0x1F) << 3)) ^ ((v8 >> 6) | 						   ((v8&0x3F)<<2) ) ^ ((v8 >> 7) | ((v8&0xFF)<<1) ) ^ (v8 ^ a))&0xff;
    		
	}while(v7 != 1); 
}

int main(void)
{
	int *result = (int *)malloc(sizeof(int)*127);
	int i = 0, value = 0, j = 0;	
	char a[] = "95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4a";
	
	for(i = 1; i < 256; i++)
	{
		generate(i, result);
		
		if(result[84] == 0x95)
			break;
	}
	
	for(i = 0; i < strlen(a); i += 2)
	{
		if(a[i] >= 48 && a[i] <= 57)
			a[i] -= 48;
		else
			a[i] -= 87;
		
		if(a[i+1] >= 48 && a[i+1] <= 57)
			a[i+1] -= 48;
		else
			a[i+1] -= 87;
			
		value = a[i+1] | a[i]*16;
		
		for(j = 32; j < 127; j++)
		{
			if(result[j] == value)
			{
				printf("%c", j);
				break;
			}
		
		} 
	}	
}

在这里插入图片描述

python

  • 做完去看了看网上的 writeup, 发现都是用gdb写脚本搞的,然后去学习了下。

  • 使用 gdb的 define 命令可以定义一系列的gdb指令。首先找到要下断点地址,这个在ida中很容易。

    这里有2中方法,执行gdb脚本,一:直接输入defien命令,输入指令,最后执行。二:单独写成一个脚本文件使用 source 来执行。

  • 这里直接写的脚本文件使用 source执行。

    while($i<$total)
  b *0x80485b4
  b *0x8048707
  run T
  set $i=$i+1
  set *(char*)($ebp-0xc)=$i
  continue
  if ($eax==0x95)
    print $i
    x/127xb $esp+0x1c  #这里有一个知识点,最后总结。
    set $i=256
  stop
end

在这里插入图片描述

  • 因为可打印字符的ASCII: 32-127,所以我们打印出前128个数据即可。最后解密。python确实方便,各种方法直接调用即可。

    list =  [0xd6,0xc9,0xc2,0xce,0x47,0xde,0xda,0x70
	,0x85,0xb4,0xd2,0x9e,0x4b,0x62,0x1e,0xc3
	,0x7f,0x37,0x7c,0xc8,0x4f,0xec,0xf2,0x45
	,0x18,0x61,0x17,0x1a,0x29,0x11,0xc7,0x75
	,0x02,0x48,0x26,0x93,0x83,0x8a,0x42,0x79
	,0x81,0x10,0x50,0x44,0xc4,0x6d,0x84,0xa0
	,0xb1,0x72,0x96,0x76,0xad,0x23,0xb0,0x2f
	,0xb2,0xa7,0x35,0x57,0x5e,0x92,0x07,0xc0
	,0xbc,0x36,0x99,0xaf,0xae,0xdb,0xef,0x15
	,0xe7,0x8e,0x63,0x06,0x9c,0x56,0x9a,0x31
	,0xe6,0x64,0xb5,0x58,0x95,0x49,0x04,0xee
	,0xdf,0x7e,0x0b,0x8c,0xff,0xf9,0xed,0x7a
	,0x65,0x5a,0x1f,0x4e,0xf6,0xf8,0x86,0x30
	,0xf0,0x4c,0xb7,0xca,0xe5,0x89,0x2a,0x1d
	,0xe4,0x16,0xf5,0x3a,0x27,0x28,0x8d,0x40
	,0x09,0x03,0x6f,0x94,0xa5,0x4a,0x46]

flag = ""
s = "95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4a";
for i in range(0, len(s), 2):
    s1 = int(s[i:i+2], 16)
    flag += chr(list.index(s1))
print (flag)

  • 总结:这道题收获还是很大。1:对ida中汇编语言的解读更熟悉了些,注意各种 al 取最低字节数据。 2:ror指令的了解,及对他的C语言用法:如 ror a,3 那C语言为:((a>>3)| ((a&7) << 5))。 3:使用gdb写脚本。

    gdb脚本中的 查看内存内容的方法:x/<n/f/u> n、f、u是可选的参数。

    n:显示的内存单元的个数,f:表示显示的格式,其中:s:字符串显示,x:按十六进制格式显示,d:按十进制格式显示变量

    u:按十六进制格式显示无符号整型,t:按二进制格式显示, o:按八进制格式显示,c:按字符格式显示变量。

    最后的u表示每个单元的大小,其中:b表示单字节,h表示双字节,w表示四字 节,g表示八字节。

    那上面脚本写的 x/127xb 表示将 127个的单字节单元的数据按16进制格式显示出来。

Bxb0
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界reverse-box
weixin_61154173的博客
03-18 756
gdb脚本发现有一个rand()函数(这是不是和前面同一输入但不同输出有关呢),然后在经过一系列的操作就能得到v4数组,又因为v16不同所以得到的v4数组也不同,所以就要根据前面的条件v4[84]=0x95,v4[87]=0xee,v4[67]=0xaf,v4[84]=0x95,v4[70]=0xef,v4[123]=0x94,v4[125]=0x4a爆破符合条件的v4数组。一般来说,我们写main函数,就定义main(),它的参数部分看似没有,实际上,main函数也是有参数的,只是在我们写时省略了。
XCTF-攻防世界CTF平台-Reverse逆向类——65、reverse-box(Linux32位ELF文件、gdb脚本调试)
Onlyone_1314的博客
09-11 1411
这里写目录标题1、查看程序信息2、main函数3、sub_804858D()函数:4、程序逻辑5、方法一:gdb脚本获得内存中的数组6、gdb脚本分析:7、将输出转换会输入的flag8、C语言复现程序得到数组 挑战描述 $ ./reverse_box ${FLAG} 95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4a flag格式:TWCTF{} 1、查看程序信息 先
reverse-box 攻防世界
re1wn
05-18 5803
reverse-box 攻防世界
攻防世界reversebox
爱党人士
09-19 460
小知识点: 一般来说,我们写main函数,就定义main(),它的参数部分看似没有,实际上,main函数也是有参数的,只是在我们写时省略了。 main函数的参数由三部分组成,分别是argc(int型,表示命令行参数的个数)、argv[](char数组型,指向命令行的每一个命令参数)、envp[](char数组型,指向环境变量)。 说明:argc包括程序本身,所以它大于等于1。argv以NULL...
攻防世界reverse新手练习
黄先生的博客
04-13 7792
0x01 re1 用ida打开进行静态分析,按F5进行反编译 注意标黄色标记的地方,输入的字符会保存在 v9,这个字符串会跟 v5 进行比较,如果两个字符串相等,那么就会输出 flag get,这说明 flag 是已经保存在程序中的 我们在strings window(按shift+F12)中可以看到这几个字符串,我们可以推测flag包含DUTCTF字符串,所以在命令台中输入: s...
reverse-shell-generator:简单的脚本来生成反向shell
04-10
cd reverse-shell-generator 3. Install Dependencies: pip3 install -r requirements.txt 4. Run the Python-file: python3 main.py 通过脚本安装: chmod +x install.sh ./install.sh 完毕! 由SoftwareUser23...
reverse-proxy:简单的反向代理应用
06-02
反向代理使用进行简单的反向代理设置。描述这是一个使用 gem 设置的简单 Web 应用程序。 该应用程序允许通过在环境中指定每个主机来代理到多个主机。用法使用rackup运行应用程序: $ rackup config.ru如果要禁用 ...
simple-reverse-proxy
06-10
例子 var SimpleReverseProxy = require('simple-reverse-proxy');new SimpleReverseProxy(['http://localhost:10001','http://localhost:10002','http://localhost:10003'], {agent: false}).listen(10000);[10001,...
reverse-utf16-string:反转 UTF16 字符串
07-06
反转 UTF-16 字符串 优化的 UTF-16 兼容反向字符串算法。 它只需要遍历给定字符串的 1/2,并处理 UTF-16 代理对。用法 var reverse = require ( 'reverse-utf16-string' ) ;var reversed = reverse ( 'ab
fasthttp-reverse-proxy:基于fasthttp的反向http websocket代理
05-10
特征 代理客户端支持的pool 。... proxy "github.com/yeqown/fasthttp-reverse-proxy/v2" ) var ( proxyServer = proxy . NewReverseProxy ( "localhost:8080" ) // use with balancer // weights = map[string]p
攻防世界 reverse 进阶 10 Reverse Box
09-01 339
攻防世界中此题信息未给全,题目来源为[TWCTF-2016:Reverse] Reverse Box 网上有很多wp是使用gdb脚本,这里找到一个本地还原关键算法,然后再爆破的 https://www.megabeets.net/twctf-2016-reverse-reverse-box/ [TWCTF-2016:Reverse] Reverse Box Writeup 标准 ...
mma-ctf-2nd-2016-reverse-box(gdb脚本的使用)
WocW的博客
04-26 1323
分析 这题逻辑非常简单,只要输出对应着这个盒子下标输出即可。要求输出目标为 $ ./reverse_box $ {FLAG} 95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4a 看起来非常简单,但是实际上有难点。就是每次的盒子是不一样的。跟进去看 盒子的...
逆向-攻防世界-reverse-box
weixin_30807677的博客
05-21 247
找到主函数,关键函数就一个,进去分析,发现是随机函数,第一次分析,没什么头绪。 后来发现,随机函数只取1个字节,所以就是0-255,这样就容易爆破了。 在网上找了找方法,发现很多很简单实用的方法,如IDC脚本,GDB脚本都可以爆破出盒子。 下面用GDB举个例子: gdb 写脚本 用:define XXX 命令 set $i=0 set $total=256 while(...
XCTF reverse-box
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-11 354
题目要求: 输入flag让程序输出,flag以TWCTF开头,xctf的题目提示被漏掉了 如果对本文有疑问,可在下方给我留言 95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4a 程序放入IDA中分析 这题的关键点就是要获取到v4的值,v4是由sub_80...
TWCTF-reverse_box WP
qq_41252520的博客
07-29 572
分析 IDA分析代码 int __cdecl main(int argc, char **argv) { size_t i; // [esp+18h] [ebp-10Ch] int randnumber; // [esp+1Ch] [ebp-108h] unsigned int v5; // [esp+11Ch] [ebp-8h] v5...
攻防世界进阶upload
舞动的獾
07-05 5306
攻防世界进阶upload 注册登陆后,发现上传页面 试着上传一个文件3.php: 内容如下: <?php eval(@$_POST['a']); ?> 我们试着将它改个名字抓包,并且改为jpg,措辞测试发现只有jog能够传上去 虽然上传成功,但是并不能显示出文件名的位置,蚁剑连接失败 看到回显名称有uid号,无奈的丝毫没有头绪 只好看了大佬的博客,竟然是注入,文件名称注入 当...
攻防世界Reverse进阶区-Shuffle-writeup
y4ung
09-19 470
1. 介绍 本题是xctf攻防世界Reverse的进阶区的题Shuffle 题目来源:SECCON-CTF-2014 题目描述:找到字符串在随机化之前 2. 分析 Linux下的32位可执行文件 $ file c792c7d80be7404ca9789da97406d2ad c792c7d80be7404ca9789da97406d2ad: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, inter
攻防世界逆向wp
一筐萝卜的博客
05-14 4568
reverse-box 在平台上题目描述不全,少了一个重要的提示信息 原题题目描述 $ ./reverse_box ${FLAG} 95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4a 也就是说,当输入争取的flag的时候,程序应该输出的是这一个字符串(如果...
功防世界-reverse-新手练习(更新中)
Sea_Sand息禅
04-10 1129
1、re1 ida反编译看到: 所以flag就在程序中隐藏着,用strings工具进行关键字查找,找到flag: strings工具下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings 2、game 手动通关:1 2 3 4 5 6 7 8 | 8 7 6 5 4 3 2 1 ida中查找字符串: ...
攻防世界reverse
最新发布
07-27
您好!攻防世界(reverse)是一个CTF(Capture The Flag)比赛平台,旨在提供一个实践和学习网络安全攻防技术的环境。参赛者需要通过解决一系列的安全难题来获取Flag(标志),Flag是一个特定字符串,代表着成功攻击或者防御的证明。 比赛中的难题涵盖了多个领域,包括密码学、二进制漏洞、网络渗透等。参赛者需要利用自己的技术和知识,寻找系统的漏洞并进行攻击,或者保护系统以防止攻击。 攻防世界(reverse)为参赛者提供了一个实践和挑战的平台,通过解决各种问题来提升网络安全技能。同时,参赛者还可以与其他安全爱好者交流经验,提高自己的技术水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值