[GUET-CTF2019]re

最新推荐文章于 2024-07-12 16:02:25 发布
最新推荐文章于 2024-07-12 16:02:25 发布
阅读量899 收藏 3
点赞数 2
分类专栏: buuctf 文章标签: 网络安全 c语言 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chneft/article/details/128099032
版权
本文介绍了对一个Linux ELF文件的逆向工程分析过程,通过IDA静态分析,发现了关键的代码段,并揭示了解密字符串的方法。通过调整代码并执行,最终得出解密后的flag。文章详细展示了如何利用UPX脱壳,以及在IDA中修改函数名称和类型以方便理解,对于逆向分析和密码学解密提供了实用的技巧。
摘要由CSDN通过智能技术生成

在这里插入图片描述

[GUET-CTF2019]re

1.查壳+脱壳

得到一个没有后缀的文件,拖进die里看一下,发现是upx压缩壳,直接用upx命令行工具进行解压缩就好
在这里插入图片描述
在这里插入图片描述
脱完壳后的文件再拖进die里分析,可知是linux平台的elf文件,直接放ida里分析
在这里插入图片描述

2.ida静态分析

在这里插入图片描述
看不到显眼的main函数,这时候shift + f12查看一下字符串,能看到很多有用的信息
在这里插入图片描述
查看这个字符串的交叉引用
在这里插入图片描述
来到反汇编界面后直接反编译,这应该就是这道题目的关键代码部分了
在这里插入图片描述
稍微修改一下几个一眼能看出作用的函数名,让分析更加便于理解一点
在这里插入图片描述
在这里插入图片描述
看到一个可疑的sub_4009AE函数,双击进入函数体看看
在这里插入图片描述
从中可以看出v4是一个数组,那就把v4的定义修改一下,把它改成变量名为key,长度为32的数组,操作如下(y修改变量类型,n修改变量名)
修改变量类型的时候会提醒覆盖到了下边的变量,确认即可
修改为key方便自己理解
操作完成后就变成了这样,是不是直观多了
在这里插入图片描述
sub_4009AE里有和key相关的处理过程,写脚本从中反推出key的值即可:)

//python
a = [166163712, 731332800, 357245568, 1074393000, 489211344, 518971936, 406741500, 294236496, 177305856, 650683500,
     298351053, 386348487, 438258597, 249527520, 445362764, 981182160, 174988800, 493042704, 257493600,
     767478780, 312840624, 1404511500, 316139670, 619005024, 372641472, 373693320, 498266640, 452465676,
     208422720, 515592000, 719890500]
b = [1629056, 6771600, 3682944, 10431000, 3977328, 5138336, 7532250, 5551632, 3409728, 13013670, 6088797,
     7884663, 8944053, 5198490, 4544518, 10115280, 3645600, 9667504, 5364450, 13464540, 5488432, 14479500,
     6451830, 6252576, 7763364, 7327320, 8741520, 8871876, 4086720, 9374400, 5759124]
z = []
for i in range(len(a)):
    z.append(chr(int(a[i]/b[i])))
    print(z[i], end='')

需要注意的是16号和17号元素顺序是倒过来的,在看伪代码的时候要注意到,同时还能发现key[6]是未知的
在这里插入图片描述
在网上看了别人的wp,得出以下的解决思路

//python
a = [166163712, 731332800, 357245568, 1074393000, 489211344, 518971936, 406741500, 294236496, 177305856, 650683500,
     298351053, 386348487, 438258597, 249527520, 445362764, 981182160, 174988800, 493042704, 257493600,
     767478780, 312840624, 1404511500, 316139670, 619005024, 372641472, 373693320, 498266640, 452465676,
     208422720, 515592000, 719890500]
b = [1629056, 6771600, 3682944, 10431000, 3977328, 5138336, 7532250, 5551632, 3409728, 13013670, 6088797,
     7884663, 8944053, 5198490, 4544518, 10115280, 3645600, 9667504, 5364450, 13464540, 5488432, 14479500,
     6451830, 6252576, 7763364, 7327320, 8741520, 8871876, 4086720, 9374400, 5759124]
z = []
for i in range(len(a)):
    z.append(chr(int(a[i]/b[i])))
    print(z[i], end='')
print()
for i in range(10):
    s = z[:]
    s.insert(6, str(i))
    print(''.join(s))

在这里插入图片描述

就是在6号元素的位置插入数字,一个一个去套
能得到flag{e165421110ba03099a1c039337}为正确答案

chneft
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF 逆向工程(reverse)之[GUET-CTF2019]re
weixin_44632787的博客
08-25 1237
用IDA打开,发现是有加壳的。所以需要先去壳(这里我用的是kali自带的upx脱壳) 因为找不到入口,所以先去找flag的关键词 最终找到关键函数sub_400E28 __int64 sub_400E28() { const char *v0; // rdi __int64 result; // rax __int64 v2; // rdx unsigned __int64 v3; // rt1 __int64 v4; // [rsp+0h] [rbp-30h] __int64
buu-[GUET-CTF2019]re
qaq517384的博客
02-28 255
64位upx壳
CTF学习小记 [GUET-CTF2019]re(正则解法)
最新发布
weixin_43158997的博客
07-12 950
发现是是一个64为,用UPX加壳的应用,那就用命令脱壳吧,我发现用WSL的好处就是可以在本地文件夹直接运行linux命令,爽的雅痞!这代码,要是一行行往回写,那可是够酸爽,但是一想,不对啊,题目的名字不应该是随便起的,re,对啊,我用正则不就很快吗!这里面的代码,为了便于正则识别我修改了一部分,比如*a 改成了a[0],最后一行改成了!这道题虽然考研的是正则(自我感觉),但是还是在解体的时候去多看看内容,防止踩坑!好家伙,我真的好家伙啊!好了,就这样,继续做题去了·······欢天喜地的去提交······
[buuctf][GUET-CTF2019]re
逆向萌新的博客
06-26 600
[buuctf][GUET-CTF2019]re
GUET-CTF2019_re
weixin_52118017的博客
11-29 482
upx壳,脱壳之后放进ida. 加载慢,有很多函数,感觉很难。 shift + f12 核心代码就在这,交叉引用找到关键函数 双击进去。 _BOOL8 __fastcall sub_4009AE(char *a1) { if ( 1629056 * *a1 != 166163712 ) return 0LL; if ( 6771600 * a1[1] != 731332800 ) return 0LL; if ( 3682944 * a1[2] != 357245568 )
BUUCTF Reverse/[GUET-CTF2019]re
ookami6497的博客
07-21 312
BUUCTF Reverse/[GUET-CTF2019]re 先查一下文件信息,发现是UPX加壳 用kali脱壳 得到脱壳后的文件 用IDA64位打开,跟踪跳转 __int64 __fastcall sub_400E28(__int64 a1, __int64 a2, __int64 a3, __int64 a4, __int64 a5, __int64 a6) { int v6; // edx int v7; // ecx int v8; // er8 int v
[GUET-CTF2019]虚假的压缩包 1 得到的 flag 请包上 flag{} 提交。
brightendavid的博客
04-03 3151
拿到压缩包 里面还有俩。 这个压缩软件就很神奇。 如果用360压缩,这个虚假的压缩包就可以直接打开。 但是用winrar ,就会显示加密。这个加密实际上就是一个zip伪加密,也是简单的。 可能是360压缩把一些错误信息给过滤掉了。像是一些文件头错误,360压缩是直接不给显示错误文件的。但是其它的解压软件是显示但打不开。 这是虚假的压缩包里面的内容。看着像是某个加密算法。估计是RSA。 数学题 n = 33 e = 3 解26 ------------------------- 答案是 这个整数
[GUET-CTF2019]re-[SUCTF2019]SignIn-相册-[ACTF新生赛2020]usualCrypt
AlienEowynWan的博客
06-03 395
BUUCTF[GUET-CTF2019]re[SUCTF2019]SignIn相册[ACTF新生赛2020]usualCrypt [GUET-CTF2019]re UPX壳,Kali脱壳 elf文件,IDA64打开 通过字符串找到这里 看if判断里面的函数sub_4009AE() _BOOL8 __fastcall sub_4009AE(char *a1) { if ( 1629056 * *a1 != 166163712 ) return 0LL; if ( 6771600 * a
BUUCTF-RE-[GUET-CTF2019]re
Henlenl的博客
04-21 859
BUUCTF-[GUET-CTF2019]rePEID查壳关键代码分析脚本get flag PEID查壳 发现其实是UPX的壳,所以我们要先脱壳 UPX脱壳 关键代码分析 我们将脱壳后的文件,使用ida打开 查找字符串 其实这种情况有两种解法 ①:直接看代码,除就完事了 因为他是 N*a1[n] != M 那么我们就可以转化成 a1[n] = M // N ②:Z3求解器 利用z3求解器来求解各数组的元素 脚本 ①: a1 = [0]*32 a1[0]=chr(166163712//1629056)
Buuctf [GUET-CTF2019]re
m0_53482319的博客
11-16 232
发现输入flag的地方点进去然后交叉引用(x)追踪到主函数然后f5看伪代码sub_40F950一看就是printf,那么下面那个必然就是scanf.紧跟着下面一个if判断,条件为真,就说明破解成功。由此可知sub_4009AE为解题关键。双击进去看代码典型z3约束器求解直接拿Python写脚本结果乱七八糟,放到txt文档里面查找替换成列表。再放到python里遍历列表以字符型进行输出这里发现没有第6位,可以使用burpsuite进行爆破,我这里直接给出flag。
buuctf——(GUET-CTF2019)re
yhfgs的博客
05-31 329
1.查壳。 upx壳,
buuctf——[GUET-CTF2019]re
Nike_name的博客
10-09 193
buuctf——reverse
[BUUCTF]REVERSE------[GUET-CTF2019]re
BangSen1的博客
02-06 603
[GUET-CTF2019]re 例行检查 ,64bit,upx 去壳,用64位IDA打开,进入函数 可以看到让我输入的字符串符合sub_4009AE就输出correct,直接看sub_4009AE 里面是一长串的比较,对我们输入的每一位判断 因此只要对每一位逆向算一下就可以了 a1=chr(166163712//1629056) a2=chr(731332800//6771600) a3=chr(357245568//3682944) a4=chr(1074393000//10431000) a5=
[BUUCTF]REVERSE——[GUET-CTF2019]re
mcmuyanga的博客
11-28 433
[GUET-CTF2019]re 附件 步骤: 查壳儿,upx壳,64位程序 upx脱壳儿,然后扔进64位ida,通过检索字符串,找到有关flag的信息定位到关键函数 让我们输入flag,然后满足sub_4009AE函数提示correct! 看一下sub_4009AE函数 对我门输入的flag字符串每一位*一个数据,然后进行了判断,除一下就可以算出flag的每一位 exp: a1 = chr(166163712 // 1629056) a2 = chr(731332800 // 677
[GUET-CTF2019]re ---废物日记第一天
W_K_D_N的博客
12-06 495
逆向萌新笔记
虚拟机挑战解析:hgame-week4-easyvm与cg-ctf WxyVM
"虚拟机题目解析,包括hgame-week4-easyvm、cg-ctf wxyVM1/2,涉及虚拟机基础知识、数据处理及逆向工程" 虚拟机技术是计算机科学中的一个重要领域,它允许在单一硬件系统上运行多个操作系统实例。在网络安全和密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

chneft

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值