CISCN2021初赛WriteUp

最新推荐文章于 2024-05-20 12:51:19 发布
最新推荐文章于 2024-05-20 12:51:19 发布
阅读量1k 收藏 1
点赞数 7
分类专栏: 杂题瞎记 文章标签: 逆向 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dt_kang/article/details/117031383
版权

第一次打 ctf,啥也没学,赛前一道题没做过,了解了下 IDA 的使用就上了。

glass

200 分 reverse,安卓逆向,.apk 改 .zip 解压,classes.dex 转 classes.jar 后打开,找到 MainActivity 开始读代码。
在这里插入图片描述
发现调用了 public native boolean checkFlag(String paramString); 这样一个函数,但这个函数并没有写出来。搜了一下 native 关键字,发现是用来调用本地 C 代码的。然后在 glass\lib\armeabi-v7a 里 找到了 libnative-lib.so,直接拖进 IDA 打开。
在这里插入图片描述
分析一波,发现 sub_F0C 是用来把接收的 Java String 转换成 char*。然后主要剩下 sub_FFC, sub_1088, sub_10D4, 这三个函数。进一步分析,猜测程序的主要逻辑是把 flag 经过这三个函数处理,和内存中的一段数据比较。
在这里插入图片描述

因此只要把这段数据解密回去就行了。由于没有任何前置知识,于是只能进去一行一行读明白。

FFC:
在这里插入图片描述
大概就是会得到 v7 这个数组。有几个疑点:

  1. 第八行为什么是 260 个字节而不是 256。
  2. 变量 v7 既没初始化也没有修改。(我就当做 v7 恒为零做的,不行)
  3. 莫名其妙的有个 sub_126C,貌似没有任何影响。

赛后才知道,事实上这是在进行 RC4 加密,而 RC4 加密 v7 应该是不停自增的。

然后 10D4 是对原文进行可逆的异或运算,很好解密。1088 是 拿已知的 v7 数组和原文进行运算,也很好解密。但 1088 里面有一个问题:
在这里插入图片描述
这里面 a1 就是主函数的 v7,值域是 [0, 255],因此第十八行 v5 + a1[v4] 可能会越界。尝试对 256 取模,无果。赛后知道,这里确实应该取模,但因为比赛的时候上面 FFC 里面的 v7 没自增,于是没有解出。

我不知道为什么 IDA 里面会出现这种情况,里面的算法和 RC4 不完全一样,因此完全按照 IDA 里面的代码写的脚本跑不出 flag。别人都是百度 RC4 解密直接解出 flag。

插一嘴,我看别的 WP,1088 和 10D4 都是暴力枚举解密的,不是逆运算回去的。这样可能根本不需要每行代码都看明白?毕竟 RC4 应该是能一眼看出来的。

赛后修改过的脚本如下:

# include <bits/stdc++.h>
# define ll long long
# define db double
# define ld long double
# define pb push_back
# define fir first
# define sec second
# define rep(i, l, r) for (int i = l; i <= r; i++)
# define per(i, r, l) for (int i = r; i >= l; i--)
using namespace std;
typedef pair <int, int> P;

int read() {
    int x = 0; char c = getchar(), flag = '+';
    while (!isdigit(c)) flag = c, c = getchar();
    while (isdigit(c)) x = x * 10 + c - '0', c = getchar();
    return flag == '-' ? -x : x;
}
char v12[1000];

void FFC(unsigned a1[], unsigned a2[], int a3) {
    const int ty = 1;
    int ii = 0, jj = 0;
    unsigned v12[256];
    for (int i = 0; i < 256; i++) a1[i] = i, v12[i] = a2[i % 8];
    while (ii != 256) {
        int v10 = a1[ii];
        jj = (jj + v10 + v12[ii]) % 256;
        a1[ii++] = a1[jj];
        a1[jj] = v10;
    }
}

void rev(unsigned s[], int len1, unsigned a3[], int len3) {
    for (int j = 0; j < len1; j += len3) {
        for (int k = 0; k < len3 && j + k < len1; k++) {
            s[j + k] ^= a3[k];
        }
    }
    for (int i = 0; i < len1; i += 3) {
        unsigned a = s[i], b = s[i + 1], c = s[i + 2];
        s[i] = b ^ c;
        s[i + 1] = b ^ a;
        s[i + 2] = b ^ a ^ c;
    }
}
void sub_1088(unsigned result[], unsigned a2[], int a3) {
    int v3 = 0, v4 = 0, v5 = 0;
    int loop_39[39];
    memset(loop_39, 0, sizeof(loop_39));
    while(a3) {
        --a3;
        v4 = (v4 + 1) % 256;
        v5 = result[v4];

        v3 = (v3 + v5) % 256;
        result[v4] = result[v3];
        result[v3] = v5;
        //if (v5 + result[v4] > 255) cout<<"#";
        loop_39[38 - a3] = result[(v5 + result[v4]) % 256];
    }
    for (int i = 0; i < 39; i++) {
        a2[i] ^= loop_39[i];
    }
}
int main() {
    unsigned v6[256], v7[256];
    unsigned v3[] = {0xA3, 0x1A, 0xE3, 0x69, 0x2F, 0xBB, 0x1A, 0x84, 0x65, 0xC2, 0xAD, 0xAD, 0x9E, 0x96, 0x05, 0x02, 0x1F, 0x8E, 0x36, 0x4F, 0xE1, 0xEB, 0xAF, 0xF0, 0xEA, 0xC4, 0xA8, 0x2D, 0x42, 0xC7, 0x6E, 0x3F, 0xB0, 0xD3, 0xCC, 0x78, 0xF9, 0x98, 0x3F};
    
    memset(v7, 0, sizeof(unsigned) * 256);

    v6[0] = '1';
    v6[1] = '2';
    v6[2] = '3';
    v6[3] = '4';
    v6[4] = '5';
    v6[5] = '6';
    v6[6] = '7';
    v6[7] = '8';
    int v4 = 8;
    FFC(v7, v6, v4);

    rev(v3, 39, v6, v4);
    sub_1088(v7, v3, 39);
    // for (int i = 0; i < 39; i++) {
    //     printf("%d ", v3[i]);
    // }
    // cout << endl;
    for (int i = 0; i < 39; i++) {
        printf("%c", v3[i]);
    }
    return 0;
}
/* Hellsegamosken */
Hellsegamosken
关注
  • 7
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 1万+
2023全国大学生信息安全竞赛(ciscn)部分题解
[XCTF-Reverse] 64 2019_CISCN_初赛_easy_go
weixin_52640415的博客
03-25 315
go写的题,go语言个人认为很讨厌,所以函数全静态编译删除符号。说是为了不同平台版本上兼容,实际上如果有bug的话会很难处理。 起点都不知道在哪。从hex里搜flag啥的 00000000004CEE90: .rodata:00000000004CEE90 (ea at start-of-line=4CEE90) 66 6C 61 67 20 79 6F 75 20 69 6E 70 75 74 20 69 flag you input i 然后找调用它的位置(这不是串的起点,要找到起点)
2021CISCN writeup
读万卷书,行万里路。
05-16 953
2021CISCN writeup 1.1 easy_sql 进行手动测试,发现可以进行报错注入。Payload 为: ') AND updatexml(1, concat(0x7e, (database()), 0x7e), 1)-- 尝试读取数据库表的表名,发现information关键字被过滤,猜了一下表名为 fl4g、flag,最后确定表名为 flag。 使用 join 爆出字段名。 select*from (select * from flag as a join flag b)c sele
第十七届全国大学生信息安全竞赛创新实践能力赛初赛CISCN-2024部分WP)
最新发布
Welcome To Myon'Blog !
05-20 2213
给的 e 其实就是 d,只是结果是移位后的输出,n 很大无法分解,但 kk 与 rr 很小,由 rr= e//n 即可推出 rr 和 kk,又由 e + x + kk*p + rr*((p+1)* (q+1))+ 1 = 65537,将 × 设为 0 和 2^200 然后联立求解一元二次方程,就能求出 p, q 的上下界,这样就有p 和q 的高位,枚举未知位尝试coppersmith 直到分解出结果,最后代入求 e 和 d,进而求得flag。
第十三届全国大学生信息安全竞赛 2020CISCN 线上初赛Writeup
末初的CSDN博客
09-06 5433
第十三届全国大学生信息安全竞赛
信息安全大赛之后的心得
qq_44813849的博客
06-23 2045
这是第一次参加信息安全大赛线下赛,之前都只是在网上做一些题目没有真正感受过比赛时的氛围。这一次的比赛让我感受到了别人的强大和自己的弱小。真的是不打一次比赛你都不知道自己有多菜。 ...
ISCTF2021-WriteUp.pdf
10-24
isctf的详细wp
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
UMCTF2021-Writeup:MOCSCTF主持的UMCTF2021的文章
03-14
UMCTF2021-编写 MOCSCTF主持的UMCTF2021的文章 欢迎加入我们: 欢迎加入我们的行列: CTF时间: ://ctftime.org/team/120747 面子书: : 感谢以下提供协助: 感谢您提供的支持: 特鲁@MOCTF 梁锦@@ MOCTF 邦@MOCTF...
2021强网杯Writeup--by Nu1L Team.pdf
06-15
第五届“强网杯”全国网络安全挑战赛
第十二届全国大学生信息安全竞赛线上初赛 WriteUp By X10Sec1
08-03
在第十二届全国大学生信息安全竞赛线上初赛中,参赛者们遇到了多个不同类型的挑战,包括Misc、Crypto等领域的题目。以下是对这些题目的详细解析: 0x00 Misc - 签到 这是一个简单的签到任务,参赛者需要运行一个...
2021国赛CISCN 初赛 部分RE writeup
weixin_45803474的博客
09-14 388
glass 题目名称:glass 题目描述:Reverse sign in,flag形式为"CISCN{XXXXX}" 首先查看apk 界面如下 用AndroidKiller打开,反编译成java源码 这里只是声明了一下checkflag函数 要去native-lib里找 分析\glass\Project\lib\armeabi-v7a中的libnative-lib.so IDA打开 怀疑是RC4加密 参考 https://www.cnblogs.com/SunsetR/p/12247041.html
2022 CISCN初赛 Satool
weixin_46483787的博客
06-09 558
2022年国赛初赛的一道高分pwn题,之前没有接触过LLVM PASS类的pwn题,正好入个门
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
[CISCN 2021] 部分 write up
Anton__1的博客
05-16 803
easy_source 抓包扫目录干都干了,发现什么都拿不到 预期猜测flag在注释里(也给了提示): 你能发现我嘛 所以我们可以试着用PHP内置类中的ReflectionMetho来读取类中函数的注释: 参考自https://r0yanx.com/2020/10/28/fslh-writeup/ payload如下: ?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment 因为不知道到底在那个函数中,随即手工爆破直到拿到flag
2021CISCN RE WP
qq_45739995的博客
05-17 375
逆向题质量太高了,菜鸡比赛只做出来两个题。 其他的题会在赛后继续复现出来。 持续更新中… glass jeb打开主函数发现调用了native层 ida打开 输入长度39位 第一个函数跟进发现调用了rc4 第二个函数用v7对flag加密(数组移位+异或) 第三个直接对flag加密(三位一组进行加密处理+异或) 大体思路:根据已有的字符串,首先逆掉第三个函数 得到用rc4数组加密后的 然后求出rc4的数组 最后在第二个函数里进行异或拿到flag (变量名用的有点乱) #include<stdio.h&
第14届(2021)CISCN初赛WP(2)——Glass
InterplanetaryW的博客
06-15 378
Glass Writeup 首先使用apktool将“glass.apk”文件反编译 结果如下,提取其中Classes.dex文件 利用dex2jar工具进行反编译得到jar文件 生成jar包 使用jd-gui打开jar包,看到源码 核心判断函数如图所示 可以发现判断是利用checkFlag()函数 checkFlag为native外部函数 使用ida打开提取出的libnative-lib.so动态链接库 分析结束后可以在函数列表中很容易找到checkFlag()函数 使用F5进行反编译
[CISCN2021]初赛
Huamang的博客
05-16 1992
easy_sql 无列名和报错注入 uname=123&passwd=123') AND EXTRACTVALUE(1,CONCAT(0x5e,(select * from (select * from flag as a join flag as b using(no,id))x)))--+ 出了字段名1d004bae-a9e9-4f4e-8af1-c9518d464307 uname=qwe&passwd=') AND EXTRACTVALUE(1,CONCAT(0x5e,(sele
bugku安卓部分题解
qq_42892021的博客
12-14 3747
bugku安卓部分题解 一、signin 1、首先将APK放进模拟器中运行,查看其报错关键字“Try again”,为后面做关键词定位做准备 2、利用APKIDE加载APK并进行反汇编 3、搜索“Try again”定位到Mainactivity.class利用jd查看其java源码(如果smali基础较好可以直接看smali代码) &nbsp;&nbsp; 源码: public c...
"2021东华杯Web Writeup1:EzGadget反序列化漏洞分析
2021年东华杯Web Writeup1比赛中,EzGadget提供了源码并打开了IDEA进行分析。在源码中发现了一个反序列化的漏洞点:在ToStringBean这个类的unser方法中,通过"/readobject"接口接收data参数并进行反序列化操作。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值