2021鹤城杯-re-Petition

最新推荐文章于 2024-07-19 08:49:21 发布
最新推荐文章于 2024-07-19 08:49:21 发布
阅读量437 收藏
点赞数
分类专栏: ctf re 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fevergun/article/details/123473065
版权
ctf 同时被 2 个专栏收录
3 篇文章 0 订阅
订阅专栏
re
2 篇文章 0 订阅
订阅专栏

Petition

gdb动态调试

  • 寻找真正的地址

    gdb Petition
    pwndbg> i function
    在这里插入图片描述

    pwndbg> b printf
    在这里插入图片描述

    pwndbg> r
    在这里插入图片描述在这里插入图片描述

    调试程序进入到printf函数内部。但是esp存放了call调用之后的下一步的地址是0x565560cb。
    于是我们知道了start()函数起始地址是0x56556040

  • 解决ida乱码问题。
    在这里插入图片描述

    由图可以知道esp这部分是乱码,看不太懂。进入gdb调试。
    pwndbg> b *0x56556040
    在这里插入图片描述

    进入gdb调试以后并没有乱码,显示正常。

  • 寻找到输入地址在哪儿
    在这里插入图片描述

    pwndbg> b *0x5655616b
    在这里插入图片描述

以上,发现esi,ebi是输入。对应的栈地址为0xfffcf90,而ebp为0xffffd090。所以存在了ebp - 0x100 的地址上。

寻找核心代码

  • 通过动态调试和静态分析,发现sub_2910非常重要。
    但是ida反编译的看不懂。
    在这里插入图片描述

    a3是esp,于是直接看汇编代码。
    在这里插入图片描述

    动态调试之后,发现这个esp里面的值正好是传入函数的第三个参数,也就是如果不动的话,可以顺利进入下一个递归函数。

  • 进入递归函数

    int __usercall sub_119C@<eax>(int a1@<esi>)
  {
  int i; // eax
  int v2; // ecx
  int v3; // eax
  int v4; // ebx
  int retaddr; // [esp+4h] [ebp+0h] BYREF

  for ( i = 1; ; i = 2 * v3 )
  {
      v2 = i;
      v3 = a1 & i;
      if ( !v3 )
      break;
      a1 ^= v3;
  }
  v4 = *(_BYTE *)(v2 ^ a1) ^ 0x6C;
  *(_DWORD *)(v4 ^ (unsigned int)&retaddr) = 0;
  sub_2910(retaddr, *(_DWORD *)(v4 ^ (unsigned int)&retaddr), (int)sub_122A);
  retaddr = 0;
  return 4634;
  }

    好像也没看不懂,看汇编发现两个重要的点,因为esi是存输入的地址,而通过汇编发现:
    在这里插入图片描述

    ida还是有问题,看动态:
    在这里插入图片描述

    把esi最高位的一个byte取出来了,放到ebx(bl是ebx的低位),然后和0x883d6d6c异或。经过若干次计算,eax本来是esp存储的指针,和ebx异或之后,[eax]被放上了1.然后发现eax清零之后赋值esp与另外的两个数字异或:
    在这里插入图片描述

    于是我们可以猜测input[i] ^ 0x883d6d6c ^ esp == 0xca ^ 0xca ^ exp, esp可以消掉。

  • 返回sub_2910,经过发现如果第二个参数(edx)为1.那么esp才不会变化。而edx为1,需要上述等式,因为xor byte ptr [eax], 1,这里赋值了1.
    在这里插入图片描述

  • ida汇编解释:

      .text:000011B1                 xor     esi, ecx
  .text:000011B3                 xor     ebx, ebx
  .text:000011B5                 xor     bl, [esi]
  .text:000011B7                 xor     ebx, 883D6B6Ch  ; ebx = buffer[i] ^ 0x883d6b6c
  .text:000011BD                 xor     ecx, ecx
  .text:000011BF                 xor     cl, bl
  .text:000011C1                 xor     ebx, ebx
  .text:000011C3                 xor     bl, cl          ; bl = cl
  .text:000011C5                 xor     eax, eax
  .text:000011C7                 xor     eax, esp
  .text:000011C9                 xor     eax, ebx        ; eax = esp ^ buffer[i] ^ 0x883d6b6c
  .text:000011CB                 xor     edx, edx
  .text:000011CD                 xor     edx, eax        ; edx = esp ^ buffer[i] ^ 0x883d6b6c
  .text:000011CF                 xor     ecx, ecx
  .text:000011D1                 xor     ecx, [eax]      ; ecx = [eax]
  .text:000011D3                 xor     [eax], ecx
  .text:000011D5                 xor     eax, eax
  .text:000011D7                 xor     eax, esp        ; eax = esp
  .text:000011D9                 xor     eax, 0CAh
  .text:000011DE                 xor     eax, 0CAh       ; eax = esp ^ 0xca ^ 0xca
  .text:000011E3                 xor     ecx, ecx
  .text:000011E5                 xor     ecx, [eax]
  .text:000011E7                 xor     [eax], ecx      ; ecx = [esp ^ 0xca ^ 0xca]
  .text:000011E9                 xor     byte ptr [eax], 1
  .text:000011EC                 xor     eax, eax
  .text:000011EE                 xor     eax, edx        ; eax = esp ^ buffer[i] ^ 0x883d6b6c
  .text:000011F0                 xor     edx, edx
  .text:000011F2                 xor     edx, [eax]      ; edx = [eax] = 1; if esp ^ buffer[i] ^ 0x883d6b6c == esp ^ 0xca ^ 0xca
  .text:000011F4                 call    $+5
  .text:000011F9                 xor     eax, eax
  .text:000011FB                 xor     eax, [esp+4+var_4]
  .text:000011FE                 xor     [esp+4+var_4], eax
  .text:00001201                 xor     [esp+4+var_4], offset sub_122A

学习idapython提取出汇编指令

思路:提取出函数地址(名称,名称就是地址),然后按照偏移计算出xor的地址。三个分别是+27,+61,+66. ida_python:

import idautils
import idc

fun_addrs = ['0x119c', '0x122a', '0x12b8', '0x1344', '0x13d0', '0x145c', '0x14e8', '0x1574', '0x1602', '0x168e', '0x171c', '0x17a6', '0x1834', '0x18c2', '0x194e', '0x19da', '0x1a64', '0x1aee', '0x1b7a', '0x1c06', '0x1c94', '0x1d20', '0x1daa', '0x1e34', '0x1ec2', '0x1f4e', '0x1fda', '0x2064', '0x20f0', '0x217a', '0x2208', '0x2292', '0x231e', '0x23ac', '0x243a', '0x24c4', '0x2552', '0x25de', '0x266c', '0x26fa', '0x2784', '0x2810', '0x289c']
first_xor = []
second_xor = []
third_xor = []
for i in fun_addrs:
    first_xor.append(int(i,16) + 27)
    second_xor.append(int(i,16) + 61)
    third_xor.append(int(i,16) + 66)

first_disasm = []
second_disasm = []
third_disasm = []

for i in range(len(first_xor)):
    first_disasm.append(idc.GetDisasm(first_xor[i]))
    second_disasm.append(idc.GetDisasm(second_xor[i]))
    third_disasm.append(idc.GetDisasm(third_xor[i]))

print(first_disasm)
print(second_disasm)
print(third_disasm)
'''
读取程序代码。
a = []
for func in idautils.Functions():
    print(hex(func))
    a.append(hex(func))
with open('test.txt','w') as wp:
    for i in a:
        wp.write(i + '\n')
fun_addrs = ['0x119c', '0x122a', '0x12b8', '0x1344', '0x13d0', '0x145c', '0x14e8', '0x1574', '0x1602', '0x168e', '0x171c', '0x17a6', '0x1834', '0x18c2', '0x194e', '0x19da', '0x1a64', '0x1aee', '0x1b7a', '0x1c06', '0x1c94', '0x1d20', '0x1daa', '0x1e34', '0x1ec2', '0x1f4e', '0x1fda', '0x2064', '0x20f0', '0x217a', '0x2208', '0x2292', '0x231e', '0x23ac', '0x243a', '0x24c4', '0x2552', '0x25de', '0x266c', '0x26fa', '0x2784', '0x2810', '0x289c']
'''

在这里插入图片描述

python_exp:

first_disasm = ['xor     ebx, 883D6B6Ch', 'xor     ebx, 0C257C607h', 'xor     ebx, 713CCBCEh', 'xor     ebx, 0E15E13F9h', 'xor     ebx, 9183DC8Ch', 'xor     ebx, 53C7A888h', 'xor     ebx, 47BE5AA8h', 'xor     ebx, 3EC91252h', 'xor     ebx, 0CB762A99h', 'xor     ebx, 76F2EF19h', 'xor     ebx, 9E905A15h', 'xor     ebx, 0FE60EA66h', 'xor     ebx, 54B6A82Eh', 'xor     ebx, 270F76AFh', 'xor     ebx, 42FEEBF6h', 'xor     ebx, 0CB33EE43h', 'xor     ebx, 5594EC2Ch', 'xor     ebx, 0D80068C9h', 'xor     ebx, 3B4E4FCAh', 'xor     ebx, 0EEDB8266h', 'xor     ebx, 1248D6AAh', 'xor     ebx, 0CF0CD84Ch', 'xor     ebx, 56B34D2Dh', 'xor     ebx, 92845225h', 'xor     ebx, 0E73146D6h', 'xor     ebx, 0D12681FFh', 'xor     ebx, 0E017F544h', 'xor     ebx, 0C70EC7BDh', 'xor     ebx, 0A415A472h', 'xor     ebx, 0BE6D8165h', 'xor     ebx, 4EA32808h', 'xor     ebx, 0C5AF2385h', 'xor     ebx, 3F052312h', 'xor     ebx, 0A3D8BA7Fh', 'xor     ebx, 9C0EDA13h', 'xor     ebx, 2D126124h', 'xor     ebx, 9B4784FCh', 'xor     ebx, 0E50E3B24h', 'xor     ebx, 0BB29CF33h', 'xor     ebx, 0B9F87523h', 'xor     ebx, 0C7F10097h', 'xor     ebx, 0B785DBB2h']
second_disasm = ['xor     eax, 0CAh', 'xor     eax, 0DFh', 'xor     eax, 0C8h', 'xor     eax, 23h', 'xor     eax, 2Dh', 'xor     eax, 9Ch', 'xor     eax, 0F5h', 'xor     eax, 0F1h', 'xor     eax, 2Ch', 'xor     eax, 96h', 'xor     eax, 5Bh', 'xor     eax, 0A0h', 'xor     eax, 9Bh', 'xor     eax, 14h', 'xor     eax, 0A9h', 'xor     eax, 48h', 'xor     eax, 58h', 'xor     eax, 1Ah', 'xor     eax, 0EFh', 'xor     eax, 9Dh', 'xor     eax, 43h', 'xor     eax, 66h', 'xor     eax, 62h', 'xor     eax, 0C2h', 'xor     eax, 0D3h', 'xor     eax, 35h', 'xor     eax, 16h', 'xor     eax, 0EEh', 'xor     eax, 77h', 'xor     eax, 80h', 'xor     eax, 1Fh', 'xor     eax, 0F4h', 'xor     eax, 8Ah', 'xor     eax, 0DFh', 'xor     eax, 66h', 'xor     eax, 0B5h', 'xor     eax, 0EFh', 'xor     eax, 0EDh', 'xor     eax, 0EEh', 'xor     eax, 4Bh', 'xor     eax, 0CDh', 'xor     eax, 3Eh']
third_disasm =['xor     eax, 0CAh', 'xor     eax, 0B9h', 'xor     eax, 61h', 'xor     eax, 0A1h', 'xor     eax, 98h', 'xor     eax, 22h', 'xor     eax, 3Eh', 'xor     eax, 95h', 'xor     eax, 8Ch', 'xor     eax, 0B9h', 'xor     eax, 7Ah', 'xor     eax, 0F0h', 'xor     eax, 98h', 'xor     eax, 83h', 'xor     eax, 6Eh', 'xor     eax, 33h', 'xor     eax, 40h', 'xor     eax, 0FEh', 'xor     eax, 11h', 'xor     eax, 0C8h', 'xor     eax, 0DFh', 'xor     eax, 19h', 'xor     eax, 62h', 'xor     eax, 0DFh', 'xor     eax, 61h', 'xor     eax, 0AFh', 'xor     eax, 6Bh', 'xor     eax, 7Eh', 'xor     eax, 32h', 'xor     eax, 0D6h', 'xor     eax, 71h', 'xor     eax, 46h', 'xor     eax, 0ABh', 'xor     eax, 99h', 'xor     eax, 4Dh', 'xor     eax, 0A1h', 'xor     eax, 25h', 'xor     eax, 0FFh', 'xor     eax, 0BEh', 'xor     eax, 59h', 'xor     eax, 27h', 'xor     eax, 8Ch']

first_xor = []
second_xor = []
third_xor = []

for i in range(len(first_disasm)):
  first_xor.append(int(first_disasm[i].split(' ')[-1][:-1],16))
  second_xor.append(int(second_disasm[i].split(' ')[-1][:-1],16))
  third_xor.append(int(third_disasm[i].split(' ')[-1][:-1],16))

flag = b''
for i in range(len(first_disasm)):
  flag += ((first_xor[i] ^ second_xor[i] ^ third_xor[i]) & 0xFF).to_bytes(1,'little')

print(flag)

#b'lag{96c69646-8184-4363-8de9-73f7398066c1}\x00'
#缺一个f,在start函数里
#flag{96c69646-8184-4363-8de9-73f7398066c1}
fevergun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Petition-Server:这是GSM Petition Web Service的存储库
04-08
请愿服务器模块安装点安装-r requirements.txt服务器正在运行克隆或下载文件并将其放入文件中。 转到相关路径,并在根目录下创建config.ini。 输入MySQL DB_URL。 [default] DB_URL = " your MYSQL DB URL " PORT = ...
2021CTF鹤城-Re
PMR的博客
10-13 829
1、Petition 总的来说还是比较喜欢这类题目的,因为它的flag是一位一位校验的,能爆破当然是一件很爽的事情。 回到正文:IDA载入文件: 程序从start开始执行,说是说"%36s"
2021鹤城writeup
NNanfeng
10-08 1661
MISC 1.NEW MISC 下载文件,是一个pdf文件 打开pdf,有俄文看不懂,因为是一道杂项题考虑隐写,百度“ctf pdf 隐写” http://blog.sina.com.cn/s/blog_6dc0c58b0102x9zd.html 找到了这位师傅写的总结,pdf两种隐写方式,如下图: 找工具:wbStego4.3open 找不到工具的师傅可以去我分享的链接下载:链接:https://pan.baidu.com/s/1S-w-W8YcAZVU4hKJXez7cg 提取码:da4l –来自百
2021-鹤城部分Wp by Rewrite
Re_ly0n的博客
10-09 1253
Web狗的我今天上午满课,下午两节课,抽时间做了两个web,u1s1,两个web都是原题,pwn????刚开始pwn本地全部打通了,然后远程死活不通,最后跑路永劫无间了。哈哈哈哈 WEB MIDDLE_MAGIC %0a绕过第一关最后加%23是# 数组绕过第二关 json 弱类型比较 payload GET aaa=%0apass_the_level_1%23 POST admin[]=1&root_pwd[]=2&level_3={"result":0} SPRING
2021鹤城 Writeup
qq_49422880的博客
04-09 2500
鹤城 WriteupMISCA_MISCNEW_MISCMISC2流量分析 MISC A_MISC 考点: 压缩包加密 基于时间盲注的flag取证 首先拿到一个压缩包,发现无法将其解压出来,使用ARCHPR进行密码爆破,这里爆破一般有几种爆破方式,1.全数字爆破 一般是4到6位 2.全英文爆破大写或小写 4到6位。 这里是全英文的小写的爆破,爆破压缩包密码得到qwer。解压之后发现有一张图片,使用Tweakpng打开图片发现报错,使用脚本修改宽和高,得到完整的图片。 链接:https://pan.ba
[鹤城 2021]EasyP
errorr0
04-17 3258
日常做题
117-petition-node:311申请节点申请
04-11
在IT行业中,"117-petition-node:311申请节点申请"这个标题可能指的是一个特定的项目或者服务,其中"117-petition-node"可能是该项目或服务的标识符,而"311申请节点申请"可能是该项目中的一个关键步骤或者功能模块...
News to Petition-crx插件
04-05
语言:English 我有一个想法要创建一个与政府请愿网站(仅限英国)相关的chrome扩展程序,以获取更多… 我的想法是创建一个与政府请愿站点(仅英国)相关的chrome扩展名,以使更多的人成为活跃的签名请愿书。...
Revoke Article 50 - Petition Counter-crx插件
04-05
本文将详细解析名为"Revoke Article 50 - Petition Counter"的Chrome浏览器扩展程序。此插件主要针对英国脱欧过程中的一个关键法律条款——《里斯本条约》第50条(Article 50)。在2016年英国公投决定退出欧盟后,...
首届"鹤城"CTF网络安全挑战赛 - 初赛writeup
渗透测试研究中心
12-22 1844
WEB1.middle_magic%0a绕过第一关最后加%23是#数组绕过第二关json 弱类型比较http://182.116.62.85:20253/?aaa=%0apass_the_level_1%23POST:admin[]=1&root_pwd[]=2&level_3={"result":0}flag{f03d41bf6c8d55f12324fd57f7a00427}2...
NSSCTF-鹤城2021-wp
F1rstb100d
09-22 714
NSSCTF-鹤城2021-wp
2021CTF鹤城挑战赛题目附件
NNanfeng
10-08 840
除了web题 所有的题目文件都在这里 链接:https://pan.baidu.com/s/1XXFSdNnlMdmlJtCMnl5dSg 提取码:nx87 –来自百度网盘超级会员V1的分享 需要的师傅请自行提取哦
鹤城2021 Web
feng的博客
10-09 4505
easy_sql_2 登录功能,post传username和password。尝试admin,admin弱口令登录成功但是提示flag并不在这里。 username尝试-1'||'1'%23发现是password error!,因此猜测后端的应该是根据传入的username查出对应的password,查到了就不再是username error!,然后讲传入的password进行一次md5后与这个password比较,相同就登录成功。 尝试SQL注入,但是ban了select,因此利用table注入。 数据库
鹤城2021 Crypto Writes up
weixin_56678592的博客
10-08 3105
鹤城2021 Crypto Writes up 这比赛原题横行有点水,跟着大佬们拿了个34名。 #1 easy_crypto 附件: 公正公正公正诚信文明公正民主公正法治法治诚信民主自由敬业公正友善公正平等平等法治民主平等平等和谐敬业自由诚信平等和谐平等公正法治法治平等平等爱国和谐公正平等敬业公正敬业自由敬业平等自由法治和谐平等文明自由诚信自由平等富强公正敬业平等民主公正诚信和谐公正文明公正爱国自由诚信自由平等文明公正诚信富强自由法治法治平等平等自由平等富强法治诚信和谐 社会主义核心价值观加密,在线解
IDA Pro - 如何得到比较清楚的逆向伪代码
热门推荐
weixin_30819163的博客
12-28 2万+
原文地址:Question about disassembler 简介 这篇文章介绍了如何在不使用插件的IDA Hex-Rays如何得到比较清晰的伪代码。IDA Hex-Rays功能很强大,只要你提供了足够多的信息,它就能产生十分简单明了的代码。 下面我们以下面这个二进制文件为例: 为了方便我直接把exe文件后缀改成jpg,下载下来把文件后缀改回exe就行了 二进制文件下载地址: 步骤 打开IDA...
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 544
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
邮件安全篇:邮件端到端加密S/MIME
最新发布
sdexcel的专栏
07-19 779
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 813
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
园区道路车辆智能管控视频解决方案,打造安全畅通的园区交通环境
TSINGSEE青犀视频官方技术博客
07-16 813
AI智能分析网关V4消防通道占用算法基于人工智能视觉分析技术,通过摄像头实时监测识别是否有机动车违规停放在消防车通道上,并及时提醒管理人员进行处理。
function formatDate(data) { for (var i = 0; i < data.length; i++) { var dateString = data[i].petition_at; var date = new Date(dateString); var year = date.getFullYear(); var month = ("0" + (date.getMonth() + 1)).slice(-2); var day = ("0" + date.getDate()).slice(-2); data[i].petition_at = year + "-" + month + "-" + day + " " + hours dateString = data[i].created_at; date = new Date(dateString); year = date.getFullYear(); month = ("0" + (date.getMonth() + 1)).slice(-2); day = ("0" + date.getDate()).slice(-2); data[i].petition_at = year + "-" + month + "-" + day + " " + hours data[i].created_at = date.toLocaleString(); } return data; } return data = formatDate(data)哪里有错
06-13
3. 在第六行和第九行,将 `petition_at` 改成了 `created_at`,这是无意义的,应该将第九行的 `petition_at` 改成 `created_at`。 下面是修正后的代码: ``` function formatDate(data) { for (var i = 0; i ; i+...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值