[BUUCTF]REVERSE - [GWCTF 2019]xxor

已于 2022-07-02 23:52:31 修改
阅读量324 收藏 3
点赞数 2
分类专栏: CTF Reserve 文章标签: 算法 c++
于 2022-07-02 22:08:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/firfis/article/details/125578200
版权

[BUUCTF]REVERSE - [GWCTF 2019]xxor

首先查壳
查壳

发现是.elf文件,linux环境运行下
运行
拖到IDA,找到main

__int64 __fastcall main(int a1, char **a2, char **a3)  
{  
  int i; // [rsp+8h] [rbp-68h]  
  int j; // [rsp+Ch] [rbp-64h]  
  __int64 v6[6]; // [rsp+10h] [rbp-60h] BYREF  
  __int64 v7[6]; // [rsp+40h] [rbp-30h] BYREF  
  
  v7[5] = __readfsqword(0x28u);  
  puts("Let us play a game?");  
  puts("you have six chances to input");  
  puts("Come on!");  
  memset(v6, 0, 40);  
  for ( i = 0; i <= 5; ++i )  
  {  
    printf("%s", "input: ");  
    __isoc99_scanf("%d", (char *)v6 + 4 * i);  
  }  
  memset(v7, 0, 40);  
  for ( j = 0; j <= 2; ++j )  
  {  
    dword_601078 = v6[j];  
    dword_60107C = HIDWORD(v6[j]);  
    sub_400686((unsigned int *)&dword_601078, dword_601060);  
    LODWORD(v7[j]) = dword_601078;  
    HIDWORD(v7[j]) = dword_60107C;  
  }  
  if ( (unsigned int)sub_400770(v7) != 1 )  
  {  
    puts("NO NO NO~ ");  
    exit(0);  
  }  
  puts("Congratulation!\n");  
  puts("You seccess half\n");  
  puts("Do not forget to change input to hex and combine~\n");  
  puts("ByeBye");  
  return 0LL;  
}

输入要求是6个整数,每个整数提供 4字节 的存储空间。

存储到 8字节v6数组中。所以这6个数据实际上只占用了3个v6数组。

同时要注意的是该程序的环境是 x86-64 用的是小端序,即地址高位存储数据的高位,地址低位存储数据的低位

这里用p[6]代表输入数据,则p[6]v6数组中的位置如下:
位置关系
分清楚地址高低位和数据高低位尤其重要。在接下来的加密过程中要用到。

输入完成后的3次循环中,以 j = 0 举例:

dword_601078 = v6[0];
dword_60107C = HIDWORD(v6[0]);

由于 v68字节 的而 dword_6010784字节 的。所以直接将 v6[0] 赋给 dword_601078 。实际上只是得到的是 v6[0] 数据低位的 4个字节 。也就是上述中的 p[0] ,而 dword_60107C 就是 p[1]

知道了对应的变量,接下进入加密函数。

__int64 __fastcall sub_400686(unsigned int *a1, _DWORD *a2)  
{  
  __int64 result; // rax  
  unsigned int v3; // [rsp+1Ch] [rbp-24h]  
  unsigned int v4; // [rsp+20h] [rbp-20h]  
  int v5; // [rsp+24h] [rbp-1Ch]  
  unsigned int i; // [rsp+28h] [rbp-18h]  
  
  v3 = *a1;  //表示数据低位
  v4 = a1[1];  //也就是(unsigned int *)&dword_601078 + 4 = (unsigned int *)&dword_60107C 表示数据高位
  v5 = 0;  
  for ( i = 0; i <= 63; ++i )  
  {  
    v5 += 1166789954;  
    v3 += (v4 + v5 + 11) ^ ((v4 << 6) + *a2) ^ ((v4 >> 9) + a2[1]) ^ 32;  
    v4 += (v3 + v5 + 20) ^ ((v3 << 6) + a2[2]) ^ ((v3 >> 9) + a2[3]) ^ 16;  
  }  
  *a1 = v3; 
  result = v4;  
  a1[1] = v4;  
  return result;  
}

a2可以直接跟进查看
a2
分析输出可以知道数据又重新返回到数据高低位。
在逆向加密函数前必须先知道v7数组的值。看判断语句中的 sub_400770函数

__int64 __fastcall sub_400770(_DWORD *a1)  
{  
  if ( a1[2] - a1[3] == 2225223423LL  
    && a1[3] + a1[4] == 4201428739LL  
    && a1[2] - a1[4] == 1121399208LL  
    && *a1 == -548868226  
    && a1[5] == -2064448480  
    && a1[1] == 550153460 )  
  {  
    puts("good!");  
    return 1LL;  
  }  
  else  
  {  
    puts("Wrong!");  
    return 0LL;  
  }  
}

利用python中的z3约束求解出,脚本如下:

from z3 import *

a0, a1, a2, a3, a4, a5 = Ints('a0 a1 a2 a3 a4 a5')
s = Solver()
s.add(a2 - a3 == 2225223423)
s.add(a3 + a4 == 4201428739)
s.add(a2 - a4 == 1121399208)
s.add(a0 == -548868226)
s.add(a5 == -2064448480)
s.add(a1 == 550153460)

if s.check() == sat:
    print(s.model())
else:
    print("false")

# [a2 = 3774025685,
#  a1 = 550153460,
#  a5 = -2064448480,
#  a0 = -548868226,
#  a3 = 1548802262,
#  a4 = 2652626477]

得到 v7 的值
继续对加密函数逆向求解

#include <stdio.h>  
#include <iostream>  
  
int main()  
{  
    unsigned int a[6] = { -548868226, 550153460, 3774025685, 1548802262, 2652626477, 2230518816 };  
    unsigned int a2[4] = { 2,2,3,4};  
      
    unsigned int v3;  
    unsigned int v4;  
    int v5;  
      
    for (int i = 0; i < 6; i += 2)  
    {  
        v3 = a[i];  
        v4 = a[i+1];  
        v5 = 1166789954 * 64;  
          
        for (int j = 0; j < 64; ++ j )  
        {  
            v4 -= (v3 + v5 + 20) ^ ((v3 << 6) + a2[2]) ^ ((v3 >> 9) + a2[3]) ^ 16;  
            v3 -= (v4 + v5 + 11) ^ ((v4 << 6) + *a2) ^ ((v4 >> 9) + a2[1]) ^ 32;  
            v5 -= 1166789954;  
        }  
          
        a[i] = v3;  
        a[i+1] = v4;  
    }  
    for (int i = 0; i < 6; ++ i )  
    {  
        std::cout << *((char*)&a[i] + 2) << *((char*)&a[i] + 1) <<  *((char*)&a[i]);  
    }  
    return 0;  
}

最后得到的 v6 数组输出为字符即可,每个 4字节unsigned int对应 1字节char 但输出发现有1位 char 是空白的,所以输出3位 char

得到flag:flag{re_is_great!}

firfis
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu-[GWCTF 2019]xxor
qaq517384的博客
03-13 537
64为GCC 查看字符串跟进主函数 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { signed int i; // [rsp+8h] [rbp-68h] signed int j; // [rsp+Ch] [rbp-64h] __int64 v6; // [rsp+10h] [rbp-60h] __int64 v7; // [rsp+18h] [rbp-58h] __int64 v8; // [rsp+20h]
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
[buuctf][gwctf 2019]xxor
逆向萌新的博客
07-12 1209
[buuctf][gwctf 2019]xxor
BUUCTF靶场 [reverse]easyre、reverse1、reverse2
最新发布
m0_73981089的博客
05-23 543
工具:     DIE:下载:https://download.csdn.net/download/m0_73981089/89334360     IDA:下载:https://hex-rays.com/ida-free/   [reverse]easyre   [reverse]reverse1   [reverse]reverse2
BUUCTF--reverse2
weixin_30876945的博客
09-04 708
测试文件:https://buuoj.cn/files/ef0881fc76e5bcd756b554874ef99bec/e8722e94-93d7-45d5-aa06-a7aa26ce01a1.rar?token=eyJ0ZWFtX2lkIjpudWxsLCJ1c2VyX2lkIjoxOTAzLCJmaWxlX2lkIjoxNTJ9.XW-dPA.rxYLlTnLCwgbqaIazUX...
BUUCTF Reverse/[GWCTF 2019]xxor
ookami6497的博客
07-23 329
BUUCTF Reverse/[GWCTF 2019]xxor 查看文件信息发现没有加壳 直接IDA查看代码 __int64 __fastcall main(int a1, char **a2, char **a3) { int i; // [rsp+8h] [rbp-68h] int j; // [rsp+Ch] [rbp-64h] __int64 v6[6]; // [rsp+10h] [rbp-60h] __int64 v7[6]; // [rsp+40h] [rbp-30
BUUCTF--[GWCTF 2019]xxor
Hk_Mayfly的博客
04-09 1013
测试文件:https://www.lanzous.com/ib5y9cb 代码分析 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 signed int i; // [rsp+8h] [rbp-68h] 4 signed int j; // [rsp+Ch] [rbp-64h] 5...
reverse-shell-generator:简单的脚本来生成反向shell
04-10
cd reverse-shell-generator 3. Install Dependencies: pip3 install -r requirements.txt 4. Run the Python-file: python3 main.py 通过脚本安装: chmod +x install.sh ./install.sh 完毕! 由SoftwareUser23...
reverse-proxy:简单的反向代理应用
06-02
反向代理使用进行简单的反向代理设置。描述这是一个使用 gem 设置的简单 Web 应用程序。 该应用程序允许通过在环境中指定每个主机来代理到多个主机。用法使用rackup运行应用程序: $ rackup config.ru如果要禁用 ...
reverse-shell-generator:基于Web的反向shell生成器
02-05
在网络安全领域,"reverse-shell-generator" 是一个非常重要的工具,尤其对于渗透测试者和安全研究人员来说。这个工具,正如其名,是一个基于Web的反向shell生成器,它能够帮助用户创建各种不同语言的反向shell代码...
BUUCTF-[GWCTF 2019]xxor
qq_66455531的博客
07-07 318
HIWORD和LOWORD就是把每一个元素对半分,高位分给HIWORD低位分给LOWORD。这里把输入的数组的高低位分开,高位保留,低位进行tea加密。这里最需要注意的是,v6 和 v7数组的声明是i64,也就是每个元素64bit,也就是8个字节。得到flag{re_is_great!能推出来数组,然后再看tea加密部分。解密就是加密的逆过程,写脚本。先看加密合并后的数组。
buuctf [GWCTF 2019]xxor 19
weixin_47158947的博客
07-31 1349
1.先把下载下来的文件改成exe文件, 2.查看文件是多少位的 3.ida打开 4.主函数,伪代码查看 先从最后面开始看,当if()体里面的值=1的时候才是我们想要的 点开函数 signed __int64 __fastcall sub_400770(_DWORD *a1) { signed __int64 result; // rax if ( a1[2] - a1[3] != 2225223423LL || a1[3] + a1[4] != 4201428739LL || a1[2] - a
BUUCTF - [GWCTF 2019]xxor 1
:-)
11-27 1628
[GWCTF 2019]xxor 1 其实看到这道题的名字,我感觉它做了两次异或操作 ,废话不多说,开始分析 64位ELF,打开Linux运行一下 大概是输入6个字符,经行位操作,然后判断吧,拖进ida分析下 思路很清晰的一道逆向题目,应该考验的是对数据存储的理解和写脚本的能力,研究一下它的逻辑 这应该就是它的关键函数了,之前的input1数组是把输入的数据存起来,然后经行操作后存到v7中进行判断 注意HIDWORD()和LODWORD()的宏定义 #define HIDWORD(x) (*((_
[GWCTF 2019]xxor-buuctf
Lenard404的博客
03-14 5443
buuctf做题记录 查壳 64位无壳 分析 IDA反编译main函数 结构还是很清晰的,sub_400686是加密函数,sub_400770是对加密后字符串进行比较,即验证函数。 查看sub_400770 符合条件就返回1,用z3进行一个求解: from z3 import * s = IntVector('s',6) solver = Solver() solver.add(s[0]== 0xdf48ef7e) solver.add(s[2]-s[3] == 0x84a236ff) solver.a
buu题解-[GWCTF 2019]xxor
m0_73393932的博客
02-24 234
逆向
[BUUCTF]REVERSE——[GWCTF 2019]xxor
mcmuyanga的博客
12-01 450
[GWCTF 2019]xxor 附件 步骤: 无壳,64位ida载入 程序很简单,首先让我们输入一个字符串,然后进行中间部分的操作,最后需要满足44行的if判断,看一下sub_400770函数 得到几个关系式 a1[2] - a1[3] = 2225223423 a1[3] + a1[4] = 4201428739 a1[2] - a1[4] = 1121399208 a1[0] = 3746099070 a1[5] = 550153460 a1[1] = 550153460 利用z3
buuctf刷题记录7 [GWCTF 2019]xxor
ytj00的博客
07-30 1027
关键运算都在main函数 根据提示,我们要输入6次数据,在经过两次处理后的得到的数据,将其转成16进制再变成字符串 第一个处理 这是将输入的六个数据每次取两个,分别给dword_601078和dword_60107c,然后通过sub_400686这个函数进行运算 byte_601060里是四个数据 : 2 2 3 4 进到sub_400686内部 它里面是递加,我们可以递减来实现解密 再看第二处 通过逻辑直接可以推出改变后的6个数 xorm[0] = 3746099070; xorm[1] = 550
BUUCTF-Reverse
qq_53087690的博客
09-10 910
文章目录不一样的flagSimpleRevJava逆向解密[GXYCTF2019]luck_guy 不一样的flag ida打开,进入main函数 分析发现是个迷宫题,要从*走到#,中间碰到1就结束 1 up 2 down 3 left 4 right 所以flag: flag{222441144222} SimpleRev ida64打开,进入main函数 主函数仅仅是判断我们输入的是否为 d/D 如果是,则进去Decry()函数,否则退出 跟进Decry()函数 strcpy()函数是将key1
BUUCTF-reverse
njh18790816639的博客
06-27 759
easyre reverse1 reverse2 fl0g = '{hacking_for_fun}' flag = list(fl0g) for i in range(len(flag)): if ord(flag[i]) == 105 or ord(flag[i]) == 114: flag[i] = chr(49) print(flag[i],end='') #{hack1ng_fo1_fun} 内涵的软件 后来我菜发现得把v2里面的DBAPP换成fla
buuctf reverse3 1
08-26
引用提到了BUUCTF-reverse-reverse1,但并没有提到BUUCTF reverse3 1的相关内容。引用提到了一个关于for循环逆解的脚本,引用提到了关于v5长度和字符串变换的一些内容,但没有提到BUUCTF reverse3 1。请提供更多的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值