buuctf 逆向 findkey wp

于 2024-01-04 22:11:29 发布
阅读量1.4k 收藏 22
点赞数 19
分类专栏: buuctf逆向 文章标签: 逆向 buuctf findkey
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzucaicai/article/details/135397206
版权

首先看看怎么个事

点开也就这样了,没有输入的点,感觉和之前的 “刮开有奖” 有一点点相像

winmain长这个样子

看到消息循环了,下一步肯定就是找回调函数了

乍一看还没有,函数一个个点进去看发现sub_401023(hInstance),一直点进去看,一直到遇到这个

这就是注册窗口的过程,可以看到回调函数是 sub_401014

 但是点进去发现JUMPOUT,那肯定要尝试修复一波

 

非常简单,甚至没有花指令,直接创建函数即可

修复好后长这样

LRESULT __stdcall sub_401640(HWND hWndParent, UINT Msg, WPARAM wParam, LPARAM lParam)
{
  int v5; // eax
  size_t v6; // eax
  DWORD v7; // eax
  int v8; // eax
  int v9; // eax
  int v10; // [esp+4Ch] [ebp-400h]
  UINT v11; // [esp+50h] [ebp-3FCh]
  CHAR v12[256]; // [esp+54h] [ebp-3F8h] BYREF
  char v13[7]; // [esp+154h] [ebp-2F8h] BYREF
  __int16 v14; // [esp+15Bh] [ebp-2F1h]
  char v15; // [esp+15Dh] [ebp-2EFh]
  char Str[253]; // [esp+160h] [ebp-2ECh] BYREF
  __int16 v17; // [esp+25Dh] [ebp-1EFh]
  char v18; // [esp+25Fh] [ebp-1EDh]
  CHAR v19[256]; // [esp+260h] [ebp-1ECh] BYREF
  CHAR String[4]; // [esp+360h] [ebp-ECh] BYREF
  int v21; // [esp+364h] [ebp-E8h]
  __int16 v22; // [esp+368h] [ebp-E4h]
  CHAR Text[32]; // [esp+36Ch] [ebp-E0h] BYREF
  struct tagRECT Rect; // [esp+38Ch] [ebp-C0h] BYREF
  CHAR Buffer[100]; // [esp+39Ch] [ebp-B0h] BYREF
  HDC hdc; // [esp+400h] [ebp-4Ch]
  struct tagPAINTSTRUCT Paint; // [esp+404h] [ebp-48h] BYREF
  int v28; // [esp+444h] [ebp-8h]
  int v29; // [esp+448h] [ebp-4h]

  LoadStringA(hInstance, 0x6Au, Buffer, 100);
  v11 = Msg;
  if ( Msg > 0x111 )
  {
    if ( v11 == 517 )
    {
      if ( strlen((const char *)String1) > 6 )
        ExitProcess(0);
      if ( strlen((const char *)String1) )
      {
        memset(v19, 0, sizeof(v19));
        v6 = strlen((const char *)String1);
        memcpy(v19, String1, v6);
        v7 = strlen((const char *)String1);
        sub_40101E(String1, v7, (LPSTR)String1);
        strcpy(Str, "0kk`d1a`55k222k2a776jbfgd`06cjjb");
        memset(&Str[33], 0, 0xDCu);
        v17 = 0;
        v18 = 0;
        strcpy(v13, "SS");
        *(_DWORD *)&v13[3] = 0;
        v14 = 0;
        v15 = 0;
        v8 = strlen(Str);
        sub_401005(v13, (int)Str, v8);
        if ( _strcmpi((const char *)String1, Str) )
        {
          SetWindowTextA(hWndParent, "flag{}");
          MessageBoxA(hWndParent, "Are you kidding me?", "^_^", 0);
          ExitProcess(0);
        }
        memcpy(v12, &unk_423030, 0x32u);
        v9 = strlen(v12);
        sub_401005(v19, (int)v12, v9);
        MessageBoxA(hWndParent, v12, 0, 0x32u);
      }
      ++dword_428D54;
    }
    else
    {
      if ( v11 != 520 )
        return DefWindowProcA(hWndParent, Msg, wParam, lParam);
      if ( dword_428D54 == 16 )
      {
        strcpy(String, "ctf");
        v21 = 0;
        v22 = 0;
        SetWindowTextA(hWndParent, String);
        strcpy(Text, "Are you kidding me?");
        MessageBoxA(hWndParent, Text, Buffer, 0);
      }
      ++dword_428D54;
    }
  }
  else
  {
    switch ( v11 )
    {
      case 0x111u:
        v29 = (unsigned __int16)wParam;
        v28 = HIWORD(wParam);
        v10 = (unsigned __int16)wParam;
        if ( (unsigned __int16)wParam == 104 )
        {
          DialogBoxParamA(hInstance, (LPCSTR)0x67, hWndParent, (DLGPROC)DialogFunc, 0);
        }
        else
        {
          if ( v10 != 105 )
            return DefWindowProcA(hWndParent, Msg, wParam, lParam);
          DestroyWindow(hWndParent);
        }
        break;
      case 2u:
        PostQuitMessage(0);
        break;
      case 0xFu:
        hdc = BeginPaint(hWndParent, &Paint);
        GetClientRect(hWndParent, &Rect);
        v5 = strlen(Buffer);
        DrawTextA(hdc, Buffer, v5, &Rect, 1u);
        EndPaint(hWndParent, &Paint);
        break;
      default:
        return DefWindowProcA(hWndParent, Msg, wParam, lParam);
    }
  }
  return 0;
}

分析一波,大致逻辑是,当消息编号大于0x111时

右键会校验String(实际上是没有地方给我们输入String的,需要我们手动的去改String的值)。如果String值校验不对, ++dword_428D54;

其他大于0x111的消息也会使得 ++dword_428D54;到十六次后会触发messagebox(没啥用)

然后就是一些基本控件的指令了。所见即所得就不说了

我们主要观察的代码是这段

if ( Msg > 0x111 )
if ( Msg > 0x111 )
  {
    if ( v11 == 517 )
    {
      if ( strlen((const char *)String1) > 6 )
        ExitProcess(0);
      if ( strlen((const char *)String1) )
      {
        memset(v19, 0, sizeof(v19));
        v6 = strlen((const char *)String1);
        memcpy(v19, String1, v6);
        v7 = strlen((const char *)String1);
        sub_40101E(String1, v7, (LPSTR)String1);
        strcpy(Str, "0kk`d1a`55k222k2a776jbfgd`06cjjb");
        memset(&Str[33], 0, 0xDCu);
        v17 = 0;
        v18 = 0;
        strcpy(v13, "SS");
        *(_DWORD *)&v13[3] = 0;
        v14 = 0;
        v15 = 0;
        v8 = strlen(Str);
        sub_401005(v13, (int)Str, v8);
        if ( _strcmpi((const char *)String1, Str) )
        {
          SetWindowTextA(hWndParent, "flag{}");
          MessageBoxA(hWndParent, "Are you kidding me?", "^_^", 0);
          ExitProcess(0);
        }
        memcpy(v12, &unk_423030, 0x32u);
        v9 = strlen(v12);
        sub_401005(v19, (int)v12, v9);
        MessageBoxA(hWndParent, v12, 0, 0x32u);
      }
      ++dword_428D54;
    }

 String1会进入一个哈希加密

int __cdecl sub_4013A0(BYTE *pbData, DWORD dwDataLen, LPSTR lpString1)
{
  DWORD i; // [esp+4Ch] [ebp-24h]
  CHAR String2[4]; // [esp+50h] [ebp-20h] BYREF
  BYTE v6[16]; // [esp+54h] [ebp-1Ch] BYREF
  DWORD pdwDataLen; // [esp+64h] [ebp-Ch] BYREF
  HCRYPTHASH phHash; // [esp+68h] [ebp-8h] BYREF
  HCRYPTPROV phProv; // [esp+6Ch] [ebp-4h] BYREF

  if ( !CryptAcquireContextA(&phProv, 0, 0, 1u, 0xF0000000) )
    return 0;
  if ( CryptCreateHash(phProv, 0x8003u, 0, 0, &phHash) )
  {
    if ( CryptHashData(phHash, pbData, dwDataLen, 0) )
    {
      CryptGetHashParam(phHash, 2u, v6, &pdwDataLen, 0);
      *lpString1 = 0;
      for ( i = 0; i < pdwDataLen; ++i )
      {
        wsprintfA(String2, "%02X", v6[i]);
        lstrcatA(lpString1, String2);
      }
      CryptDestroyHash(phHash);
      CryptReleaseContext(phProv, 0);
      return 1;
    }
    else
    {
      CryptDestroyHash(phHash);
      CryptReleaseContext(phProv, 0);
      return 0;
    }
  }
  else
  {
    CryptReleaseContext(phProv, 0);
    return 0;
  }
}

加密完后去和Str比较,若相等,则输出flag

CryptCreateHash 函数的参数包括:

  • hProv:加密服务提供者的句柄。

  • Algid:指定要使用的哈希算法的 ALG_ID 值。

  • hKey:如果哈希算法是带密钥的,则传入密钥的句柄;否则为0。

  • dwFlags:标志位,通常为0。

  • phHash:指向新创建的哈希对象句柄的指针。

CryptHashData 函数的参数包括:

  • hHash:哈希对象的句柄。

  • pbData:指向要进行哈希处理的数据的指针。

  • dwDataLen:要进行哈希处理的数据的长度。

  • dwFlags:标志位,通常为0。

CryptGetHashParam 函数的参数包括:

  • hHash:哈希对象的句柄。

  • dwParam:指定要获取的哈希参数。

  • pbData:指向存储参数数据的缓冲区的指针。

  • pdwDataLen:指向存储参数数据长度的变量的指针。

  • dwFlags:标志位,通常为0。

[in] dwParam

查询类型。 此参数可以设置为以下查询之一。

展开表

含义
HP_ALGID哈希算法一个ALG_ID,指示创建哈希对象时指定的算法。 有关哈希算法的列表,请参阅 CryptCreateHash
HP_HASHSIZE哈希值大小指示哈希值中的字节数的 DWORD 值。 此值将因哈希算法而异。 应用程序必须在HP_HASHVAL值之前检索此值,以便分配正确的内存量。
HP_HASHVAL哈希值hHash 指定的哈希对象的哈希值或消息哈希。 此值基于前面通过 CryptHashDataCryptHashSessionKey 函数提供给哈希对象的数据生成。CryptGetHashParam 函数完成哈希。 调用 CryptGetHashParam 后,无法向哈希添加更多数据。 对 CryptHashDataCryptHashSessionKey 的其他调用失败。 使用哈希完成应用程序后,应调用 CryptDestroyHash 来销毁哈希对象。

HP_ALGID 的值是 0x0001,HP_HASHSIZE 的值是 0x0004,HP_HASHVAL 的值是 0x0002

把Str拖出来,找个在线MD5网站解码 其实哈希是不能解码的,但是可以用穷举,先正向加密,和密文对比

 

再次启动动态调试,将String1改为 123321 即可

 

解决

flag{n0_Zu0_b0_die}  

cccsl_
关注
  • 19
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【jarvisoj刷题之旅】逆向题目FindKey的writeup
iqiqiya的博客
09-10 817
  我把下载到的文件放在了c盘根目录· Ubuntu子系统  file一下   百度应该是.pyc文件 找到反编译工具uncompyle6   后缀加上.pyc 反编译成功   分析一下直接改就行 正确 ...
BUUCTF ------findkey
qq_64558075的博客
12-17 681
1.拿到文件,老规矩,进行查壳 收集信息,无壳,32位程序 2.拖入ida中 先查找main函数 并没有什么实质性的收获 那么我们就查找字符串 发现flag字符串 跟进 发现右边的数据是红色的,ida不能正常反编译 我们就看汇编代码,寻找原因 发现两个一样的代码,所以这个地方就可以推测是花指令 我们nop(跳过)这个花指令就可以了 首先我们将鼠标的光标放到第二个push 然后修改为90(nop) 然后发现已经修改为nop了 接下来就...
buuctf————findkey
yhfgs的博客
09-18 942
1.查壳。无壳,32位。 2.IDA反编译。 shift+f12查找字符串。发现关键词flag。 跟进。 发现IDA没有反编译成功。手动反编译(p键)。 第一次做的时候按了p就出了。复盘的时候不知道又不行了。 又找了找原因发现是花指令。 (这个位置两个一样的push删掉一个就ok) 3.分析代码。关键函数是sub401005. 根据if条件可得string1(MD5加密后)(看最前面sub40101e函数可知string经过了MD5加密) (a2-748)是0...
[CTF]Jarvis FindKey
qq_42152365的博客
02-16 705
[CTF]Jarvis FindKey 150 1. 首先看文件头,是03F30D0A,查百度,发现是pyc,于是改成pyc 2. pyc拖入uncompyle(这里用的是uncompyle6),生成py文件 3. 发现密码是17位并且其逆序满足如下关系式,式中的数组已经写死: ord(flag[i]) + pwda[i] &amp; 255 != lookup[i + pwdb[i]]...
[BUUCTF]Reverse——findKey
mcmuyanga的博客
03-23 514
findKey 例行检查,32位程序,c++写的 运行一下,没什么特别提示的地方 32位ida载入,检索字符串发现flag提示,跟进跳转 会发现中间有一段汇编没有转换成成函数,选中这部分,按p转换成函数,在按f5就能得到关键代码 理一下,贴一下关键代码,这一段应该是计算flag的代码, 根据sub_401005中有md5加密的api调用判断sub_401005是md5加密。 太久没做用API进行字串hash的題目了,去微软的网站上查询了一下才认出来了是md5加密 首先让我们输入string1
BUUCTF Reverse/findKey
ookami6497的博客
08-07 805
BUUCTF Reverse/findKey 先看文件信息:32位程序,没有加壳 打开看看,标题为find flag,也没啥有用的信息 IDA32位打开,找到start函数,看到有个main,跟随跳转 看到几个函数,都跟进查看一下 并没有什么有用的信息 ATOM __cdecl sub_4011D0(HINSTANCE hInstance) { WNDCLASSEXA v2; // [esp+4Ch] [ebp-30h] BYREF v2.cbSize = 48;
findKey.lua
04-05
通过lua跨平台查找工程下所有java源文件,打印出清单列表。过滤.SVN,可通过 string.find(f, "%.java") ~= nil 方式增加其他后缀文件名。
数据结构与实训[张红霞等主编][习题解答]---洛阳理工学院
03-01
数据结构是计算机科学中的核心课程,它探讨了如何在计算机中高效地组织和管理数据,以便进行快速查找、插入和删除等操作。洛阳理工学院的数据结构与实训教材,由张红霞等主编,旨在帮助学生深入理解数据结构的概念,...
ESP8266:与 ESP8266 低成本设备相关的所有事情
07-02
消息是“findkey”,其中key 是设备的唯一名称(即garageDoor)。 所有单元都会收到此消息,但只有具有匹配密钥的单元才会响应。 匹配单元将响应:“CTS”(清除发送)。 当 android 设备收到此消息时,它现在也...
foreach-prop:对象的类似数组的方法
02-21
使用keyOf , lastKeyOf , findKey和find方法时,请记住这一点。安装npm i foreach-propCDNjsDelivr < script src =" https://cdn.jsdelivr.net/npm/foreach-prop@latest/dist/each-prop.umd.js " > </ ...
DetachedCriteria查询
07-13
`DetachedCriteria criteria = this.createFindProjectsCriteria(findKey, userId, scope);` `criteria.setProjection(Projections.rowCount());` `List results = getHibernateTemplate().findByCriteria(criteria)...
buu练题记录8-findKey
Asteri5m
04-20 439
0x00 查壳 & 运行 无壳,还是运行康康有啥 所以是啥也没有,还是用IDA看看 0x01 IDA分析 直接查找字符串找到可疑字符 从flag{}那开始分析 发现报红,两行一样的代码,nop掉第二行,按P生成函数,再F5反汇编。 从flag哪里反着看上去。ctrcmp函数比较v19和String1。v19原本是cpy的字符串"0kk`d1a`55k222k2a776jbfgd`06cjjb",然后经过了sub_401005函数,跳过去看看这个函数。 一个循环异或,而v4转成字符为"SS
buuctf刷题记录19 buuctf FindKey
ytj00的博客
08-01 621
个人感觉这个题出的不好,md5根本找不到(是我太菜) 经典无壳,拖进ida,f12找到关键字符串,发现左边地址是红色的,应该是用了花指令,果然 两个一样的指令连在一起,把下面的去掉,按p声明函数,再f5看反编译 程序逻辑并不是太难,有两处关键运算和一个关键判断 第一个关键运算是将输入的pbdata与v16进行异或,最后与v20进行比较 逻辑很简单,直接写脚本,得到第一个字符串:c8837b23ff8aaa8a2dde915473ce0991 然后如果直接按照第二个关键运算算的话,算不出来 看别人的wp
Jarvis OJ FindKey题解
九层台
04-05 5374
下载下来是没有后缀名的文件,用斯托夫文件分析器查一下的出结果是pyo文件直接把后缀名改成了.pyc它就能运行。接下来就是反编译pyo文件了。 安装uncompyle pip install uncompyle 可以写上pip的绝对路径。 C:\Users\liu&gt;pip install uncompyle Collecting uncompyle Downloading un...
JarvisOJ RE Findkey
A_dmin的博客
06-06 316
JarvisOJ RE Findkey 下载文件,发现用ida打不开,拖到KALI虚拟机内,用file命令查看文件,发现是python文件,更改文件后缀名为pyc,使用python在线反编译工具反编译,得到代码。 Python反编译-在线工具 得到源码: import sys lookup = [196,153,149,206,17,221,10,217,167,18,36,135,103,61...
【jarvisoj刷题之旅】逆向题目DDCTF - Hello的writeup
iqiqiya的博客
09-09 753
  IDA64位载入 看到就几个函数(没想到.jpg) 字符串都不用找 直接就可以确定sub_100000CE0就是关键函数   分析就可以知道 先对两个函数的地址进行相减  再右移   与byte_100001040[0]进行异或   后面就是一个循环 对byte_100001040[v1]进行运算   Py大法好: ...
ISC2016训练赛 phrackCTF--findkey
Hk_Mayfly的博客
10-14 512
测试文件:https://static2.ichunqiu.com/icq/resources/fileupload/phrackCTF/REVERSE/findkey 1.准备 获得信息 Python文件 2.文件分析 分析得到是Python文件,首先我把文件后缀改为了.py但显示为乱码,因此猜测是.pyc文件。可以到https://tool.lu/p...
Jarvis OJ (逆向):FindKey
s0il的博客
01-04 859
python文件进行反编译: # Embedded file name: findkey import sys lookup = [196, 153, 149, 206, 17, 221, 10, 217, 167, 18, 36, 135, 103, 61, 111, 31, 92, 152, 21, 228, 105, 191, 173, 41, 2, 245, 23, 144, 1...
本关要求通过补全函数BSL_FindKey来实现在已排序的顺序表中查找关键码值为key的结点并返回该结点的编号。
最新发布
06-08
好的,我知道了。下面是补全后的函数代码: ```c int BSL_FindKey(SeqList L, KeyType key) { int low = 0, high = L.length - 1, mid; while (low <= high) { mid = (low + high) / 2; if (L.data[mid].key == key) { return mid; } else if (L.data[mid].key < key) { low = mid + 1; } else { high = mid - 1; } } return -1; // 未找到返回-1 } ``` 其中,SeqList是已排序的顺序表,KeyType是关键码类型,L.data[mid].key表示顺序表中第mid个结点的关键码值。函数中采用二分查找的方法,将查找区间不断缩小,直到找到关键码为key的结点或查找区间为空。如果未找到,则返回-1。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值