BUUCTF——[SWPU2019]ReverseMe

已于 2024-05-10 11:13:09 修改
阅读量253 收藏 3
点赞数 1
分类专栏: 逆向工程 buuctf逆向 文章标签: 逆向 buuctf c++
于 2024-05-10 11:09:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzucaicai/article/details/138656595
版权 
int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // ecx
  int *v4; // eax
  int v5; // ecx
  int *v6; // eax
  char *v7; // esi
  int v8; // edi
  unsigned int v9; // kr00_4
  void **v10; // ecx
  __int128 *v11; // ecx
  int *v12; // ecx
  char *input_crypto2; // edx
  unsigned int v14; // edi
  int v15; // eax
  int v16; // eax
  bool v17; // cf
  unsigned __int8 v18; // al
  unsigned __int8 v19; // al
  unsigned __int8 v20; // al
  const char *v21; // edx
  int *v22; // eax
  char *v23; // eax
  int v25; // [esp-14h] [ebp-D8h]
  int v26; // [esp-10h] [ebp-D4h]
  void *input[4]; // [esp+24h] [ebp-A0h] BYREF
  int input_lenth; // [esp+34h] [ebp-90h]
  unsigned int v29; // [esp+38h] [ebp-8Ch]
  char v30[32]; // [esp+3Ch] [ebp-88h] BYREF
  int v31; // [esp+5Ch] [ebp-68h]
  __int128 input_; // [esp+60h] [ebp-64h] BYREF
  __int128 v33; // [esp+70h] [ebp-54h]
  int v34; // [esp+80h] [ebp-44h]
  char str[16]; // [esp+84h] [ebp-40h] BYREF
  int test[8]; // [esp+94h] [ebp-30h] BYREF
  int v37; // [esp+C0h] [ebp-4h]

  input_lenth = 0;
  v29 = 0xF;
  LOBYTE(input[0]) = 0;
  v37 = 1;
  v4 = printf(v3, "Please input your flag: ");
  sub_403050((int)v4);
  scanf(&dword_430068, input);
  strcpy(str, "SWPU_2019_CTF");
  if ( input_lenth == 0x20 )
  {
    test[4] = 0xBA143D17;
    test[5] = 0x1D730350;
    test[6] = 0x9404607A;
    test[7] = 0x290AF070;
    v8 = 0;
    input_ = 0i64;
    v34 = 0;
    v33 = 0i64;
    v9 = strlen(str);




    do                                          // 对input进行加密
    {
      v10 = input;
      if ( v29 >= 0x10 )
        v10 = (void **)input[0];
      *((_BYTE *)v10 + v8) ^= str[v8 % v9];
      ++v8;
    }
    while ( v8 < 0x20 );




    v11 = (__int128 *)input;                    // 这里可以推出input加密后的数据
    v7 = (char *)input[0];
    if ( v29 >= 0x10 )
      v11 = (__int128 *)input[0];
    v31 = 0;
    memset(v30, 0, sizeof(v30));
    input_ = *v11;
    v33 = v11[1];
    sub_4025C0(v25, v26, 0x100, (char *)&input_, (unsigned int)v30);
    test[0] = 0xF80F37B3;
    test[1] = 0x5DAEBCBC;
    v12 = test;
    test[2] = 0x864D5ABA;
    input_crypto2 = v30;
    test[3] = 0xD3629744;
    v14 = 0x1C;
    test[4] = 0x1624BA4F;
    test[5] = 0x1A729F0B;
    test[6] = 0x266D6865;
    test[7] = 0x67C86BBA;
    while ( 1 )
    {
      v15 = *v12;
      if ( *v12 != *(_DWORD *)input_crypto2 )
        break;
      ++v12;
      input_crypto2 += 4;
      v17 = v14 < 4;
      v14 -= 4;
      if ( v17 )
      {
        v16 = 0;
        goto LABEL_19;
      }
    }






    v17 = (unsigned __int8)v15 < (unsigned __int8)*input_crypto2;
    if ( (_BYTE)v15 == *input_crypto2
      && (v18 = *((_BYTE *)v12 + 1), v17 = v18 < (unsigned __int8)input_crypto2[1], v18 == input_crypto2[1])
      && (v19 = *((_BYTE *)v12 + 2), v17 = v19 < (unsigned __int8)input_crypto2[2], v19 == input_crypto2[2])
      && (v20 = *((_BYTE *)v12 + 3), v17 = v20 < (unsigned __int8)input_crypto2[3], v20 == input_crypto2[3]) )
    {
      v16 = 0;
    }
    else
    {
      v16 = v17 ? 0xFFFFFFFF : 1;
    }
LABEL_19:
    if ( v16 )
      v21 = "Try again!\r\n";
    else
      v21 = "Congratulations! I always knew you could do it.";
    v22 = printf((int)v12, v21);
    sub_403050((int)v22);
    system((int)"pause");
  }
  else
  {
    v6 = printf(v5, "Try again!\r\n");
    sub_403050((int)v6);
    system((int)"pause");
    v7 = (char *)input[0];
  }
  if ( v29 >= 0x10 )
  {
    v23 = v7;
    if ( v29 + 1 >= 0x1000 )
    {
      v7 = (char *)*((_DWORD *)v7 + 0xFFFFFFFF);
      if ( (unsigned int)(v23 - v7 - 4) > 0x1F )
        _invalid_parameter_noinfo_noreturn();
    }
    sub_4064DE(v7);
  }
  return 0;
}

总体下来有两个异或加密,第一个异或加密是

do                                          // 对input进行加密
    {
      v10 = input;
      if ( v29 >= 0x10 )
        v10 = (void **)input[0];
      *((_BYTE *)v10 + v8) ^= str[v8 % v9];
      ++v8;
    }
    while ( v8 < 0x20 );

这个就是逐字节异或,没啥好说的

下来就是一个函数

sub_4025C0(v25, v26, 0x100, (char *)&input_, (unsigned int)v30);

不得不说,如果仅是靠IDA去纯肉眼看,那必然是非常消耗时间的,这个函数的作用是,将input作为参数输入,然后输出v30

但是我们点进去函数细看:
 

void __cdecl sub_4025C0(int a1, int a2, int a3, char *input, unsigned int a5)
{
  int v5; // ecx
  unsigned int v6; // ebx
  int v7; // esi
  unsigned int v8; // edi
  unsigned int v9; // esi
  unsigned int v10; // edx
  char *v11; // esi
  char *v12; // ecx
  char *v13; // eax
  int v14; // ebx
  int v15; // esi
  __m128i v16; // xmm0
  __m128i v17; // xmm1
  __m128i v18; // xmm0
  __m128i v19; // xmm1
  __m128i v20; // xmm0
  __m128i v21; // xmm1
  __m128i v22; // xmm0
  __m128i v23; // xmm1
  int v24; // ebx
  char *v25; // eax
  int v26; // esi
  unsigned int v27; // edi
  int v28; // ecx
  signed int v29; // [esp+20h] [ebp-20h]
  int v30; // [esp+24h] [ebp-1Ch]
  char *Block; // [esp+28h] [ebp-18h]
  int v32[4]; // [esp+2Ch] [ebp-14h] BYREF

  v6 = a5;
  v7 = v5;
  v8 = (unsigned int)(a3 + 0x1F) >> 5;
  v30 = 4 * v8;
  Block = (char *)malloc(4 * v8);
  v32[0] = 0x92540366;
  v32[1] = 0x78;
  v32[2] = 0x92540366;
  v32[3] = 0x78;
  sub_402270(v7, v32);
  sub_4020E0();
  sub_402150();
  sub_401F80();
  v29 = 0;
  if ( v8 )
  {
    do
    {
      dword_430D94 = (2 * dword_430DA4) ^ (unsigned __int16)(dword_430DBC ^ (2 * dword_430DA4));
      dword_430D78 = (dword_430DB8 << 0x10) | ((unsigned int)dword_430DAC >> 0xF);
      v9 = (dword_430D70 << 0x10) | ((unsigned int)dword_430D90 >> 0xF);
      dword_430D8C = (dword_430D68 << 0x10) | ((unsigned int)dword_430D84 >> 0xF);
      dword_430D7C = v9;
      *(_DWORD *)&Block[4 * v29] = v9 ^ sub_402150();
      sub_401F80();
      ++v29;
    }
    while ( v29 < (int)v8 );
    v6 = a5;
  }
  v10 = 0;
  if ( v8 )
  {
    v11 = input;
    if ( v8 < 0x10 || v6 <= (unsigned int)&input[v30 - 4] && v6 + v30 - 4 >= (unsigned int)input )
    {
      v12 = Block;
    }
    else
    {
      v12 = Block;
      if ( v6 > (unsigned int)&Block[4 * v8 - 4] || v6 + v30 - 4 < (unsigned int)Block )
      {
        v13 = input + 0x10;
        v12 = Block;
        v14 = v6 + 0x20;
        v15 = Block - input;
        do
        {
          v16 = *((__m128i *)v13 + 0xFFFFFFFF);
          v13 += 0x40;
          v14 += 0x40;
          v17 = _mm_xor_si128(*(__m128i *)&Block[4 * v10], v16);
          v18 = *((__m128i *)v13 + 0xFFFFFFFC);
          *(__m128i *)(v14 - 0x60) = v17;
          v19 = _mm_xor_si128(*(__m128i *)&v13[v15 - 0x40], v18);
          v20 = *((__m128i *)v13 + 0xFFFFFFFD);
          *(__m128i *)&v13[a5 - (_DWORD)input - 0x40] = v19;
          v15 = Block - input;
          v21 = _mm_xor_si128(*(__m128i *)&Block[v14 - a5 - 0x40], v20);
          v22 = *((__m128i *)v13 + 0xFFFFFFFE);
          *(__m128i *)(v14 - 0x40) = v21;
          v23 = *(__m128i *)&Block[4 * v10 + 0x30];
          v10 += 0x10;
          *(__m128i *)(v14 - 0x30) = _mm_xor_si128(v23, v22);
        }
        while ( v10 < (v8 & 0xFFFFFFF0) );
        v6 = a5;
        v11 = input;
      }
    }
    if ( v10 < v8 )
    {
      v24 = v6 - (_DWORD)input;
      v25 = &v11[4 * v10];
      v26 = v12 - input;
      v27 = v8 - v10;
      do
      {
        v28 = *(_DWORD *)&v25[v26];
        v25 += 4;
        *(_DWORD *)&v25[v24 - 4] = *((_DWORD *)v25 + 0xFFFFFFFF) ^ v28;
        --v27;
      }
      while ( v27 );
    }
  }
  free(Block);
}

就是让人眼乱,里面还参杂着一些函数,鬼知道会不会给你来一个对v30的值的改变

这时候我们不一定要用IDA,可以用x32dbg下硬件写入断点帮我们看看具体是咋整的

 参数从右到左push进去,因此v30变量的地址就是 [ebp - 0x88],于是乎我们在这个地址下硬件写入断点

然后运行跑起来:

然后发现断在这个地方,这是一个循环,调试后很容易发现,是将input与一个固定值进行异或加密

或者说看汇编难受,可以转到IDA看

就是单纯的一个异或操作

下面是解题脚本:

#include <iostream>
#include <windows.h>
using namespace std;
unsigned char m_data[32] = {
};

char str[20] = "SWPU_2019_CTF";

unsigned int m_data3[8] = {
    0xF80F37B3, 0x5DAEBCBC, 0x864D5ABA, 0xD3629744, 0x1624BA4F, 0x1A729F0B, 0x266D6865, 0x67C86BBA
};

unsigned int m_data2[8] = {
    0xCA3E0C86, 0x19AED798, 0xA66B77E2, 0xB077A16A, 0x05379169, 0x307BF97A, 0x104B5A43, 0x28D47D86
};


unsigned int m_data4[8] = {};

char flag[32] = {};

int main()
{

    for (int i = 0; i < 8; i++)
    {
        m_data4[i] = m_data3[i] ^ m_data2[i];
    }


    for (int i = 0; i < 8; i++)
    {
        for (int j = 0; j < 4; j++)
        {
            m_data[4 * i + j] = m_data4[i] & 0xff;
            m_data4[i] = m_data4[i] >>8;
        }
    }


    for (int i = 0; i < 0x20; i++)
    {
        flag[i] = m_data[i] ^ str[i % 13];
    }
    cout << flag << endl;
}

cccsl_
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF]Reverse——[SWPU2019]ReverseMe
mcmuyanga的博客
04-12 1875
[SWPU2019]ReverseMe 例行检查,32位程序,c++写的,无壳 本地试运行一下,看看大概的情况 程序里有好多复杂的函数,静态分析有点难度,这边选择动调理一下程序逻辑。汇编动调小白,简单记录一下自己的调试过程。 找到程序的入口点,在这边下断点,f8单步直到让我们输入 运行到call sub_CF37B0的时候开始让我们输入了,输入结束后将ebp-0x90处的值跟0x20比较,更改ZF标志位,0xCF28C7处的jz会根据这边的情况进行跳转,如果ZF标志位为0,则跳转,否则就会输出Try
BUUCTF reverse [SWPU2019]ReverseMe解题思路--使用Ponce插件符号化执行
OrientalGlass的博客
07-16 306
大部分佬都是用动调做出来的,我暂时还没动调出来,意外发现可以用ponce插件符号化input字符串进行求解。
BUUCTF——[SWPU2019]Web1 sql无列名注入
m0_62107966的博客
03-19 304
在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列名。这里因为回显出来的位数是2,3,我直接查看的第二列,内容如下。数据库保存着mysql所有其他数据库的信息,包括了数据库名,表名,字段名等,无列名注入。适用条件information_schema 数据库跟 performance_schema 一样,都是 MySQL 自带的信息数据库。其中 performance_
动态调试——[SWPU2019]ReverseMe
热门推荐
sid10t.
07-10 3万+
文章目录声明题目分析 声明 1)该文章部分借鉴于[BUUCTF]Reverse——[SWPU2019]ReverseMe。 2)博主是萌新上路,文中如有不当之处,请各位大佬指出,共同进步,谢谢。   题目 题目链接:ReverseMe 分析 查壳, 无壳,扔进ida, int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ecx int *v4; // eax int v5; /
[SWPU 2019]ReverseMe
2302_79135465的博客
05-04 286
第二个循环是将我们的输入([ecx+edi])与al("SWPU_2019_CTF")异或,异或后结果存储在ecx中,得到ecx=[第一个循环说是strcpy(al,"SWPU_2019_CTF")单步进opera3函数,但不知道都调到哪去了。异或 --> 最后与 eax 进行比较。程序运行思路就是:输入 --> 与。啊,还是感觉有点懵,不太懂得怎么看的。但是好像也没有对edx操作的地方。然后要搞清楚edx是怎么来的。en,那就只能从头动调了。不相等则跳转,退出程序。
BUUCTF [SWPU2019]EasiestRe
weixin_53349587的博客
01-04 733
双进程保护 父进程 用于调试运行子进程,遇到int3指令进行处理 int __usercall sub_978BC0@<eax>(int a1@<xmm0>) { ProcessInformation.hProcess = 0; ProcessInformation.hThread = 0; ProcessInformation.dwProcessId = 0; ProcessInformation.dwThreadId = 0; sub_971EFB(
SWPU大数据概论课程报告
01-31
仅作备份
swpu前端实验4的实验
04-23
swpu
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
SWPU学分绩点计算器2009版
01-19
西南石油大学学分计算器,选择好专业年级后,就可以录入分数,学分以输入好的,完成后回车即显示学分绩点
ctf逆向解题——re1-附件资源
03-05
ctf逆向解题——re1-附件资源
C++中的智能指针类别
GOLOJO的博客
05-31 925
C++中的智能指针是用来管理动态内存的对象,避免我们手动管理内存时可能会带来的复杂性和错误。C++标准库提供了几种不同类型的智能指针,包括``、``和`- 优先使用``和``来创建智能指针,避免手动使用`new`,可以提高代码的安全性和性能。- 在使用``时要特别小心循环引用的问题。可以使用``来打破循环引用。- 确保智能指针的生命周期管理正确,避免悬空指针和内存泄漏。- 虽然智能指针极大地简化了内存管理,但也带来了额外的开销,如引用计数的维护。因此,在性能敏感的代码中,应慎重使用`
【如何在Qt C++中使用SSL和TLS加密传输数据?】
m0_45463480的博客
05-28 267
在这个示例中,我们创建了一个简单的Qt应用程序,向指定的HTTPS地址发送请求,并显示响应。信号来处理响应数据。您可以从响应中读取数据并进行进一步处理。来配置SSL/TLS连接,包括对证书进行验证和加密要求等。为您要访问的实际URL,并根据需要进一步配置SSL策略。在发送请求之前,可设置SSL配置。确保您的Qt项目已经链接了网络模块(对象发送网络请求,并接收响应。对象指定要访问的URL。
C语言 指针——指针变量的定义、初始化及解引用
hangweijie的博客
05-29 1261
目录指针内存如何编址?如何对变量进行寻址?用什么类型的变量来存放变量的地址?如何显示变量的地址?​编辑使用未初始化的指针会怎样?NULL是什么?如何访问指针变量指向的存储单元中的数据?指针变量的定义和初始化
无向图中两点(x1,y1)(x2,y2)是否连通(bfs&并查集)两种方法解决(c++)
weixin_73886306的博客
05-30 418
无向图中两点(x1,y1)(x2,y2)是否连通(bfs&并查集)两种方法解决(c++)
C++ 多重继承的内存布局和指针偏移
Damon_X的博客
05-30 319
C++ 程序里,在有多重继承的类里面。偏移的大小,等于派生类的继承顺序表里面,排在该类前面的所有的类的数据成员(含虚表指针)所占的空间大小总和。注意:在 D 的继承关系链里面,只有基类 B 有虚函数,因此对于 D 对象而言,总体只有一个虚表指针,也就是(B)基类对象中的虚表指针。D 继承自A, B, C,它的大小等于 A, B, C 的所有数据成员的大小,加上其自身的数据成员和虚表指针的总的大小:4(b) + 4(c) + 4(d) + 8(vptr) = 20 字节。我们首先来分析这四个类的大小。
C++中的左值和右值
最新发布
weixin_47987343的博客
06-04 100
左值通常与变量和持久数据关联。右值通常与临时数据和表达式的结果关联。右值引用提供了一种操作右值并优化资源管理和性能的方式。
C++的MQTT开发:使用Paho的C++接口实现消息发布、订阅、连接RabbitMQ
_XLinC_的专栏
06-02 804
具体的MQTT应用程序可能会有不同的需求和限制。如果应用程序需要在发送消息之间有较长的时间间隔,或者需要处理长时间的非活动状态,那么可以考虑在一段时间后断开连接,并在需要时重新连接。您可以参考paho的官方文档和示例代码来进一步了解和掌握paho的cpp接口的使用。本示例代码仅提供了一个基本的框架,需要根据自己的需求进行更多的自定义和错误处理。是异步的客户端实现,它使用了异步操作和回调函数来处理发送和接收消息,不会阻塞当前线程。提供了更强大的功能和更好的并发性能,但它需要更多的代码和处理异步回调函数。
[SWPU2019]伟大的侦探
07-27
回答: \[SWPU2019\]伟大的侦探是一个BUUCTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,我们可以得知在解密过程中得到了一个密码"comEON_YOuAreSOSoS0great",而在解密过程中还发现了一个密码"wllm_is_the_best_team!"。根据引用\[3\]的内容,我们可以得知下载下来的文件是一个压缩包,但是打不开,经过一系列的分析后发现了一个二维码,扫描后显示"flag不在这"。综合这些信息,我们可以推断\[SWPU2019\]伟大的侦探这个题目可能涉及到密码解密和二维码的分析。 #### 引用[.reference_title] - *1* *3* [BUUCTF MISC刷题](https://blog.csdn.net/wow0524/article/details/122448957)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [BUUCTF msic 专题(59)[SWPU2019]伟大的侦探](https://blog.csdn.net/tt_npc/article/details/124389689)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值