babymips

最新推荐文章于 2023-06-22 22:40:06 发布
最新推荐文章于 2023-06-22 22:40:06 发布
阅读量194 收藏 1
点赞数 3
分类专栏: Reverse # 攻防世界 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/g12231/article/details/119706259
版权

ELF文件,32位
直接IDA查看反编译代码

int __fastcall main(int a1, char **a2, char **a3)
{
  int result; // $v0
  int i; // [sp+18h] [+18h] BYREF
  char v5[36]; // [sp+1Ch] [+1Ch] BYREF

  setbuf((FILE *)stdout, 0);
  setbuf((FILE *)stdin, 0);
  printf("Give me your flag:");
  scanf("%32s", v5);  //flag有32位
  for ( i = 0; i < 32; ++i )
    *((_BYTE *)&i + i + 4) ^= 32 - (_BYTE)i;  // 异或加密
  if ( !strncmp(v5, fdata, 5u) )  // fdata和经过一次加密flag前5位比较
    result = sub_4007F0(v5);  // 二次加密
  else
    result = puts("Wrong");
  return result;
}

查看二次加密函数

int __fastcall sub_4007F0(const char *a1)
{
  char v1; // $v1
  int result; // $v0
  size_t i; // [sp+18h] [+18h]

  for ( i = 5; i < strlen(a1); ++i )
  {
    if ( (i & 1) != 0 )  //判断奇偶
      v1 = (a1[i] >> 2) | (a1[i] << 6);  // 低2位和高6位交换
    else
      v1 = (4 * a1[i]) | (a1[i] >> 6);  // 高2位和低6位交换
    a1[i] = v1;
  }
  if ( !strncmp(a1 + 5, (const char *)off_410D04, 0x1Bu) )  // off_410D04和和经过二次加密flag后27位比较
    result = puts("Right!");
  else
    result = puts("Wrong!");
  return result;
}

Exp

flag = list(map(ord, 'Q|j{g'))
flag += [0x52, 0xFD, 0x16, 0xA4, 0x89, 0xBD, 0x92, 0x80, 0x13, 0x41,
         0x54, 0xA0, 0x8D, 0x45, 0x18, 0x81, 0xDE, 0xFC, 0x95, 0xF0,
         0x16, 0x79, 0x1A, 0x15, 0x5B, 0x75, 0x1F]

for i in range(5, 32):
    if i & 1:
        flag[i] = ((flag[i] << 2) | (flag[i] >> 6)) & 0xff  # & 0xff为了只取低8位
    else:
        flag[i] = ((flag[i] >> 2) | (flag[i] << 6)) & 0xff
for i in range(32):
    flag[i] ^= 32 - i
print(''.join(map(chr, flag)))

输出
qctf{ReA11y_4_B@89_mlp5_4_XmAn_}

沉着梅牡
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu-[QCTF2018]Xman-babymips
qaq517384的博客
04-12 501
32位elf文件,MIPS指令集 在gayhub上下载有关ida的插件 根据ida-master/plugins的readme文件安装插件
攻防世界babymips
qq_48274326的博客
01-11 461
发现是MIPS,ida7.5支持直接反编译 进入主函数 int __fastcall main(int a1, char **a2, char **a3) { int result; // $v0 int i; // [sp+18h] [+18h] BYREF char v5[36]; // [sp+1Ch] [+1Ch] BYREF setbuf((FILE *)stdout, 0); setbuf((FILE *)stdin, 0); printf("Give me your
[QCTF2018]Xman-babymips
m0_46296905的博客
04-13 751
exeinfope打开,为32位程序。 ida32打开后发现是MIPS指令集。 Ida7.5(ida7.0需要额外加插件)直接F5一键反编译。如下: 双击查看fdata,这里是判断输入格式的,重点还是看sub_4007F0函数。 直接双击进入sub_4007F0(v5)函数,加密过程很容易就能看出是循环移位操作: 查看关键字符串Off_410D04如下: 接下来就可以写exp了,注意要防止移位过程中的溢出: a=[0x52,0xfd,0x16,0xa4,0x89,0xbd,0x92,0x80,0x
攻防世界 Reverse高手进阶区 3分题 babymips
闵行小鱼塘
01-20 457
继续ctf的旅程,攻防世界Reverse高手进阶区的3分题,本篇是babymips的writeup
攻防世界逆向高手题的babymips
沐一 · 林 的博客
09-07 693
攻防世界逆向高手题之babymips 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的babymips 下载附件,照例扔入exeinfope中查看信息: 32位无壳,照例扔入IDA32中查看伪代码,有main函数看main函数: (这里积累第一个经验) 第一个框是对用户输入惊醒每位的异或操作,因为i的地址和input_flag的地址在main函数栈中相差4而已。 第二个框就是取异或后的前五个字符与明文比较,如果相同就继续对剩下的27个字符继续操作。这里要注意的是sub_4007F0(input
babymips(上) 寒假逆向生涯(14/100)
寻梦&之璐
01-18 2528
babymips 这题呢,看名字就知道,不出所料,还是mips指令,挺简单的,懒得找插件,直接分析吧,锻炼锻炼自己 开战 lui $v0, 0x40 addiu $a0, $v0, (aGiveMeYourFlag - 0x400000) # "Give me your flag:" jal printf nop addiu $v0, $fp, 0x48+var_2C move $a1, $v0 lui $v0, 0x40 addiu $a0, $v0, (a32
babymips(下) 寒假逆向生涯(14/100)
寻梦&之璐
01-18 1874
主要核心代码 var_10= -0x10 var_8= -8 var_4= -4 arg_0= 0 addiu $sp, -0x28 sw $ra, 0x28+var_4($sp) sw $fp, 0x28+var_8($sp) move $fp, $sp sw $a0, 0x28+arg_0($fp) li $v0, 5 sw $v0, 0x28+var_10($fp) b loc_400910 nop loc_400910:
攻防世界 reverse babymips
09-23 493
babymips XCTF 4th-QCTF-2018 mips,ida中想要反编译的化需要安装插件,这题并不复杂直接看mips汇编也没什么难度,这里我用了ghidra,直接可以查看反编译。 1 void FUN_004009a8(void) 2 3 { 4 int iVar1; 5 int i; 6 byte input [36]; ...
[UTCTF2020]babymips 题解
最新发布
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
06-22 559
可以看出将输入字符串进行异或加密之后,判断前5位,就是“flag{”,然后进入 sub_4007F0(v5)进行移位加密后判断五位之后的字符。跟进,加密后的字符串。
[转组第2天] | baby_mips和android xss的调研
weixin_30807779的博客
04-26 122
2018-04-25 DDCTF re1:(baby_MIPS) 参照夜影大佬和henryZhao的wp.   1. 利用qemu运行MIPS程序:     baby_mipsMIPS指令集上的程序,IDA只能静态分析,不能debug。采取的方法是在linux机上安装qemu模拟器,利用qemu来运行MIPS指令程序。经尝试,baby_mips是小字端程序,使用指令,运行程序。运...
[XCTF-Reverse] 37-39
weixin_52640415的博客
03-20 198
37,XCTF 4th-QCTF-2018_babymips mips这个不好搞了,先用ida打开(不能反编译成c)大概能看到他把输入数据左右移 整了半天插件也没安上,然后下了Retdec然后运行 py retdec-decompliler.py babymips 他会在程序同目录生成.c文件,其实也没比汇编多看多少,而且那个比较的串在.c里没有,还得从ida里看,反复理解就是先跟0x20-i异或再根据奇偶分别把前2位后6位互换/前6后2 (除去头) a = bytes.fromhex('52
CTF babymips
zero
08-11 694
mips逆向,源码如下: #include <stdio.h> #include <string.h> char *check1="Q|j{g"; char *check2= "\x52\xfd\x16\xa4\x89\xbd\x92\x80\x13\x41\x54\xa0\x8d\x45\x18\x81\xde\xfc\x95\xf0\x16\x79\x1a\x15\...
[羊城杯 2020]Bytecode [UTCTF2020]babymips
寻梦&之璐
05-30 1145
文章目录查看题目python代码Z3约束脚本 查看题目 python字节码,需要把它转为python代码,如下: python代码 import dis def main(): en=[3,37,72,9,6,132] output=[101,96,23,68,112,42,107,62,96,53,176,179,98,53,67,29,41,120,60,106,51,101,178,189,101,48] print("welcome to GWHT2020") f
XCTF babymips
qq_41071646的博客
05-10 990
这个题 一看就有点不对劲。 拖入ida 里面这个指令有感觉有点问题。 这是啥。。。。 后来 看了一下官方的题解 说是另一种 架构 mips 什么鬼 然后说是ida 有一个插件 但是我没有搞定。。。 要是有大佬搞定了 还麻烦指教一下 然后我们就下载另一个插件 jeb(这玩意还挺难搞定的) 搞成之后 看起来就舒服很多了 不过 还是要吐槽这个 东西确实不是很好用。(或许我没有g...
CTF mips总结
BadRer的博客
05-11 4042
前言 感觉自己就是把几个mips的题给汇总了一下,算不上是总结吧。不过还是很有收获的。 题目一 DDCTF-babymips 拿到题目,分析是mips小端序,利用qemu模拟运行,注意要使用小端序(qemu也区分了大端小端)。然后输入了16个字符,结果出现段错误。23333 然后我就放弃了。 https://www.codetd.com/article/67983 https:/
攻防世界逆向新手区
Tiany的博客
09-18 2912
攻防世界逆向新手区,有错请指出
[ACTF新生赛2020]easyre
Tiany的博客
11-18 833
脱壳后查看main函数 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[12]; // [esp+12h] [ebp-2Eh] BYREF _DWORD v5[3]; // [esp+1Eh] [ebp-22h] _BYTE v6[5]; // [esp+2Ah] [ebp-16h] BYREF int v7; // [esp+2Fh] [ebp-11h] int v8; // [es
ctfshow r3
Tiany的博客
10-31 613
伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { size_t v3; // rax int v5; // [rsp+Ch] [rbp-134h] BYREF unsigned int i; // [rsp+10h] [rbp-130h] int v7; // [rsp+14h] [rbp-12Ch] int v8; // [rsp+18h] [rbp-128h] int v9; // [rs
HTB——vault
Tiany的博客
11-24 554
unsigned __int64 sub_C220() { __int64 (__fastcall ***v0)(); // rdi char v2; // [rsp+7h] [rbp-239h] unsigned __int8 v3; // [rsp+13h] [rbp-22Dh] int i; // [rsp+14h] [rbp-22Ch] char v5; // [rsp+1Bh] [rbp-225h] char v6; // [rsp+2Fh] [rbp-211h] BYRE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值