KCTF-遗世独立

最新推荐文章于 2025-05-23 09:16:47 发布
最新推荐文章于 2025-05-23 09:16:47 发布
阅读量320 收藏 3
点赞数 8
分类专栏: # CTF 文章标签: CTF python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/geesehoward20000/article/details/148120102
版权

最近在看雪玩KCTF,其中有一个Crypto叫遗世独立的,题面如下

$ ./cryptooo SECCON{ } Encrypted(44): waUqjjDGnYxVyvUOLN8HquEO0J5Dqkh/zr/3KXJCEnw= what's the key?

下载cryptooo,运行发现,结果不是提示的内容,答案应该是要找到正确的入参。

程序拖入IDA,里面有些红色报错,但不影响主逻辑,无视,主函数如下:

int __fastcall main(int a1, char **a2, char **a3)
{
  unsigned int v4; // [rsp+2Ch] [rbp-814h]
  char v5[2056]; // [rsp+30h] [rbp-810h] BYREF
  unsigned __int64 v6; // [rsp+838h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  if ( a1 <= 1 )
    return 1;
  memset(v5, 0, 0x800uLL);
  v4 = sub_401373(a2[1], (unsigned int)strlen(a2[1]), v5, 2048LL);
  return printf("Encrypted(%d): %s\n", v4, v5);
}

核心逻辑sub_401373如下:

__int64 __fastcall sub_401373(__int64 a1, int a2, __int64 a3, int a4)
{
  int v5; // [rsp+2Ch] [rbp-4h]

  if ( a2 <= 0 )
    return 0xFFFFFFFFLL;
  v5 = 4 * (a2 / 3 + (a2 % 3 != 0));
  if ( v5 > a4 )
    return 0xFFFFFFFFLL;
  sub_400FCE(a1, (unsigned int)a2, a3);
  return (unsigned int)v5;
}

先计算输出字符串长度,明显的base64特征,逆向前已经试过,直接base64解码不是字符串。

再看sub_400FCE

unsigned __int64 __fastcall sub_400FCE(__int64 a1, signed int a2, __int64 a3)
{
  unsigned __int64 result; // rax
  unsigned __int64 v5; // [rsp+28h] [rbp-68h]
  unsigned __int64 v6; // [rsp+28h] [rbp-68h]
  unsigned __int64 v7; // [rsp+28h] [rbp-68h]
  int v8; // [rsp+30h] [rbp-60h]
  int i; // [rsp+34h] [rbp-5Ch]
  int v10; // [rsp+3Ch] [rbp-54h]
  int v11[18]; // [rsp+40h] [rbp-50h] BYREF
  unsigned __int64 v12; // [rsp+88h] [rbp-8h]

  v12 = __readfsqword(0x28u);
  qmemcpy(v11, "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/", 64);
  sub_400F3A(v11, 64LL, a1, a1, (unsigned int)a2);
  v10 = a2 % 3;
  v8 = 0;
  for ( i = 0; ; ++i )
  {
    result = (unsigned int)v8;
    if ( v8 >= a2 / 3 )
      break;
    v5 = *(unsigned __int8 *)(a1 + 3 * v8 + 2LL) | ((*(unsigned __int8 *)(a1 + 3 * v8 + 1LL) | ((unsigned __int64)*(unsigned __int8 *)(a1 + 3 * v8) << 8)) << 8);
    *(_BYTE *)(a3 + 4 * i) = *((_BYTE *)v11 + ((v5 >> 18) & 0x3F));
    *(_BYTE *)(a3 + 4 * i + 1LL) = *((_BYTE *)v11 + ((v5 >> 12) & 0x3F));
    *(_BYTE *)(a3 + 4 * i + 2LL) = *((_BYTE *)v11 + ((v5 >> 6) & 0x3F));
    *(_BYTE *)(a3 + 4 * i + 3LL) = *((_BYTE *)v11 + (v5 & 0x3F));
    ++v8;
  }
  if ( v10 > 0 )
  {
    if ( v10 == 1 )
    {
      v6 = (unsigned __int64)*(unsigned __int8 *)(a1 + 3 * v8) << 16;
      *(_BYTE *)(a3 + 4 * i) = *((_BYTE *)v11 + ((v6 >> 18) & 0x3F));
      *(_BYTE *)(a3 + 4 * i + 1LL) = *((_BYTE *)v11 + ((v6 >> 12) & 0x3F));
      *(_BYTE *)(a3 + 4 * i + 2LL) = 61;
      result = a3 + 4 * i + 3LL;
      *(_BYTE *)result = 61;
    }
    if ( v10 == 2 )
    {
      v7 = (*(unsigned __int8 *)(a1 + 3 * v8 + 1LL) | ((unsigned __int64)*(unsigned __int8 *)(a1 + 3 * v8) << 8)) << 8;
      *(_BYTE *)(a3 + 4 * i) = *((_BYTE *)v11 + ((v7 >> 18) & 0x3F));
      *(_BYTE *)(a3 + 4 * i + 1LL) = *((_BYTE *)v11 + ((v7 >> 12) & 0x3F));
      *(_BYTE *)(a3 + 4 * i + 2LL) = *((_BYTE *)v11 + ((v7 >> 6) & 0x3F));
      result = a3 + 4 * i + 3LL;
      *(_BYTE *)result = 61;
    }
  }
  return result;
}

上面给出了码表,通用码表,sub_400F3A处理之后,base64编码,自己也写了base64逻辑,结果是一致的。

然后就是进入了一个大坑,sub_400F3A的加密过程还是很复杂的,并且经过分析发现,字符串前面的内容会影响后面的加密结果,也就是逆推答案是相当难的。

本来打算放弃,但考虑到base64的特点,还是可以找到突破口的,base64是把3个字节,转换为4个字节的字符串,也就是说,我们已知了前7位和最后1位,需要找的是中间的24位(输出长度是44,输入是必是31-33位,结尾一个=,说明是32位)。

逆向思考不行,干脆正面硬刚,从前往后爆破。先通过前7个字节,找到第8、9字节,然后3个字节3个字节计算,最后2个字节中,最后一个字节是固定的'}',只需要计算一个字节就可以了。

想到这里,直接写爆破exp

import subprocess

m = "CRYPTOcrypto1_"
target="waUqjjDGnYxVyvUOLN8HquEO0J5Dqkh/zr/3KXJCEnw="
flag="SECCON{"
idx=0
endidx=11
flaglen =  len(flag)
def GetFlag(calcflag, targetLen):
    global flag
    ret = False
    if len(calcflag) < targetLen:
        for c in m:
            tmpFlag = calcflag + c
            ret = GetFlag(tmpFlag, targetLen)
            if ret:
                break;
    else:
        tmpFlag = calcflag + 'a' * (32 - len(calcflag) - 1) + '}'
        result = subprocess.run(['./cryptooo', tmpFlag], capture_output=True, text=True)
        outPut = result.stdout[15:]
        headLen = 4 * (len(calcflag)//3)
        if targetLen % 3 != 0:
            headLen = headLen + 4
        checkvalue = outPut[:headLen]
        targetValue = target[:headLen]
        if checkvalue == targetValue:
            flag = calcflag
            ret = True
    return ret
while flaglen + 1 < 32:
    calcFlag = flag
    targetLen = 3 * (len(calcFlag) // 3) + 3
    if targetLen > 31:
        targetLen = 31
    if GetFlag(calcFlag, targetLen):
        flaglen = len(flag)
    else:
        print('get failed')
        break
if  flaglen == 31:
    flag  += '}'
    print(flag)

这里的m是为了缩短程序运行时间简化版,因为已知flag里只有CryptoO1_,实际爆破时字符集远多于这个,时间大概要1小时左右。

ISCSI企业共享存储方案
weixin_45982762的博客
07-21 1085
一、存储概述: 1)企业存储应用内容: 账号、图片、网页、计费、程序代码、电影等; 2)企业存储分类: DAS(直接存储)、SAN(网络区域存储)、NAS(网络附加存储); 三种方式的初衷都是存储,只是实现方式有些区别; 三者的存储效率:SAN > NAS > DAS ; ## 二、三种存储详解: DAS直接附加存储: 一个你日思夜想,却不知芳名的姑娘 1)春日尚好,一阵风从学校的走廊吹过,吹起了她的发丝,从今以后,至此一秒宛若终生。 2)DAS就是这样的一个姑娘,你与她几乎每天都会
thinkphp 重构
王道长的技术博客
02-23 2448
thinkphp 模版 一、安装 composer require topthink/think-template 二、配置 在根目录下创建index.php入口文件测试: <?php namespace think; require __DIR__.'/vendor/autoload.php'; // 设置模板引擎参数 $config = [ // 模板文件目录 'view_path' => './template/', // 模板编译缓存目录(可写)
五笔练习-千字文
m0_73835569的博客
01-15 627
千字文 南北朝·周兴嗣 tiān dì xuán huáng yǔ zhòu hóng huāng 天 地 玄 黄 , 宇 宙 洪 荒 。 rì yuè yíng zè chén xiù liè zhāng 日 月 盈 昃 , 辰 宿 列 张 。 hán lái shǔ wǎng qiū shōu dōng cáng 寒 来 暑 往 , 秋 收 冬 藏 。 r
Java - 从零学起(二)
东临碣石,以观沧海。
02-07 1399
目录 1 - Object类、常用API 1.1 - Object类 1.1.1- 概述 1.1.2- toString方法 1.1.3 - equals方法 1.1.4- Objects类 1.2 - 日期时间类 1.2.1 - Date类 1.2.2 - DateFormat类 1.2.3 - Calendar类 1.3 - System类 1.3.1 - cur...
JZOJ-senior-5917. 【NOIP2018模拟10.20】moon
HuangXinyue1017的博客
10-21 304
Time Limits: 2000 ms Memory Limits: 524288 KB Description 作为申国的学者,你需要严格遵守三大基本原则: 战争即和平 自由即奴役 无知即力量 你正在对一本书进行审核,其中片段写道: “少焉,月出于东山之上,徘徊于斗牛之间。白露横江,水光接天。纵一苇之所如,凌万顷之茫然。浩浩乎如冯虚御风,而不知其所止;飘飘乎如遗世独立,羽化而登仙。” 这种行...
数值计算优化方法C/C++(三)——SIMD
artorias123的博客
04-25 1万+
C++数值计算简单加速技术(三)——SIMD 1、概述 SIMD全称Single Instruction Multiple Data,单指令多数据流,能够复制多个操作数,并把它们打包在大型寄存器的一组指令集。这个技术其实和GPU计算基本相似,就是几个执行部件同时访问内存,一次性获得所有操作数再进行运算,从而掩盖访存的时间开销,实现加速。因此只要能GPU并行的计算都可以通过SIMD优化,在CPU上获...
论语(1-20)-2011
大企业家--(向雷军致敬!)
04-08 424
[size=medium][b]论语·学而篇第一[/b] 子曰:「学而时习之,不亦说乎?有朋自远方来,不亦乐乎?人不知,而不愠,不亦君子乎?」 有子曰:「其为人也孝弟,而好犯上者,鲜矣;不好犯上,而好作乱者,未之有也。 君子务本,本立而道生。孝弟也者,其为仁之本与!」 子曰:「巧言令色,鲜矣仁!」 曾子曰:「吾日三省吾身,为人谋而不忠乎...
Python3 - 补充知识点之HTML 、JavaScript、CSS (第五天)
韩俊强的博客
02-11 1041
在学习Python时需要具备HTML, CSS, JavaScrip等基础知识, 本篇文章是学习Python语言的补充知识点, 帮助学习Python时能更快的上手, 同时对学习抓包有很大的辅助作用。
上帝掷骰子吗--量子物理史话
热门推荐
FinalC的专栏
12-18 3万+
  上帝掷骰子吗--量子物理史话     第一章黄金时代     一     我们的故事要从1887年的德国开始。位于莱茵河边的卡尔斯鲁厄是一座风景秀丽的城市,在它的城中心,矗立着著名的18世纪的宫殿。郁郁葱葱的森林和温暖的气候也使得这座小城成为了欧洲的一个旅游名胜。然而这些怡人的景色似乎没有分散海因里希?鲁道夫?赫兹(Heinrich Rudolf Hertz)的注意力:现在他正
数值计算优化方法C/C++(一)——模板元编程
artorias123的博客
01-17 2091
模板元编程 1、概述 模板元编程是使用C++编译时的模板推导能力进行数值、类型的运算推导的技术。最早的C++的源程序之一是Erwin Unruh在一次C++标准委员会会议上所展示的,那一段代码本身是不能通过编译的但在其编译时的错误提示信息中包含了一系列计算出来的指数值。模版元编程需要很多技巧,常常需要类型重定义、枚举常量、继承、模板偏特化等方法来配合,因此编写模版元编程比较复杂也比较困难。STL中...
三字经 全文解读
专注微软Dynamics AX,越努力越幸运!
10-07 6092
前言:《三字经》自南宋王应麟(字伯厚)先生所创作以来,已有七百多年历史,内容大都采用韵文,每三字一句,四句一组,像一首诗一样,背诵起来,如唱儿歌,三字经是学习中华传统文化不可多得的的儿童启蒙读物,共一千多字,可谓家喻户晓,脍炙人口。内容包括了中国传统的教育、历史、天文、地理、伦理和道德以及一些民间传说,广泛生动而又言简意赅。用来教育子女琅琅上口十分有趣,又能启迪心智,时人觉得本书内容很好,纷纷翻印
高一语文《山水神韵》测试[精选].doc
08-19
- 此部分涉及《赤壁赋》等经典诗词的名句,例如"清风徐来,水波不兴"、"诵明月之诗,歌窈窕之章"、"月出于东山之上,徘徊于斗牛之间"、"飘飘乎如遗世独立,羽化而登仙"、"其声呜呜然,如怨如慕"、"舞幽壑之潜蛟,泣...
彻底弄懂欧拉路问题
devil2b的专栏
11-23 1万+
彻底弄懂欧拉路问题 石头于2014.11.23整理
计算机器前传:结绳、算筹、算盘等手动计算发展史(公号回复“手动计算”下载PDF资料,欢迎转发、赞赏、支持科普)
数据简化DataSimp社区
11-29 9080
科学Sciences导读:计算机前传之结绳、算筹、算盘等手动计算,到加法机、乘法机、分析机等机械计算,重点讲述算盘和机械加法机的原理,展示分析机复杂图样。本期铺垫,下期纸带机、电传纸带机、单任务电子计算机是理解图灵机、图灵完备理论基础之一和实物背景知识。此文为“科学Sciences”公号操作系统、指令集、编译器、机械计算机、电子计算机等CS计算机科学系列科普文章。时势造英雄,做事要平台,看清计算史...
阿里开源 CosyVoice2:打造 TTS 文本转语音实战应用
最新发布
蜗牛的博客
05-23 690
阿里通义实验室推出的音频基座大模型 FunAudioLLM 包含 SenseVoice 和 CosyVoice 两大模型。CosyVoice 2.0 在多语言支持、超低延迟、高精度、强稳定性和自然体验方面均有显著提升。它支持中文、英文、日文、韩文及多种中文方言,并实现了跨语言和混合语言的语音克隆。CosyVoice 2.0 集成了离线和流式建模技术,首包合成延迟低至150毫秒,发音错误率减少了30%到50%,并在基准测试中达到了最低字符错误率。
进阶知识:无参的函数装饰器之深入理解@wraps()
Tom的专栏
05-20 992
@wraps(func)是functools模块中的装饰器工具,主要用于保留被装饰函数的元信息,如函数名称(__name__)和文档字符串(__doc__)。通过使用@wraps(func),装饰器返回的新函数会继承原函数的属性,保持代码的透明性。对比不使用@wraps的情况,后者会导致函数元信息丢失,调试和文档生成时难以追踪原始函数。@wraps(func)在框架开发、单元测试、API文档生成和调试定位等场景中尤为重要,建议始终使用以确保装饰器的透明性和文档一致性。
python】返回所有匹配项的第一个元素、第二个元素。。。
突围
05-19 618
python】返回所有匹配项的第一个元素、第二个元素。。
04 接口自动化-框架封装思想建立之httprunner框架(上)
iOS_HC的博客
05-20 991
1.httprunner是一个面向http协议的通用测试框架,目前最新的版本3.X。以前比较流行的2.X的版本。2.它的思想是只需要维护yaml/json/py文件就可以实现接口自动化测试,性能测试,线上监控,持续集成。3.架构图。
Python60日基础学习打卡D30
2403_89934198的博客
05-19 624
原文链接:https://blog.csdn.net/2301_77865880/article/details/148054820。当使用 python -m model.main 时,Python 会将当前目录(即项目根目录)添加到 sys.path 的开头。main.py和rectangle.py都在根目录的子目录model下,并且model下还有子目录 utils(跨目录导入)main.py在根目录,rectangle.py在子目录model下。运行方案:直接在终端python main.py。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿捏利

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值