CTF-RE
文章平均质量分 64
SuperGate
I bade myself farewell
展开
-
CTF-RE-What
首先我们用FileAnalysisv判断文件可能的格式,可知极有可能是win32下的Exe文件,于是我们加上拓展名.exe,于是可以正常打开这个程序,如下:然后把它扔进ida进行反汇编,根据伪代码的特性可以大致断定是一个C++写出的程序,其中main函数的伪代码如下int __cdecl main(int argc, const char **argv, const char **e...原创 2018-11-22 23:25:16 · 741 阅读 · 0 评论 -
CTF-RE-tar_tar_binks
题目给出了两个文件,一个是已经损坏的.tar文件,一个是.dylib的动态链接库首先尝试解压.tar压缩包supergate@ubuntu:~/Desktop/task1$ tar -xf flag.tartar: This does not look like a tar archivetar: Skipping to next headertar: Exiting with fail...原创 2019-08-27 12:12:12 · 545 阅读 · 1 评论 -
CTF-RE baleful (pin打桩+虚拟机+upx脱壳)
本文部分借鉴文章:https://firmianay.gitbooks.io/ctf-all-in-one/src/writeup/6.2.5_re_picoctf2014_baleful#%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99首先查看文件信息supergate@ubuntu:~/Desktop/task1$ file balefulbaleful: ...原创 2019-07-21 20:16:15 · 1551 阅读 · 2 评论 -
CTF-RE dont_panic (pin二进制打桩暴力)
部分参考题解:http://eternal.red/2017/dont_panic-writeup/方便起见,题目文件名改成go运行题目程序,发现flag是跟在命令行参数之后的。用IDA打开后发现没有找到main函数,因此选择在Linux下查看段信息:supergate@ubuntu:~/Desktop/task1$ readelf -S go得到信息如下:Section ...原创 2019-07-13 20:47:42 · 915 阅读 · 0 评论 -
CTF-RE-文件数据修复
题目大致意图是:解密CTF.ctf文件,然后再从中找到flag。由于.ctf文件损坏,并且解密程序可以判断.ctf文件损坏,因此首先选择逆向这个判断条件。由于有打开文件的操作,所以可以ollydbg打开,找到CreateFile函数下断点F9在CreateFile函数停止,发现下面有一串Readfile函数,这个函数被多次调用。显然是在读取文件中的信息。找到离我们最近的一...原创 2019-06-09 17:24:36 · 6364 阅读 · 0 评论 -
CTF-RE-webassembly (2019强网杯)
打开之后得到三个同名文件,分别是.js .wasm .html.html用浏览器打开,发现让我们输入flag。由于.js在我电脑里好像打不开,没配置相关环境,所以选择通过.wasm进行逆向。.wasm逆向的一般套路,用wasm2c将wasm转化成c伪代码,然后再用gcc -c命令编译但是不链接得到.o文件。注意编译时缺少什么文件就在wasm2c文件夹中复制过去即可。.o文件用ida打开...原创 2019-06-06 12:37:55 · 1833 阅读 · 1 评论 -
CTF-RE-JustRE (2019第三届强网杯)
首先IDA点开进行静态分析:发现判断函数sub_401610,点进去看之后发现很长一串……前面比较好说,是将前8位字符变hex放入eax寄存器中,第9,10位变hex放入ch(还是dh?)中然后再往下面拉,可以看到很多SSE指令集,但是不是很复杂,网上可以搜到,发现都是一些比较基础数位操作。这个地方的v27在后面会频繁用到,值为第9,10位变hex后的128位填充这里是对...原创 2019-06-06 12:38:05 · 1408 阅读 · 3 评论 -
CTF-RE handcrafted-pyc(XCTF)
打开之后发现一堆字节码。把这堆字节码解压之后写入文件中:import zlibimport base64d=zlib.decompress(base64.b64decode('eJyNVktv00AQXm/eL0igiaFA01IO4cIVCUGFBBJwqRAckLhEIQmtRfPwI0QIeio/hRO/hJ/CiStH2M/prj07diGRP43Hs9+MZ2fWMxbnP6m...原创 2019-05-15 21:07:25 · 2866 阅读 · 0 评论 -
CTF-RE-PacMe(拆解KeyFile保护基础)
本题是《加密与解密》光盘中的一道题。比较经典且易于理解。首先我们点开文件尝试运行点击check按钮,发现文件没有反应,于是使用ida进行分析发现了一个CreateFileA函数,主要作用是打开一个文件,于是下一个断点点击F9进行调试在程序在断点处停止后,点击check按钮显然,这是程序调用函数打开了名为“KwazyWeb.bit”的文件。我们可以用Hex Editor...原创 2019-03-26 23:08:22 · 918 阅读 · 0 评论 -
CTF-RE-Evil exe(Jarvis OJ)
做此题需要的预备知识:ESP定律脱壳。如下网站介绍的比较详细且易懂,适合初学者了解:https://blog.csdn.net/qiurisuixiang/article/details/7649799扔进ida发现没有函数,只有一堆乱码。于是猜测可能有壳。用OD打开分析一波:根据 esp定律,我们f8到pushad的下一条指令,记录此时esp的值,并在此处下硬件访问断点。...原创 2019-03-02 21:01:50 · 511 阅读 · 0 评论 -
CTF-RE-软件密码破解2(Jarvis Oj)
前面的输入部分很简单,到主函数后面会调用一个函数sub_ad1180.在运行程序的时候,程序会陷入死循环,卡的地方就是这个函数内部,点进去查看. 看得出来这个函数大概就是为父进程创建一个子进程,然后将v22-v25通过writeprocessmemory函数写入内存.由于我不知道为啥这里会卡,于是就在看有没有其他出路,然后发现了main函数开头有一个判断跳转语句.如果有参数就跳...原创 2019-02-18 14:03:58 · 991 阅读 · 0 评论 -
CTF-RE-shinyshot!(Hgame week2)
hd的师傅们出的题还是十分有意思的……这道题花了很多天时间才有了头绪,现在才搞出来。我们把程序扔进ida反复调试后发现了一个奇怪的函数:sub_401460(v10),这个函数将我们输入的数字进行操作。我们点进去看:很懵逼,没有见过的底层函数,和奇奇怪怪的变量名称。由于内部对toplevelexceptionfilter变量进行的操作比较多,我们首先关注这个变量。在每次调试的时候都...原创 2019-02-17 13:20:50 · 676 阅读 · 1 评论 -
CTF-RE-わかります(hgame2018)
Hgame week1里面应该说是最难的一个题。主函数点进去之后会发现一个函数来判断输入的是不是flag。点进去内容如下:发现ptr数组存的是输入字符串转化为ascii码之后每个字符的前4位,v7则是后4位,这里的位是二进制位。然后分别将两个dword_6021xx数组找出来,点进生成v8v9的函数就可以把flag对应的每个字符的高低位算出来了。其中v9生成函数比较容易求出v9,v...原创 2019-01-27 02:28:40 · 2198 阅读 · 0 评论 -
CTF-RE-Cramckme2(Jarvis OJ)
.NET逆向题 程序真正的入口在蓝条内的函数中,我们点进去之后向下翻,寻找可疑比较语句(由于函数较短,很容易找到)根据下断点的两个语句分析,text应该就是输入的原文,而text2就是text经过加密后的密文。第一句是将text加密后赋值给text2,第二句是将text2和真正的flag的密文比较。为了确保万无一失,我们下好断点然后观察变量的值。 text果然是输入的文...原创 2018-12-24 18:57:26 · 276 阅读 · 0 评论 -
CTF-RE -Android Normal(Jarvisoj)
用jadx将apk文件反编译得到如下代码:k程序很简单,就是将输入的字符串与stringfromJNI()比较。但是stringfromJNI() 是native类型的方法。在这里的反编译代码中看不出来。看到System.loadLibrary("hello-libs"),大概意思是在hello-libs中读取相关信息。因此我们可以考虑打开hello-libs中找到相关函数。那么h...原创 2018-12-22 21:47:12 · 516 阅读 · 0 评论 -
ApkTool下载以及安装
apktool是跨平台的工具,windows和ubuntu上面都可以直接使用,这里仅介绍windows下的下载以及安装方法下载地址:https://ibotpeaches.github.io/Apktool/install/如果有c盘有windows则安装好后直接就可以使用,如果没有则可以将这两个文件存在同一个目录下,然后手动添加环境变量即可。可通过cmd命令行中输入apktool...原创 2018-12-22 13:48:16 · 3912 阅读 · 0 评论 -
CTF-RE-FindPass(Jarvis oj)
分析源代码: 发现cha数组是从src.jpg图片里得到的信息,图片在apk反编译后的asset文件夹里找到。在strings.xml文件中可以得到fkey的值接下来就是理清逻辑思路写代码爆破。要注意的是cha数组里面有超过char类型的数据,因此要注意操作不要越界以下是脚本代码fil=open('src.jpg','rb')cha=[]fil.seek(0,0)...原创 2018-12-27 12:58:40 · 597 阅读 · 0 评论 -
CTF-RE-WcyVM
题源:nctf2018逆向+虚拟机鬼畜题,对萌新来说是非常好的一道虚拟机入门题如果缺少虚拟机相关知识先看一下这篇文章:https://www.52pojie.cn/forum.php?mod=viewthread&tid=713219 首先我们用LINUX执行这个文件,提示要我们输入字符,随便输几个之后输入文本结束符号。我们发现程序没办法继续运行下去了。于是扔进ida开始调试。...原创 2018-12-14 08:40:27 · 894 阅读 · 0 评论 -
CTF-RE-cello_rule (lib库函数的分析)
题目概述题目给出了一个linux下的可执行程序和一个加密过的flag.png。可以知道程序是对这个文件进行加密,然后输出加密后的文件。因此我们的思路就是逆向程序的加密方式和逻辑,从而逆推出flag.enc的源文件。具体分析由于我们不清楚程序真正逻辑的入口点,因此第一步是ida查看程序的可以字符串。这些字符串显然是值得我们去研究的,在google上面可以查到这些字符串的信息。发现这些字符串...原创 2019-09-10 20:16:25 · 557 阅读 · 0 评论