Buuctf解题思路

最新推荐文章于 2024-05-16 11:03:26 发布
最新推荐文章于 2024-05-16 11:03:26 发布
阅读量518 收藏
点赞数
分类专栏: 代码审计 文章标签: 算法 c++ 数据结构
原文链接:https://blog.csdn.net/m0_71081503/article/details/125938026?spm=1001.2014.3001.5502
版权

声明
出品|长白山攻防实验室(ID:逆向萌新)

以下内容,来自长白山攻防实验室的逆向萌新作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

[buuctf]刮开有奖

逻辑分析

这道题是无壳32位的程序,利用ida打开,找到main函数。

int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd)
{
  DialogBoxParamA(hInstance, (LPCSTR)0x67, 0, (DLGPROC)DialogFunc, 0);
  return 0;
}

之后进入DialogFunc中查看。

BOOL __userpurge DialogFunc@(int a1@, int a2@, HWND hDlg, UINT a4, WPARAM a5, LPARAM a6)
{
  const char *v6; // esi
  const char *v7; // edi
  int v9; // [esp+4h] [ebp-20030h]
  int v10; // [esp+8h] [ebp-2002Ch]
  int v11; // [esp+Ch] [ebp-20028h]
  int v12; // [esp+10h] [ebp-20024h]
  int v13; // [esp+14h] [ebp-20020h]
  int v14; // [esp+18h] [ebp-2001Ch]
  int v15; // [esp+1Ch] [ebp-20018h]
  int v16; // [esp+20h] [ebp-20014h]
  int v17; // [esp+24h] [ebp-20010h]
  int v18; // [esp+28h] [ebp-2000Ch]
  int v19; // [esp+2Ch] [ebp-20008h]
  CHAR String; // [esp+30h] [ebp-20004h]
  char v21; // [esp+31h] [ebp-20003h]
  char v22; // [esp+32h] [ebp-20002h]
  char v23; // [esp+33h] [ebp-20001h]
  char v24; // [esp+34h] [ebp-20000h]
  char v25; // [esp+10030h] [ebp-10004h]
  char v26; // [esp+10031h] [ebp-10003h]
  char v27; // [esp+10032h] [ebp-10002h]
  int v28; // [esp+20028h] [ebp-Ch]
  int v29; // [esp+2002Ch] [ebp-8h]
  __alloca_probe();
  if ( a4 == 272 )
    return 1;
  v29 = a2;
  v28 = a1;
  if ( a4 != 273 )
    return 0;
  if ( (_WORD)a5 == 1001 )
  {
    memset(&String, 0, 0xFFFFu);
    GetDlgItemTextA(hDlg, 1000, &String, 0xFFFF);
    if ( strlen(&String) == 8 )
    {
      v9 = 90;
      v10 = 74;
      v11 = 83;
      v12 = 69;
      v13 = 67;
      v14 = 97;
      v15 = 78;
      v16 = 72;
      v17 = 51;
      v18 = 110;
      v19 = 103;
      sub_4010F0(&v9, 0, 10);
      memset(&v25, 0, 0xFFFFu);
      v6 = (const char *)sub_401000(&v25, strlen(&v25));
      memset(&v25, 0, 0xFFFFu);
      v26 = v23;
      v25 = v22;
      v27 = v24;
      v7 = (const char *)sub_401000(&v25, strlen(&v25));
      if ( String == v9 + 34
        && v21 == v13
        && 4 * v22 - 141 == 3 * v11
        && v23 / 4 == 2 * (v16 / 9)
        && !strcmp(v6, "ak1w")
        && !strcmp(v7, "V1Ax") )
      {
        MessageBoxA(hDlg, "U g3t 1T!", "@_@", 0);
      }
    }
    return 0;
  }
  if ( (_WORD)a5 != 1 && (_WORD)a5 != 2 )
    return 0;
  EndDialog(hDlg, (unsigned __int16)a5);
  return 1;
}

之后开始分析逻辑,看图。

图片

之后往下跟进sub_4010F0函数。

int __cdecl sub_4010F0(int a1, int a2, int a3)
{
  int result; // eax
  int i; // esi
  int v5; // ecx
  int v6; // edx
  result = a3;
  for ( i = a2; i <= a3; a2 = i )
  {
    v5 = 4 * i;
    v6 = *(_DWORD *)(4 * i + a1);
    if ( a2 < result && i < result )
    {
      do
      {
        if ( v6 > *(_DWORD *)(a1 + 4 * result) )
        {
          if ( i >= result )
            break;
          ++i;
          *(_DWORD *)(v5 + a1) = *(_DWORD *)(a1 + 4 * result);
          if ( i >= result )
            break;
          while ( *(_DWORD *)(a1 + 4 * i) <= v6 )
          {
            if ( ++i >= result )
              goto LABEL_13;
          }
          if ( i >= result )
            break;
          v5 = 4 * i;
          *(_DWORD *)(a1 + 4 * result) = *(_DWORD *)(4 * i + a1);
        }
        --result;
      }
      while ( i < result );
    }
LABEL_13:
    *(_DWORD *)(a1 + 4 * result) = v6;
    sub_4010F0(a1, a2, i - 1);
    result = a3;
    ++i;
  }
  return result;
}

利用c语言,进行改写,之后直接运行。

#include
#include
int __cdecl sub_4010F0(char* a1, int a2, int a3)
{
    int result; // eax
    int i; // esi
    int v5; // ecx
    int v6; // edx
    result = a3;
    for (i = a2; i <= a3; a2 = i)
    {
        v5 =i;
        v6 = a1[i];
        if (a2 < result && i < result)
        {
            do
            {
                if (v6 > a1[result])
                {
                    if (i >= result)
                        break;
                    ++i;
                    a1[v5] = a1[result];
                    if (i >= result)
                        break;
                    while (a1[i] <= v6)
                    {
                        if (++i >= result)
                            goto LABEL_13;
                    }
                    if (i >= result)
                        break;
                    v5 =i;
                    a1[result] = a1[i];
                }
                --result;
            } while (i < result);
        }
    LABEL_13:
        a1[result] = v6;
        sub_4010F0(a1, a2, i - 1);
        result = a3;
        ++i;
    }
    return result;
}
int main() {
    char str[] = "ZJSECaNH3ng";
    sub_4010F0(str, 0, 10);
    printf("%s", str);
    return 0;
}

可以获得结果是

3CEHJNSZagn

之后继续往下看sub_401000函数。

_BYTE *__cdecl sub_401000(int a1, int a2)
{
  int v2; // eax
  int v3; // esi
  size_t v4; // ebx
  _BYTE *v5; // eax
  _BYTE *v6; // edi
  int v7; // eax
  _BYTE *v8; // ebx
  int v9; // edi
  signed int v10; // edx
  int v11; // edi
  signed int v12; // eax
  signed int v13; // esi
  _BYTE *result; // eax
  _BYTE *v15; // [esp+Ch] [ebp-10h]
  _BYTE *v16; // [esp+10h] [ebp-Ch]
  int v17; // [esp+14h] [ebp-8h]
  int v18; // [esp+18h] [ebp-4h]
  v2 = a2 / 3;
  v3 = 0;
  if ( a2 % 3 > 0 )
    ++v2;
  v4 = 4 * v2 + 1;
  v5 = malloc(v4);
  v6 = v5;
  v15 = v5;
  if ( !v5 )
    exit(0);
  memset(v5, 0, v4);
  v7 = a2;
  v8 = v6;
  v16 = v6;
  if ( a2 > 0 )
  {
    while ( 1 )
    {
      v9 = 0;
      v10 = 0;
      v18 = 0;
      do
      {
        if ( v3 >= v7 )
          break;
        ++v10;
        v9 = *(unsigned __int8 *)(v3++ + a1) | (v9 << 8);
      }
      while ( v10 < 3 );
      v11 = v9 << 8 * (3 - v10);
      v12 = 0;
      v17 = v3;
      v13 = 18;
      do
      {
        if ( v10 >= v12 )
        {
          *((_BYTE *)&v18 + v12) = (v11 >> v13) & 0x3F;
          v8 = v16;
        }
        else
        {
          *((_BYTE *)&v18 + v12) = 64;
        }
        *v8++ = byte_407830[*((char *)&v18 + v12)];
        v13 -= 6;
        ++v12;
        v16 = v8;
      }
      while ( v13 > -6 );
      v3 = v17;
      if ( v17 >= a2 )
        break;
      v7 = a2;
    }
    v6 = v15;
  }
  result = v6;
  *v8 = 0;
  return result;
}

之后知道

.rdata:00407830 byte_407830     db 41h                  ; DATA XREF: sub_401000+C0↑r
.rdata:00407831 aBcdefghijklmno db 'BCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=',0

所以这说明,这是一个base64

回到主函数,看这里。

图片

可以算出来,第一位是U,第二位是J,第三位W,第四位P,之后base64出来,ak1w是jMp,V1Ax是WP1,之后就知道谁前谁后了。

**答案为:**flag{UJWP1jMp}

[buuctf]简单注册器

分析

这是一个apk文件,所以我用jadx来解题,把apk拖入到其中。

进入主函数MainActivity中

package com.example.flag;
import android.os.Bundle;
import android.support.v4.app.Fragment;
import android.support.v7.app.ActionBarActivity;
import android.view.LayoutInflater;
import android.view.Menu;
import android.view.MenuItem;
import android.view.View;
import android.view.ViewGroup;
import android.widget.Button;
import android.widget.EditText;
import android.widget.TextView;
/* loaded from: classes.dex */
public class MainActivity extends ActionBarActivity {
    /* JADX INFO: Access modifiers changed from: protected */
    @Override // android.support.v7.app.ActionBarActivity, android.support.v4.app.FragmentActivity, android.app.Activity
    public void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        if (savedInstanceState == null) {
            getSupportFragmentManager().beginTransaction().add(R.id.container, new PlaceholderFragment()).commit();
        }
        Button button = (Button) findViewById(R.id.button1);
        final TextView textview = (TextView) findViewById(R.id.textView1);
        final EditText editview = (EditText) findViewById(R.id.editText1);
        button.setOnClickListener(new View.OnClickListener() { // from class: com.example.flag.MainActivity.1
            @Override // android.view.View.OnClickListener
            public void onClick(View v) {
                int flag = 1;
                String xx = editview.getText().toString();
                if (xx.length() != 32 || xx.charAt(31) != 'a' || xx.charAt(1) != 'b' || (xx.charAt(0) + xx.charAt(2)) - 48 != 56) {
                    flag = 0;
                }
                if (flag == 1) {
                    char[] x = "dd2940c04462b4dd7c450528835cca15".toCharArray();
                    x[2] = (char) ((x[2] + x[3]) - 50);
                    x[4] = (char) ((x[2] + x[5]) - 48);
                    x[30] = (char) ((x[31] + x[9]) - 48);
                    x[14] = (char) ((x[27] + x[28]) - 97);
                    for (int i = 0; i < 16; i++) {
                        char a = x[31 - i];
                        x[31 - i] = x[i];
                        x[i] = a;
                    }
                    String bbb = String.valueOf(x);
                    textview.setText("flag{" + bbb + "}");
                    return;
                }
                textview.setText("输入注册码错误");
            }
        });
    }
    @Override // android.app.Activity
    public boolean onCreateOptionsMenu(Menu menu) {
        getMenuInflater().inflate(R.menu.main, menu);
        return true;
    }
    @Override // android.app.Activity
    public boolean onOptionsItemSelected(MenuItem item) {
        int id = item.getItemId();
        if (id == R.id.action_settings) {
            return true;
        }
        return super.onOptionsItemSelected(item);
    }
    /* loaded from: classes.dex */
    public static class PlaceholderFragment extends Fragment {
        @Override // android.support.v4.app.Fragment
        public View onCreateView(LayoutInflater inflater, ViewGroup container, Bundle savedInstanceState) {
            View rootView = inflater.inflate(R.layout.fragment_main, container, false);
            return rootView;
        }
    }
}

其中主要的位置是。

 if (flag == 1) {
                    char[] x = "dd2940c04462b4dd7c450528835cca15".toCharArray();
                    x[2] = (char) ((x[2] + x[3]) - 50);
                    x[4] = (char) ((x[2] + x[5]) - 48);
                    x[30] = (char) ((x[31] + x[9]) - 48);
                    x[14] = (char) ((x[27] + x[28]) - 97);
                    for (int i = 0; i < 16; i++) {
                        char a = x[31 - i];
                        x[31 - i] = x[i];
                        x[i] = a;
                    }
之后针对这里进行改写,flag即可出来
#include
#include
int main() {
char x[]= "dd2940c04462b4dd7c450528835cca15";
x[2] = ((x[2] + x[3]) - 50);
x[4] = ((x[2] + x[5]) - 48);
x[30] = (char)((x[31] + x[9]) - 48);
x[14] = (char)((x[27] + x[28]) - 97);
for (int i = 0; i < 16; i++) {
char a = x[31 - i];
x[31 - i] = x[i];
x[i] = a;
}
printf("flag{%s}", x);
return 0;
}

运行获得flag

flag{59acc538825054c7de4b26440c0999dd}

[buuctf][Zer0pts2020]easy strcmp

思路

第一步还是先查壳

图片

放在linux中运行一下,发现竟然没有任何输入的位置。

图片

放入ida64中查看,因为这个是一个64位的可执行文件,有main函数,直接进入main函数查看

__int64 __fastcall main(signed int a1, char **a2, char **a3)
{
  if ( a1 > 1 )
  {
    if ( !strcmp(a2[1], "zer0pts{********CENSORED********}") )
      puts("Correct!");
    else
      puts("Wrong!");
  }
  else
  {
    printf("Usage: %s\n", *a2, a3, a2);
  }
  return 0LL;
}

这里面有一个判断是判断a2[1]是否是等于那个字符串的,之后我们再去找a2

__int64 __fastcall sub_6EA(__int64 a1, __int64 a2)
{
  int i; // [rsp+18h] [rbp-8h]
  int v4; // [rsp+18h] [rbp-8h]
  int j; // [rsp+1Ch] [rbp-4h]
  for ( i = 0; *(_BYTE *)(i + a1); ++i )
    ;
  v4 = (i >> 3) + 1;
  for ( j = 0; j < v4; ++j )
    *(_QWORD *)(8 * j + a1) -= qword_201060[j];
  return qword_201090(a1, a2);
}

右移三位,先当与是8,八个一组,之后去减去qword_201060,看看这里是什么

qword_201060    dq 0, 410A4335494A0942h, 0B0EF2F50BE619F0h, 4F0A3A064A35282Bh

是这些,那么写反推逆运算,因为是小端序,最后要反转过来,所以脚本可写

脚本

import binascii
str_1 = "********"
str_2 = "CENSORED"
str_3 = "********"
word_1 = [0x410A4335494A0942]
word_2 = [0x0B0EF2F50BE619F0]
word_3 = [0x4F0A3A064A35282B]
bin_1 = binascii.b2a_hex(str_1.encode('ascii')[::-1])
bin_2 = binascii.b2a_hex(str_2.encode('ascii')[::-1])
bin_3 = binascii.b2a_hex(str_3.encode('ascii')[::-1])
j_1 = binascii.a2b_hex(hex(int(bin_1, 16) + word_1[0])[2:])[::-1]
j_2 = binascii.a2b_hex(hex(int(bin_2, 16) + word_2[0])[2:])[::-1]
j_3 = binascii.a2b_hex(hex(int(bin_3, 16) + word_3[0])[2:])[::-1]
print(j_1 + j_2 + j_3)

最后答案是

flag{l3ts_m4k3_4_DETOUR_t0d4y}

欢迎关注长白山攻防实验室公众号
定期更新优质文章分享

长白山攻防实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf解题记录
song_10的博客
05-21 601
buuctf部分pwn题题解
BUUCTF题解
qq_51175992的博客
05-27 4681
BUUCTF题解,主要包括CTF中的Crypto、Misc方向,其中一些题目的解法参考了其他博主大佬的思路。这个文章主要是用于自学和提供思路解法,会不定时更新
BUUCTF:Crypto 解析(一)
最新发布
Flag少侠的博客
05-16 2179
一眼就解密、MD5、URL 编码、看我回旋踢、摩丝、password、变异凯撒、Quoted-printable
BUUCTF】Web题解
xuanyulevel6的博客
08-08 5268
BUUCTF】Web题解
BUUCTFweb部分题解
dogeace的博客
12-06 787
前一段时间没有发现比较基础的的平台去做题,直到上个星期我发现了一个比较基础的平台供我刷题,所以就继续更新wp了。废话不多说现在开始写题解。 题目名称[SUCTF 2019]EasySQL一级目录一级目录一级目录 [SUCTF 2019]EasySQL 先进入题目 因为题目的名称已经提示是SQL注入了,所以我们先进行尝试1’ or 1 = 1;# 提交发现 我当时的第一反应是布尔盲注所以我尝试了一下判断数据库的名称构造如下的payload 1' or (ascii(substr(database(),1,
BUUCTF_MISC题解
热门推荐
m0_52885531的博客
05-30 2万+
BUUCTF_MISC题解 第二题 金三胖 将GIF图片用ps进行逐帧分解,可以得到三张特殊的照片 直接将三个照片里的内容拼接起来就好 第三题 二维码 下载好附件解压后发现是一个.png文件的二维码 用CQR扫描后得到二维码的结果 发现并没有得到想要的flag,并且提示我们flag并不在这李,那我们就用二进制编辑器打开看一看在哪里。 .png的文件尾是AE 42 60 82,按理来说在文件尾之后就应该结束,我们却发现png的文件尾后还跟着50 4B 03 04,这是.zip的文件头,说明在该照片
BUUCTF-MISC-WP(详细解题思路)
01-27
BUUCTF-MISC-WP(详细解题思路)
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF部分web题目
05-06
### BUUCTF部分Web题目分析 #### WMCTF2020 Make PHP Great Again **题目背景**: 这道题目主要是考察PHP中的`require_once()`函数的使用以及如何利用符号链接来读取文件。 **核心知识点**: 1. **`require_once()...
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF crackMe 题解
lifanxin的博客
07-12 3463
crackMe程序信息题目分析main函数分析sub_401830关键函数分析动态调试byte_416050求解总结 程序信息   这道题目来自于哪个实际比赛,我没有去找,我个人是从buuoj上刷到的,位于re部分第二页,题目只有一分,做出来的人也比较多,看起来应该是个简单的题目。   之所以要写这个wp,是对题目的答案存在一些疑问,网上也有很多wp,我都看了一下,大致都出自于同一个人的手笔O(∩_∩)O。我个人感觉网上的wp分析过程都漏了一步,虽然这样得出的flag可以通过buuoj,但是这是个crack
BUUCTF misc 解题记录 一(超级详细)
qq_51090016的博客
03-16 1万+
持续更新一些不会的题目,有错误的还请大佬指点N种方法解决 N种方法解决 附件下载是一个exe文件,我还运行不了。。这咋办 改成txt文件看看 好像有什么东西藏在里面 前面有个jpg 还有base,用winhex打开看看 到这没思路了,看wp base64可以表示图片 这个让我这个菜鸡人傻了 转换网站点这 转换完还能帮你另存为,真不错 扫一下就OK了 ...
BUUCTF__web题解合集(二)
风过江南乱的博客
07-25 880
[GYCTF2020]Blacklist、 [SUCTF 2019]Pythonginx、 [BJDCTF2020]Mark loves cat、 [BJDCTF 2nd]old-hack、 [GWCTF 2019]我有一个数据库、
BUUCTF_Web题目题解记录2
Altering_Ji的博客
07-11 958
记录三道做过的buu CTF刷题平台上的web类型题目,[MRCTF2020]Ez_bypass、[极客大挑战 2019]BuyFlag、[MRCTF2020]你传你🐎呢,考点包括代码审计和文件上传等
BUUCTF刷题】Web解题方法总结(一)
Y1seco的博客
03-28 5204
文章目录1.堆叠注入,原理2.SQL缺省代码审计SQL注入 1.堆叠注入,原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FRO
buuctf小白入门的题解
weixin_60813400的博客
10-01 1112
ctf小白入门题解
BUUCTF做题小结
qq_46148060的博客
11-01 775
大帝的密码武器 题目:公元前一百年,在罗马出生了一位对世界影响巨大的人物,他生前是罗马三巨头之一。他率先使用了一种简单的加密函,因此这种加密方法以他的名字命名。 以下密文被解开后可以获得一个有意义的单词:FRPHEVGL 你可以用这个相同的加密向量加密附件中的密文,作为答案进行提交。 密文:ComeChina 从题目来看很明显是凯撒密码,题目说密文FRPHEVGL被解开后是一个很有意义的单词,解密后可以得到:security 同样把密文ComeChina解密,就可以得到flag了 Windows系统密码 把
buuoj Crypto
qq_41071646的博客
02-03 1246
最近准备刷buuoj 刷的部分是 pwn re 还有crypto 然后打算做一个项目 放到github 当成毕业设计,,,,, md5 这个题目在md5解密网站解一下就出来了 二踢腿 这个题目。。。 就是偏移13的凯撒密码,, 直接解开就好 url解码 直接url 解码就好。。 一眼就解密 直接base64解密就好 摩丝密码 解密一下就好http://www.zhon...
buuctf wireshark
09-12
根据您提供的引用内容,buuctf wireshark 是一个与buuctf比赛相关的题目。其中,Wireshark 是一个网络封包分析软件,可以用来捕获和分析网络数据包。根据[1]中提供的下载地址,可以下载 Wireshark 软件进行使用。 在buuctf wireshark题目中,黑客通过使用Wireshark抓到了管理员登陆网站时的一段流量包,并将其中的密码作为flag。解题思路是使用Wireshark打开下载的文件,然后根据题目提示,在流量包中找到管理员登陆网站时的请求,该请求方式为POST类型,可以通过过滤条件 `http.request.method==POST` 来筛选出该请求。在该请求中,可以找到管理员的密码,作为flag提交。 不过,需要注意的是,获取到的flag需要加上 `flag{}` 并进行提交。 此外,根据中的提到的方法,您也可以直接将下载的图片文件扔到WinHex中进行查看,以便寻找是否存在flag。但是,请注意在buuctf wireshark题目中的具体解题思路仍然是通过Wireshark分析流量包。 总结起来,对于buuctf wireshark题目,您需要下载Wireshark软件,打开下载的文件,并根据题目提示找到管理员登陆网站时的流量包,从中获取管理员的密码作为flag,最后在提交flag时记得加上 `flag{}`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值