[BUUCTF]-RE 刮开有奖wp

已于 2022-10-06 21:27:26 修改
阅读量374 收藏 3
点赞数 4
文章标签: python
于 2022-10-05 21:39:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kiwi23333/article/details/127176331
版权

借鉴:BUUCTF 刮开有奖(特别详细了,尽自己全力理解所写)_别害怕我在的博客-CSDN博客_buuctf 刮开有奖title: BUUCTF 刮开有奖date: 2021年8月13日 15点23分tags: BUUCTFcategories: BUUCTF自己的心声(痛骂wp抄袭狗)这道题,其实有点坑,对于目前的我来说,还是有点难度的。在复盘之前,我想对网上一些直接抄袭别人文章的人说,可真tm不要脸啊。你若跟着别人的wp,把题做出来了,自己跟着软件啥的,实验成功之后,写一篇wp啊,抄袭别人的。主要tm一个字不改,也不说是抄袭的。本来做题没思路了,做不下去了,想看一篇高质量的wp,跟着大佬学一学,百度一下.https://blog.csdn.net/afanzcf/article/details/119682630

本题给的是一个exe文件,不管怎样先点开看看

得到的是这样一个弹窗,点击没有反应,也没有输入框,但一按回车就直接闪退

1.用exeinfope看看有没有壳

 OK,一眼看过去是一个32位用c++写的程序

2.打开ida看看

INT_PTR __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4)
{
  const char *v4; // esi
  const char *v5; // edi
  int v7[2]; // [esp+8h] [ebp-20030h] BYREF
  int v8; // [esp+10h] [ebp-20028h]
  int v9; // [esp+14h] [ebp-20024h]
  int v10; // [esp+18h] [ebp-20020h]
  int v11; // [esp+1Ch] [ebp-2001Ch]
  int v12; // [esp+20h] [ebp-20018h]
  int v13; // [esp+24h] [ebp-20014h]
  int v14; // [esp+28h] [ebp-20010h]
  int v15; // [esp+2Ch] [ebp-2000Ch]
  int v16; // [esp+30h] [ebp-20008h]
  CHAR String[65536]; // [esp+34h] [ebp-20004h] BYREF
  char v18[65536]; // [esp+10034h] [ebp-10004h] BYREF

  if ( a2 == 272 )
    return 1;
  if ( a2 != 273 )
    return 0;
  if ( (_WORD)a3 == 1001 )
  {
    memset(String, 0, 0xFFFFu);
    GetDlgItemTextA(hDlg, 1000, String, 0xFFFF);
    if ( strlen(String) == 8 )
    {
      v7[0] = 90;
      v7[1] = 74;
      v8 = 83;
      v9 = 69;
      v10 = 67;
      v11 = 97;
      v12 = 78;
      v13 = 72;
      v14 = 51;
      v15 = 110;
      v16 = 103;
      sub_4010F0(v7, 0, 10);
      memset(v18, 0, 0xFFFFu);
      v18[0] = String[5];
      v18[2] = String[7];
      v18[1] = String[6];
      v4 = (const char *)sub_401000(v18, strlen(v18));
      memset(v18, 0, 0xFFFFu);
      v18[1] = String[3];
      v18[0] = String[2];
      v18[2] = String[4];
      v5 = (const char *)sub_401000(v18, strlen(v18));
      if ( String[0] == v7[0] + 34
        && String[1] == v10
        && 4 * String[2] - 141 == 3 * v8
        && String[3] / 4 == 2 * (v13 / 9)
        && !strcmp(v4, "ak1w")
        && !strcmp(v5, "V1Ax") )
      {
        MessageBoxA(hDlg, "U g3t 1T!", "@_@", 0);
      }
    }
    return 0;
  }
  if ( (_WORD)a3 != 1 && (_WORD)a3 != 2 )
    return 0;
  EndDialog(hDlg, (unsigned __int16)a3);
  return 1;
}

简单看下来string应该就是我们要的flag

并且strlen(string) == 8我们可以得知flag是八位

看到一个叫sub_4010F0的函数点进去看看

int __cdecl sub_4010F0(int a1, int a2, int a3)
{
  int result; // eax
  int i; // esi
  int v5; // ecx
  int v6; // edx

  result = a3;
  for ( i = a2; i <= a3; a2 = i )
  {
    v5 = 4 * i;
    v6 = *(_DWORD *)(4 * i + a1);
    if ( a2 < result && i < result )
    {
      do
      {
        if ( v6 > *(_DWORD *)(a1 + 4 * result) )
        {
          if ( i >= result )
            break;
          ++i;
          *(_DWORD *)(v5 + a1) = *(_DWORD *)(a1 + 4 * result);
          if ( i >= result )
            break;
          while ( *(_DWORD *)(a1 + 4 * i) <= v6 )
          {
            if ( ++i >= result )
              goto LABEL_13;
          }
          if ( i >= result )
            break;
          v5 = 4 * i;
          *(_DWORD *)(a1 + 4 * result) = *(_DWORD *)(4 * i + a1);
        }
        --result;
      }
      while ( i < result );
    }
LABEL_13:
    *(_DWORD *)(a1 + 4 * result) = v6;
    sub_4010F0(a1, a2, i - 1);
    result = a3;
    ++i;
  }
  return result;
}

不出意外这是一个给v7重定义的函数,对其进行逆向得

在这里,将伪代码转变为c语言的时候有类似于*(_DWORD *)(a1 + 4 * result)这样一段不知道该如何改写成C,查询过后这里直接借用 @别害怕我在 大佬wp中的解释

nt占四个字节,所以需要*4.如果是char类型,就不需要.

在这里,我也是找到一点资料。百度一下数组寻址公式

从这里,我们知道a1+4*i,也就是a1【i】,a1+4 * result,也就是a1【result】。

将伪代码的寻址方式改为数组寻址,然后将*(_DWORD*) 删掉,因为这是汇编的表示。

所以伪代码变成了C语言代码。

#include<stdio.h>
int gkyj(char* a1,int a2,int a3){
	int result,i,v5,v6;
		result = a3;
		for(i = a2;i<=a3;a2 = i){
			v5 = 4*i;
			v6 = a1[i];
			if(a2 < result && i<result){
				do{
					if(v6 > a1[result]){
						if(i>=result){
							break;
						}
						++i;
						a1[v5] = a1[result];
						if(i>=result){
							break;
						}
						while(a1[i] <= v6){
							if(++i >= result){
								goto LABEL_13;
							}
						}
						if(i >= result){
							break;
						}
						v5 = 4*i;
						a1[result] = a1[i];
					}
					--result;
				}while(i<result);
			}
			LABEL_13:
				a1[result] = v6;
				gkyj(a1,a2,i-1);
				result = a3;
				++i;	
		}
		return result;
}

int main()
{
	char str[] = "ZJSECaNH3ng";
	gkyj(str,0,10);
	printf("%s",str);
	
	return 0;
}

 由此可以得到v7被改写为“3CEHJNSZagn”

memset(v18, 0, 0xFFFFu);
v18[0] = String[5];
v18[2] = String[7];
v18[1] = String[6];
v4 = (const char *)sub_401000(v18, strlen(v18));
memset(v18, 0, 0xFFFFu);
v18[1] = String[3];
v18[0] = String[2];
v18[2] = String[4];
v5 = (const char *)sub_401000(v18, strlen(v18));

这看着是一个给v4和v5定义的过程

最后是一个if函数,通过对这个if逆向我们应该就能得到flag了

if ( String[0] == v7[0] + 34
        && String[1] == v10
        && 4 * String[2] - 141 == 3 * v8
        && String[3] / 4 == 2 * (v13 / 9)
        && !strcmp(v4, "ak1w")
        && !strcmp(v5, "V1Ax") )
      {

3.看看String里有没有什么线索

看到了熟悉的base64加密的特征

结合上面v4和v5的定义以及最后if对v4和v5的比较,我们可以得知v4,v5定义的过程是一个base64加密的过程。通过在线base64解密:BASE64加密解密,我们可以得到加密前的v4和v5

即v4 = “jMp”,v5 = "WP1"

到这里,可以总结归纳一下我们现在有的东西

v7 = "3CEHJNSZagn"

v4 = "jMp"

v5 = "WP1"

String是我们要求的

所以通过最后的if函数,我们来求string的内容

第一句:String[0] == v7[0] + 34

这里的v7【0】,就是上面10个字符的第一个字符,我们通过加密函数之后,v7【0】由一开始的Z变成了3.

3的ASCII码是51,51 + 34 = 85,85的ASCII码对应的是大写的 U,所以String【0】对应U。

第二句:String[1] == v10

v10在之前没加密的时候,是排第五位,我们看看加密之后的第五位是谁,3CEHJNSZagn,可以看到,加密之后的第五位是 J,所以String【1】是J。

第三句:4 * String[2] - 141 == 3 * v8,v8在没加密之前,是排第三位,先看看加密之后的第三位是谁,可以看到是E,E的ASCII码是69,所以3*69 + 141 / 4 = 87 ,ASCII为W,String【2】是E。

第四句:String[3] / 4 == 2 * (v13 / 9),看到v13没加密之前排到数第四位,看看加密之后的到数第四位是谁,是Z,Z的ASCII是90,所以2*(90/9)*4 = 80 ,ASCII为P,String【3】是Z。

后面四个字符,就是base64加密的那几个,可以看到第三第四字符已经是WP了,说明,WP1在前,jMp在后。

将他们拼接在一起,得到,UJWP1jMp。

带上flag{},得到flag{UJWP1jMp}。
 

Kiwi23333
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AutoJs源码-支付宝邀请有奖活动
11-15
AutoJs源码-支付宝邀请有奖活动。本资源购买前提醒:本源码都是实际autojs项目模板,安装好autojs直接运行即可打开。1、支持低版本autojs。2、资源仅供学习与参考,请勿用于商业用途,否则产生的一切后果将由您自己...
BUUCTF逆向第14题刮开有奖
Knozya的博客
01-31 661
而我们已知flag长度为8,后六位我们解码已得出,但是不知道顺序,现在需推断出前两位,因为上面破解的长字符串中(也就是sub_4010F0中)的结果可知前两位为'U' 'J',又因为第三位为‘W’接下来我们继续跟进sub_401000,内容多的有点懵了,往下滑发现有个byte_407830可以跟进。又发现sub_4010F0和sub_401000可能对字符串做出了改变,分别跟进,先跟进前者,如下。跟进后不难发现为base64编码形式,也就是说我们需要对其所对应的v4和v5进行解码,结果如下。
BUUCTF逆向wp 刮开有奖
2302_81740139的博客
02-05 626
接着对v7到v16都进行了一个赋值,且在变量声明中v7到v16的地址是连续的,所以sub_4010F0该函数对这几个都进行了处理。解出string0和string1的话,在原来的C语言代码中把最后的注释//删掉,之后运行可以得到flag的前两位U和J。第五步 回到伪代码界面,黄色为base6加密先不看,先解码红色部分的,解出后便可得到string后六位的结果。注意:string数组赋值给v18的时候的顺序是错乱的,需要手动排序一下,再结合之前两位U和J。V18则是获取了string数组里的部分元素。
BUUCTF 刮开有奖(特别详细了,尽自己全力理解所写)
太阳照耀我走四方
08-13 4911
title: BUUCTF 刮开有奖 date: 2021年8月13日 15点23分 tags: BUUCTF categories: BUUCTF 自己的心声(痛骂wp抄袭狗) 这道题,其实有点坑,对于目前的我来说,还是有点难度的。 在复盘之前,我想对网上一些直接抄袭别人文章的人说,可真tm不要脸啊。你若跟着别人的wp,把题做出来了,自己跟着软件啥的,实验成功之后,写一篇wp啊,抄袭别人的。主要tm一个字不改,也不说是抄袭的。 本来做题没思路了,做不下去了,想看一篇高质量的wp,跟着大佬学一学,百度一下.
re学习笔记(9)BUUCTF-re-刮开有奖
逆向随笔
11-16 2267
新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:BUUCTF-re-刮开有奖 参考资料: 1. WinMain函数参数介绍
BUUCTF reverse 刮开有奖
firfis的博客
04-25 1247
一、刮开有奖 所需工具: IDA(反编译工具) exeinfope(查壳工具) CaptfEncoder(编码转换) 题解: 拖入exeinfope 检查是否套壳[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 发现并没有。 查看文件是32位还是64位。方法如下:使用记事本直接打开你的exe文件。只要看第二行即可,第二行开头不远处有PE两个字母,再后面两个空格后第三个字符就是标记了,如果是字母L的话,就是32位应用程序,如果是d?就表示是64位应用程序。 将.exe文
BUUCTF——刮开有奖
fzucaicai的博客
11-11 706
有个GetDlgItemText,我实在没搞懂,明明没有用MFC画出对话框,为什么要来一个GetDlgItemText获取输入框内容,并传给了edit_string。直接找到WinMain,发现里面只有一个对话框API(如果只有一个对话框,那真就没有输入框了),CallBack函数是DialogFunc。这里有几个比较坑的点,sub_4010F0这个函数的第一个参数是地址,但是我们追进去发现IDA对类型判断有误。按照这个解密,v7[0],v10,v8,v16,v4,v5都知道了。进入DialogFunc。
[BUUCTF] 刮开有奖
m0_68259687的博客
06-11 273
大概如下修改,将(a1+数字)视为数组里面的编号,其中注意将偏移中乘4操作去掉(机器语言地址+4),总的来说哪里红了改哪里。想起搜索字符串的时候搜到过base64 的base,猜测第二个处理的函数sub_40100为base64加密。进入对v7进行某种操作的函数sub_4010F0,分析后发现应该是要使用脚本来反推。按照下面这段的逻辑拼接出string即为flag。随手在函数和字符串中搜索flag,没有发现。双击进入DialogFunc这个函数,分析。拖入IDA中,嗯,看函数应该没有加壳。
cancas 刮刮有奖 手动刮出
07-29
cancas 刮刮有奖 手动刮出
PHP实例开发源码-EnableGo php有奖知识问答活动管理系统.zip
11-21
PHP实例开发源码—EnableGo php有奖知识问答活动管理系统.zip PHP实例开发源码—EnableGo php有奖知识问答活动管理系统.zip PHP实例开发源码—EnableGo php有奖知识问答活动管理系统.zip
电信设备-有奖明信片.zip
09-14
电信设备-有奖明信片.zip
Authorware作品--有奖问答.RAR
07-06
Authorware作品之——有奖问答,仅供参考学习!
buuctf 刮开有奖 wp
Re_Fw
03-22 1100
是个EXE文件首先打开看一下,只有一个带有刮开有奖的消息框,没有什么线索然后老套路拉进Exeinfo PE查看是32位的文件拉进IDApro x86 看到 WinMain 当然毫不犹豫的进去看一下,然后F5查看一下伪代码, 看到了GetDlgItemTextA函数,发现它在DialogFunc中,我们用F5载入它看看, BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4) { const char *v4; // esi@
[buuctf]刮开有奖
逆向萌新的博客
08-11 1503
buuctf 刮开有奖
BUUCTF_刮开有奖
weixin_46009088的博客
10-18 1609
BUUCTF_刮开有奖 打开程序,一个大大的刮开有奖,没有其他有用的信息…,如图: 用IDA载入,找到WinMain函数,按F5载入,如图: 看到DialogBoxParamA函数,该函数从对话框模板资源创建模式对话框,应用程序可以使用此值初始化对话框控件(MSDN文档截取的)。既然有初始化对话框,那么必然有读取对话框的函数,我们点进DialogBoxParamA找一下,如图: 噢!看到了GetDlgItemTextA函数,我们发现他在DialogFunc中,我们用F5载入它看看,如下: BOOL.
BUUCTF Reverse刷题笔记03——刮开有奖
Taikx的博客
06-11 309
一、运行程序 二、拉入ExeinfoPe分析 三、拉入32位IDA分析 进入main函数,F5查看伪代码 int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) { DialogBoxParamA(hInstance, (LPCSTR)0x67, 0, DialogFunc, 0); return 0; } 进入DialogFunc函数 BOOL __.
RE | BUUCTF 刮开有奖1
Mintind的博客
04-25 640
(这是主参考,写得很详细(主参考的参考,思路很清晰我是大菜鸡…尽力写自己的理解了,哪里有不对的希望指正。
BUUCTF第十二、十三、十四题解题思路
EVANGELION_01a的博客
02-04 840
当(a1 + 4 * i)的值小于v6时,如果i自增后的值大于等于result,转到LABLE_13,分析一下这个函数:将(a1 + 4 * result)的值赋给v6,将a1,a2,i-1作为sub_4010F0函数的输入执行该函数,将a3的值赋给result,返回result的值。在if循环中,判断v7[0]+34与string[0]是否相等,v7[0]+34的值为U,则string[0]的值为U,判断v10与string[1]是否相等,v10= J,则string[1]=J。结果为base64加密。
使用Python操作excel单元格——在单元格中插入公式
最新发布
xll_007的博客
05-16 368
使用Python操作excel单元格——在单元格中插入公式。 通过使用Python的openpyxl库,来操作excel单元格,在单元格中插入公式的操作。把学习的过程分享给大家。大佬勿喷!
buuctf逆向刮开有奖
08-06
根据提供的引用内容,这段代码是一个用C语言编写的函数,名为sub_4010F0。它的功能是对输入的字符串进行某种处理。具体来说,它使用了一个...因此,如果想要了解buuctf逆向刮开有奖的具体内容,可能需要更多的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值