[HDCTF 2023]enc

最新推荐文章于 2024-02-01 09:00:00 发布
最新推荐文章于 2024-02-01 09:00:00 发布
阅读量467 收藏 1
点赞数
分类专栏: SMC 逆向 CTF 文章标签: c语言 python 网络 编辑器 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liaochonxiang/article/details/131031847
版权
CTF 同时被 3 个专栏收录
53 篇文章 3 订阅
订阅专栏
逆向
43 篇文章 1 订阅
订阅专栏
SMC
1 篇文章 1 订阅
订阅专栏

先来到主函数看看

 按顺序理解,sub_411523函数为一个加密函数

跟进sub_411523—>sub_415100

 发现为一个XTEA加密

密钥为v7和v8,注意看汇编代码,发现它俩的内存位置在一块

密文为v9

XTEA解密脚本:

#include<stdio.h>
int main()
{
    int result; // eax
    unsigned int i; // [esp+DCh] [ebp-2Ch]
    int v4; // [esp+E8h] [ebp-20h]
    unsigned int v5; // [esp+F4h] [ebp-14h]
    unsigned int v6; // [esp+100h] [ebp-8h]
    int a2[] = { 18 ,52 ,86 ,120 };
    unsigned int a1[] = {0x60FCDEF7,0x236DBEC};

    v6 = a1[0];
    v5 = a1[1];
    v4 = 0xC6EF3720;//注意修改为16进制,这样不会溢出,不会出错
    for (i = 0; i < 0x20; ++i)
    {
        v5 -= (a2[3] + (v6 >> 5)) ^ (v4 + v6) ^ (a2[2] + 16 * v6);
        v6 -= (a2[1] + (v5 >> 5)) ^ (v4 + v5) ^ (a2[0] + 16 * v5);
        v4 -= 0x9e3779b9;
    }
    a1[0] = v6;
    result = 4;
    a1[1] = v5;
    printf("%d\n", a1[0]);
}//3

所以得到v7=3

因为v10=v7

所以v10=3 

继续分析:

sub_4113DE —>sub_414C10—>sub_411046—>sub_414B00—>sub_411221—>sub_415340

 

 发现是一个smc加密

sub_414B00函数:

 可知smc解密的位置

可在反汇编窗口,通过搜索”hdctf“得到具体位置

两种方法解密

第一种方法:smc自解密,再找到相对应的位置,按p转换成函数

先在smc函数解密后随便一个位置下断点

动调,运行到此处,再在反汇编窗口进行搜索”hdctf“

 

 

 发现为rc4加密

 rc4脚本解密:

import re


def rc4_decrypt(ciphertext, key):
    S = list(range(256))
    j = 0
    res = []

    # 初始化 S
    for i in range(256):
        j = (j + S[i] + key[i % len(key)]) % 256
        S[i], S[j] = S[j], S[i]

    # 解密
    i = j = 0
    for char in ciphertext:
        i = (i + 1) % 256
        j = (j + S[i]) % 256
        S[i], S[j] = S[j], S[i]
        res.append(char ^ S[(S[i] + S[j]) % 256])

    return bytes(res)


s = """
mov     [ebp+var_2C], 0Fh
mov     [ebp+var_2B], 94h
mov     [ebp+var_2A], 0AEh
mov     [ebp+var_29], 0F2h
mov     [ebp+var_28], 0C0h
mov     [ebp+var_27], 57h ; 'W'
mov     [ebp+var_26], 0C2h
mov     [ebp+var_25], 0E0h
mov     [ebp+var_24], 9Ah
mov     [ebp+var_23], 45h ; 'E'
mov     [ebp+var_22], 37h ; '7'
mov     [ebp+var_21], 50h ; 'P'
mov     [ebp+var_20], 0F5h
mov     [ebp+var_1F], 0A0h
mov     [ebp+var_1E], 5Eh ; '^'
mov     [ebp+var_1D], 0CBh
mov     [ebp+var_1C], 2Ch ; ','
mov     [ebp+var_1B], 16h
mov     [ebp+var_1A], 28h ; '('
mov     [ebp+var_19], 29h ; ')'
mov     [ebp+var_18], 0FEh
mov     [ebp+var_17], 0FFh
mov     [ebp+var_16], 33h ; '3'
mov     [ebp+var_15], 46h ; 'F'
mov     [ebp+var_14], 0Eh
mov     [ebp+var_13], 57h ; 'W'
mov     [ebp+var_12], 82h
mov     [ebp+var_11], 22h ; '"'
mov     [ebp+var_10], 52h ; 'R'
mov     [ebp+var_F], 26h ; '&'
mov     [ebp+var_E], 2Bh ; '+'
mov     [ebp+var_D], 6Eh ; 'n'
mov     [ebp+var_C], 0E4h
mov     [ebp+var_B], 82h
mov     [ebp+var_A], 24h ; '$'
"""
pattern = r',\s*(\S+)h'
data_list = re.findall(pattern, s)
print(data_list)
data_list = ['0x' + x for x in data_list]
print(data_list)
data_list = [int(j, 16) for j in data_list]
print(data_list)
key = 'you_are_master'
key = 'you_are_master'
key_list = [ord(c) for c in key]
flag = rc4_decrypt(data_list, key_list)
print(flag)

 第二种方法:

写idc脚本:进行解密。

for i in range(0x41d000,0x41E600):
    patch_byte(i,get_wide_byte(i)^3)

 

 

 

 

liqingdi437
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HDCTF2023复盘
adorkablezhenbai的博客
04-23 303
比赛时思路还是太局限,做的时候感觉很懵。
HDCTF2023 Writeup
S4n_v1的博客
04-23 2786
HDCTF2023 wp,pwn 全部,web 2/6,crypto 4/5,reverse 6/7,misc 3/5 题解。
HDCTF2023 - Reverse方向全WP
Sciurdae的博客
11-20 943
不像是花指令,那应该就是SMC了,本来想用动调的,但这里加了反调试,不知道怎么去除,结合前面得到的key,找修改的地方。俩处加密,第一处对一句话进行一个f(x,y)的加密,这里加密用到了俩个伪随机数。再结合flag 为 28 位,可以得到,“I want to play basketballI w”再结合flag 为 28 位,可以得到,“I want to play basketballI w”之后,选中有用的数据U未定义一下,再P创建函数,F5反编译,得到。一个01背包问题,动态规划,写个EXP解决。
[BUUCTF] RSA WP
designer545的博客
10-31 781
[BUUCTF]rsa WP
ENC28J60_ENC28J60_zip_
10-03
ENC28J60是一款由Microchip Technology公司生产的高性能、低成本的以太网控制器,主要应用于嵌入式系统。在本文中,我们将深入探讨这款芯片的主要特性、功能、工作原理以及如何在实际项目中进行应用。 ENC28J60是...
驱动源码 enc28j60
06-08
《驱动源码 ENC28J60:深入解析与应用》 ENC28J60是一款广泛应用在嵌入式系统中的以太网控制器,由Microchip Technology公司生产。这款芯片以其小巧的封装尺寸、较低的功耗以及丰富的功能集,受到了众多开发者的...
ENC28J60以太网模块资料_ENC28J60_
10-01
ENC28J60以太网模块是一款广泛应用在嵌入式系统中的网络接口控制器,它由Microchip Technology公司设计生产。这款芯片具有独立的SPI(串行外围接口)通信能力,使得它能与各种微处理器或微控制器进行高效的数据交换...
CTF 2 Cipher.enc
最新发布
Stay hungry, stay foolish.
02-01 426
由于给定字符串"10107E0AE50ECB0000010107E0C0FFEE"是32位长度的十六进制数,转换为二进制后是128位长度,因为AES密钥通常是128位、192位或256位,首先尝试AES解密。由于此处并未给出IV/Counter等信息,先尝试使用ECB。首先查看文件内容,cat cipher.enc。发现乱码不能正常显示,尝试使用二进制。
CTF ——crypto ——RSA原理及各种题型总结
热门推荐
小锤队长的博客
09-23 6万+
RSA原理及各种题型总结 Table of Contents 一,原理: 信息传递的过程: rsa加密的过程: 二,CTF 中的 常见的十种类型: 1,已知 p ,q,e 求 d? 2,已知 n(比较小),e 求 d? 3,已知 公钥(n, e) 和 密文 c 求 明文 m? 4,已知密文文件 flag.enc / cipher.bin /flag.b64和 公钥文件 ...
enc 虎符CTF
re1wn
05-04 3804
enc 虎符ctf
CTF之Crypto新手入门
qq_33458986的博客
11-23 1万+
心路历程 2019年8月中旬,到了现在的实验室,从零开始学习CTF的相关内容,这里记录一下自己的学习经历。 19年8月中旬至19年9月开学 看了《密码编码学与网络安全》的大部分内容,因为队内缺少一个crypto方向的人,所以我需要研究这一方向的东西,首先做了攻防世界网站里面的新手题目,对它考查的内容有了初步的认识,有加密和编码的内容,加密包含了几种密码:栅栏密码,摩斯密码,RSA密码,轮转机,培根...
基于一道newstarctf中的逆向题学习XTEA解密
qq_62074533的博客
12-04 1378
CTF中XTEA解密算法的理解与具体实战
红队渗透靶场之prime1.0(超详细!)
xf555er的博客
01-03 1297
WordPress是一个免费的开源内容管理系统(CMS),可以用来创建和管理网站或博客。它是由PHP语言和MySQL数据库构建的,并且拥有大量的插件和主题,可以让您轻松地自定义网站的外观和功能。
ctf-实验吧-crypto
zhang14916的博客
07-27 4646
1.trivial 下载文件解压,得到一个py文件,里面又一个加密算法,这是一个类移位加密,加密算法的key和加密之后的密文已知,然后对每个明文在不同范围内进行移位加密,直接解密即可 #!/usr/bin/env python import sys alphaL = "abcdefghijklnmopqrstuvqxyz" alphaU = "ABCDEFGHIJKLMNOPQRSTUVQ...
CTF考核writeup(1)
一段旅途
11-23 4211
在sql注入、文件上传和文件包含问题上,可以学到一些新思路。
Microchip ENC28J60 SPI接口以太网控制器datasheet
ENC28J60是一款专为嵌入式网络应用设计的独立以太网控制器,它由Microchip Technology Inc.制造。这款数据手册,DS39662A_CN,提供了关于该芯片的详细规格、功能和操作指南。它集成了串行外围接口(SPI)通信,使得...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值