buu [2019红帽杯]childRE wr

最新推荐文章于 2023-06-15 22:31:54 发布
最新推荐文章于 2023-06-15 22:31:54 发布
阅读量1.1k 收藏 1
点赞数 2
分类专栏: 逆向 C++函数名修饰 ida64 文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuxiaohuai_/article/details/111406401
版权

这个题是有一定难度的,它考的知识点不是特别常见,对于萌新来说。

解题步骤:

1、

下载完附件之后先进行查壳在这里插入图片描述
无壳,我们直接拖进ida64中。通过shift+f12查看字符串在这里插入图片描述
找到输出flag的字符串通过这个字符串直接进入这个题的关键函数f5查看伪c代码并进行初步分析
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

通过简单的分析我们可以先写脚本求出outputString[]中的内容


s3478 = "(_@4620!08!6_0*0442!@186%%0@3=66!!974*3234=&0^3&1@=&0908!6_0*&"
s3438 = "55565653255552225565565555243466334653663544426565555525555222"
s = '1234567890-=!@#$%^&*()_+qwertyuiop[]QWERTYUIOP{}asdfghjkl;,ASDFGHJKL:"ZXCVBNM<>?zxcvbnm,./'
p = ''
for i in range(62):
    p += chr(s.index(s3478[i]) + s.index(s3438[i])*23 )#这里有点难懂。先要理清楚a/b = c ...... d a除以b等于c余d 商是c 余数是d。则有c*b+d = a
                                                       #这里通过index()函数返回的值其实就是得到了v11%23的值d和v11/23的值c。然后再用c*23+d就得到了原来outputString中的值  
print (p)

输出为:private: char * _[添加链接描述](https://www.freesion.com/article/6515734088/)_thiscall R0Pxx::My_Aut0_PWN(unsigned char *)

2、

查看UnDecorateSymbolName()函数在这里插入图片描述

了解并理解这个函数是解题的重中之重!!!!

该函数第一个参数为输出地址、第二个参数为未修饰的名字、第三个参数为长度、第四个参数为0表示完全修饰

以下所有资料摘自:https://blog.csdn.net/liweigao01/article/details/78351464

资料一:
无论 __cdecl,__fastcall还是__stdcall调用方式,函数修饰都是以一个“?”開始,后面紧跟函数的名字。
再后面是參数表的開始标识和 依照參数类型代号拼出的參数表。

v2 = ?My_Aut0_PWN

资料二:
对于C++的类成员函数(其调用方式是thiscall)。
函数的名字修饰与非成员的C++函数稍有不同,首先就是在函数名字和參数表之间插入以“@”字 符引导的类名。

v2 = ?My_Aut0_PWN@R0Pxx

资料三:

其次是參数表的開始标识不同,公有(public)成员函数的标识是“@@QAE”,保护(protected)成员函数的标识是 “@@IAE”,私有(private)成员函数的标识是“@@AAE”,
假设函数声明使用了constkeyword,则对应的标识应分别为 “@@QBE”,“@@IBE”和“@@ABE”。

应为函数是private私有成员
所以v2 = ?My_Aut0_PWN@R0Pxx@@AAE
之后就是添加参数,先添加反回值类型参数,在添加函数形参。

资料四:
參数表的拼写代号例如以下所看到的: 
X--void    
D--char    
E--unsigned char    
F--short    
H--int    
I--unsigned int    
J--long    
K--unsigned long(DWORD) 
M--float    
N--double    
_N--bool 
U--struct 
.... 
指针的方式有些特别。用PA表示指针,用PB表示const类型的指针。

这一题的函数返回值类型为 char * 对应PAD
所以v2 = ?My_Aut0_PWN@R0Pxx@@AAEPAD
形参类型为unsigned char * 对应PAE
所以v2 = ?My_Aut0_PWN@R0Pxx@@AAEPADPAE

资料五:
參数表后以“@Z”标识整个名字的结束。假设该函数无參数,则 以“Z”标识结束。

最终v2 = ?My_Aut0_PWN@R0Pxx@@AAEPADPAE@Z

另一种方法:https://www.cnblogs.com/Mayfly-nymph/p/11869959.html

#include <iostream>

class R0Pxx {
public:
    R0Pxx() {
        My_Aut0_PWN((unsigned char*)"hello");
    }
private:
    char* __thiscall My_Aut0_PWN(unsigned char*);
};

char* __thiscall R0Pxx::My_Aut0_PWN(unsigned char*) {
    std::cout << __FUNCDNAME__ << std::endl;

    return 0;
}

int main()
{
    R0Pxx A;

    system("PAUSE");
    return 0;
}

得到:?My_Aut0_PWN@R0Pxx@@AAEPADPAE@Z

3、

之后就是分析这里在这里插入图片描述
我们直接动态调试。在这一句下断点在这里插入图片描述
输入31位字符串
在这里插入图片描述

然后f7单步调试在这里插入图片描述
进入这个函数发现这里的name也就是v2我们已经算出来了,然后发现是一个result给他赋的值
汇编代码为
在这里插入图片描述
这里al就是result的值,记录al的值(这里需要有点耐心。慢慢来一步一步走。别漏了!)
在这里插入图片描述

得到0x50, 0x51, 0x48, 0x52, 0x53, 0x49, 0x44, 0x54, 0x55, 0x4a, 0x56, 0x57, 0x4b, 0x45, 0x42, 0x58, 0x59, 0x4c, 0x5a, 0x5b, 0x4d, 0x46, 0x5c, 0x5d, 0x4e, 0x5e, 0x5f, 0x4f, 0x47, 0x43,
接着f7得到在这里插入图片描述

v2就是name ,此时v4 = 1E
在这里插入图片描述
点进汇编查看此时v5为0x41
在这里插入图片描述

最后上脚本:

a = "?My_Aut0_PWN@R0Pxx@@AAEPADPAE@Z"
b = 0x50, 0x51, 0x48, 0x52, 0x53, 0x49, 0x44, 0x54, 0x55, 0x4a, 0x56, 0x57, 0x4b, 0x45, 0x42, 0x58, 0x59, 0x4c, 0x5a, 0x5b, 0x4d, 0x46, 0x5c, 0x5d, 0x4e, 0x5e, 0x5f, 0x4f, 0x47, 0x43, 0x41 
c = list(a)
for i in range(0,len(a)):
    c[b[i]-0x41] = a[i]
a = ''.join(c)
print(a)

得到:Z0@tRAEyuP@xAAA?M_A0_WNPx@@EPDP
最后在MD5 就行了!

flag{63b148e750fed3a33419168ac58083f5}

liuxiaohuai_
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[2019红帽杯]childRE
weixin_61154173的博客
03-05 686
这道题涉及到c++函数的修饰规则,按照规则来看应该是比较容易理解的。上面博客中有总结规则,可以学习一下。载入IDA可以知道用户输入长度是31,然后好像就看不出来啥。看下部分IDA可以知道最终flag为用户输入的MD5加密形式。然后上面有一个do...while()循环,里面又有一个操作,为了不触发exit()退出程序,所以上面比较的值肯定相等,而a1234567890Qwer[]数组和0x140003478i64,0x140003438i64地址处的数据已知。
[2019红帽杯]CHILDRE(c++逆向+函数调用约定+c++修饰符转换+异或+黑盒分析+爆破)
qq_54894802的博客
06-14 526
官方文档,大致可以知道这个函数的作用就是将我们的flag进行转换,转换成了c++函数模式。也就是说我们的flag就是outoutstring,这个函数的。了解之后,我们可以将未转换的outoutstring得出:?我们输入31个有序数据,12345ABCDEFGHIJKLMNOPQRSTUWXYZ,对于这一堆函数,我们进行动态调试,我们输入有序字母。通过这里,我们可以判断出我们的flag有着31位。进入这个函数,我们可以发现。
第45天:红帽杯2019-childRE(一)
S1lenc3的博客
12-15 430
1.上午考四级,来年再战。 2.下午出去玩了,没学习。 3.放弃学习是不可能的,今天待在实验室了。 今天打算复现一下childRE,直接拖到IDA,代码好长,我好害怕。 搜索关键字符串定位函数。 三处Sleep,直接patch,推荐一个IDA的patch插件,之前的博客也提到过, 然后,这TM是啥。。。。对我这个菜鸡来说,只有自闭了。 这是STL,我压根不会。。。。 没办法...
BuuCTF [2019红帽杯]easyRE
m0_74154467的博客
06-15 363
Buuctf解题思路
第46天:红帽杯2019-childRE(二)
S1lenc3的博客
12-15 381
昨天说到处理完输入了,今天把这道题干掉了,一定要有耐心,慢慢调试。 把输入的三个数设为x,y,z。 断到这里, 注释都标注了,自己分析一下。 在这里,发现goto到label_47就直接到运行结束了,没有flag,所以就不让他跳转,就要满足x<z 类似的,也要满足y<x。继续单步,来到一堆计算的地方。 这里是计算位数的。 这都是一步一步分析的,没什么说...
2020网鼎杯青龙组Boom
05-12
【标题】"2020网鼎杯青龙组Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙组"可能是比赛中的一个分组或者阶段,可能...
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
2020年网鼎杯青龙组赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
红帽杯——childRE
寻梦&之璐
04-05 1354
查壳 拖进ida main函数 signed __int64 main() { signed __int64 v0; // rax __int64 v1; // rax const CHAR *v2; // r11 __int64 v3; // r10 __int64 v4; // r9 const CHAR *v5; // r10 signed __int64 v6; // rcx __int64 v7; // rax signed __int64 result; /
2021红帽杯RE ezRev和file_store题解
abelxu
05-12 891
比赛的时候没做出来,而且坑点也挺多的,赛后复现了一下 0x01 ezRev 比赛的时候更新了题目,原本题目没有字符串提示,分析起来难度较大。题目难点是设置了很多比较坑的比较点需要patch绕过。 1.流程分析 1.输入一个16字节的flag(需要patch长度比较) 2.rand()生成a和b 3.比较a的b次方和b的a次方是否相等,且a>b。应该只有一个解就是 a=4,b=2。(需要patch rand返回值为4,2) 4.计算xtea的key,可以将sleep nop掉,因为前面步骤2,3,
2019红帽杯(RedHat)【Broadcastc & 恶臭的数据包】writeup
chen574927274的博客
11-11 2793
首先请原谅我这么菜,只解了两道题还来发Blog; 【Broadcastc】 这题不多说,直接解压得到task.py打开获取flag 【恶臭的数据包】 首先下载压缩包解压得到数据包 Wireshark打开什么都看不懂,直接百度; 按照教程 把数据包丢到Kali 先看看ESSID 然后再破解WiFi密码 得到WiFi密码 12345678 打开Wireshark 编辑-...
2021第四届红帽杯网络安全大赛-线上赛Writeup
末初的CSDN博客
05-10 1万+
文章目录MISC签到colorful codeWEBfind_itframeworkWebsiteMangerezlight 记录一下被锤爆的一天…orz MISC 签到 签到抢了个二血2333,第一次拿二血呜呜呜,虽然是签到,还是很激动。 附件名称叫EBCDIC.zip 010Editor直接选择EBCDIC编码 flag{we1c0me_t0_redhat2021} colorful code WEB find_it 目录扫描发现robots.txt 存在1ndexx.php,直接访问并
2017广东省红帽杯网络安全攻防大赛writeup
热门推荐
Ni9htMar3的博客
05-07 1万+
签到 brian(Y) WEB 刮刮乐 PHPMyWIND 后台 thinkseeker PWN pwn1 pwn2 pwn4 pwn5
2021 红帽杯 pwn parser
yongbaoii的博客
05-11 467
不出意外的全绿。 主函数循环读。 这个地方有个陌生的函数,alloca。 C 语言里有一个 alloca 函数,可以在堆栈上分配一块内存,当前函数退出时,由于系统堆栈指针的调整,这块内存会被自动回收。 alloca 的函数原型是 void * alloca(size_t size); 它的汇编代码很简单,就两句 sub esp,eax mov rax,rsp 他做的就是在栈上开空间,esp减长度,然后地址放在eax中。 alloca中的算式作用是让你的输入的长度对齐,对齐到16字节,.
buu cipher
最新发布
10-23
Buu Cipher 是一种对称加密算法,也被称为布式密码。它是一种较为简单的加密算法,基于置换和替代的原理进行加密和解密。Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中的不同位置,增加了密文的复杂性。 其次,扩散步骤通过将每个字符替换为另一个字符来进一步混淆数据。此替换过程可以由算法中的扩散函数完成,该函数使用密钥和置换表来生成相应的替代字符。这样,明文中的每个字符都将被替换为不同的字符。 解密过程与加密过程相反。先使用相同的密钥和置换表进行扩散的逆向操作,将密文中的每个字符恢复为替代字符。然后使用相同的密钥和置换表进行混淆的逆向操作,恢复密文中字符的顺序,即可得到原始的明文。 尽管 Buu Cipher 是一种较为简单的加密算法,但它仍可以提供基本的保密性,以防止未授权者对加密数据的解读。然而,它的加密强度相对较低,可能容易受到密码分析方法的攻击。因此,在实际应用中,我们可能需要结合其他更为复杂和安全的加密算法来提高数据的保密性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值