BUUCTF-[ACTF新生赛2020]usualCrypt

已于 2022-07-06 17:13:47 修改
阅读量309 收藏
点赞数
分类专栏: 逆向 文章标签: 大数据
于 2022-07-06 15:08:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuzejie1/article/details/125634556
版权

使用ida打开程序,找到main函数:

 观察发现:

sub_403CF8()是输出函数。

sub_401080()是关键加密函数。

while循环是比较操作,byte_40E0E4存放了加密后的密文,长度未知。

导出密文数据:

c = 'zMXHz3TIgnxLxJhFAdtZn2fFk3lYCrtPC2l9'

进入关键加密函数,观察:

 分析出flag经过加密函数1->变异的base64加密->加密函数2得到密文。

逆向过程:

先分析加密函数2sub_401030():

ida中有宏定义#define HIDWORD(x) (((_DWORD)&(x)+1))

将密文的大写字母变小写,小写字母变大写。

解密脚本:

if __name__ == '__main__':
    c = 'zMXHz3TIgnxLxJhFAdtZn2fFk3lYCrtPC2l9'
    m = ''
    for i in c:
        if 'Z'>=i>='A':
           m += chr(ord(i)+32)
        elif 'z' >= i >= 'a':
            m += chr(ord(i) - 32)
        else:
            m += i
    print(m)

ZmxhZ3tiGNXlXjHfaDTzN2FfK3LycRTpc2L9

也可以使用函数:

if __name__ == '__main__':
    c = 'zMXHz3TIgnxLxJhFAdtZn2fFk3lYCrtPC2l9'
    m = c.swapcase()

查看加密函数1:

发现改变了base64的表:

仿写加密函数1:

    for i in range(6,15):
        v1 = base64list[i + 10]
        base64list[i+10]= base64list[i]
        base64list[i]=v1
    for i in range(len(base64list)):
        print(chr(base64list[i]),end='')

结果如下:

ABCDEFQRSTUVWXYPGHIJKLMNOZabcdefghijklmnopqrstuvwxyz0123456789+/

使用新的表进行base解密即可,完整代码:

import base64

if __name__ == '__main__':
    c = 'zMXHz3TIgnxLxJhFAdtZn2fFk3lYCrtPC2l9'
    m = ''
    for i in c:
        if 'Z'>=i>='A':
           m += chr(ord(i)+32)
        elif 'z' >= i >= 'a':
            m += chr(ord(i) - 32)
        else:
            m += i
    base64list=[ 65,  66,  67,  68,  69,  70,  71,  72,  73,  74, 75,  76,  77,  78,  79,  80,  81,  82,  83,  84, 85,  86,  87,  88,  89,  90,  97,  98,  99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110, 111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122,  48,  49,  50,  51,  52,  53,  54,  55, 56,  57,  43,  47]
    base64list0='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
    base64list1 = ''
    for i in range(6,15):
        v1 = base64list[i + 10]
        base64list[i+10]= base64list[i]
        base64list[i]=v1
    for i in range(len(base64list)):
        base64list1 += chr(base64list[i])
    print(base64.b64decode(m.translate(str.maketrans(base64list1, base64list0))))

flag{bAse64_h2s_a_Surprise}

耐121
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu-[ACTF新生2020]usualCrypt
qaq517384的博客
03-02 536
32位无壳 又是一个直接退出的 留意一下特殊字符 (先猜一个base扔在这里 跟进main函数
[buuctf][ACTF新生2020]usualCrypt
逆向萌新的博客
07-02 1120
[ACTF新生2020]usualCrypt
[BUUCTF]REVERSE——[ACTF新生2020]usualCrypt
mcmuyanga的博客
11-30 664
[ACTF新生2020]usualCrypt 附件 步骤: 例行检查,无壳,32位程序 32位ida载入,直接看main函数 逻辑很简单,一开始让我们输入一个字符串,然后该字符串经过sub_401080()函数加密,加密后得到byte_40E0E4里面的数据zMXHz3TIgnxLxJhFAdtZn2fFk3lYCrtPC2l9 看一下sub_401080函数 头部有一个sub_401000函数,中间看运算特征码可以判断是base64加密,尾部一个sub_401030函数 先从sub
BUU-[ACTF新生2020]usualCrypt
qq_45771413的博客
04-19 796
查壳 无壳 IDA 进入关键函数: 题目叫base,这里的伪代码也确实像base。接下来就该找table了。 在伪代码的位移和与操作中,byte_40e0a0重复出现。大概率是table。 但是byte_40E0A0缺斤短两,一看就不是正常table。 这里倒回去看关键函数的时候发现定义变量的时候还有个 sub_401000函数: 将byte_40E0AA的6到14位与byte_40E0A0的6到14位进行调换。但是问题来了,40E0A0定义时只有10位,它是如何做到6~14位操作的…… 这里
buuctf——(ACTF新生2020)usualCrypt
yhfgs的博客
06-01 453
1。查壳。 无壳,
Jeopardy-Writeups:SniperOJ的CTF挑战比
05-18
SniperOJ的挑战文章和源代码描述平台...─ pwn│ ├── pwn100-bof-x86-64│ ├── pwn100-shellcode-x86-64│ ├── pwn150-static-x86-64│ ├── pwn200-actf-run-circles│ ├── pwn200-shorter-shellc
matlab的90个实例.rar_actf8x_matlab基础知识的90个实例
09-24
MATLAB(Matrix Laboratory)是一种强大的数学计算软件,广泛应用于工程计算、数据分析、算法开发和图形化界面构建等领域。本资源“matlab的90个实例.rar”提供了MATLAB的基础知识,通过90个实例帮助初学者掌握其...
NTFS文件系统分析
09-19
NTFS文件系统分析,比较详细的介绍,各个元文件的定义,偏移
PPJEmailPicker:UITextField替换以选择多个电子邮件
05-16
(PPJEmailPicker *) createAutoCompleteFieldWithFrame:( CGRect )frame{PPJEmailPicker * actf = [[PPJEmailPicker alloc ] initWithFrame: frame];actf. pickerDelegate = self;actf. possibleStrings = [...
潞安矿区高河井田构造样式探讨
06-24
高河井田位于沁水块坳东南部,主要含煤地层包括二叠系下统山西组和石炭系上统太原组,构造要素走向总体为近SN—NNE向。通过对高河井田构造的系统分析,划分了两大类三亚类主要构造样式,并结合实例分析了各种构造样式对...
BUUCTF Reverse/[ACTF新生2020]usualCrypt
ookami6497的博客
07-22 2459
BUUCTF Reverse/[ACTF新生2020]usualCrypt 先查看文件信息:没有加壳且为32位程序 用IDA32位打开找到main函数查看伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // esi int result; // eax int v5[3]; // [esp+8h] [ebp-74h] BYREF __int16 v6; // [esp+14
BUU_re_[ACTF新生2020]usualCrypt
ajuan的博客
08-18 377
查壳,无壳,用IDA32位打开,找到主函数,按F5查看其伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // esi int result; // eax int v5; // [esp+8h] [ebp-74h] int v6; // [esp+Ch] [ebp-70h] int v7; // [esp+10h] [ebp-6Ch] __int16 v8; // [esp+
BUUCTF--[ACTF新生2020]usualCrypt
Hk_Mayfly的博客
04-15 750
测试文件:https://lanzous.com/ibeasxg 代码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // esi int result; // eax int v5; // [esp+8h] [ebp-74h] int v6; // [esp...
buuctf-re-[ACTF新生2020]usualCrypt
qq_44625297的博客
07-20 1521
拿到程序首先查壳。 发现没有加壳,用IDA32位打开。 找到主函数。分析一下,大概就是输入,加密,然后比较。进入加密函数看一下。 int __cdecl sub_401080(int a1, int a2, int a3) { int v3; // edi int v4; // esi int v5; // edx int v6; // eax int v7; // ecx int v8; // esi int v9; // esi int v10; // esi i
buuctf刷题记录10 [ACTF新生2020]usualCrypt
ytj00的博客
07-30 1012
ida打开,进入main函数 有一个关键函数,和一个关键比较 先进入关键函数里面 最开始有一个sub_401000()函数,进入后 感觉有点像base64加密,然后这个函数是变换base64的码表,写脚本将变换后的码表求出来 #include <stdio.h> int main() { char b[]="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"; char c; int i=6; print
[ACTF新生2020]usualCrypt
qq_45317844的博客
03-20 257
正向:输入->base64转换->大小写转换=zMXHz3TIgnxLxJhFAdtZn2fFk3lYCrtPC2l9=flag逆向:zMXHz3TIgnxLxJhFAdtZn2fFk3lYCrtPC2l9->大小写转换->base转换=flag其中base64需要换表,并且这个表在sub_401000进行了一些变换,需要拿到sub_401000变换后的编码表,也就是说先逆向sub_401000程序总体解密代码。
Buuoj-reverse-ACTF新生2020_usualCrypt
bunner_的博客
02-23 252
1. 分析文件类型,是否加壳 将文件扔进exeinfope中查看,发现是无壳的32位可执行程序 2. 使用IDA对文件进行分析 此处的main函数代码较为简单,其逻辑为接收输入,用 sub_401080 函数对其进行处理,处理后的结果若与byte_40E0E4 处字符串相同,则该输出即为flag。所以我们的重点应该放在 sub_401080 函数上。 分析 sub_401080 函数的逻辑 从上面两幅图的分析中可以得到,函数sub_401080的作用就是进行base64编码,**只是它还将原本的编
buu题解-[ACTF新生2020]usualCrypt
m0_73393932的博客
02-25 399
逆向
ACTF新生2020]base64隐写
最新发布
07-27
根据引用\[1\]中的脚本,这段代码是用于解决ACTF新生2020中的base64隐写问题的。该问题涉及到一个名为"abcc.txt"的文件,其中包含了经过base64编码的字符串。脚本通过比较经过隐写处理的字符串和原始字符串的差异...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值