[QCTF2018]Xman-babymips

最新推荐文章于 2023-09-12 20:49:39 发布
最新推荐文章于 2023-09-12 20:49:39 发布
阅读量764 收藏 2
点赞数
分类专栏: CTF-RE 文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46296905/article/details/115680710
版权

exeinfope打开,为32位程序。
ida32打开后发现是MIPS指令集。
在这里插入图片描述
Ida7.5(ida7.0需要额外加插件)直接F5一键反编译。如下:
在这里插入图片描述

双击查看fdata,第一个strncmp是判断输入格式的,我们重点还是看sub_4007F0函数。
在这里插入图片描述
直接双击进入sub_4007F0(v5)函数,加密过程很容易就能看出是循环移位操作:
在这里插入图片描述
查看关键字符串Off_410D04如下:
在这里插入图片描述
接下来就可以写exp了,注意要防止移位过程中的溢出:

a=[0x52,0xfd,0x16,0xa4,0x89,0xbd,0x92,0x80,0x13,0x41,0x54,0xa0,0x8d,0x45,0x18,0x81,0xde,0xfc,0x95,0xf0,0x16,0x79,0x1a,0x15,0x5b,0x75,0x1f]
flag=''
for i in range(0,len(a)):
	if i%2==0:
		a[i]= (a[i]&0x3f) << 2 | (a[i]&0xc0) >> 6   #相当于循环左移2位(里面的与操作是为了防止溢出)
		flag+=chr(a[i]^0x20 - i-5)
	else:
		a[i]=(a[i]&0xfc) >> 2 | (a[i]&0x3 ) << 6     #相当于循环右移2位(里面的与操作是为了防止溢出)
		flag+=chr(a[i]^0x20 - i-5)
print('flag{'+flag)

得到flag
在这里插入图片描述

Em0s_Er1t
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buu-[QCTF2018]Xman-babymips
qaq517384的博客
04-12 508
32位elf文件,MIPS指令集 在gayhub上下载有关ida的插件 根据ida-master/plugins的readme文件安装插件
[QCTF2018]Xman-RSA
2er0!=O的博客
08-01 465
[QCTF2018]Xman-RSA 附件: ciphertext: 1240198b148089290e375b999569f0d53c32d356b2e95f5acee070f016b3bef243d0b5e46d9ad7aa7dfe2f21bda920d0ac7ce7b1e48f22b2de410c6f391ce7c4347c65ffc9704ecb3068005e9f35cbbb7b27e0f7a18f4f42ae572d77aaa3ee189418d6a07bab7d93beaa365c9834
[buuctf.reverse] 068_[QCTF2018]Xman-babymips
weixin_52640415的博客
05-11 263
MIPS能反编译就不再有障碍
buuctf————[QCTF2018]Xman-babymips
yhfgs的博客
10-06 428
1、查壳。 无壳,32位。 2.IDA反编译。 两个位置有加密。 第一个位置: 第二个位置: 大体思路:前五位就是第一个位置加密,之后的是两个位置一起加密得出。 前五位很好得逆出:qctf{ 之后的位置我一开始想要逆出来。(太自信了,我还是个菜鸡)发现不会,就搜了大佬的wp (大部分是爆破出来的)发现他的解密脚本有位置看不懂,转战爆破。 贴出来:(不知道&的值是怎么来的,还是太菜了。) 3爆破脚本。(%0x100是为了防止溢出。) 4.get...
BUUCTF Reverse/[QCTF2018]Xman-babymips
最新发布
ookami6497的博客
09-12 247
一个移位和按位与操作,直接爆破就行。32位程序,代码很简单。
BUUCTF-[QCTF2018]X-man-Keyword
m0_67507776的博客
05-02 2040
1.开局一张图片 2.用binwalk、stegsolve等没有发现异常。在kali用LSB-cloacked-pixel-master工具有内容 python2 lsb.py extract attachment.png 001.txt lovekfc 3.查看txt文本,得到密文 PVSF{vVckHejqBOVX9C1c13GFfkHJrjIQeMwf} 4.根据提示将keyword放到前面,从26个英文字母里把 “lovekfc”提出来放到前面制作密钥 lovekfca..
qctf-school-2015:QCTF 学校 2015
06-06
QCTF 学校 2015 这是 QCTF School 2015 竞赛的开发库 - 面向学童的面对面 CTF 竞赛,由 Hackerdom 团队举办( )。 比赛于2015年5月10日举行。 QCTF校规可在大赛官网查看- 任务文件夹包含任务。 每个任务都在...
攻防世界babymips
qq_48274326的博客
01-11 482
发现是MIPS,ida7.5支持直接反编译 进入主函数 int __fastcall main(int a1, char **a2, char **a3) { int result; // $v0 int i; // [sp+18h] [+18h] BYREF char v5[36]; // [sp+1Ch] [+1Ch] BYREF setbuf((FILE *)stdout, 0); setbuf((FILE *)stdin, 0); printf("Give me your
babymips
Tiany的博客
08-14 199
攻防世界babymips
XCTF babymips
qq_41071646的博客
05-10 1017
这个题 一看就有点不对劲。 拖入ida 里面这个指令有感觉有点问题。 这是啥。。。。 后来 看了一下官方的题解 说是另一种 架构 mips 什么鬼 然后说是ida 有一个插件 但是我没有搞定。。。 要是有大佬搞定了 还麻烦指教一下 然后我们就下载另一个插件 jeb(这玩意还挺难搞定的) 搞成之后 看起来就舒服很多了 不过 还是要吐槽这个 东西确实不是很好用。(或许我没有g...
攻防世界 Reverse高手进阶区 3分题 babymips
闵行小鱼塘
01-20 467
继续ctf的旅程,攻防世界Reverse高手进阶区的3分题,本篇是babymips的writeup
攻防世界逆向高手题的babymips
沐一 · 林 的博客
09-07 727
攻防世界逆向高手题之babymips 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的babymips 下载附件,照例扔入exeinfope中查看信息: 32位无壳,照例扔入IDA32中查看伪代码,有main函数看main函数: (这里积累第一个经验) 第一个框是对用户输入惊醒每位的异或操作,因为i的地址和input_flag的地址在main函数栈中相差4而已。 第二个框就是取异或后的前五个字符与明文比较,如果相同就继续对剩下的27个字符继续操作。这里要注意的是sub_4007F0(input
babymips(上) 寒假逆向生涯(14/100)
寻梦&之璐
01-18 2535
babymips 这题呢,看名字就知道,不出所料,还是mips指令,挺简单的,懒得找插件,直接分析吧,锻炼锻炼自己 开战 lui $v0, 0x40 addiu $a0, $v0, (aGiveMeYourFlag - 0x400000) # "Give me your flag:" jal printf nop addiu $v0, $fp, 0x48+var_2C move $a1, $v0 lui $v0, 0x40 addiu $a0, $v0, (a32
babymips(下) 寒假逆向生涯(14/100)
寻梦&之璐
01-18 1880
主要核心代码 var_10= -0x10 var_8= -8 var_4= -4 arg_0= 0 addiu $sp, -0x28 sw $ra, 0x28+var_4($sp) sw $fp, 0x28+var_8($sp) move $fp, $sp sw $a0, 0x28+arg_0($fp) li $v0, 5 sw $v0, 0x28+var_10($fp) b loc_400910 nop loc_400910:
攻防世界 reverse babymips
09-23 495
babymips XCTF 4th-QCTF-2018 mips,ida中想要反编译的化需要安装插件,这题并不复杂直接看mips汇编也没什么难度,这里我用了ghidra,直接可以查看反编译。 1 void FUN_004009a8(void) 2 3 { 4 int iVar1; 5 int i; 6 byte input [36]; ...
[UTCTF2020]babymips 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
06-22 567
可以看出将输入字符串进行异或加密之后,判断前5位,就是“flag{”,然后进入 sub_4007F0(v5)进行移位加密后判断五位之后的字符。跟进,加密后的字符串。
[转组第2天] | baby_mips和android xss的调研
weixin_30807779的博客
04-26 129
2018-04-25 DDCTF re1:(baby_MIPS) 参照夜影大佬和henryZhao的wp.   1. 利用qemu运行MIPS程序:     baby_mipsMIPS指令集上的程序,IDA只能静态分析,不能debug。采取的方法是在linux机上安装qemu模拟器,利用qemu来运行MIPS指令程序。经尝试,baby_mips是小字端程序,使用指令,运行程序。运...
BUUCTF Crypto [QCTF2018]Xman-RSA wp
hsqGOD's blog
04-18 813
这题其实还是挺麻烦的,首先先还原给的加密脚本如下: from gmpy2 import is_prime from os import urandom import base64 def bytes_to_num(b): return int(b.encode('hex'), 16) def num_to_bytes(n): b = hex(n)[2:-1] b...
攻防世界 newscenter
09-08
最后,通过执行以下SQL语句search=-1' union select 1,version(),group_concat(fl4g) from secret_table --,我们可以得到flag的值为QCTF{sq1_inJec7ion_ezzz}。这是一个CTF比赛中的一个关卡,攻防世界的NewsCenter...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Em0s_Er1t

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值