[BUU]HellScream

最新推荐文章于 2023-11-28 11:38:56 发布
最新推荐文章于 2023-11-28 11:38:56 发布
阅读量1k 收藏 4
点赞数 4
分类专栏: CTF-RE 文章标签: rsa 密码学 安全 信息安全 字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46296905/article/details/116382650
版权

题目:[BUU]HellScream

0x00 RSA

这题比较烧脑,考察的是rsa算法,先简单了解一下rsa:
在这里插入图片描述

0x01

本篇文章的OD测试flag是“1234567890ABCDEF12345”,不再赘述。

这个程序先对一个给定的长字符串取出每个字符,依次转化成数据(‘A’——>A),然后经过两个函数sub_4019F0和sub_401940的处理,
在这里插入图片描述
先看看sub_4019F0函数,

int __usercall sub_4019F0@<eax>(int *a1@<ecx>, int *a2@<esi>)
{
  int v2; // eax
  int v3; // edx
  char *v4; // edi
  char *v5; // ecx
  int v6; // ebx
  int v7; // edi
  __int64 v8; // kr00_8
  bool v9; // zf
  int v10; // eax
  int v12; // [esp+10h] [ebp-8h]
  int v13; // [esp+14h] [ebp-4h]

  v2 = *a1;
  v3 = 0;
  v4 = (a1 + 1);
  v5 = (a2 + 1);
  if ( v2 )
  {
    v6 = 0;
    if ( v2 > 0 )
    {
      v7 = v4 - v5;
      v12 = v7;
      v13 = v2;
      while ( 1 )
      {
        v8 = v3 + 16i64 * *&v5[v7];
        *v5 = v8;
        v5 += 4;
        v9 = v13-- == 1;
        v3 = HIDWORD(v8);
        if ( v9 )
          break;
        v7 = v12;
      }
      v6 = v2;
    }
    a2[v6 + 1] = v3;
    *a2 = v6;
    do
    {
      if ( a2[*a2 + 1] )
        break;
      v10 = *a2 - 1;
      *a2 = v10;
    }
    while ( v10 >= 0 );
    if ( ++*a2 > 128 )
    {
      *a2 = 128;
      return 4099;
    }
  }
  else
  {
    *a2 = 0;
  }
  return 0;
}

动调一下看出eax寄存器放的是下标,ebx放的是值,esi和ecx放的是内存单元00978680的地址。
在这里插入图片描述
数据窗口中跟随00978680,然后F7步入发现无实际作用。内存单元中值不曾改变
在这里插入图片描述
继续看下一个函数sub_401940,

int __usercall sub_401940@<eax>(int *a1@<eax>, unsigned int a2@<ecx>)
{
  int v2; // edx
  int v3; // ecx
  int result; // eax
  int v5; // esi
  int v6; // ecx
  _DWORD *v7; // edx
  int v9; // ecx
  int v10; // ecx

  v2 = *a1;
  if ( *a1 )
  {
    a1[1] += a2;
    v5 = 1;
    if ( a1[1] < a2 )
    {
      if ( v2 == 1 )
      {
        a1[2] = 1;
        v5 = 2;
      }
      else
      {
        v6 = a1[2] + 1;
        a1[2] = v6;
        if ( !v6 )
        {
          v7 = a1 + 2;
          while ( 1 )
          {
            ++v5;
            ++v7;
            if ( v5 >= *a1 )
              break;
            if ( (*v7)++ != -1 )
              goto LABEL_15;
          }
          a1[v5 + 1] = 1;
        }
LABEL_15:
        ++v5;
      }
    }
    if ( v5 >= *a1 )
    {
      v9 = v5 - 1;
      if ( v5 - 1 >= 127 )
        v9 = 127;
      *a1 = v9;
      if ( v9 >= 0 )
      {
        do
        {
          if ( a1[*a1 + 1] )
            break;
          v10 = *a1 - 1;
          *a1 = v10;
        }
        while ( v10 >= 0 );
      }
      ++*a1;
    }
    result = v5 <= 128 ? 0 : 0x1003;
  }
  else
  {
    a1[1] = a2;
    *a1 = 0;
    do
    {
      if ( a1[*a1 + 1] )
        break;
      v3 = *a1 - 1;
      *a1 = v3;
    }
    while ( v3 >= 0 );
    ++*a1;
    result = 0;
  }
  return result;
}

ecx和ebx中放的是数值,eax放的是内存单元00978680的地址。

F7步入然后走出发现数据读入以968084为起始的内存单元,
在这里插入图片描述
既然只是对978680内存单元的操作,直接数据窗口跟随,然后F8步过,看数据窗口的变化即可,几次循环进行下来,发现sub_4019F0进行的其实是移位操作,方便sub_401940把数据填入978684。

直接循环外下断点按F9走出循环看数据窗口,不出所料,数据被读入了978684,与字符串的一致。

(分析到后面可以发现处理的那串字符原来是rsa的那个大素数N。)
在这里插入图片描述

0x02

在输入前还有一个sub_406230函数
在这里插入图片描述
用od调试这个函数前看一下寄存器,其中ebx里放的是某内存地址跟"www.51asm.com"所存放的地址的偏移地址,eax里放的是"www.51asm.com"字符串地址978EA0,F8步过发现这个函数没什么实际意义。

然后是对输入的flag必须要是字母和数字的限制。
在这里插入图片描述
然后跟程序开头把一串字符变成大数一样,把输入的flag转化成了数据,
在这里插入图片描述
不出意外存入的是00978A94内存空间,这就是flag对应的数据(16进制大数1234567890ABCDEF12345)地址。
在这里插入图片描述
运行完循环,数据窗口中跟随00978A90,flag对应的数据已经存入00978A94
在这里插入图片描述

0x03 sub_406330

其实看函数sub_406330,这个函数被两次调用,
在这里插入图片描述
第一次传入的参数是dword_448C98("www.51asm.com"字符串的地址)和byte_448EA0(输入的flag字符串的地址,注意区分输入的flag数据的地址)。

int __fastcall sub_406330(_DWORD *a1, _BYTE *a2)
{
  size_t v2; // ebx
  _BYTE *v3; // esi
  int result; // eax
  size_t v5; // edi
  size_t v6; // ebx
  size_t i; // eax
  char v8; // cl
  int v10; // [esp+14h] [ebp-624h]
  char v11[520]; // [esp+18h] [ebp-620h] BYREF
  int v12; // [esp+220h] [ebp-418h]
  char v13[516]; // [esp+224h] [ebp-414h] BYREF
  int v14; // [esp+428h] [ebp-210h]
  int v15[130]; // [esp+42Ch] [ebp-20Ch] BYREF

  v2 = 0;
  v3 = a2;
  if ( !Size )
    return 4097;
  if ( Size == 1 )
  {
    *a2 = 0;
    return 4097;
  }
  if ( *a1 )
  {
    (sub_4018E0)();
    (sub_401910)(16);
    v10 = 0;
    if ( v14 )
    {
      v5 = 1;
      while ( 1 )
      {
        (sub_4020E0)(v11);
        v3[++v5 - 2] = byte_407104[v14 != 0 ? v15[0] : 0];
        ++v2;
        if ( v5 >= Size )
          break;
        v14 = v12;
        if ( v12 )
        {
          if ( v12 > 0 )
          {
            qmemcpy(v15, v13, 4 * v12);
            v3 = a2;
          }
          if ( v14 )
            continue;
        }
        goto LABEL_16;
      }
      v10 = 0x1001;
    }
LABEL_16:
    Size = v2;
    v6 = v2 - 1;
    v3[v6 + 1] = 0;
    for ( i = 0; v6 > i; ++i )
    {
      v8 = v3[v6];
      v3[v6] = v3[i];
      v3[i] = v8;
      --v6;
    }
    result = v10;
  }
  else
  {
    *a2 = 48;
    Size = 2;
    result = 0;
  }
  return result;
}

od动调看一下它的原理,步入这个函数前依旧是看一下的各个寄存器的值,其中edx是输入的flag所在的地址,ecx是"www.51asm.com"的地址。
在这里插入图片描述
调试几次我们可以发现这个函数其实是将用户名ascii编码成数据,再转化成字符(例:‘A’——>65——>'65’窗口输出),最后整体倒置输出,
在这里插入图片描述
在这里插入图片描述
第二次的调用异曲同工,从内存单元中读取我们之前存入的数据然后编码,原封不动的把我们的输入输出来。

0x04 sub_403E30

这个函数也是调用了两次,&dword_448C98里面存放的是"www.51asm.com",而dword_448A90存放的是我们的flag对应的大数
在这里插入图片描述
这个函数的源码比较长,而且还有ollvm混淆,就不贴上源代码了
在这里插入图片描述
直接od按F8步过并数据窗口跟随看看它们对两个地址做了什么修改,数据没有发生改变
在这里插入图片描述
在这里插入图片描述

0x05 sub_401510

这个函数应该就是关键函数了,参考别的博主的wp后知道这个函数总体流程是先生成公钥e,每次循环(一共循环100次)e会自增,每一个更新后的e会用来做一次rsa加密然后与字符串“Happy Birthday Buddy”作比较,这个循环直到比较出相同(此时成功)或者100次每一次都没有加密出 “Happy Birthday Buddy”(此时便失败),才会退出循环。

unk_448EB5存放的应该就是提示正确的字符串,其实细心点可以发现 byte_448EA0 这个地址为 “加密后的地址 + 0x15” 处的起始地址,0x15刚好是字符串"Happy Birthday Buddy"的长度+1(因为根据strcmp函数的原理,要算上\0,strcmp函数才验证成功),也就是说我们输入的flag加密出来应该就包含有成功提示信息。

所以最后程序应该是加密出来一个“Happy Birthday Buddy\0\输入正确的提示”。这个提示其实是自定义的
在这里插入图片描述

int sub_401510()
{
 int v0; // eax
 int v1; // esi
 int v2; // eax
 char v4[1048]; // [esp+10h] [ebp-830h] BYREF
 int v5; // [esp+428h] [ebp-418h] BYREF
 int v6; // [esp+630h] [ebp-210h]
 int v7[130]; // [esp+634h] [ebp-20Ch]

 v0 = 1;
 v7[1] = 0;
 v7[0] = 17;
 v6 = 1;
 do
 {
   if ( v7[v0] )
     break;
   v6 = --v0;
 }
 while ( v0 >= 0 );
 v6 = v0 + 1;
 sub_4064D0(&v5);                              // 利用用户名www.51asm.com生成初始公钥e。
 v1 = 0;
 while ( 1 )
 {
   v2 = 0;
   dword_44888C[0] = 1;
   dword_448888 = 0;
   do
   {
     if ( dword_44888C[v2] )
       break;
     dword_448888 = --v2;
   }
   while ( v2 >= 0 );
   dword_448888 = v2 + 1;
   if ( !sub_405310(&dword_448680, v4, 0) )    // 数据初始化,构造大数
     sub_401000(v5, v4);                       // rsa加密,密文存入dword_448888
   Size = 10240;
   if ( dword_448888 )
   {
     sub_4062A0();                             // 把dword_448888中的密文复制到byte_448EA0
   }
   else
   {
     memset(byte_448EA0, 0, 0x2800u);
     Size = 0;
   }
   if ( !strcmp("Happy Birthday Buddy", byte_448EA0) )// 密文与"Happy Birthday Buddy"作比较
     break;
   sub_401940(1);
   if ( ++v1 >= 100 )                          // 如果满100次就退出循环
     return 0;
 }
 return 1;
}

0x06 Crack

既然它做的是加密操作,我们反过来对字符串进行解密,后面的那个提示正确的字符串是自定义的,中间有个’\x0’用于strcmp比较函数用,所以我们设置密文为

"Happy Birthday Buddy\x0ok"

转换成大数就是

c=6B6F007964647542207961646874726942207970706148

OD动调得到初始公钥e(e是在从e到e+99间变化的)

初始e=9CA87DE3775787F7695F3F316E503600348AB6F58BEF375D0ED8F8BE84425FA7A6C3

还有程序一开始写入内存的公钥N

16进制:
N=A324F100182D501F6F6F78F397A3AA59641023D6A3DED8A4BF344F1E0FC71C188F4D
10进制形式:
N=4836049822470645700707675549457249771340211537787234319173530875014794666294415181

必要的数据有了就可以进行解密操作

N——>p,q

先用在线工具求出N的素因子
(用RSA-Tool分解太慢了,建议用在线因式分解工具或者yafu分解)
在这里插入图片描述

16进制:
p=b89eb7e0c9a568202f38b169d9d7e27b93 
q=e2389b3c14e6423ee5eb9db5dac2559f 

10进制:
p=62822928286347608648869628628072621308819
q=76979057716441943100156208562083628995999

e——>d

用RSA-Tool生成d,因为不知道哪个e与N的欧拉函数互素,所以需要e到e+99一个个尝试,发现其实e+2就已经满足了。
在这里插入图片描述
得到私钥d

d=3AD75813052BC545DAC589519734FF0972200E8E31DFA08DE50D15CFA2667132E4E1

Encrypt

网站或者工具解密一下(由于密文有自定义部分,所以答案不唯一):

274964845CCC8AAA8A0CD62B0971A23954F741240EEDD43A02F79DA2B7372D68C80C

得到flag

flag{274964845CCC8AAA8A0CD62B0971A23954F741240EEDD43A02F79DA2B7372D68C80C}

参考wp:

  • https://bbs.pediy.com/thread-214562-1.htm
  • https://bbs.pediy.com/thread-258108.htm
Em0s_Er1t
关注
专栏目录
BUUCTF-CrackMe略解
feng_2016的博客
05-09 1107
先总体看看 int __usercall wmain@<eax>(int a1@<ebx>) { FILE *v1; // eax FILE *v2; // eax char v4; // [esp+3h] [ebp-405h] char v5; // [esp+4h] [ebp-404h] char v6; // [esp+5h] [ebp-403h] char v7; // [esp+104h] [ebp-304h] char v8; // [esp+
BUU CODE REVIEW 1-[传送门->BUUCTF]
qwsn
11-23 7941
0x01、Web 1.BUU CODE REVIEW 1-[传送门->BUUCTF] 第一步:打开题目环境,点击链接,进行代码审计 <?php /** * Created by PhpStorm. * User: jinzhao * Date: 2019/10/6 * Time: 8:04 PM */ highlight_file(__FILE__); //高亮显示当前页面源码 class BUU { //类:BUU public $correct = "";
BUUCTF[极客大挑战 2019]RCE ME1
wyp106343873的博客
12-06 1244
一个个人的学习过程
2021-09-15buuctf helloworld刷题
Oops-re的博客
09-15 386
helloworld 下载附件得到一个.apk后缀的文件, 可以知道这是一道安卓逆向的题(第一次接触,不慌(º﹃º )),问工作室的哥哥要了工具AndroidKiller,将.apk文件反汇编成java代码文件 AndroidKiller工具需要配置java路径 将安装路径改为自己jdk文件的路径,然后打开helloworld.apk文件 下滑,发现flag,结束。 ...
简单逆向18
m0_49936845的博客
07-28 237
诺莫18 原题: 开始: 放入IDA: int __usercall wmain@<eax>(int a1@<ebx>) { FILE *v1; // eax FILE *v2; // eax char v4; // [esp+3h] [ebp-405h] char v5; // [esp+4h] [ebp-404h] char v6; // [esp+5h] [ebp-403h] char v7; // [esp+104h] [ebp-304h] cha
蚁景网安 CTF竞赛 HCTF-Final-Misc200
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
11-12 1313
本实验选自XCTF-HCTF杭州(杭电)站选拔赛决赛,实验综合了Wireshark网络数据包流量分析、doc文档末尾附加数据识别、DES解密、PDF隐写相关的知识。
buu-findKey
qaq517384的博客
04-04 616
32位无壳exe 运行了啥也没有 查看字符串 跟进f5查看伪代码,提示 往上翻可以看到两断一样的汇编指令 逐步交叉引用找到函数的调用位置可以发现 jz+jnz=>无条件跳转 导致了下面的jmp无法执行 然后回到最开始变红的地方 按p键定义函数 就可以正常按F5查看伪代码了 LRESULT __stdcall sub_401640(HWND hWndParent, UINT Msg, WPARAM wParam, LPARAM lParam) { int v5; // eax s
BUU CODE REVIEW 1
Kradress的博客
02-08 644
目录源码思路题解总结 源码 <?php /** * Created by PhpStorm. * User: jinzhao * Date: 2019/10/6 * Time: 8:04 PM */ highlight_file(__FILE__); class BUU { public $correct = ""; public $input = ""; public function __destruct() { try {
buu rip1
weixin_42238862的博客
10-02 1万+
文章目录前言一、看看程序有没有保护二、对程序源码进行分析1.判断溢出点2.手动测试溢出字符长度3.EXP总结 前言 本人刚刚入坑二进制不久,因为以前主玩渗透测试,所以喜欢学习理论的同时,做一些实战的题目,这不就在BUU上看到了一道pwn的入门题RIP1,但是这个题也让我知道二进制的门槛不是一般的高,第一次写文章,大佬勿喷! 一、看看程序有没有保护 常规操作,查看程序的位数以及各种保护机制!可以看到程序是linux下的程序为64位,并且没有开启任何保护 二、对程序源码进行分析 1.判断溢出点 把程序拖进
BUU 杂项【喵喵喵】
qi_SJQ_的博客
11-12 1400
时机到的知识点: 首先是lsb隐写,用stegsolve可以发现图片在r0、g0、b0是显示异常: 分析一下: 导出后可以将多余的空字节去掉,并且png文件头为8950开头,去掉前两位干扰,得到一半二维码,从题目“扫扫扫”自然想到二维码被隐去一半,爆破: 爆破png宽高脚本: import zlib import struct filename = '115.png' with open(filename, 'rb') as f: all_b = f.read() crc32key
Kernel pwn 入门 (3)
CoLin的pwn小屋
07-08 1866
kernel pwn 入门之 ret2dir
C函数之memcpy()函数用法
zou_albert的博客
03-06 1万+
目录1 基本介绍1.1 函数原型1.2 功能1.3头文件1.4 返回值2 说明3 使用例子3.1 作用:将s中的字符串复制到字符数组d中。3.2 作用:将s中第14个字符开始的4个连续字符复制到d中。(从0开始)3.3 作用:复制后覆盖原有部分数据 1 基本介绍 1.1 函数原型 void *memcpy(void*dest, const void *src, size_t n); 函数原型 void *memcpy(void *dest, const void *src, int count) {
C语言——内存操作函数(memcpy、memmove、memcmp、memset)
NunU的博客
09-18 1万+
C语言进阶内容,内存操作函数的部分模拟实现以及函数说明、使用方法等,干货满满哦!!!
memcpy函数的作用以及四种用法,后面那三种很巧妙(看完不亏)
m0_70832728的博客
07-30 1万+
memcpy() 函数到底是干什么嘞呢😕一般从函数名字里就可以看出函数的功能,此函数即可,mem是memory的缩写,cpy是copy的缩写。二者合体就是内存复制的意思。咋个复制法呢🤔我们先来看官方解释🌞但是用这个函数的时候我们要注意三个点1. 一定要注意memcpy函数第三个参数传的是待传内容的字节数举个例子,如果我们想把整形数组arr1中前五个元素传中arr2,在memcpy就要写20。为什么呢?因为arr1为整型数组,其中包含的元素也是整型,是4个字节。
memmove、memcpy和memccpy简介
merryken的专栏
06-24 867
memmove、memcpy和memccpy三个函数都是内存的拷贝,从一个缓冲区拷贝到另一个缓冲区。 memmove(void *dest,void*src,int count) memcpy(void *dest,void *src,int count) memccpy(void*dest,void*src,int ch,int count) 表头文件: #include 定义函
memcpy的用法总结
热门推荐
lovemysea的专栏
02-01 18万+
1、memcpy 函数用于 把资源内存(src所指向的内存区域) 拷贝到目标内存(dest所指向的内存区域);拷贝多少个?有一个size变量控制拷贝的字节数;函数原型:void *memcpy(void *dest, void *src, unsigned int count);用法:(1)可以拷贝任何类型的对象,因为函数的参数类型是void*(未定义类型指针),也就是说传进去的实参可以是int*
【c语言】库函数memcpy的用法以及模拟实现memcpy
Lchilde的博客
06-03 383
库函数memcpy的用法以及模拟实现memcpy 一:memcpy的用法 1:将str1复制到str2中 代码实现如下: #include<stdio.h> #include<stdlib.h> #include<string.h> int main() { const char str1[] = "This is a student"; char str2...
IDA PRO 01 - 静态逆向分析基础01
最新发布
a5right的博客
11-28 2275
如果你仔细看下日志,会发现里面报了一些错误,这是因为这个 ida 里面自带了一些插件,而这些插件依赖了 python 的一些模块,所以我们还需要安装这些模块,IDA 里面有 readme 可以看看。需要注意的是,main 函数也是会被别的函数引用的,我们可以写一个最简单的例子,然后编译成 exe 文件,看其符号表,会发现有很多的函数名,这写函数就是用来在启动 main 函数之前做一些事情的。就没有上面这么多问题,因为 ida 目录下是有个 python38 版本的,依赖的模块已经存在了,就不需要再导入了。
buuctf做题总结
qq_46148060的博客
09-18 699
文件中的秘密 打开文件后是一个海贼王的图片,既然是文件中的秘密,那么打开文件的属性查看,会不会有一些信息。 在详细信息中找到了flag。 签到 这道题比较简单,打开后有一行字符串,看到后面有两个等号,应该是base密码,用base解码,直接得到了flag。 随便注 1.首先进入随便注 2.用1’注发现报错 3.用#号拦截,发现回显正常 4.判断字段数 5.到3的时候报错,发现字段数为2 6.叠堆注入 回显成功,查询表名 7.找到flag 8.最后解题 ...
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Em0s_Er1t

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值