buu-刮开有奖

最新推荐文章于 2024-01-31 02:38:49 发布
最新推荐文章于 2024-01-31 02:38:49 发布
阅读量320 收藏
点赞数 1
分类专栏: CTF-RE 文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46296905/article/details/120901949
版权

32位窗口程序,用IDA打开,定位到一个主要函数DialogFunc,对函数的变量名重命名了一下,然后为了方便观察生成了一些数组,最终伪代码整理如下

INT_PTR __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4)
{
  const char *v4; // esi
  const char *v5; // edi
  int s[11]; // [esp+8h] [ebp-20030h] BYREF
  CHAR String[65536]; // [esp+34h] [ebp-20004h] BYREF
  char temp[65536]; // [esp+10034h] [ebp-10004h] BYREF

  if ( a2 == 272 )
    return 1;
  if ( a2 != 273 )
    return 0;
  if ( a3 == 1001 )
  {
    memset(String, 0, 0xFFFFu);
    GetDlgItemTextA(hDlg, 1000, String, 0xFFFF);
    if ( strlen(String) == 8 )
    {
      s[0] = 'Z';
      s[1] = 'J';
      s[2] = 'S';
      s[3] = 'E';
      s[4] = 'C';
      s[5] = 'a';
      s[6] = 'N';
      s[7] = 'H';
      s[8] = '3';
      s[9] = 'n';
      s[10] = 'g';
      sub_4010F0(s, 0, 10);
      memset(temp, 0, 0xFFFFu);
      temp[0] = String[5];
      temp[2] = String[7];
      temp[1] = String[6];
      v4 = sub_401000(temp, strlen(temp));
      memset(temp, 0, 0xFFFFu);
      temp[1] = String[3];
      temp[0] = String[2];
      temp[2] = String[4];
      v5 = sub_401000(temp, strlen(temp));
      if ( String[0] == s[0] + 34
        && String[1] == s[4]
        && 4 * String[2] - 141 == 3 * s[2]
        && String[3] / 4 == 2 * (s[7] / 9)
        && !strcmp(v4, "ak1w")
        && !strcmp(v5, "V1Ax") )
      {
        MessageBoxA(hDlg, "U g3t 1T!", "@_@", 0);
      }
    }
    return 0;
  }
  if ( a3 != 1 && a3 != 2 )
    return 0;
  EndDialog(hDlg, a3);
  return 1;
}

里面有个sub_4010F0函数,算法逻辑比较复杂,是对s字串进行处理(网上说是排序算法)要想得到处理后的结果可以有2种方法

  • 一种方法可以直接OD调试运行一下可以从内存单元中得到最终结果,没必要复现内部算法,
  • 也可以把伪代码修改成可运行的C代码,放到编译器运行一下

这2种方法我都进行了尝试。

先试试OD。一直单步运行到DialogFunc函数里后,执行那个函数之前有几处跳转语句,一旦触发跳转且会跳转到别处,我们就直接汇编成对应的反条件跳转指令,确保程序执行函数4010F0。
最后发现这个函数直接在栈内对字符串进行修改的,OD没有将其视作字符来处理(因为是对这些字符串的处理是以双字为单位进行操作,而非字节),所以直接数据窗口跟随可以看到最终结果。
在这里插入图片描述
另一种方法是把IDA反编译出来的代码扒拉下来(如下)放到IDE里运行也可以得出结果

#include<stdio.h>
using namespace std;

int sub_4010F0(char S[], int a, int b)
{
	int result; // eax
	int i; // esi
	int v5; // ecx
	int v6; // edx

	result = b;
	for (i = a; i <= b; a = i)
	{
		v5 = i;
		v6 = S[i];
		if (a < result && i < result)
		{
			do
			{
				if (v6 > S[result])
				{
					if (i >= result)  break;
					++i;
					S[v5] = S[result];
					if (i >= result)  break;
					while (S[i] <= v6)
					{
						if (++i >= result)
							goto LABEL_13;
					}
					if (i >= result)  break;
					v5 = i;
					S[result] = S[i];
				}
				--result;
			} while (i < result);
		}
	LABEL_13:
		S[result] = v6;
		sub_4010F0(S, a, i - 1);
		result = b;
		++i;
	}
	return result;
}

int main() {
	char  s[11] = { 'Z','J','S','E','C','a','N','H','3','n','g' };
	sub_4010F0(s, 0, 10);
	for (int i = 0; i < 11; i++)
	{
		printf("%c", s[i]);
	}
}

运行结果与OD的一致
在这里插入图片描述
最终得到3CEHJNSZagn,确实是对ASCII码进行了排序操作。👏👏👏

然后关键的函数是sub_401000
在这里插入图片描述
进去看看发现是base64编码
在这里插入图片描述
接下来分析完毕,整理一下exp

import base64
string=['' for i in range(8)]
key1='ak1w'
key2='V1Ax'
a=base64.b64decode(key1).decode('utf-8')
string[5]=a[0]
string[7]=a[2]
string[6]=a[1]
a=base64.b64decode(key2).decode('utf-8')
string[3]=a[1]
string[2]=a[0]
string[4]=a[2]

s='3CEHJNSZagn'
string[0]=chr(ord(s[0])+34)
string[1]=s[4]
string[2]=chr((3*ord(s[2])+141)//4)
flag=''
print('flag{'+flag.join(string)+'}')

在这里插入图片描述

flag{UJWP1jMp}
Em0s_Er1t
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
CreateDialog Function
x_studying的专栏
03-29 917
CreateDialog Function发送反馈CreateDialog 宏从一个对话框模板资源创建一个非模态对话框,CreateDialog 宏使用 CreateDialogParam 函数语法以带有颜色区分的格式查看复制到剪贴板打印HWND CreateDialog( __in HINSTANCE hInstance, __in LPCTSTR lpTemplate, __in HWND hWndParent, __in DLGPROC lpDialogFunc );
Windows编程05_对话框,静态库,动态库
weixin_41865866的博客
09-19 276
对话框,静态库,动态库
BUUCTF 刮开有奖(特别详细了,尽自己全力理解所写)
太阳照耀我走四方
08-13 5115
title: BUUCTF 刮开有奖 date: 2021年8月13日 15点23分 tags: BUUCTF categories: BUUCTF 自己的心声(痛骂wp抄袭狗) 这道题,其实有点坑,对于目前的我来说,还是有点难度的。 在复盘之前,我想对网上一些直接抄袭别人文章的人说,可真tm不要脸啊。你若跟着别人的wp,把题做出来了,自己跟着软件啥的,实验成功之后,写一篇wp啊,抄袭别人的。主要tm一个字不改,也不说是抄袭的。 本来做题没思路了,做不下去了,想看一篇高质量的wp,跟着大佬学一学,百度一下.
[BUUCTF] 刮开有奖
m0_68259687的博客
06-11 303
大概如下修改,将(a1+数字)视为数组里面的编号,其中注意将偏移中乘4操作去掉(机器语言地址+4),总的来说哪里红了改哪里。想起搜索字符串的时候搜到过base64 的base,猜测第二个处理的函数sub_40100为base64加密。进入对v7进行某种操作的函数sub_4010F0,分析后发现应该是要使用脚本来反推。按照下面这段的逻辑拼接出string即为flag。随手在函数和字符串中搜索flag,没有发现。双击进入DialogFunc这个函数,分析。拖入IDA中,嗯,看函数应该没有加壳。
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
最新发布
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享
05-02
joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址
REVERSE-PRACTICE-BUUCTF-4
P1umH0的博客
02-26 211
REVERSE-PRACTICE-BUUCTF-4刮开有奖[BJDCTF 2nd]8086[GKCTF2020]Check_1n[GXYCTF2019]luck_guy 刮开有奖 exe文件,运行后无任何提示,无壳,ida分析 WinMain->DialogBoxParamA->DialogFunc DialogBoxParamA函数: DialogFunc函数: 其中sub_8A10F0函数存在递归调用,它的作用就是v7到v17的数据变换位置,把这个函数的代码进行简单处理运行,得到变换位置
SPSS统计自动化-VBA脚本开发
09-06
本课程是SPSS统计自动化和扩展编程系列视频课程中的一个,主要介绍用SPSS提供的VBA语言WinWrap Basic-COM结合SPSS类库和命令语法实现统计自动化和扩展编程,帮助您大幅提高数据分析和可视化的工作效率。具体内容请参见目录。课程不设期限,永久有效。会持续升级。课程版本历史:2019-09-05 V1.0课程体系:SPSS统计自动化-VBA脚本开发SPSS统计自动化-Python脚本开发SPSS统计自动化-Command Syntax编程SPSS统计自动化-SPSS与一系列外部程序混合编程友情提醒:凭订单信息可找平台客服开具发票。购买系列课程提供打包价,购买讲师卡更划算。
BUUCTF——刮开有奖
fzucaicai的博客
11-11 745
有个GetDlgItemText,我实在没搞懂,明明没有用MFC画出对话框,为什么要来一个GetDlgItemText获取输入框内容,并传给了edit_string。直接找到WinMain,发现里面只有一个对话框API(如果只有一个对话框,那真就没有输入框了),CallBack函数是DialogFunc。这里有几个比较坑的点,sub_4010F0这个函数的第一个参数是地址,但是我们追进去发现IDA对类型判断有误。按照这个解密,v7[0],v10,v8,v16,v4,v5都知道了。进入DialogFunc
BUUCTF reverse 刮开有奖
firfis的博客
04-25 1559
一、刮开有奖 所需工具: IDA(反编译工具) exeinfope(查壳工具) CaptfEncoder(编码转换) 题解: 拖入exeinfope 检查是否套壳[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 发现并没有。 查看文件是32位还是64位。方法如下:使用记事本直接打开你的exe文件。只要看第二行即可,第二行开头不远处有PE两个字母,再后面两个空格后第三个字符就是标记了,如果是字母L的话,就是32位应用程序,如果是d?就表示是64位应用程序。 将.exe文
[BUUCTF]REVERSE解题记录 刮开有奖
weixin_44192213的博客
02-27 273
1.拖入ida32位中 直接查看主函数。可以找到其中的dialogfunc函数 if ( a2 == 272 ) { result = 1; } else { if ( a2 != 273 ) return 0; if ( (_WORD)a3 == 1001 ) { memset(&String, 0, 0xFFFFu); GetDlgItemTextA(hDlg, 1000, &String, 0.
对话框(VC_Win32)
Ran
07-24 5830
资源描述表中对话框定义 格式: 对话框名 DIALOG[载入特性] X,Y,Width,Height[设置选项] {   对话框控件定义; } 说明: 对话框名称:   标识对话框资源,可为一个字符串也可以为1~65535之间的任何数 DIALOG:   关键字 载入特性:   对话框资源的载入特性选项与菜单资源相同 X,Y,Width,Height: X,Y:
BUUCTF逆向第14题刮开有奖
Knozya的博客
01-31 753
而我们已知flag长度为8,后六位我们解码已得出,但是不知道顺序,现在需推断出前两位,因为上面破解的长字符串中(也就是sub_4010F0中)的结果可知前两位为'U' 'J',又因为第三位为‘W’接下来我们继续跟进sub_401000,内容多的有点懵了,往下滑发现有个byte_407830可以跟进。又发现sub_4010F0和sub_401000可能对字符串做出了改变,分别跟进,先跟进前者,如下。跟进后不难发现为base64编码形式,也就是说我们需要对其所对应的v4和v5进行解码,结果如下。
BUUCTF 刮开有奖 1
qq_56313338的博客
10-27 355
这是一个windows程序,主要计算出最后的String值
buu-刮开有奖 1
m0_52812369的博客
12-25 147
buuctf刮开有奖1
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。 在解密Quoted-printable编码时,我们可以使用在线工具来帮助我们。一个可以使用的工具是[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。 根据提供的信息,得到的flag是"flag{那你也很棒哦}"。 总结:Quoted-printable是一种常见的邮件编码方法,用于将非ASCII字符转换为可打印的ASCII字符。解密Quoted-printable编码可以使用在线工具,如[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。根据提供的信息,得到的flag是"flag{那你也很棒哦}"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Em0s_Er1t

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值