2021CTF鹤城杯-Re

最新推荐文章于 2024-04-10 17:24:46 发布
最新推荐文章于 2024-04-10 17:24:46 发布
阅读量857 收藏 7
点赞数 2
分类专栏: CTF -  Re 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48218081/article/details/120658848
版权
"本文作者通过IDA工具分析并利用Unicorn库破解了一个逐位校验的程序,通过hook函数找到flag的输入位置,最终成功获取FLAG:flag{96c69646-8184-4363-8de9-73f7398066c1}
摘要由CSDN通过智能技术生成

1、Petition

总的来说还是比较喜欢这类题目的,因为它的flag是一位一位校验的,能爆破当然是一件很爽的事情。
回到正文:IDA载入文件:
在这里插入图片描述
程序从start开始执行,说是说"%36s",实际上要输入整整42位,骗子。
往下的start后面的一堆函数,去翻看的话会发现每个都长得差不多,然后就猜测flag会不会是逐位校验,一位flag对应一个函数。
调试什么的还是比较累的(我不会告诉你其实我根本看不懂flag是怎么校验的),为了偷懒,这里是直接使用了Unicorn,将start函数里面调用printf、scanf 的地方给patch掉,再对scanf 做一个hook以保证flag能输入到内存。这样就能把程序的输入和校验功能给运行起来了,下面是我对这个程序写的Unidbg类:

from unicorn import *
from unicorn.x86_const import *
from capstone import *
import binascii

Petition_base = 0x0  # 程序加载的地址
Petition_stack_base = 0x10000
with open("Petition", "rb") as f:
    code = f.read()
xxx = [b'\x00', b'\x01', b'\x02', b'\x03', b'\x04', b'\x05', b'\x06', b'\x07', b'\x08', b'\x09', b'\x0a', b'\x0b',
       b'\x0c', b'\x0d', b'\x0e', b'\x0f', b'\x10', b'\x11', b'\x12', b'\x13', b'\x14', b'\x15', b'\x16', b'\x17',
       b'\x18', b'\x19', b'\x1a', b'\x1b', b'\x1c', b'\x1d', b'\x1e', b'\x1f', b'\x20', b'\x21', b'\x22', b'\x23',
       b'\x24', b'\x25', b'\x26', b'\x27', b'\x28', b'\x29', b'\x2a', b'\x2b', b'\x2c', b'\x2d', b'\x2e', b'\x2f',
       b'\x30', b'\x31', b'\x32', b'\x33', b'\x34', b'\x35', b'\x36', b'\x37', b'\x38', b'\x39', b'\x3a', b'\x3b',
       b'\x3c', b'\x3d', b'\x3e', b'\x3f', b'\x40', b'\x41', b'\x42', b'\x43', b'\x44', b'\x45', b'\x46', b'\x47',
       b'\x48', b'\x49', b'\x4a', b'\x4b', b'\x4c', b'\x4d', b'\x4e', b'\x4f', b'\x50', b'\x51', b'\x52', b'\x53',
       b'\x54', b'\x55', b'\x56', b'\x57', b'\x58', b'\x59', b'\x5a', b'\x5b', b'\x5c', b'\x5d', b'\x5e', b'\x5f',
       b'\x60', b'\x61', b'\x62', b'\x63', b'\x64', b'\x65', b'\x66', b'\x67', b'\x68', b'\x69', b'\x6a', b'\x6b',
       b'\x6c', b'\x6d', b'\x6e', b'\x6f', b'\x70', b'\x71', b'\x72', b'\x73', b'\x74', b'\x75', b'\x76', b'\x77',
       b'\x78', b'\x79', b'\x7a', b'\x7b', b'\x7c', b'\x7d']

class Unidbg:

    def __init__(self, flag, except_hit):
        self.except_hit = except_hit
        self.hit = 0
        self.flag = flag
        self.fff = 0
        mu = Uc(UC_ARCH_X86, UC_MODE_32)
        # 程序基址为 0x1000,分配 128 KB内存
        mu.mem_map(Petition_base, 0x10000 * 2)
        mu.mem_write(Petition_base, code)

        # 设置寄存器的值
        mu.reg_write(UC_X86_REG_EAX, 0)
        mu.reg_write(UC_X86_REG_EBX, 0)
        mu.reg_write(UC_X86_REG_ECX, 0)
        mu.reg_write(UC_X86_REG_EDX, 0)
        mu.reg_write(UC_X86_REG_ESI, 0)
        mu.reg_write(UC_X86_REG_EDI, 0)
        mu.reg_write(UC_X86_REG_EBP, 0)
        mu.reg_write(UC_X86_REG_ESP, Petition_stack_base)
        mu.reg_write(UC_X86_REG_EIP, 0x1040)
        # patch printf()
        mu.mem_write(0x10C6, b'\x90\x90\x90\x90\x90')
        # patch scanf()

        mu.mem_write(0x110B, b'\x90\x90\x90\x90\x90')
        mu.hook_add(UC_HOOK_CODE, self.hook_function_scanf, begin=0x110A, end=0x110C)
        mu.hook_add(UC_HOOK_CODE, self.hook_code, begin=0x119C, end=0x28A0)
        if self.except_hit < 127:
            mu.hook_add(UC_HOOK_CODE, self.trace)
        self.mu = mu
        self.md = Cs(CS_ARCH_X86, CS_MODE_32)

    def solve(self):
        try:
            self.mu.emu_start(0x1040, 0x29C4)
        except:
            pass
        return self.hit

    def trace(self, mu, address, size, data):
        disasm = self.md.disasm(mu.mem_read(address, size), address)
        for i in disasm:
            print(i)

    def hook_function_scanf(self, mu, address, size, data):
        if address == 0x110C:
            # self.show_reg()
            edx = mu.reg_read(UC_X86_REG_EDI)
            mu.mem_write(edx, self.flag)
            # print(self.flag, binascii.b2a_hex(mu.mem_read(edx, 36)).decode(), hex(edx))
            pass

    def show_reg(self ):
        print("EAX", hex(self.mu.reg_read(UC_X86_REG_EAX))[2:].upper().zfill(8))
        print("EBX", hex(self.mu.reg_read(UC_X86_REG_EBX))[2:].upper().zfill(8))
        print("ECX", hex(self.mu.reg_read(UC_X86_REG_ECX))[2:].upper().zfill(8))
        print("EDX", hex(self.mu.reg_read(UC_X86_REG_EDX))[2:].upper().zfill(8))
        print("ESP", hex(self.mu.reg_read(UC_X86_REG_ESP))[2:].upper().zfill(8))
        print("EBP", hex(self.mu.reg_read(UC_X86_REG_EBP))[2:].upper().zfill(8))
        print("ESI", hex(self.mu.reg_read(UC_X86_REG_ESI))[2:].upper().zfill(8))
        print("EDI", hex(self.mu.reg_read(UC_X86_REG_EDI))[2:].upper().zfill(8))
        print("EIP", hex(self.mu.reg_read(UC_X86_REG_EIP))[2:].upper().zfill(8))

    def hook_code(self, mu, address, size, data):
        Temp = False
        if address == 0x119E:   # 取每个函数中第二条指令的首地址
            Temp = True
        if address == 0x122C:
            Temp = True
        if address == 0x12BA:
            Temp = True
        if address == 0x1346:
            Temp = True
        if address == 0x13D2:
            Temp = True
        if address == 0x145E:
            Temp = True
        if address == 0x14EA:
            Temp = True
        if address == 0x1576:
            Temp = True
        if address == 0x1604:
            Temp = True
        if address == 0x1690:
            Temp = True
        if address == 0x171E:
            Temp = True
        if address == 0x17A8:
            Temp = True
        if address == 0x1836:
            Temp = True
        if address == 0x18C4:
            Temp = True
        if address == 0x1950:
            Temp = True
        if address == 0x19DC:
            Temp = True
        if address == 0x1A66:
            Temp = True
        if address == 0x1AF0:
            Temp = True
        if address == 0x1B7C:
            Temp = True
        if address == 0x1C08:
            Temp = True
        if address == 0x1C96:
            Temp = True
        if address == 0x1D22:
            Temp = True
        if address == 0x1DAC:
            Temp = True
        if address == 0x1E36:
            Temp = True
        if address == 0x1EC4:
            Temp = True
        if address == 0x1F50:
            Temp = True
        if address == 0x1FDC:
            Temp = True
        if address == 0x2066:
            Temp = True
        if address == 0x20F2:
            Temp = True
        if address == 0x217C:
            Temp = True
        if address == 0x220A:
            Temp = True
        if address == 0x2294:
            Temp = True
        if address == 0x2320:
            Temp = True
        if address == 0x23AE:
            Temp = True
        if address == 0x243C:
            Temp = True
        if address == 0x24C6:
            Temp = True
        if address == 0x2554:
            Temp = True
        if address == 0x25E0:
            Temp = True
        if address == 0x266E:
            Temp = True
        if address == 0x26FC:
            Temp = True
        if address == 0x2786:
            Temp = True
        if address == 0x2812:
            Temp = True
        if address == 0x289E:
            Temp = True

        if Temp:
            print(hex(address))
            self.hit += 1

先随便输入几个flag,验证一下之前的猜想:
在这里插入图片描述
好吧,到这里已经可以确认,我之前的猜想是成立的,这就很nice。
下面就是爆破了:

flag = b''

for j in range(42):
    for i in b'0123456789abcdef{}-_#!?ghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ':
        tem = bytearray(flag + b'x' * (42 - len(flag)))
        tem[j] = i
        if Unidbg(bytes(tem), 127).solve() == j +1:
            flag += xxx[i]
    print(flag.decode())

效果示意:
在这里插入图片描述

FLAG : flag{96c69646-8184-4363-8de9-73f7398066c1}
批某人
关注
专栏目录
ctf-all-in-one
01-30
ctf-all-in-one
鹤城杂项MISC部分WP
TenG的博客
10-09 2722
Preface 昨天的比赛又一次见识到了大师傅们多么厉害,疯狂上分,可怜如我,只做出了四个杂项。趁着比赛刚过就写下WP,也会去看下其他师傅的WP学习下,文中有我理解错误的思路烦请师傅们多多指教 Process NEW_MISC 下载附件以后就是一个PDF 最开始我还以为有隐藏文件啥的,分离了下啥也没有。然后又换思路,开始看下PDF内容,发现这个单词表以后还以为是文章对应单词转换字母得出flag(不知道有没有师傅们跟我一样),看了好久以后都没找到这个表里面的单词,甚至还用百度翻译看了部分内容哈哈哈哈哈。然后发
2021鹤城-re-Petition
fevergun的博客
03-14 452
Petition gdb动态调试 寻找真正的地址 gdb Petition pwndbg> i function pwndbg> b printf pwndbg> r 调试程序进入到printf函数内部。但是esp存放了call调用之后的下一步的地址是0x565560cb。 于是我们知道了start()函数起始地址是0x56556040 解决ida乱码问题。 由图可以知道esp这部分是乱码,看不太懂。进入gdb调试。 pwndbg> b *0x56556040 进入
[鹤城 2021]EasyP
m0_73612768的博客
12-29 1346
`$_SERVER['PHP_SELF']`;$_SERVER['REQUEST_URI'];basename() 函数绕过
CTF-----RE新手练习(一)
qq_45671431的博客
04-17 2917
学习打卡篇七 ** IDA ** IDA是一款交互式反汇编工具,亦是是典型的递归下降反汇编器,是逆向学习的必备工具之一,IDA全称为Interactive Disassembler Professional。 官方下载地址 IDA常用快捷键: 空格键:切换文本视图与图表视图 ESC:返回上一个操作地址 G:搜索地址和符号 N:对符号,或变量进行重命名 分号键:在反汇编后的界面中写下注释 Alt...
2021.05.25 XCTF入门RE | CTF - RE
JiangBuLiu的博客
03-19 1983
样本编译方式CPython南邮Py.pyc C Python 支持所有Python版本的Pyc反编译工具(在线) 或者下载pyc的反编译工具uncompyle6 南邮Py.pyc 反编译后的源码为: import base64 def encode(message): s = '' for i in message: x = ord(i) ^ 32 x = x + 16 s += chr(x) return base64.b64en
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
ctf拼图例题-puzzle
04-13
在CTF(Capture The Flag)竞赛中,"puzzle"是一种常见的挑战类型,它涉及到解决各种谜题以获取关键信息或解密数据。本资源包包含了一组与CTF拼图相关的图片,很可能是参赛者需要解读的线索。每个图片可能代表一个...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
首届"鹤城"CTF网络安全挑战赛 - 初赛writeup
渗透测试研究中心
12-22 1999
WEB1.middle_magic%0a绕过第一关最后加%23是#数组绕过第二关json 弱类型比较http://182.116.62.85:20253/?aaa=%0apass_the_level_1%23POST:admin[]=1&root_pwd[]=2&level_3={"result":0}flag{f03d41bf6c8d55f12324fd57f7a00427}2...
【PWN · Stack Smash】[2021 鹤城]easyecho
Mr_Fmnwon的博客
07-30 1026
Canary保护,是在栈上插入一段随机数;进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。然而,Smash这种方法,恰好是利用Canary保护机制,修改相关函数参数,泄露信息。详细介绍Smash的文章不在少数,本文主要聚焦于做出题目,因此重点(但非详细)阐述我所理解的重点部分。
NSSCTF之Misc篇刷题记录⑨
Aluxian_的博客
05-11 2162
[GKCTF 2021]签到 [NISACTF 2022]bmpnumber [领航江苏省赛 2021]签到题 [鹤城 2021]Misc2 [鹤城 2021]A_MISC [GXYCTF 2019]CheckIn [HDCTF 2023]hardMisc [NSSRound#1 Basic]cut_into_thirds [闽盾 2021]Modbus的秘密 [NISACTF 2022]神秘数字 [INSHack 2019]INSAnity [UTCTF 2020]Basics(MISC)
软件逆向分析初试reverse;ctf-re 入门题,详解
CHERRY_cong的博客
05-01 1757
软件逆向分析初试re;ctf 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 实验环境:Ubuntu 20.04.1 LTS GNU gdb (Ubuntu 9.1-0ubuntu1) 9.1 Ghidra 9.2.2 Java Version 15 IDA Version 7.5.201028 Windo...
鹤城 2021】 CRYPTO刷题
orchid_sea的博客
04-10 677
附件easy_crypto.txt,内容是社会核心主义观使用工具解密。
吾爱2023新年红包题第六题 (CTF)
热门推荐
Codeoooo 博客
06-27 4万+
而且这里面还判断了key的长度,16位,正常key长度也是16位;上面这个 aWfkuqokj454836 15位,心态崩了,看来是假的,这个里面才是真的啊~~~~~~这几道题,完全就是整人玩,一个一直点999次,一个大喊大叫还说你是细狗,还得声音分贝大于100才解锁开始找flag;直接将这个 |wfkuqokj4548366 key 扔进去 get_RealKey方法,在比较的时候打断点,或者hook,拿到正确的可以;看伪C代码,memcmp比较, 是有个和真key比较的地方,返回bool;
[鹤城 2021]EasyP WriteUp
weixin_73508964的博客
09-27 1066
从今天开始写wp了,做下学习记录。
CTF RE中的密码学
Joyce_hjll的博客
03-24 2057
CTF RE 常见密码大全
NSSCTF [2021 鹤城]littleof
红叶的博客
03-02 740
很显然栈溢出漏洞位于read函数中,buf大小为0x50,而read函数的第三参数,也就是输出/写入/输出的最大的字节长度为0x100,就是2个buf大小的数据。开启 Canary : RBP 位于 0x50 + 0x08,Canary位于0x50 - 0x08,Return Address位于0x50 + 0x16。因为Canary是栈中的一个随机值,我们通过printf泄露Canary,然后将其填充至它本来应该在的位置,就能通过检查。
ctf任务http-get
最新发布
06-27
CTF(Capture The Flag)是一种网络安全竞赛活动,通常包含各种挑战,其中HTTP-GET任务是一种常见的Web安全方面的挑战。在这样的任务中,参与者需要利用HTTP协议的GET方法来获取隐藏的信息或解决某个谜题。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值