2021-i春秋-春季赛逆向WP

最新推荐文章于 2021-07-08 15:36:56 发布
最新推荐文章于 2021-07-08 15:36:56 发布
阅读量541 收藏 2
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51713041/article/details/118228523
版权

2021-i春秋-春季赛

一:backdoor

参考了一些Go语言的Socket编程
https://www.cnblogs.com/yinzhengjie/p/7261584.html
https://studygolang.com/articles/14344
https://blog.csdn.net/natpan/article/details/82866619
https://blog.csdn.net/RA681t58CJxsgCkJ31/article/details/103258253

顾名思义,就叫后门
发现是用GO语言写的,使用IDA7.6打开进行分析

void __cdecl main_main()
{
  __int64 v0; // [rsp+10h] [rbp-78h]
  __int64 v1; // [rsp+18h] [rbp-70h]
  __int64 v2; // [rsp+20h] [rbp-68h]
  __int64 v3; // [rsp+30h] [rbp-58h]
  __int64 v4; // [rsp+38h] [rbp-50h]
  __int64 v5; // [rsp+48h] [rbp-40h]
  __int64 val; // [rsp+50h] [rbp-38h]
  const __int64 *v7; // [rsp+60h] [rbp-28h] BYREF
  char **v8; // [rsp+68h] [rbp-20h]
  __int128 v9; // [rsp+70h] [rbp-18h]
  __int64 v10; // [rsp+80h] [rbp-8h] BYREF

  while ( (unsigned __int64)&v10 <= *(_QWORD *)(*(_QWORD *)NtCurrentTeb()->NtTib.ArbitraryUserPointer + 16LL) )
    runtime_morestack_noctxt();
  v2 = net_Listen((__int64)"tcp", 3LL, (__int64)"127.0.0.1:8721", 14LL);
  if ( v3 )
  {
    v9 = 0LL;
    v7 = &qword_2A7260;
    v8 = &aaErrorConnectin;
    *(_QWORD *)&v9 = *(_QWORD *)(v3 + 8);
    *((_QWORD *)&v9 + 1) = v4;
    v1 = log_Fatal((__int64)&v7, 2LL, 2LL);
  }
  while ( 1 )
  {
    val = (*(__int64 (__golang **)())(v2 + 24))();
    v5 = v0;
    if ( v1 )
    {
      v9 = 0LL;
      v7 = &qword_2A7260;
      v8 = &aaAcceptingConne;
      *(_QWORD *)&v9 = *(_QWORD *)(v1 + 8);
      *((_QWORD *)&v9 + 1) = v2;
      log_Println((__int64)&v7, 2LL, 2LL);
    }
    HIDWORD(v0) = HIDWORD(val);
    v1 = v5;
    runtime_newproc(16u, (char)&off_2D2A90, val);
  }
}

使用net_Listen监听了本机的8721端口,然后下面检测是否监听正确,没有就log_Fatal**,**再下方是读取从监听的端口发送过来的信息,最后调用的off_2D2A90地址处的main_handleConnection进行处理

main_handleConnection函数:

void __golang __noreturn main_handleConnection(__int64 a1, __int64 a2)
{
  runtime__type_0 *v2; // rdi
  void *v3; // rsi
  __int64 v4; // rax
  _QWORD *v5; // [rsp+8h] [rbp-78h]
  __int64 v6; // [rsp+8h] [rbp-78h]
  char v7; // [rsp+18h] [rbp-68h]
  __int64 v8; // [rsp+20h] [rbp-60h]
  __int64 v9; // [rsp+28h] [rbp-58h]
  __int64 v10; // [rsp+30h] [rbp-50h]
  unsigned __int64 v11; // [rsp+50h] [rbp-30h]
  __int64 addr; // [rsp+58h] [rbp-28h]
  __int64 cmp_data; // [rsp+60h] [rbp-20h]
  void *retaddr; // [rsp+80h] [rbp+0h] BYREF

  while ( (unsigned __int64)&retaddr <= *(_QWORD *)(*(_QWORD *)NtCurrentTeb()->NtTib.ArbitraryUserPointer + 16LL) )
    runtime_morestack_noctxt();
  runtime_newobject(v2, v3);
  cmp_data = (__int64)v5;
  *v5 = 0xCF6E7633149F46F5LL;
  v5[1] = 0xD33674C27C6FE28ALL;
  v5[2] = 0xF592D63BE79440D9LL;
  v5[3] = 0xD33CF4C0B83E001BLL;
  v5[4] = 0x8B615DC202F30A50LL;
  v5[5] = 0x181C7380D6FF6BBLL;
  v4 = runtime_makeslice((__int64)&dword_2A73E0, 1024LL, 1024LL);
  for ( addr = v4; ; v4 = addr )
  {
    v6 = v4;
    (*(void (**)(void))(a1 + 40))();
    if ( !v9 )
    {
      if ( (unsigned __int64)(v8 - 1) > 0x400 )
        runtime_panicSliceAcap(a2, v6);
      v11 = v8 - 1;
      v10 = encoding_base32___ptr_Encoding__EncodeToString(encoding_base32_StdEncoding, addr, v8 - 1, 1024LL, v8, 0LL);
      if ( v9 == 24 )               //验证加密之后的字符串长度是否是24
      {
        runtime_memequal();         //比较base32加密之后的字符串
        if ( v7 )
        {
          v9 = 1024LL;
          main_Decrypt(cmp_data, 48uLL, 48LL, addr, v11);
          if ( v10 )
            v8 = (*(__int64 (__golang **)(__int64, __int64))(a1 + 80))(a2, v10);
        }
      }
    }
  }
}

在这里插入图片描述

如果我们从端口发送过去的信息在base32标准加密之后和“M4YDCYLOM5BGCY3LMQYDA4Q=”相等,就进行解密,这里就有两种思路。可以将M4YDCYLOM5BGCY3LMQYDA4Q=进行base32解码然后得到我们发送的数据,为"g01angBackd00r",但是我用nc发的时候,卡了很久,最后看见在这个地方减一
在这里插入图片描述

然后多输入了一个字符,使用nc发过去之后,base32加密后才能和比较数据相等。

发送过程:

先创建一个文件
在这里插入图片描述

然后运行backdoor.exe

之后使用nc直接重定向入端口,会反弹回一个flag

在这里插入图片描述

另外一种思路就是静态解,加密后的数据我们知道

cmp_data = [0x149F46F5, 0xCF6E7633, 0x7C6FE28A, 0xD33674C2, 0xE79440D9, 0xF592D63B, 0xB83E001B, 0xD33CF4C0, 0x02F30A50, 0x8B615DC2, 0x0D6FF6BB, 0x0181C738]

跟进去看是什么解密

进去之后再跟进

在这里插入图片描述

可以很明显的看见是一个xxtea

在这里插入图片描述

在这里插入图片描述

然后所谓的key,就是把我们通过端口传过去的字符串四个字节四个字节的取了当key

可以得到:

unsigned int key[] = {0x61313067,0x6142676E,0x30646B63,0x7230};

写出解题脚本:

#include <stdio.h>
#include <stdlib.h>
#define DELTA 0x9e3779b9//0x61C88647
int main()
{
    unsigned int v[] = {0x149F46F5, 0xCF6E7633, 0x7C6FE28A, 0xD33674C2, 0xE79440D9, 0xF592D63B, 0xB83E001B, 0xD33CF4C0, 0x02F30A50, 0x8B615DC2, 0x0D6FF6BB, 0x0181C738};
    unsigned int key[] = {0x61313067,0x6142676E,0x30646B63,0x7230};
    unsigned int sum = 0;
    unsigned int y,z,p,rounds,e;
    int n = 12;                 //传入的是12
    int i = 0;
    rounds = 6 + 52/n;
    y = v[0];
    sum = (rounds*DELTA)&0xffffffff;
     do
     {
        e = sum >> 2 & 3;
        for(p=n-1;p>0;p--)
        {
            z = v[p-1];
            v[p] = (v[p] - ((((z>>5)^(y<<2))+((y>>3)^(z<<4))) ^ ((key[(p^e)&3]^z)+(y ^ sum)))) & 0xffffffff;
            y = v[p];
        }
        z = v[n-1];
        v[0] = (v[0] - (((key[(p^e)&3]^z)+(y ^ sum)) ^ (((y<<2)^(z>>5))+((z<<4)^(y>>3))))) & 0xffffffff;
        y = v[0];
        sum = (sum-DELTA)&0xffffffff;
     }while(--rounds);
    for(i=0;i<n;i++)
    {
        printf("%c%c%c%c",*((char*)&v[i]+0),*((char*)&v[i]+1),*((char*)&v[i]+2),*((char*)&v[i]+3));
    }
	  //flag{93b867f2-62b6-760a-7acb-355c80281e12}
    return 0;
}

二:hardchal

题给提示:

I designed a very HARD challenge for you, please enjoy~
How-to-run:
1. Install Icarus Verilog
2. > vvp ./chal

查看Icarus Verilog的文档,从中看一些我们分析时用的到的

https://github.com/steveicarus/iverilog/blob/master/vvp/README.txt#L852

比如:参数,函数,变量等的规范

根据最开始的一些值,初步判断是TEA一类

在这里插入图片描述

然后在下方代码的开始处找到了比较数据:
在这里插入图片描述

像这样的总共:

0xbf3e3eda,0x193f659b,0x29b74d79,0x63f67c27,0x6330fb62,0xce7d5340,0xd29371e9,0xae2f0140,0x87ab6341,0x2069c5d,0xe10392fe,0xbb0e1442

然后紧接着根据比较的结果判断结果

在这里插入图片描述

然后继续往下:

T_5 ;
    %pushi/vec4 0, 0, 1;
    %store/vec4 v00000201bba697c0_0, 0, 1;
    %pushi/vec4 0, 0, 32;
    %store/vec4 char_idx, 0, 32;   //char_idx = 0
    %pushi/vec4 1, 0, 1;
    %store/vec4 reset, 0, 1;      //reset = 1
    %pushi/vec4 1, 0, 32;
    %store/vec4 ok, 0, 32;        // ok = 1
    %pushi/vec4 2654435769, 0, 32;
    %store/vec4 delta, 0, 32;     //delta = 2654435769
    %pushi/vec4 3735928559, 0, 32;
    %store/vec4 k0, 0, 32;       // k0 = 3735928559
    %pushi/vec4 3405691582, 0, 32;
    %store/vec4 k1, 0, 32;      // k1 = 3405691582
    %pushi/vec4 269488144, 0, 32;
    %store/vec4 k2, 0, 32;      // k2 = 269488144
    %pushi/vec4 16843009, 0, 32;
    %store/vec4 k3, 0, 32;      // k3 = 16843009
    %vpi_call 2 1771 "$write", "Checking, please wait...\012" {0 0 0};
    %vpi_func 2 1772 "$" 32, "flag" {0 0 0};
    %store/vec4 file, 0, 32;
    %load/vec4 file;
    %cmpi/e 0, 0, 32;
    %jmp/0xz  T_5.0, 4;
    %vpi_call 2 1774 "$write", "Invalid flag\012" {30 0 0}; 
    %vpi_call 2 1775 "$finish" {0 0 0};

这里得到了delta和key,分别是:

0x9e3779b9
0xdeadbeef,0xcafebabe,0x10101010,0x1010101

然后根据delta,以及逻辑分析,可以确定就是TEA,且并没有其它什么怪异的操作

直接写出C脚本得到flag:

#include <stdio.h>
#include <stdint.h>

//加密函数
void encrypt (uint32_t* v, uint32_t* k) {
    uint32_t v0=v[0], v1=v[1], sum=0, i;           /* set up */
    uint32_t delta=0x9e3779b9;                     /* a key schedule constant */
    uint32_t k0=k[0], k1=k[1], k2=k[2], k3=k[3];   /* cache key */
    for (i=0; i < 32; i++) {                       /* basic cycle start */
        sum += delta;
        v0 += ((v1<<4) + k0) ^ (v1 + sum) ^ ((v1>>5) + k1);
        v1 += ((v0<<4) + k2) ^ (v0 + sum) ^ ((v0>>5) + k3);
    }                                              /* end cycle */
    v[0]=v0; v[1]=v1;
}

//解密函数
void decrypt (uint32_t* v, uint32_t* k) {
    uint32_t v0=v[0], v1=v[1], sum=0xC6EF3720, i;  /* set up */
    uint32_t delta=0x9e3779b9;                     /* a key schedule constant */
    uint32_t k0=k[0], k1=k[1], k2=k[2], k3=k[3];   /* cache key */
    for (i=0; i<32; i++) {                         /* basic cycle start */
        v1 -= ((v0<<4) + k2) ^ (v0 + sum) ^ ((v0>>5) + k3);
        v0 -= ((v1<<4) + k0) ^ (v1 + sum) ^ ((v1>>5) + k1);
        sum -= delta;
    }                                              /* end cycle */
    v[0]=v0; v[1]=v1;
}

int main()
{
    uint32_t array[] = {0xbf3e3eda,0x193f659b,0x29b74d79,0x63f67c27,0x6330fb62,0xce7d5340,0xd29371e9,0xae2f0140,0x87ab6341,0x2069c5d,0xe10392fe,0xbb0e1442};
    uint32_t key[4] = {0xdeadbeef,0xcafebabe,0x10101010,0x1010101};
    int i = 0;
    for(i=0;i<12;i+=2)
    {
        uint32_t temp[2];
        temp[0] = array[i];
        temp[1] = array[i+1];
        decrypt(temp, key);
        printf("%c%c%c%c%c%c%c%c",*((char*)&temp[0]+3),*((char*)&temp[0]+2),*((char*)&temp[0]+1),*((char*)&temp[0]+0),*((char*)&temp[1]+3),*((char*)&temp[1]+2),*((char*)&temp[1]+1),*((char*)&temp[1]+0));
    }
    //flag{d88ca56a-b934-11eb-8529-0242ac130003}
    return 0;
}
syj-re
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021-2022收藏的精品资料2021-2022年XX年春季小学学校工作计划.docx
09-16
2021-2022收藏的精品资料
2022年i春秋春季勇者道部分wp
qq_52988816的博客
05-09 893
差几名就能拿奖了,还是太菜了 Misc 签到 照着图片弹钢琴就会出现flag tiger 一个rot47加密,一个lsb隐写加密 之后得到解压密码71zr9H6jnXRHn64WBxMbCzz16saCZWiw 发现好像需要明文攻击来解密码Nh6i@= 二维码存在零宽隐写,这里话有个坑点,直接扫好像是提不出来的,可以写个脚本来提 或者我看wp可以用bcTester来题(GET新点)之后用网站解码就可以 https://yuanfux.github.io/zero-width-web/ 接着就是维吉尼亚密码解
golang快速入门[9.2]-深入数组用法、陷阱与编译时
weishixianglian的博客
04-07 889
前文 golang快速入门[1]-go语言导论 golang快速入门[2.1]-go语言开发环境配置-windows golang快速入门[2.2]-go语言开发环境配置-macOS golang快速入门[2.3]-go语言开发环境配置-linux golang快速入门[3]-go语言helloworld golang快速入门[4]-go语言如何编译为机器码 golang快速入门[5...
FS寄存器指向当前活动线程的TEB结构(线程结构)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-04 3446
FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移 说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 FiberData 014 ArbitraryUserPointer 018 FS段寄存器在内存中的镜像地址 020 进程PID 024 线程ID 02C 指向线程局部存储指针 030 PEB
i春秋《从0到1:CTFer成长之路》通关WP
07-08 4271
1、常见的搜集 题目内容:一共3部分flag 使用目录扫描工具,如:7kb-webpathbrute对该URL进行扫描: 打开第一个URL: 发现flag文件flag1_is_her3_fun.txt文件,访问即可得到flag1:n1book{info_1 打开第二个URL: 可以得到flag2:s_v3ry_im 打开第3个URL,下载index.php.swp,打开可以得到第3个flag3:p0rtant_hack}: 组合即可得到完整flag:n1book{info_1
Bugku、i春秋解题 web wp(一)
m0_55854679的博客
05-14 724
Simple_SSTI_1(python模板注入) 启动常见后只有一行字母,我们什么也看不出来。点击右键,查看网页源代码 倒数第三行绿色的字 <!-- You know, in the flask, We often set a secret_key variable.--> 意思是 你知道,在flask【一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。】里,我们经常设置一个secret_key变量,所以我们要读secret_key变量,导
2021-2022收藏的精品资料2021-2022年XX大班春季保教计划.docx
09-16
2021-2022收藏的精品资料
2021-2022收藏的精品资料2021-2022年中心幼儿园春季个人工作计划.doc
09-16
2021-2022收藏的精品资料
2021-2022收藏的精品资料2021-2022年斑竹小学春季学期安全工作计划.doc
09-16
2021-2022收藏的精品资料
2021-2022收藏的精品资料2021-2022年2018幼儿园春季卫生保健工作计划.docx
09-16
2021-2022收藏的精品资料
DozerCTF-2nd:2019金陵科技学院校web题源码及wp
03-23
推土机CTF-2nd 2019金陵科技学院第二届网络安全竞网站题解 web1果粉: 修改ua,包含iphone串口即可。 web2的React: 通过.index.php.swp还原出代码。 利用正则回溯机制导致的安全问题: import requests from io import BytesIO data = { 'greeting': BytesIO(b'Baby PHP' + b'a' * 1000000) } res = requests.post('http://120.27.3.220:10001/',data=data) print(res.text) web3 babyshop: 简单的bool形盲注,没有任何过滤... import requests import string perm = string.ascii_uppercase + string.d
线程的创建过程
weixin_30916125的博客
07-16 515
由于这两天在研究调试机制,所以记录下被调试线程的创建过程,如果哪里有遗漏,以后会再补充 线程创建过程分为两部分:    第一部分:CreateThread->NtCreateThread->PspCreateThread->KeInitThread->KiInitializeContextThread->KiThreadStartUp    ...
ichunqiu upload wp
weixin_45253216的博客
01-12 124
打开题目,是一个上传文件的页面,提示:可以上传任意文件。 先找了一个JPG的图像,显示上传成功,然后又测试了TXT文本,也是上传成功,最后传了PHP文件,还是显示上传成功,所以证明前端对文件格式没有限制。 但是我们上传PHP一句话木马文件后,点击查看输出结果。 <?php @eval($_POST['abc']);?> 虽然上传成功,但是给我们返回了这么个东西 证明<?php被过滤掉了。 解决这个方法的思路是看看有没有办法绕过过滤,把PHP一句话木马传到后台。 于是找了个可以绕过的
i春秋web-Backdoor(.git泄露、vim备份泄露、代码审计)
Sea_Sand息禅
05-21 1313
1、文件泄露 根据题目 tips:敏感文件泄漏 网站目录扫描,发现.git泄露,下载git文件夹,在bd049e_flag.php中看到: <?php echo "flag{true_flag_is_in_the_b4ckdo0r.php}"; ?> 然后就访问这个网页看到: 是让我们找他的源码的,网页源码里面没什么线索,那就可能是备份文件泄露了,访问.b4ckdo0r.php.s...
逆向】i春秋入门实战——crack_me
Scorpion的博客
07-24 547
冒泡排序的多种实现与易错点分析冒泡排序算法顺序从小到大从大到小易错点内外循环一致性交换的比较决定排序的顺序 冒泡排序算法 算法的基本思想等这里不再赘述,不太了解或还想继续深入了解的可以参考此篇博客 不知道是否有明明已经清楚该算法思想,但是真的要写代码的时候,偶尔会稀里糊涂地犯些小错误。因此本文希望用通俗易懂容易记住地方式介绍其各种各样的实现方法以及一些易错点,以灵活应对各种变化,彻底打破脑子学会,但手不会的尴尬境地。 顺序 从小到大 主要原理:数组中前面一个数大于后面一个数则交换 java代码 1.外
2018i春秋 零基础入门Android(安卓)逆向
mrhanyufei0的博客
11-29 1685
教程目录: 第一章:Android JAVA 逆向基础 课时1 :Android环境配置与常用工具介绍   课时2 :调试方法及Smali文件结构 课时3 :新版本调试方法及Smali函数文件修改 实验3 新版本调试方法及Smali函数文件修改  课时4 :JD-Gui进行代码快速阅读分析 课时5 :实战演练如何去去除应用中的广告 课时6 :分析神器JEB使用方法 课时7 :常用Android快速...
常见动态反调试技术总结
lonmar的博客
06-27 2143
软件安全|反调试技术|动态反调试技术总结
PEB 和 TIB结构
weixin_30824277的博客
08-04 216
fs:7FFDF000 nt!_TEB TEB at fs:7FFDF000 +0x000 NtTib // _NT_TIB +0x01c EnvironmentPointer // Ptr32 Void +0x020 ClientId //...
171124 逆向-线程环境块(TEB)
whklhhhh的博客
11-28 2137
1625-5 王子昂 总结《2017年11月24日》 【连续第420天总结】 A. TEB(线程环境块) B. 介绍该结构体中包含进程中运行线程的各种信息,每个线程都对应一个TEB结构体。 不同OS中TEB结构的形态略微不同。定义结构体中有非常多的成员,其中用户模式调试中起着重要作用的成员有两个:+0 NtTib : _NT_TIB ... +0X30 ProcessEnvironmentB
春季summary sheet
最新发布
05-02
春季summary sheet是美国大学生数学建模竞的一个重要文件。此文件通常记录了比的时间、地点、参队伍、比题目以及 评委名单等相关信息,并用简洁明了的语言对比的过程和结果进行概括和总结。 美...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值