*CTF2022 Re复现

最新推荐文章于 2022-10-20 18:58:29 发布
最新推荐文章于 2022-10-20 18:58:29 发布
阅读量282 收藏
点赞数
分类专栏: WP 文章标签: Re
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51911432/article/details/124370830
版权

死了活

Simple File System

Simple File System程序挂载flag文件加密,需要找到加密函数进行解密。
找到加密函数sub_21B2((__int64)ptr, v8);,下图地址不同是因为动调
在这里插入图片描述

进行动调,得到v4 = 0xDEEDBEEF,
并且在该处sub_1e16中 a3=1为上述的加密函数,而为2时是随机值
在这里插入图片描述

在这里插入图片描述

所以只有一组正确的数据存于image.flag ,其余均为随机值,并且每个数据间隔0x1000h,
使用加密函数得到*CTF{加密后的值
data[] = {0x2a, 0x43, 0x54, 0x46, 0x7b};
搜索找到加密后的值
在这里插入图片描述

脚本

然后直接爆破

#include <stdio.h>
int main()
{
    unsigned char v5 = 0;
    unsigned char data[32] = {
        0x00, 0xd2, 0xFC, 0xD8, 0xA2, 0xDA, 0xBA, 0x9E, 0x9C, 0x26, 0xF8, 0xF6, 0xB4, 0xCE, 0x3C, 0xCC, 0x96, 0x88, 0x98, 0x34, 0x82, 0xDE, 0x80, 0x36, 0x8A, 0xD8, 0xC0, 0xF0, 0x38, 0xAE, 0x40, 0};
    for (int n = 0; n < 31; n++)
    {
        for (int i = 0; i < 0xff; i++)
        {
            v5 = i;
            v5 = (v5 >> 1) | (v5 << 7);
            v5 ^= 0xef;
            v5 = (v5 >> 2) | (v5 << 6);
            v5 ^= 0xbe;
            v5 = (v5 >> 3) | (32 * v5);
            v5 ^= 0xed;
            v5 = (v5 >> 4) | (16 * v5);
            v5 ^= 0xde;
            v5 = (v5 >> 5) | (8 * v5);
            if (v5 == data[n])
            {
                printf("%c", i);
                break;
            }
        }
    }
    return 0;
}
// *CTF{Gwed9VQpM4Lanf0kEj1oFJR6}

NaCl

找到主函数

__int64 __fastcall sub_8001775(__int64 a1, char a2)
{
  int v2; // edx
  int v3; // ecx
  int v4; // r8d
  int v5; // r9d
  __int64 result; // rax
  char v7[40]; // [rsp+20h] [rbp-30h] BYREF
  unsigned __int64 v8; // [rsp+48h] [rbp-8h]

  v8 = __readfsqword(0x28u);
  sub_8010B50("input:");
  sub_8001940(0LL, v7, 32LL);
  sub_8080900(v7);
  if ( (unsigned int)v7 == 1 )
    sub_800A380((unsigned int)"*CTF{%s}\n", (unsigned int)v7, v2, v3, v4, v5, a2);
  else
    sub_8010B50("failed\n");
  result = 0LL;
  if ( __readfsqword(0x28u) != v8 )
    sub_8047FA0();
  return result;
}

动调了好久,花指令
在这里插入图片描述
nop指令不知道是啥,去掉。
然后 r15寄存器实现了类似堆栈的作用。
将返回地址(sub_8080760)压入r15-8中,然后jmp跳转,可以直接nop掉这三个指令,然后将jmp改为call
在这里插入图片描述
有好几处,都改一下,IDC脚本不太会。。。
在这里插入图片描述
将r15-8的值给edi,然后跳转,类似pop操作,直接改为retn
在这里插入图片描述

xtea ,

__int64 __fastcall sub_8080100(int a1, __int64 a2)
{
  __int64 v2; // r13
  __int64 v3; // r15
  __int64 result; // rax

  *(_DWORD *)(v3 - 36) = a1;
  *(_QWORD *)(v3 - 48) = a2;
  *(_QWORD *)(v3 - 24) = &unk_80AFB40;
  *(_DWORD *)(v3 - 8) = *(_DWORD *)(v2 + (unsigned int)*(_QWORD *)(v3 - 48));
  *(_DWORD *)(v3 - 12) = *(_DWORD *)(v2 + (unsigned int)*(_QWORD *)(v3 - 48) + 4);
  *(_DWORD *)(v3 - 16) = 0;
  *(_DWORD *)(v3 - 28) = 0x10325476;
  for ( *(_DWORD *)(v3 - 4) = 0; *(_DWORD *)(v3 - 4) < *(_DWORD *)(v3 - 36); ++*(_DWORD *)(v3 - 4) )
  {
    *(_DWORD *)(v3 - 8) += (((*(_DWORD *)(v3 - 12) >> 5) ^ (16 * *(_DWORD *)(v3 - 12))) + *(_DWORD *)(v3 - 12)) ^ (*(_DWORD *)(v2 + 4 * (*(_DWORD *)(v3 - 16) & 3) + (unsigned int)*(_QWORD *)(v3 - 24)) + *(_DWORD *)(v3 - 16));
    *(_DWORD *)(v3 - 16) += *(_DWORD *)(v3 - 28);
    *(_DWORD *)(v3 - 12) += (((*(_DWORD *)(v3 - 8) >> 5) ^ (16 * *(_DWORD *)(v3 - 8))) + *(_DWORD *)(v3 - 8)) ^ (*(_DWORD *)(v2 + 4 * ((*(_DWORD *)(v3 - 16) >> 11) & 3) + (unsigned int)*(_QWORD *)(v3 - 24)) + *(_DWORD *)(v3 - 16));
  }
  *(_DWORD *)(v2 + (unsigned int)*(_QWORD *)(v3 - 48)) = *(_DWORD *)(v3 - 8);
  result = *(unsigned int *)(v3 - 12);
  *(_DWORD *)(v2 + (unsigned int)*(_QWORD *)(v3 - 48) + 4) = result;
  return result;
}

还有费斯托加密,动调可以得到需要的key

unsigned int dword_80AFB60[44] = {
        0x04050607, 0x00010203, 0x0C0D0E0F, 0x08090A0B, 0xCD3FE81B, 0xD7C45477, 0x9F3E9236, 0x0107F187,
        0xF993CB81, 0xBF74166C, 0xDA198427, 0x1A05ABFF, 0x9307E5E4, 0xCB8B0E45, 0x306DF7F5, 0xAD300197,
        0xAA86B056, 0x449263BA, 0x3FA4401B, 0x1E41F917, 0xC6CB1E7D, 0x18EB0D7A, 0xD4EC4800, 0xB486F92B,
        0x8737F9F3, 0x765E3D25, 0xDB3D3537, 0xEE44552B, 0x11D0C94C, 0x9B605BCB, 0x903B98B3, 0x24C2EEA3,
        0x896E10A2, 0x2247F0C0, 0xB84E5CAA, 0x8D2C04F0, 0x3BC7842C, 0x1A50D606, 0x49A1917C, 0x7E1CB50C,
        0xFC27B826, 0x5FDDDFBC, 0xDE0FC404, 0xB2B30907
};

脚本

最后是小端序

unsigned int dword_80AFB60[44] = {
        0x04050607, 0x00010203, 0x0C0D0E0F, 0x08090A0B, 0xCD3FE81B, 0xD7C45477, 0x9F3E9236, 0x0107F187,
        0xF993CB81, 0xBF74166C, 0xDA198427, 0x1A05ABFF, 0x9307E5E4, 0xCB8B0E45, 0x306DF7F5, 0xAD300197,
        0xAA86B056, 0x449263BA, 0x3FA4401B, 0x1E41F917, 0xC6CB1E7D, 0x18EB0D7A, 0xD4EC4800, 0xB486F92B,
        0x8737F9F3, 0x765E3D25, 0xDB3D3537, 0xEE44552B, 0x11D0C94C, 0x9B605BCB, 0x903B98B3, 0x24C2EEA3,
        0x896E10A2, 0x2247F0C0, 0xB84E5CAA, 0x8D2C04F0, 0x3BC7842C, 0x1A50D606, 0x49A1917C, 0x7E1CB50C,
        0xFC27B826, 0x5FDDDFBC, 0xDE0FC404, 0xB2B30907
};

DWORD xtea_key[4] = { 0x03020100, 0x07060504, 0x0B0A0908, 0x0F0E0D0C };

void decipher(unsigned int num_rounds, DWORD v[2], DWORD key[4]) {
        unsigned int i;
        DWORD v0 = v[0], v1 = v[1], delta = 0x10325476, sum = delta * num_rounds;
        for (i = 0; i < num_rounds; i++) {
                v1 -= (((v0 << 4) ^ (v0 >> 5)) + v0) ^ (sum + key[(sum >> 11) & 3]);
                sum -= delta;
                v0 -= (((v1 << 4) ^ (v1 >> 5)) + v1) ^ (sum + key[sum & 3]);
        }
        v[0] = v0; v[1] = v1;
}

void enc11(DWORD* v)
{
        for (int i = 0; i < 44; i++)
        {
                DWORD tmp = v[0];
                v[0] = (LeftRotate(v[0], 1) & LeftRotate(v[0], 8)) ^ LeftRotate(v[0], 2) ^ v[1] ^ dword_80AFB60[i];
                v[1] = tmp;
        }
        DWORD tmp = v[0];
        v[0] = v[1];
        v[1] = tmp;
}

void dec11(DWORD* v)
{
        DWORD tmp = v[0];
        v[0] = v[1];
        v[1] = tmp;
        for (int i = 0; i < 44; i++)
        {
                tmp = v[0];
                v[0] = v[1];
                v[1] = (LeftRotate(v[0], 1) & LeftRotate(v[0], 8)) ^ LeftRotate(v[0], 2) ^ tmp ^ dword_80AFB60[43-i];
        }
}

int main()
{
        DWORD enc[] = { 0xFDF5C266, 0x7A328286, 0xCE944004, 0x5DE08ADC, 0xA6E4BD0A, 0x16CAADDC, 0x13CD6F0C, 0x1A75D936 };

        //input = "1234567890abcdefghijklmn12366666"
        //DWORD enc[] = { 0x4A16D2F5, 0x3995DF74, 0xC0B2BC9A, 0x313495AC, 0x207EAA57, 0x5C46F1CB, 0x9AB2B6D3, 0xF0E536C3 };
        DWORD rounds[] = { 2, 4, 8, 16 };
        for (int i = 0; i < 8; i += 2)
        {
                decipher(rounds[i / 2], &enc[i], xtea_key);
                dec11(&enc[i]);
        }
        char* flag = (char*)enc;

        for (int i = 0; i < 32; i += 4)
        {
                printf("%c", flag[i+3]);
                printf("%c", flag[i + 2]);
                printf("%c", flag[i + 1]);
                printf("%c", flag[i]);
        }
        return 0;
}
// mM7pJIobsCTQPO6R0g-L8kFExhYuivBN

jump没看

Pvr1sC
关注
专栏目录
BROP入门之 KCTF 2022 废土末世
weixin_46483787的博客
05-25 1220
定义 来自CTF wiki: BROP 是没有对应应用程序的源代码或者二进制文件下,对程序进行攻击,劫持程序的执行流 攻击条件 源程序必须存在栈溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重新启动的进程的地址与先前的地址一样(这也就是说即使程序有 ASLR 保护,但是其只是在程序最初启动的时候有效果)。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的 基本思路 暴力枚举获取栈溢出长度,逐字符比较泄露返回地址,获取gad
bilibili2021CTF-安全挑战赛-reverse-复现
ookami6497的博客
10-27 1225
哔哩哔哩安全挑战赛逆向复现第一题第二题 第一题 第一题逆向很简单,用JEB打开,点开com包,找到主函数按tab查看伪代码,加密代码很简单,一个简单的异或就行。 将v2和v1 转成字符得到两串base64加密后的密文 v2 = NjI1OzA3YGAuNjNmNzc7YmU= v1 = YWBlOmZnNjAuOmJmNzAxO2Y= base64解码后得到 v2 = 625;07``.63f77;be v1 = a`e:fg60.:bf701;f 然后搞个脚本就行,脚本如下:
CTF-RE 笔记汇总
逆向随笔
04-02 2570
做了笔记从来不看系列……丢云端清本地了 文章目录滴水2015-01-12(进制01)2015-01-13(进制01)2015-01-14(数据宽度_逻辑运算)2015-01-15(通用寄存器_内存读写)2015-01-16(内存地址_堆栈)2015-01-19(标志寄存器)2015-01-20(JCC补录)2015-01-23(C语言完整版)2015-01-26 (c语言02_数据类型)2015-02-05 (结构体 字节对齐)2015-02-06 (switch语句反汇编)指针位运算汇编笔记第二章 寄存器
2022 *CTF REVERSE的Simple File System
沐一 · 林 的博客
04-18 610
2022 *CTF REVERSE的Simple File System . . 下载附件,有四个文件: . . 照例扔入虚拟机中运行一下,查看主要回显信息: . . 照例扔入 IDA64 中查看伪代码,有 main 函数看 main 函数: . . 那么流程就是从 flag 文件中取出 flag -----> plantflag 命令加密存入磁盘节点中。 关键就是存入磁盘节点中也是写入磁盘文件中啊,而出题者取出的 flag 是完整的 flag 啊,所以磁盘中一开始里面就有加密后
[*ctf 2022 reverse] simplefs
weixin_52640415的博客
04-24 299
当时弄了一会乱了,0节点啥都没有,昨天看了官方WP发现需要把全部的节点弄出来。试了一成功,就差一点呀。 不过官方给出了密钥 0xdeadbeef程序里是没有的,而且我的作的时候也是爆密钥。先看下加密程序 __int64 __fastcall crypto(__int64 a1, int a2) { int i; // [rsp+10h] [rbp-10h] int v4; // [rsp+14h] [rbp-Ch] _BYTE *v5; // [rsp+18h] [rbp-8h] v
*CTF 2022 Reverse Writeup
qq_41866334的博客
04-17 604
AAA : immortal NaCl 感觉和native client 关系不大 就是mmap出来一个页当成栈来使用, 并且栈顶指针变成了r15而非rsp 关键函数做了反调试, 在加密输入之前会先计算dword_80AFB60 作为key, 具体操作没仔细看反正dump出来就完事了 剩下的就是动调跟着汇编指令慢慢撸逻辑, 加密部分就是一个简单的费斯妥密码后面接一个xtea , 每八个字节都是独立计算的 cmp = [0x66, 0xC2, 0xF5, 0xFD, 0x86, 0x82, 0x32.
[De1CTF 2019]ShellShellShell复现
lllffg的博客
02-18 476
[De1CTF 2019]ShellShellShell 这里是一个md5截断,直接拿脚本跑一下即可 # -*- coding: utf-8 -*- #在python2环境下执行python2 1.py '94d20' 0即可执行 import multiprocessing import hashlib import random import string import sys CHARS = string.letters + string.digits def cmp_md5(substr,
2022DASCTF X SU 三月春季挑战赛-reverse-easyre(复现
ookami6497的博客
04-03 902
先用PE查壳,一开始没看清楚,以为没壳,动调了半天,后来才看到是个ASP壳 用工具脱壳后分析main函数 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[50]; // [esp+1Ch] [ebp-74h] BYREF _BYTE v5[50]; // [esp+4Eh] [ebp-42h] BYREF _DWORD v6[3]; // [esp+80h] [ebp-10h] BY.
CTFshow-卷王杯-简单的re(复现
ookami6497的博客
03-19 1254
普通的upx壳,放kali里面脱下壳就行 运行 进入主函数 __int64 sub_401165() { int v0; // edx int v1; // ecx int v2; // er8 int v3; // er9 __int64 result; // rax __int64 v5; // [rsp+8h] [rbp-1018h] char v6[112]; // [rsp+10h] [rbp-1010h] BYREF int v7; // [rs..
ctf简介
weixin_73862840的博客
10-13 1948
ctfj简介
中国顶级CTF竞赛网络安全大赛--2022网鼎杯re2解题思路来了,快来围观!
m0_64973256的博客
10-20 3290
可以猜到flag的长度为20,如果不是20,直接到打印错误的地方,继续向下看,下面对字符串进行第一次处理。1、进入主函数(很明显是vs写的程序,根据步骤找主函数就行)可正常运行,接下来分析算法。
CTF逆向-[MRCTF2020]VirtualTree-恒成立的jz花指令去除及smc变换原执行流程在二叉树上的应用,通过逆向思维编写脚本以解决
serfend's blog
05-04 2724
CTF逆向-[MRCTF2020]VirtualTree-恒成立的jz花指令去除及smc变换原执行流程在二叉树上的应用,通过逆向思维编写脚本以解决 来源:https://buuoj.cn/ 内容: 附件: 链接:https://pan.baidu.com/s/1JuQqLSLskTFxOCbXZgUR8g?pwd=da2a 提取码:da2a 答案:MRCTF{@_7r3e_f0r_fuNN!} 总体思路 发现有花指令,去除 发现有smc,动调让其执行 对处理流程中涉及到的函数编写逆向思维脚本反着算 对二叉
CG-CTF RE Simple
weixin_44447516的博客
04-12 389
第一个判断函数sub_40070E可知 输入长度<=81 ,全为数字 第二个判断逆函数 sub_40078B size_t __fastcall sub_40078B(const char *input, __int64 key) { size_t result; // rax int i; // [rsp+1Ch] [rbp-14h] for ( i = 0; ; ++i ) { resu...
[BUUCTF]RE-SimpleRev
qq_45711410的博客
08-14 2274
也没个后缀,强行加个exe后缀还运行不了 废话不多说,64位IDA走起 只有输入d或D才能进入Decry()函数,否则退出,现在进入函数 大概意思是先把key1和scr复制到key中然后对key进行一番操作,然后输入flag到str2中,对str2进行一番操作后跟text进行比较,比较正确则输出congratulation 因此需要关注的几个点是key1,scr,key3,v9(进入join函数可以看到text由key3和v9链接而成)并且这四个量已经给出(选中后按R转成字符串即可),但事实上正确.
【CSS Tricks】像素风字体、图片
09-17
包含像素风中英文字体,鼠标手势普通状态、点击状态和禁用状态,仅用作技术分享学习研究,不可用于其他用途。
卡瓦牙椅E50life中文使用说明书第一部分.pdf
最新发布
09-17
卡瓦牙椅E50life中文使用说明书第一部分.pdf
ChromiumSetup.exe
09-17
ChromiumSetup.exe
Chain of thought 链式思考赋能Transformer模型解决串行计算难题
09-17
Chain of thought(CoT)使Transformer能够执行串行计算,扩展了它们解决问题的能力,超越了仅限并行的局限性。 增强Transformer的表达能力,特别是对于本质上是顺序问题。 原始问题: 大型语言模型(LLMs)在生成最终答案之前生成中间步骤(连续思考,CoT)时,展现出异常的推理能力。CoT有效性背后的机制尚不清楚,尤其是在zero shot和错误推理场景中。   本文的关键见解: • 在没有CoT的情况下,具有有限精度和多项式(n)嵌入大小的恒定深度Transformer只能解决AC0中的问题 • 通过T步骤的CoT,使用恒定位精度和O(log n)嵌入大小的恒定深度Transformer可以解决任何由大小为T的布尔电路可解决的问题 • CoT大幅提高了低深度Transformer在本质上是串行问题上的准确性   本文的解决方案: • 为通过如下特性解决问题的恒定深度Transformer定义了新的复杂性类CoT[T(n), d(n), s(n), e(n)]: T(n) CoT步骤 d(n) 嵌入大小 s(n) 精度位 e(n) 指数位
7a3b55460m422ea155d8f9aaa897e1dc(1).jsp
09-17
7a3b55460m422ea155d8f9aaa897e1dc(1).jsp
ctf re z3库
08-23
CTF 中使用 Z3 库是为了在逆向工程和漏洞挖掘等领域进行符号执行和自动化分析的过程中,构建和求解约束条件。Z3 是一种高性能的 SMT(Satisfiability Modulo Theories)求解器,可以用于解决布尔逻辑和位向量等复杂...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值