[buuctf][2019红帽杯]easyRE

最新推荐文章于 2024-04-08 17:12:40 发布
最新推荐文章于 2024-04-08 17:12:40 发布
阅读量521 收藏
点赞数 1
分类专栏: REVERSE # buuctf 文章标签: 安全 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71081503/article/details/125576041
版权

[2019红帽杯]easyRE

解析

先查一下,是一个64位无壳文件,elf文件,之后拖入ida中进行查看,发现并没什么有什么如约而至的main函数,那么我们只能自己寻找,直接来寻找字符串发现了一个base64加密的,还有base64的密文,过于着急去解密,之后被骗去了看雪https://bbs.pediy.com/thread-254172.htm这个页面,之后重新分析的
![在这里插入图片描述](https://img-blog.csdnimg.cn/f03184a8f8a04a3491a4d342a454b751.png
在这里插入图片描述

在这里,从这里跳进去进行反编译。

__int64 sub_400D35()
{
  __int64 v0; // rdi
  __int64 result; // rax
  unsigned __int64 v2; // rt1
  unsigned int v3; // [rsp+Ch] [rbp-24h]
  signed int i; // [rsp+10h] [rbp-20h]
  signed int j; // [rsp+14h] [rbp-1Ch]
  unsigned int v6; // [rsp+24h] [rbp-Ch]
  unsigned __int64 v7; // [rsp+28h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  v0 = 0LL;
  v3 = sub_43FD20(0LL) - qword_6CEE38;
  for ( i = 0; i <= 1233; ++i )
  {
    v0 = v3;
    sub_40F790(v3);
    sub_40FE60();
    sub_40FE60();
    v3 = (unsigned __int64)sub_40FE60() ^ 0x98765432;
  }
  v6 = v3;
  if ( ((unsigned __int8)v3 ^ byte_6CC0A0[0]) == 0x66 && (HIBYTE(v6) ^ (unsigned __int8)byte_6CC0A3) == 0x67 )
  {
    for ( j = 0; j <= 24; ++j )
    {
      v0 = (unsigned __int8)(byte_6CC0A0[j] ^ *((_BYTE *)&v6 + j % 4));
      sub_410E90(v0);
    }
  }
  v2 = __readfsqword(0x28u);
  result = v2 ^ v7;
  if ( v2 != v7 )
    sub_444020(v0);
  return result;
}

发现这里的信息,之后看一下字符,0x66是f,0x67g,那么就是证明这里要是flag,之后写一下脚本进行反推出来v6是多少,之后在继续往下,之后在继续异或,之后可以开始写了。

脚本

开始往下走,先知道v6是多少,要先知道byte_6CC0A0和byte_6CC0A3,之后列出来。

.data:00000000006CC0A0 byte_6CC0A0     db 40h                  ; DATA XREF: sub_400D35+95↑r
.data:00000000006CC0A0                                         ; sub_400D35+C1↑r
.data:00000000006CC0A1                 db  35h ; 5
.data:00000000006CC0A2                 db  20h
.data:00000000006CC0A3 byte_6CC0A3     db 56h                  ; DATA XREF: sub_400D35+A6↑r
.data:00000000006CC0A4                 db  5Dh ; ]
.data:00000000006CC0A5                 db  18h
.data:00000000006CC0A6                 db  22h ; "
.data:00000000006CC0A7                 db  45h ; E
.data:00000000006CC0A8                 db  17h
.data:00000000006CC0A9                 db  2Fh ; /
.data:00000000006CC0AA                 db  24h ; $
.data:00000000006CC0AB                 db  6Eh ; n
.data:00000000006CC0AC                 db  62h ; b
.data:00000000006CC0AD                 db  3Ch ; <
.data:00000000006CC0AE                 db  27h ; '
.data:00000000006CC0AF                 db  54h ; T
.data:00000000006CC0B0                 db  48h ; H
.data:00000000006CC0B1                 db  6Ch ; l
.data:00000000006CC0B2                 db  24h ; $
.data:00000000006CC0B3                 db  6Eh ; n
.data:00000000006CC0B4                 db  72h ; r
.data:00000000006CC0B5                 db  3Ch ; <
.data:00000000006CC0B6                 db  32h ; 2
.data:00000000006CC0B7                 db  45h ; E
.data:00000000006CC0B8                 db  5Bh ; [

之后一个脚本进行计算,最后获得flag是flag{Act1ve_Defen5e_Test}。

#include<stdio.h>
int byte_6CC0A0_3[4] = { 0x40,0x35 ,0x20 ,0x56};
int byte_6CC0A0[25] = { 0x40,0x35 ,0x20 ,0x56 ,0x5D,0x18,0x22,0x45,0x17,0x2F,0x24,0x6E,0x62,0x3C,0x27,0x54,0x48,0x6C,0x24,0x6E,0x72,0x3C,0x32,0x45,0x5B };
int v1[4] = { 0x66,0x6c,0x61,0x67 };
char v3[4] = { 0 };
char v0[25] = { 0 };
int main() {
	for (int i = 0; i < 4; i++) {
		v3[i] = byte_6CC0A0_3[i] ^ v1[i];
	}
	for (int j = 0; j <= 24; j++) {
		v0[j] = byte_6CC0A0[j] ^ v3[j % 4];
	}
	printf("%s", v0);
}
逆向萌新
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[2019红帽杯]easyRE1题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-30 1651
buuctf-[2019红帽杯]easyRE1题解
BuuCTF [2019红帽杯]easyRE
m0_74154467的博客
06-15 351
Buuctf解题思路
[2019红帽杯]easyRE 1
最新发布
qq_20242529的博客
04-08 1301
第三部分sub_410E90((unsigned __int8)(byte_6CC0A0[j] ^ *((_BYTE *)&v4 + j % 4)))我们主要看里面这部分(byte_6CC0A0[j] ^ *((_BYTE *)&v4 + j % 4))由v1^byte_6CC0A0[0]='f'和HIBYTE(v4) ^ (unsigned __int8)byte_6CC0A3) == 'g'这里有几个关键的地方。这里补充一下HIBYTE(v4)是指V4的高位的值,由于V1=V4也就是V1高位的值。
[2019红帽杯]easyRE
yidalipao1的博客
05-07 843
BUU 2019红帽easyre
2019 红帽easyRE
mishixiaodai的博客
11-18 2484
记一次被带入坑的逆向 拿到题目,发现是elf文件,拖入Linux运行程序,发现什么提示也不给,输入任意字符串,程序退出。 拖入64位的ida中,查找字符串,发现几个很有用的字符串,查看第三个字符串处的代码 先给了一大串数字,将类型转变成char[36]后如下图所示。分析伪代码发现函数名都是统一的sub_。 进入第一个函数sub_4406E0,发现很难理解此函数是干嘛的,但通过主程序,我们可以猜测,该函数的作用应该是读取我们的输入。同理,根据if语句中的v15[i] ^ i) != v14[i],我
buu:[2019红帽杯]easyRE wp
weixin_60553183的博客
12-19 218
放入ida后我人懵了,这是我见过函数最多的一次。但是总归是要尝试的,打开strings window ok,这里可以看出两个东西一个是base 64一个是you find me!这意味着flag位置找到了。点进去交叉引用。 第一步是静态分析,然后呢,修改函数名,其实这一步我老是忽略,但其实很重要,可以帮助分析,且有效避免眼瞎。 首先sub_410cc00很容易看出是输出可以看成puts. 然后sub_4406E0(0LL, v15, 37LL),这个函数,第一个参数0,第二个参数,...
2019红帽杯恶臭的数据包.7z
11-11
2019红帽杯恶臭的数据包
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
2018红帽杯线上预选赛MISC文件--NotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
05-03
2018红帽杯线上预选赛MISC文件()Not Only WiresharkNotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
红帽RHCSA的详尽笔记
08-15
红帽RHCSA的详尽笔记打算要考RHCSA然后报了一个班,这是我自己记录的笔记,我感觉挺详细的,希望对你们有帮助,包括配置网卡、yum源、创建用户、用户组、创建cron作业等等,可以搭配我的文章一起看,对初学Linux和考...
BUUCTF-re-[2019红帽杯]easyRE
qq_61774705的博客
06-18 688
用IDA64打开文件,shift+F12查看字符串 分析关键代码:脚本如下: 继续查看sub_400E44函数继续分析 脚本如下: 继续分析 代码如下: 发现此函数的逻辑就是将字符串进行异或,还可以发现if语句中,有判断是否等于‘f’和‘g’的条件,根据已有信息猜测这个字符数组就是‘flag’。函数的作用是获取高字节也就是数组的最后一位,同时还有第一个是获取数组的第一位,第二个就是获取第二位,依次类推。查看数组byte_6CC0A0数据:可以看出byte_CC0A3=byte_CC0
BUUCTF逆向 [2019红帽杯]xx】
chuxuezhewocao的博客
06-27 569
BUUCTF刷题记录,本题主要是一道C++程序题,主要在于理清代码逻辑,c++的反汇编伪代码看的还不是很熟练。代码稍长,可以分段看,首先来到第一段,是一个获取输入的部分: 这里有一个容易看错的地方,就是存储输入的那个变量叫Code,然后v6指向的内容也叫Code,但是这两个不是一个东西,后者跟进去后可以看到如图上标注所示 这里是最后一个异或的逻辑,相当于从v20[3]开始,每一位都会和前面的几个数据循环异或,范围就是range(i//3),逆的时候从后往前算 总体的逻辑差不多是这样,但是在解的时候卡在了解
[ACTF新生赛2020]easyre&[SUCTF2019]SignIn
weixin_46133275的博客
10-18 239
本文主要记录[ACTF新生赛2020]easyre、[SUCTF2019]SignIn的做题过程和相关思路。
[2019红帽杯]easyRE1
2301_80394594的博客
02-23 397
可以看出来v2到11是对off_6cc090进行了10次base64加密,点进去查看它的值,并使用工具进行解密。可以看出v12,13,14都是赋值,第37行是一个异或,写个脚本求出来看看是什么。这里是进行了异或,且一个结果为f,一个为g,从上面又能看出来它们中间相差了两个字符。大胆猜测,这里对前四位进行异或后的结果就是上面说到的前四个字符为“flag”那么回到IDA,发现这里还有两个字符,X,再F5点进去看看。没什么用,只是告诉了前四个字符是flag,那继续往下看。
buu-[2019红帽杯]easyRE
qaq517384的博客
03-05 531
查壳 64位ida 直接查看字符串能看到you found me和一些奇怪字符串 有些类似base的东西 先找you found me 跟进后CTRL+X交叉引用找到函数,f5查看伪代码 signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8
re学习笔记(26)BUUCTF-re-[2019红帽杯]xx
逆向随笔
01-15 2532
[2019红帽杯]easyRE 新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:BUUCTF-re-[2019红帽杯]xx 题目下载:点击下载 IDA64位载入 shift+F12查看字符串 交叉引用找到关键代码 使用findcrypt插件找到加密算法为tea系列,进函数内部查看知道为xxtea __int64 __fastcall sub_1400011A0(__...
BUUCTF Reverse/[2019红帽杯]easyRE
ookami6497的博客
07-20 338
BUUCTF Reverse/[2019红帽杯]easyRE 先看下文件属性 用IDA64位打开,查找字符串,看到一句“You found me!!!” 这个应该就是flag的所在地了 跟随跳转 __int64 sub_4009C6() { __int64 result; // rax int i; // [rsp+Ch] [rbp-114h] __int64 v2; // [rsp+10h] [rbp-110h] __int64 v3; // [rsp+18h] [rbp
虚拟机红帽Linux安装
10-08
虚拟机中安装红帽Linux可以按照以下步骤进行操作: 1. 首先,确保你已经安装了虚拟机软件,比如VMware Workstation或者Oracle VirtualBox。 2. 下载红帽Linux的ISO镜像文件,可以从红帽官网下载或者其他可信的来源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向萌新

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值