[buuctf][2019红帽杯]easyRE

最新推荐文章于 2024-10-13 14:00:00 发布
最新推荐文章于 2024-10-13 14:00:00 发布
阅读量564 收藏
点赞数 1
分类专栏: REVERSE # buuctf 文章标签: 安全 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71081503/article/details/125576041
版权

[2019红帽杯]easyRE

解析

先查一下,是一个64位无壳文件,elf文件,之后拖入ida中进行查看,发现并没什么有什么如约而至的main函数,那么我们只能自己寻找,直接来寻找字符串发现了一个base64加密的,还有base64的密文,过于着急去解密,之后被骗去了看雪https://bbs.pediy.com/thread-254172.htm这个页面,之后重新分析的
![在这里插入图片描述](https://img-blog.csdnimg.cn/f03184a8f8a04a3491a4d342a454b751.png
在这里插入图片描述

在这里,从这里跳进去进行反编译。

__int64 sub_400D35()
{
  __int64 v0; // rdi
  __int64 result; // rax
  unsigned __int64 v2; // rt1
  unsigned int v3; // [rsp+Ch] [rbp-24h]
  signed int i; // [rsp+10h] [rbp-20h]
  signed int j; // [rsp+14h] [rbp-1Ch]
  unsigned int v6; // [rsp+24h] [rbp-Ch]
  unsigned __int64 v7; // [rsp+28h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  v0 = 0LL;
  v3 = sub_43FD20(0LL) - qword_6CEE38;
  for ( i = 0; i <= 1233; ++i )
  {
    v0 = v3;
    sub_40F790(v3);
    sub_40FE60();
    sub_40FE60();
    v3 = (unsigned __int64)sub_40FE60() ^ 0x98765432;
  }
  v6 = v3;
  if ( ((unsigned __int8)v3 ^ byte_6CC0A0[0]) == 0x66 && (HIBYTE(v6) ^ (unsigned __int8)byte_6CC0A3) == 0x67 )
  {
    for ( j = 0; j <= 24; ++j )
    {
      v0 = (unsigned __int8)(byte_6CC0A0[j] ^ *((_BYTE *)&v6 + j % 4));
      sub_410E90(v0);
    }
  }
  v2 = __readfsqword(0x28u);
  result = v2 ^ v7;
  if ( v2 != v7 )
    sub_444020(v0);
  return result;
}

发现这里的信息,之后看一下字符,0x66是f,0x67g,那么就是证明这里要是flag,之后写一下脚本进行反推出来v6是多少,之后在继续往下,之后在继续异或,之后可以开始写了。

脚本

开始往下走,先知道v6是多少,要先知道byte_6CC0A0和byte_6CC0A3,之后列出来。

.data:00000000006CC0A0 byte_6CC0A0     db 40h                  ; DATA XREF: sub_400D35+95↑r
.data:00000000006CC0A0                                         ; sub_400D35+C1↑r
.data:00000000006CC0A1                 db  35h ; 5
.data:00000000006CC0A2                 db  20h
.data:00000000006CC0A3 byte_6CC0A3     db 56h                  ; DATA XREF: sub_400D35+A6↑r
.data:00000000006CC0A4                 db  5Dh ; ]
.data:00000000006CC0A5                 db  18h
.data:00000000006CC0A6                 db  22h ; "
.data:00000000006CC0A7                 db  45h ; E
.data:00000000006CC0A8                 db  17h
.data:00000000006CC0A9                 db  2Fh ; /
.data:00000000006CC0AA                 db  24h ; $
.data:00000000006CC0AB                 db  6Eh ; n
.data:00000000006CC0AC                 db  62h ; b
.data:00000000006CC0AD                 db  3Ch ; <
.data:00000000006CC0AE                 db  27h ; '
.data:00000000006CC0AF                 db  54h ; T
.data:00000000006CC0B0                 db  48h ; H
.data:00000000006CC0B1                 db  6Ch ; l
.data:00000000006CC0B2                 db  24h ; $
.data:00000000006CC0B3                 db  6Eh ; n
.data:00000000006CC0B4                 db  72h ; r
.data:00000000006CC0B5                 db  3Ch ; <
.data:00000000006CC0B6                 db  32h ; 2
.data:00000000006CC0B7                 db  45h ; E
.data:00000000006CC0B8                 db  5Bh ; [

之后一个脚本进行计算,最后获得flag是flag{Act1ve_Defen5e_Test}。

#include<stdio.h>
int byte_6CC0A0_3[4] = { 0x40,0x35 ,0x20 ,0x56};
int byte_6CC0A0[25] = { 0x40,0x35 ,0x20 ,0x56 ,0x5D,0x18,0x22,0x45,0x17,0x2F,0x24,0x6E,0x62,0x3C,0x27,0x54,0x48,0x6C,0x24,0x6E,0x72,0x3C,0x32,0x45,0x5B };
int v1[4] = { 0x66,0x6c,0x61,0x67 };
char v3[4] = { 0 };
char v0[25] = { 0 };
int main() {
	for (int i = 0; i < 4; i++) {
		v3[i] = byte_6CC0A0_3[i] ^ v1[i];
	}
	for (int j = 0; j <= 24; j++) {
		v0[j] = byte_6CC0A0[j] ^ v3[j % 4];
	}
	printf("%s", v0);
}
逆向萌新
关注
专栏目录
buu-[2019红帽杯]easyRE
qaq517384的博客
03-05 591
查壳 64位ida 直接查看字符串能看到you found me和一些奇怪字符串 有些类似base的东西 先找you found me 跟进后CTRL+X交叉引用找到函数,f5查看伪代码 signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8
BUUCTF逆向 [2019红帽杯]xx】
chuxuezhewocao的博客
06-27 629
BUUCTF刷题记录,本题主要是一道C++程序题,主要在于理清代码逻辑,c++的反汇编伪代码看的还不是很熟练。代码稍长,可以分段看,首先来到第一段,是一个获取输入的部分: 这里有一个容易看错的地方,就是存储输入的那个变量叫Code,然后v6指向的内容也叫Code,但是这两个不是一个东西,后者跟进去后可以看到如图上标注所示 这里是最后一个异或的逻辑,相当于从v20[3]开始,每一位都会和前面的几个数据循环异或,范围就是range(i//3),逆的时候从后往前算 总体的逻辑差不多是这样,但是在解的时候卡在了解
[2019红帽杯]easyRE
yidalipao1的博客
05-07 874
BUU 2019红帽杯easyre
BUUCTF-[2019红帽杯]easyRE(Reverse逆向)
最新发布
书山有路勤为径,学海无涯苦作舟
10-13 825
(29条消息) 2019 红帽杯 easyRE_[2019红帽杯]easyre_mishixiaodai的博客-CSDN博客(29条消息) BUUCTF-re-[2019红帽杯]easyRE_T1M@的博客-CSDN博客2019 红帽杯 Re WP - Hk_Mayfly - 博客园 (cnblogs.com)(29条消息) re学习笔记(25)BUUCTF-re-[2019红帽杯]easyRE_buuctf re题_Forgo7ten的博客-CSDN博客再写是因为自己再复现了一遍,希望加深印象,增强理解。
BUUCTF-[2019红帽杯]easyRE
weixin_61154173的博客
11-30 622
BUUCTF-2019红帽杯easyRE
buuctf [2019红帽杯]easyRE
个人博客:http://s0rry.cn
12-12 769
有点小坑
[Buuctf] [2019红帽杯] easyRE
Bileton的博客
03-02 1247
主动防御
BUUCTF Reverse/[2019红帽杯]Snake
ookami6497的博客
07-31 1007
BUUCTF Reverse/[2019红帽杯]Snake 下载解压缩后得到可执行文件,而且有一个unity的应用程序,应该是用unity编写的游戏 打开是一个贪吃蛇游戏 用.NET Reflector打开Assembly-CSharp.dll。(unity在打包后,会将所有的代码打进一个Assembly-CSharp.dll的文件里面,通过这个文件的反编译,就是详细看见里面的代码内容) 再将Assembly-CSharp.dll拖入IDA中查看函数关系 有个start函数,但
2019红帽杯easyRE-ACTF新生赛2020rome-[FlareOn4]login-Youngterdrive
AlienEowynWan的博客
06-03 528
[2019红帽杯]easyRE
BUUCTF Reverse/[2019红帽杯]childRE
ookami6497的博客
09-11 395
C++的类成员函数(其调用方式是thiscall)。函数的名字修饰与非成员的C++函数稍有不同,首先就是在函数名字和參数表之间插入以“@”字 符引导的类名。可以先写脚本将outputstring中的值给求出来。感觉像个二叉树遍历,试了下还原二叉树但是咋搞都不对。然后就是这个函数了,可以参考。来分割,对应关系如下。直接在输入的时候使用。刚好对应每个数的下标。
2019 红帽杯 easyRE
mishixiaodai的博客
11-18 2761
记一次被带入坑的逆向 拿到题目,发现是elf文件,拖入Linux运行程序,发现什么提示也不给,输入任意字符串,程序退出。 拖入64位的ida中,查找字符串,发现几个很有用的字符串,查看第三个字符串处的代码 先给了一大串数字,将类型转变成char[36]后如下图所示。分析伪代码发现函数名都是统一的sub_。 进入第一个函数sub_4406E0,发现很难理解此函数是干嘛的,但通过主程序,我们可以猜测,该函数的作用应该是读取我们的输入。同理,根据if语句中的v15[i] ^ i) != v14[i],我
BuuCTF [2019红帽杯]easyRE
m0_74154467的博客
06-15 417
Buuctf解题思路
BUUCTF - [2019红帽杯]easyRE
:-)
11-23 1075
BUUCTF - [2019红帽杯]easyRE 个人认为这道题是最近我刷的题目中难度较高的了,也是自己能力问题,不多说了,开始做题 这篇文章配图规律为,图片在上文字在下,希望大家还看到习惯 拖入die分析,elf64位文件,打开Linux跑跑看 输错就退出,毫不讲理… 那咱直接上静态分析吧,这里跟大家说一下哈,我的做题的习惯一般是静态分析无果,才去寻求动态调试,并不是说这道题用动态的方法做不出来,有能力的师傅可以自己去动态,我就继续坚持我的习惯了。 shift+F12看看字符,看到字符表,肯定用到了
BUUCTF-re-[2019红帽杯]easyRE
qq_61774705的博客
06-18 782
用IDA64打开文件,shift+F12查看字符串 分析关键代码:脚本如下: 继续查看sub_400E44函数继续分析 脚本如下: 继续分析 代码如下: 发现此函数的逻辑就是将字符串进行异或,还可以发现if语句中,有判断是否等于‘f’和‘g’的条件,根据已有信息猜测这个字符数组就是‘flag’。函数的作用是获取高字节也就是数组的最后一位,同时还有第一个是获取数组的第一位,第二个就是获取第二位,依次类推。查看数组byte_6CC0A0数据:可以看出byte_CC0A3=byte_CC0
buuctf————[2019红帽杯]easyRE
yhfgs的博客
09-24 1204
1.查壳。 64位,无壳。 2IDA反编译。查找字符串。 发现关键字符串(you found me!!!) ,跟进。 (还有byebye下面base64加密特征。) 查看代码十次base64加密(想到这儿,我以为要出flag了,只能说我太天真了。) 用base64解密得到一个网址,点进去发现被骗了(淦)。 3。再次重新找关键函数。(看了大佬的wp才知道关键函数在那儿)。 关键函数就是在这个函数的下面:sub_400D35. c 查看代码。 if这里判断一个f,一个g。.
BUUCTF逆向题[2019红帽杯]easyRE
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
10-23 1217
*(&v15 + i) 有了前面的分析,这条语句就不难理解了,我们输入的字符串保存到 v51 中,然后取出每个字符与 i 值异或再与 v15 到 v50 的字符进行比较(&v15是首元素的地址,+i 表示指向下一个的意思)跟过来后可以发现是我们前面看到的与 base64 有关的东西,所以我们猜测 sub_400E44 是一个 base64 加密处理函数,由代码可知对同一个数据加密了 10 次,加密后的数据是什么,我们接着找。我们去看看,发现是看雪的一篇文章,到这里我们基本可以确定这是一个干扰项。
re学习(15)BUUCTF 2019红帽杯easyRe(寻找数据+xor问题)
m0_66039322的博客
07-13 494
虽然带有easy,但是并不是那么easy。CTF偏向于算法,实战偏向于程序逻辑,执行的流程。
BUUCTF----红帽杯easyre
qq_64558075的博客
12-09 425
1.拿到文件,老规矩,查壳 收集信息,无壳,64位程序(使用64位ida) 2.拖入ida 寻找main函数 没找到,那就换种方式,我们找字符串 发现可疑字符串 跟进该字符串 发现了类似主函数的东西 分析它 写个异或脚本,解出v12 这个时候得到一个提示:求的最后的flag的前四位为“flag”(好像没什么用) 接下来继续分析 可以看到接下来off_6cc090是一个字符串base64加密10次的结果 写个脚本,把0ff_6CC90里面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向萌新

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值