[buuctf][gwctf 2019]xxor

最新推荐文章于 2024-04-18 19:46:51 发布
最新推荐文章于 2024-04-18 19:46:51 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: REVERSE # buuctf 文章标签: 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71081503/article/details/125743375
版权

[gwctf 2019]xxor

思路

还是先查壳和系统elf可执行文件,64位系统,之后我们打开
在这里插入图片描述
放入ida中,先在linux下运行一下看看开始的字符串是什么
在这里插入图片描述
查找字符串找到位置

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  signed int i; // [rsp+8h] [rbp-68h]
  signed int j; // [rsp+Ch] [rbp-64h]
  __int64 v6; // [rsp+10h] [rbp-60h]
  __int64 v7; // [rsp+18h] [rbp-58h]
  __int64 v8; // [rsp+20h] [rbp-50h]
  __int64 v9; // [rsp+28h] [rbp-48h]
  __int64 v10; // [rsp+30h] [rbp-40h]
  __int64 v11; // [rsp+40h] [rbp-30h]
  __int64 v12; // [rsp+48h] [rbp-28h]
  __int64 v13; // [rsp+50h] [rbp-20h]
  __int64 v14; // [rsp+58h] [rbp-18h]
  __int64 v15; // [rsp+60h] [rbp-10h]
  unsigned __int64 v16; // [rsp+68h] [rbp-8h]

  v16 = __readfsqword(0x28u);
  puts("Let us play a game?");
  puts("you have six chances to input");
  puts("Come on!");
  v6 = 0LL;
  v7 = 0LL;
  v8 = 0LL;
  v9 = 0LL;
  v10 = 0LL;
  for ( i = 0; i <= 5; ++i )
  {
    printf("%s", "input: ", (unsigned int)i);
    a2 = (char **)((char *)&v6 + 4 * i);
    __isoc99_scanf("%d", a2);
  }
  v11 = 0LL;
  v12 = 0LL;
  v13 = 0LL;
  v14 = 0LL;
  v15 = 0LL;
  for ( j = 0; j <= 4; j += 2 )
  {
    dword_601078 = *((_DWORD *)&v6 + j);
    dword_60107C = *((_DWORD *)&v6 + j + 1);
    a2 = (char **)&unk_601060;
    sub_400686((unsigned int *)&dword_601078, &unk_601060);
    *((_DWORD *)&v11 + j) = dword_601078;
    *((_DWORD *)&v11 + j + 1) = dword_60107C;
  }
  if ( (unsigned int)sub_400770(&v11, a2) != 1 )
  {
    puts("NO NO NO~ ");
    exit(0);
  }
  puts("Congratulation!\n");
  puts("You seccess half\n");
  puts("Do not forget to change input to hex and combine~\n");
  puts("ByeBye");
  return 0LL;
}

追到了这里,之后稍微修正一下变的容易阅读一些。

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  signed int i; // [rsp+8h] [rbp-68h]
  signed int j; // [rsp+Ch] [rbp-64h]
  __int64 v6[0]; // [rsp+10h] [rbp-60h]
  __int64 v6[1]; // [rsp+18h] [rbp-58h]
  __int64 v6[2]; // [rsp+20h] [rbp-50h]
  __int64 v6[3]; // [rsp+28h] [rbp-48h]
  __int64 v6[4]; // [rsp+30h] [rbp-40h]
  __int64 v7[0]; // [rsp+40h] [rbp-30h]
  __int64 v7[1]; // [rsp+48h] [rbp-28h]
  __int64 v7[2]; // [rsp+50h] [rbp-20h]
  __int64 v7[3]; // [rsp+58h] [rbp-18h]
  __int64 v7[4]; // [rsp+60h] [rbp-10h]
  unsigned __int64 v16; // [rsp+68h] [rbp-8h]

  v16 = __readfsqword(0x28u);
  puts("Let us play a game?");
  puts("you have six chances to input");
  puts("Come on!");
  v6[0] = 0LL;
  v6[1] = 0LL;
  v6[2] = 0LL;
  v6[3] = 0LL;
  v6[4] = 0LL;
  for ( i = 0; i <= 5; ++i )
  {
    printf("%s", "input: ", (unsigned int)i);
    __isoc99_scanf("%d", (char *)&v6[0] + 4 * i);
  }
  v7[0] = 0LL;
  v7[1] = 0LL;
  v7[2] = 0LL;
  v7[3] = 0LL;
  v7[4] = 0LL;
  for ( j = 0; j <= 4; j += 2 )
  {
    dword_601078 = *((_DWORD *)&v6[0] + j);
    dword_60107C = *((_DWORD *)&v6[0] + j + 1);
    sub_400686((unsigned int *)&dword_601078, &unk_601060);// unk_601060 == 2,2,3,4
    *((_DWORD *)&v7[0] + j) = dword_601078;
    *((_DWORD *)&v7[0] + j + 1) = dword_60107C;
  }
  if ( (unsigned int)sub_400770(&v7[0]) != 1 )
  {
    puts("NO NO NO~ ");
    exit(0);
  }
  puts("Congratulation!\n");
  puts("You seccess half\n");
  puts("Do not forget to change input to hex and combine~\n");
  puts("ByeBye");
  return 0LL;
}

之后开始反着来先进入sub_400700函数中查看

signed __int64 __fastcall sub_400770(_DWORD *a1)
{
  signed __int64 result; // rax

  if ( a1[2] - a1[3] != 2225223423LL || a1[3] + a1[4] != 4201428739LL || a1[2] - a1[4] != 1121399208LL )
  {
    puts("Wrong!");
    result = 0LL;
  }
  else if ( *a1 != -548868226 || a1[5] != -2064448480 || a1[1] != 550153460 )
  {
    puts("Wrong!");
    result = 0LL;
  }
  else
  {
    puts("good!");
    result = 1LL;
  }
  return result;
}

这里就需要运算了,这里要注意最好转成十六进制,因为整数和无类型数,最后得到的答案是不一样的,之后利用python脚本计算出,这些数值是什么,为了以后做准备,脚本在下面,之后进入上面那个函数sub_400686中查看

__int64 __fastcall sub_400686(unsigned int *a1, _DWORD *a2)
{
  __int64 result; // rax
  unsigned int v3; // [rsp+1Ch] [rbp-24h]
  unsigned int v4; // [rsp+20h] [rbp-20h]
  int v5; // [rsp+24h] [rbp-1Ch]
  unsigned int i; // [rsp+28h] [rbp-18h]

  v3 = *a1;
  v4 = a1[1];
  v5 = 0;
  for ( i = 0; i <= 0x3F; ++i )
  {
    v5 += 1166789954;
    v3 += (v4 + v5 + 11) ^ ((v4 << 6) + *a2) ^ ((v4 >> 9) + a2[1]) ^ 0x20;
    v4 += (v3 + v5 + 20) ^ ((v3 << 6) + a2[2]) ^ ((v3 >> 9) + a2[3]) ^ 0x10;
  }
  *a1 = v3;
  result = v4;
  a1[1] = v4;
  return result;
}

又是一个表达式,之后进行反向的运算即可。

脚本

python利用z3约束来计算。

from z3 import *

a0, a1, a2, a3, a4, a5 = Ints('a0 a1 a2 a3 a4 a5')
s = Solver()
s.add(a2 - a3 == 0x84A236FF)
s.add(a3 + a4 == 0xFA6CB703)
s.add(a2 - a4 == 0x42D731A8)
s.add(a0 == 0xDF48EF7E)
s.add(a5 == 0x84F30420)
s.add(a1 == 0x20CAACF4)
if s.check() == sat:
    print(s.model())

得到a0-a5是

[a2 = 3774025685,
 a1 = 550153460,
 a5 = 2230518816,
 a0 = 3746099070,
 a3 = 1548802262,
 a4 = 2652626477]

之后那时候我说了一嘴那个无类型的问题,如果我用直接十进制计算。

from z3 import *

a0, a1, a2, a3, a4, a5 = Ints('a0 a1 a2 a3 a4 a5')
s = Solver()
s.add(a2 - a3 == 2225223423)
s.add(a3 + a4 == 4201428739)
s.add(a2 - a4 == 1121399208)
s.add(a0 == -548868226)
s.add(a5 == -2064448480)
s.add(a1 == 550153460)
if s.check() == sat:
    print(s.model())

答案会变成

[a2 = 3774025685,
 a1 = 550153460,
 a5 = -2064448480,
 a0 = -548868226,
 a3 = 1548802262,
 a4 = 2652626477]

所以推荐如果是无类型,最好是转换成十六进制之后利用z3进行约束计算。
之后利用c语言写sub_400686脚本,我写的尽量是按照他的格式进行写的,为了能看明白

#include <stdio.h>
int main()
{
    int a1[6] = { 3746099070,550153460,3774025685,1548802262,2652626477,2230518816 };
    unsigned int a2[4] = { 2,2,3,4 };
    unsigned int v3;
    unsigned int v4;
    int v5;
    for (unsigned int j = 0; j < 5; j += 2)
    {
        v3 = a1[j];
        v4 = a1[j + 1];
        v5 = 1166789954 * 64;
        for (unsigned int i = 0; i < 64; i++)
        {
            v4 -= (v3 + v5 + 20) ^ ((v3 << 6) + a2[2]) ^ ((v3 >> 9) + a2[3]) ^ 0x10;
            v3 -= (v4 + v5 + 11) ^ ((v4 << 6) + *a2) ^ ((v4 >> 9) + a2[1]) ^ 0x20;
            v5 -= 1166789954;
        }
        a1[j] = v3;
        a1[j + 1] = v4;
    }//小端序
    for (unsigned int i = 0; i < 6; i++)
        printf("%c%c%c", *((char*)&a1[i] + 2), *((char*)&a1[i] + 1), *(char*)&a1[i]);
}

最后算出来的就是flag{re_is_great!}就是flag。

总结

看你z3会不会用,其实手算也是可以算,但是后期数字在变大,和争夺时间做题速度的时候,其实很主要就是自动化,还有对于逻辑的分析,怎么样

逆向萌新
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF-[GWCTF 2019]xxor
qq_66455531的博客
07-07 309
HIWORD和LOWORD就是把每一个元素对半分,高位分给HIWORD低位分给LOWORD。这里把输入的数组的高低位分开,高位保留,低位进行tea加密。这里最需要注意的是,v6 和 v7数组的声明是i64,也就是每个元素64bit,也就是8个字节。得到flag{re_is_great!能推出来数组,然后再看tea加密部分。解密就是加密的逆过程,写脚本。先看加密合并后的数组。
每日一题----[GWCTF 2019]xxor题解
最新发布
2203_75549399的博客
04-18 431
TEA,Z3,逆向
[BUUCTF]REVERSE——[GWCTF 2019]xxor
mcmuyanga的博客
12-01 444
[GWCTF 2019]xxor 附件 步骤: 无壳,64位ida载入 程序很简单,首先让我们输入一个字符串,然后进行中间部分的操作,最后需要满足44行的if判断,看一下sub_400770函数 得到几个关系式 a1[2] - a1[3] = 2225223423 a1[3] + a1[4] = 4201428739 a1[2] - a1[4] = 1121399208 a1[0] = 3746099070 a1[5] = 550153460 a1[1] = 550153460 利用z3
BUUCTF - [GWCTF 2019]xxor 1
:-)
11-27 1599
[GWCTF 2019]xxor 1 其实看到这道题的名字,我感觉它做了两次异或操作 ,废话不多说,开始分析 64位ELF,打开Linux运行一下 大概是输入6个字符,经行位操作,然后判断吧,拖进ida分析下 思路很清晰的一道逆向题目,应该考验的是对数据存储的理解和写脚本的能力,研究一下它的逻辑 这应该就是它的关键函数了,之前的input1数组是把输入的数据存起来,然后经行操作后存到v7中进行判断 注意HIDWORD()和LODWORD()的宏定义 #define HIDWORD(x) (*((_
CTF学习笔记 Reverse篇(1) BUUCTF-re-[GWCTF 2019]xxor
哼哼唧唧
11-28 611
2、这里dword_601078是取了每个v6元素四个字节中的后两个字节中的值,dword_60107c则是取了每个v6元素四个字节中前两个字节的值,这里解释一下为什么dword——601078那一条语句没有lodword函数却依然和有lodword函数的结果相同,这是由于dword_601078这个变量只能存储2个字节的数据,因此在读取v6[j]时只能读取其前两个字节,效果其实就跟lodword一样。小白的第一次尝试逆向题目,以后也会在有余力的情况下坚持写笔记,不足之处希望各位大佬指出,共同进步~
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF】web之强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
[GWCTF 2019]xxor
qq_61156124的博客
04-13 135
然后从上面看输入开始逆,注意这里是看不出来输入的长度,脚本跑出来的结果是18位的(大部分想要看长度只能通过check()这种专门的函数)这里unk_601060是Key的地址,它的值其实是[0002,0002,0003,0004](注意是小端存储,每一组要反着来读取)有一个位移操作,用c语言写脚本比较好,直接复制粘贴,for循环里的内容记得反着来,脚本得到。获取数的时候,注意几个一组,然后从下往上组合(注意是小端存储)进入sub_400770函数(比较判断),看到。得到flag{re_is_great!
[BUUCTF]REVERSE - [GWCTF 2019]xxor
firfis的博客
07-02 318
Reverse_PJ0045: [GWCTF 2019]xxor
BUUCTF RE WP31-32 [WUSTCTF2020]level1、[GWCTF 2019]xxor
mumuzi的博客
04-10 704
31.[WUSTCTF2020]level1 得到的 flag 请包上 flag{} 提交。 感谢 Iven Huang 师傅供题。 比赛平台:https://ctfgame.w-ais.cn/ 给了一个ELF和一个txt,txt是一串数字,共有19个,ELF无壳,IDA打开找到main函数,F5大法 简单分析,打开flag.txt,进入循环,单数进入if,双数进入else,最后得到的数字输出并保存为output.txt,反过来即可 enc = [198,232,816,200,1536,300,6144
BUUCTF Reverse/[GWCTF 2019]xxor
ookami6497的博客
07-23 321
BUUCTF Reverse/[GWCTF 2019]xxor 查看文件信息发现没有加壳 直接IDA查看代码 __int64 __fastcall main(int a1, char **a2, char **a3) { int i; // [rsp+8h] [rbp-68h] int j; // [rsp+Ch] [rbp-64h] __int64 v6[6]; // [rsp+10h] [rbp-60h] __int64 v7[6]; // [rsp+40h] [rbp-30
buuctf [GWCTF 2019]xxor 19
weixin_47158947的博客
07-31 1341
1.先把下载下来的文件改成exe文件, 2.查看文件是多少位的 3.ida打开 4.主函数,伪代码查看 先从最后面开始看,当if()体里面的值=1的时候才是我们想要的 点开函数 signed __int64 __fastcall sub_400770(_DWORD *a1) { signed __int64 result; // rax if ( a1[2] - a1[3] != 2225223423LL || a1[3] + a1[4] != 4201428739LL || a1[2] - a
攻防世界第一二三题
qq_25044201的博客
12-18 188
这是第一题 确实运行就可以获得flag 第二题 下载文件然后放在虚拟机中,分析file 然后放ida 64位分析 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 result; // rax char v4; // [rsp+0h] [rbp-20h] unsigned int v5; // [rsp+8h] [rbp-18h] unsigned __int64 v6; // [rsp+18h..
攻防世界maze 题目讲解
ytj00的博客
05-01 482
首先打开题目看一下提示 在这里我们看到题目上说到有“迷宫“二字”,先记下来。 查壳后,发现没有加壳 放到ida里面看 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { signed __int64 v3; // rbx signed int v4; // eax bool v5; // bp bool v6; /...
re -05 buuctf [GWCTF 2019]xxor
weixin_45847059的博客
11-09 574
xxor 1.拖入ida,找到关键函数 2. 稍加分析一下 3.有了处理完的数组v[7]以及加密的方法,对此写脚本解密得到原输入值 #include<cstdio> #include<iostream> #include<cstring> using namespace std; typedef long long ll; ll a[7] = { 3746099070, 550153460, 3774025685, 1548802262, 2652626477,
[GWCTF2019]huyao
07-28
\[GWCTF2019\]huyao是一个CTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,它可能涉及到频域盲水印隐写。具体的解题方法和细节需要参赛者在比赛中进行分析和解决。 #### 引用[.reference_title] - *1* [BUUCTF MISC刷题笔记(三)](https://blog.csdn.net/weixin_45696568/article/details/116421340)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [BUUCTF misc 解题记录 二(超级详细)](https://blog.csdn.net/qq_51090016/article/details/115712647)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向萌新

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值