[buuctf]刮开有奖

最新推荐文章于 2024-04-25 18:34:52 发布
最新推荐文章于 2024-04-25 18:34:52 发布
阅读量1.5k 收藏
点赞数 1
分类专栏: REVERSE # buuctf 文章标签: 算法 开发语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71081503/article/details/126283526
版权

[buuctf]刮开有奖

逻辑分析

这道题是无壳32位的程序,利用ida打开,找到main函数。

int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd)
{
  DialogBoxParamA(hInstance, (LPCSTR)0x67, 0, (DLGPROC)DialogFunc, 0);
  return 0;
}

之后进入DialogFunc中查看。

BOOL __userpurge DialogFunc@<eax>(int a1@<edi>, int a2@<esi>, HWND hDlg, UINT a4, WPARAM a5, LPARAM a6)
{
  const char *v6; // esi
  const char *v7; // edi
  int v9; // [esp+4h] [ebp-20030h]
  int v10; // [esp+8h] [ebp-2002Ch]
  int v11; // [esp+Ch] [ebp-20028h]
  int v12; // [esp+10h] [ebp-20024h]
  int v13; // [esp+14h] [ebp-20020h]
  int v14; // [esp+18h] [ebp-2001Ch]
  int v15; // [esp+1Ch] [ebp-20018h]
  int v16; // [esp+20h] [ebp-20014h]
  int v17; // [esp+24h] [ebp-20010h]
  int v18; // [esp+28h] [ebp-2000Ch]
  int v19; // [esp+2Ch] [ebp-20008h]
  CHAR String; // [esp+30h] [ebp-20004h]
  char v21; // [esp+31h] [ebp-20003h]
  char v22; // [esp+32h] [ebp-20002h]
  char v23; // [esp+33h] [ebp-20001h]
  char v24; // [esp+34h] [ebp-20000h]
  char v25; // [esp+10030h] [ebp-10004h]
  char v26; // [esp+10031h] [ebp-10003h]
  char v27; // [esp+10032h] [ebp-10002h]
  int v28; // [esp+20028h] [ebp-Ch]
  int v29; // [esp+2002Ch] [ebp-8h]

  __alloca_probe();
  if ( a4 == 272 )
    return 1;
  v29 = a2;
  v28 = a1;
  if ( a4 != 273 )
    return 0;
  if ( (_WORD)a5 == 1001 )
  {
    memset(&String, 0, 0xFFFFu);
    GetDlgItemTextA(hDlg, 1000, &String, 0xFFFF);
    if ( strlen(&String) == 8 )
    {
      v9 = 90;
      v10 = 74;
      v11 = 83;
      v12 = 69;
      v13 = 67;
      v14 = 97;
      v15 = 78;
      v16 = 72;
      v17 = 51;
      v18 = 110;
      v19 = 103;
      sub_4010F0(&v9, 0, 10);
      memset(&v25, 0, 0xFFFFu);
      v6 = (const char *)sub_401000(&v25, strlen(&v25));
      memset(&v25, 0, 0xFFFFu);
      v26 = v23;
      v25 = v22;
      v27 = v24;
      v7 = (const char *)sub_401000(&v25, strlen(&v25));
      if ( String == v9 + 34
        && v21 == v13
        && 4 * v22 - 141 == 3 * v11
        && v23 / 4 == 2 * (v16 / 9)
        && !strcmp(v6, "ak1w")
        && !strcmp(v7, "V1Ax") )
      {
        MessageBoxA(hDlg, "U g3t 1T!", "@_@", 0);
      }
    }
    return 0;
  }
  if ( (_WORD)a5 != 1 && (_WORD)a5 != 2 )
    return 0;
  EndDialog(hDlg, (unsigned __int16)a5);
  return 1;
}

之后开始分析逻辑,看图。
在这里插入图片描述
之后往下跟进sub_4010F0函数。

int __cdecl sub_4010F0(int a1, int a2, int a3)
{
  int result; // eax
  int i; // esi
  int v5; // ecx
  int v6; // edx

  result = a3;
  for ( i = a2; i <= a3; a2 = i )
  {
    v5 = 4 * i;
    v6 = *(_DWORD *)(4 * i + a1);
    if ( a2 < result && i < result )
    {
      do
      {
        if ( v6 > *(_DWORD *)(a1 + 4 * result) )
        {
          if ( i >= result )
            break;
          ++i;
          *(_DWORD *)(v5 + a1) = *(_DWORD *)(a1 + 4 * result);
          if ( i >= result )
            break;
          while ( *(_DWORD *)(a1 + 4 * i) <= v6 )
          {
            if ( ++i >= result )
              goto LABEL_13;
          }
          if ( i >= result )
            break;
          v5 = 4 * i;
          *(_DWORD *)(a1 + 4 * result) = *(_DWORD *)(4 * i + a1);
        }
        --result;
      }
      while ( i < result );
    }
LABEL_13:
    *(_DWORD *)(a1 + 4 * result) = v6;
    sub_4010F0(a1, a2, i - 1);
    result = a3;
    ++i;
  }
  return result;
}

利用c语言,进行改写,之后直接运行。

#include<stdio.h>
#include<string.h>
int __cdecl sub_4010F0(char* a1, int a2, int a3)
{
    int result; // eax
    int i; // esi
    int v5; // ecx
    int v6; // edx

    result = a3;
    for (i = a2; i <= a3; a2 = i)
    {
        v5 =i;
        v6 = a1[i];
        if (a2 < result && i < result)
        {
            do
            {
                if (v6 > a1[result])
                {
                    if (i >= result)
                        break;
                    ++i;
                    a1[v5] = a1[result];
                    if (i >= result)
                        break;
                    while (a1[i] <= v6)
                    {
                        if (++i >= result)
                            goto LABEL_13;
                    }
                    if (i >= result)
                        break;
                    v5 =i;
                    a1[result] = a1[i];
                }
                --result;
            } while (i < result);
        }
    LABEL_13:
        a1[result] = v6;
        sub_4010F0(a1, a2, i - 1);
        result = a3;
        ++i;
    }
    return result;
}
int main() {
    char str[] = "ZJSECaNH3ng";
    sub_4010F0(str, 0, 10);
    printf("%s", str);
    return 0;
}

可以获得结果是
3CEHJNSZagn
之后继续往下看sub_401000函数。

_BYTE *__cdecl sub_401000(int a1, int a2)
{
  int v2; // eax
  int v3; // esi
  size_t v4; // ebx
  _BYTE *v5; // eax
  _BYTE *v6; // edi
  int v7; // eax
  _BYTE *v8; // ebx
  int v9; // edi
  signed int v10; // edx
  int v11; // edi
  signed int v12; // eax
  signed int v13; // esi
  _BYTE *result; // eax
  _BYTE *v15; // [esp+Ch] [ebp-10h]
  _BYTE *v16; // [esp+10h] [ebp-Ch]
  int v17; // [esp+14h] [ebp-8h]
  int v18; // [esp+18h] [ebp-4h]

  v2 = a2 / 3;
  v3 = 0;
  if ( a2 % 3 > 0 )
    ++v2;
  v4 = 4 * v2 + 1;
  v5 = malloc(v4);
  v6 = v5;
  v15 = v5;
  if ( !v5 )
    exit(0);
  memset(v5, 0, v4);
  v7 = a2;
  v8 = v6;
  v16 = v6;
  if ( a2 > 0 )
  {
    while ( 1 )
    {
      v9 = 0;
      v10 = 0;
      v18 = 0;
      do
      {
        if ( v3 >= v7 )
          break;
        ++v10;
        v9 = *(unsigned __int8 *)(v3++ + a1) | (v9 << 8);
      }
      while ( v10 < 3 );
      v11 = v9 << 8 * (3 - v10);
      v12 = 0;
      v17 = v3;
      v13 = 18;
      do
      {
        if ( v10 >= v12 )
        {
          *((_BYTE *)&v18 + v12) = (v11 >> v13) & 0x3F;
          v8 = v16;
        }
        else
        {
          *((_BYTE *)&v18 + v12) = 64;
        }
        *v8++ = byte_407830[*((char *)&v18 + v12)];
        v13 -= 6;
        ++v12;
        v16 = v8;
      }
      while ( v13 > -6 );
      v3 = v17;
      if ( v17 >= a2 )
        break;
      v7 = a2;
    }
    v6 = v15;
  }
  result = v6;
  *v8 = 0;
  return result;
}

之后知道

.rdata:00407830 byte_407830     db 41h                  ; DATA XREF: sub_401000+C0↑r
.rdata:00407831 aBcdefghijklmno db 'BCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=',0

所以这说明,这是一个base64
回到主函数,看这里。
在这里插入图片描述
可以算出来,第一位是U,第二位是J,第三位W,第四位P,之后base64出来,ak1w是jMp,V1Ax是WP1,之后就知道谁前谁后了,之后答案就出来了是UJWP1jMp
flag{UJWP1jMp}

逆向萌新
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF 刮开有奖(特别详细了,尽自己全力理解所写)
太阳照耀我走四方
08-13 5161
title: BUUCTF 刮开有奖 date: 2021年8月13日 15点23分 tags: BUUCTF categories: BUUCTF 自己的心声(痛骂wp抄袭狗) 这道题,其实有点坑,对于目前的我来说,还是有点难度的。 在复盘之前,我想对网上一些直接抄袭别人文章的人说,可真tm不要脸啊。你若跟着别人的wp,把题做出来了,自己跟着软件啥的,实验成功之后,写一篇wp啊,抄袭别人的。主要tm一个字不改,也不说是抄袭的。 本来做题没思路了,做不下去了,想看一篇高质量的wp,跟着大佬学一学,百度一下.
BUUCTF逆向第14题刮开有奖
Knozya的博客
01-31 762
而我们已知flag长度为8,后六位我们解码已得出,但是不知道顺序,现在需推断出前两位,因为上面破解的长字符串中(也就是sub_4010F0中)的结果可知前两位为'U' 'J',又因为第三位为‘W’接下来我们继续跟进sub_401000,内容多的有点懵了,往下滑发现有个byte_407830可以跟进。又发现sub_4010F0和sub_401000可能对字符串做出了改变,分别跟进,先跟进前者,如下。跟进后不难发现为base64编码形式,也就是说我们需要对其所对应的v4和v5进行解码,结果如下。
RE | BUUCTF 刮开有奖1
最新发布
Mintind的博客
04-25 706
(这是主参考,写得很详细(主参考的参考,思路很清晰我是大菜鸡…尽力写自己的理解了,哪里有不对的希望指正。
BUUCTF Reverse刷题笔记03——刮开有奖
Taikx的博客
06-11 319
一、运行程序 二、拉入ExeinfoPe分析 三、拉入32位IDA分析 进入main函数,F5查看伪代码 int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) { DialogBoxParamA(hInstance, (LPCSTR)0x67, 0, DialogFunc, 0); return 0; } 进入DialogFunc函数 BOOL __.
BUUCTF_刮开有奖
weixin_46009088的博客
10-18 1660
BUUCTF_刮开有奖 打开程序,一个大大的刮开有奖,没有其他有用的信息…,如图: 用IDA载入,找到WinMain函数,按F5载入,如图: 看到DialogBoxParamA函数,该函数从对话框模板资源创建模式对话框,应用程序可以使用此值初始化对话框控件(MSDN文档截取的)。既然有初始化对话框,那么必然有读取对话框的函数,我们点进DialogBoxParamA找一下,如图: 噢!看到了GetDlgItemTextA函数,我们发现他在DialogFunc中,我们用F5载入它看看,如下: BOOL.
BUUCTF reverse 刮开有奖
firfis的博客
04-25 1564
一、刮开有奖 所需工具: IDA(反编译工具) exeinfope(查壳工具) CaptfEncoder(编码转换) 题解: 拖入exeinfope 检查是否套壳[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 发现并没有。 查看文件是32位还是64位。方法如下:使用记事本直接打开你的exe文件。只要看第二行即可,第二行开头不远处有PE两个字母,再后面两个空格后第三个字符就是标记了,如果是字母L的话,就是32位应用程序,如果是d?就表示是64位应用程序。 将.exe文
cancas 刮刮有奖 手动刮出
07-29
【描述】"cancas 刮刮有奖 手动刮出" 描述了一个基于Canvas技术的刮刮卡功能,用户可以通过手动交互(如鼠标点击或拖动)在网页上模拟刮开覆盖层,显示隐藏的奖项信息。这个过程涉及到用户交互、事件处理以及Canvas...
微信有奖转发代码
11-30
微信有奖转发代码,使用与微信公众平台开发使用
微信小程序在线成语接龙答题有奖猜灯谜小程序源码可开流量主
04-30
微信小程序在线成语接龙答题有奖源码是一款搭建在微擎上使用的 里面有成语接龙、答题有奖、猜灯谜 成语接龙答题有奖红包,可配合流量主推广,广告变现,后台含有区间余额区间奖励配置,自定义金额提现配置; 答题...
2020中国开发有奖大调查.pdf
01-21
CSDN-2020中国开发有奖大调查
在线知识答题有奖v1.5.6.zip
10-19
【在线知识答题有奖v1.5.6.zip】是一个包含更新内容的压缩包,主要用于一个基于微信平台的在线知识答题应用。这个应用允许用户参与答题活动并有机会获得奖励,以此提升用户对知识学习的积极性。从描述中我们可以提取...
BUUCTF第十二、十三、十四题解题思路
EVANGELION_01a的博客
02-04 877
当(a1 + 4 * i)的值小于v6时,如果i自增后的值大于等于result,转到LABLE_13,分析一下这个函数:将(a1 + 4 * result)的值赋给v6,将a1,a2,i-1作为sub_4010F0函数的输入执行该函数,将a3的值赋给result,返回result的值。在if循环中,判断v7[0]+34与string[0]是否相等,v7[0]+34的值为U,则string[0]的值为U,判断v10与string[1]是否相等,v10= J,则string[1]=J。结果为base64加密。
【CTF-Reverse】刮开有奖
LeeOrange_45的博客
03-18 285
注意:所有的4*i全改为i,因为他之前是汇编dword,访问下一个元素,地址需要+4,在c语言orc++之中,直接索引+1就可以解决了。在sub_401000函数中,可以看出是Base64编码,所以我们可以将v4带入base64解码里头,可以得到。从a2到a3的循环,清一色去(4*i+a1),a1应当是数组的首地址,a2,a3是数组的边界索引。可以说我是抄他的,事实上是看了一遍他的然后自己做了一遍再写了一下wp巩固!不管咋样吧,前两个参数是模板,第三个是窗口句柄,第四个是指针,第五个是值。
BUUCTF re-刮开有奖wp
想喝奶茶的胖大海
02-11 1175
检查 查壳 运行 就一个光光的刮开有奖,拖入 ida分析 查看伪c代码 进入函数DialogFunc 由67可知此函数为关键分析代码 由35,36可知string为输入字符串并且长度为8,进入sub_4010F0函数观察,入口参数已知,可直接粘贴修改数组部分就可用编译器编译其中代码 #include <iostream> using namespace std; //v7,0,...
re学习笔记(26)BUUCTF-re-[2019红帽杯]xx
逆向随笔
01-15 2550
[2019红帽杯]easyRE 新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:BUUCTF-re-[2019红帽杯]xx 题目下载:点击下载 IDA64位载入 shift+F12查看字符串 交叉引用找到关键代码 使用findcrypt插件找到加密算法为tea系列,进函数内部查看知道为xxtea __int64 __fastcall sub_1400011A0(__...
BUUCTF--刮开有奖
weixin_30876945的博客
09-08 1774
文件链接:https://buuoj.cn/files/abe6e2152471e1e1cbd9e5c0cae95d29/8f80610b-8701-4c7f-ad60-63861a558a5b.exe?token=eyJ0ZWFtX2lkIjpudWxsLCJ1c2VyX2lkIjoxOTAzLCJmaWxlX2lkIjoyMDd9.XXT5Dg.7mQMViMZzaEYSVj_dfX...
buuctf 刮开有奖wp
Reslu0515的博客
08-08 365
buuctf 刮开有奖 正常EXE文件,无壳,直接打开。 毫无反应,ENTER退出,拖入IDA。 找到主要部分,开始分析程序。 BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4) { const char *v4; // esi const char *v5; // edi int v7; // [esp+8h] [ebp-20030h] int v8; // [esp+Ch] [ebp-
BUUCTF-Reverse-刮开有奖
Fzuim的博客
01-28 367
直接IDA打开分析,这个exe是32位程序。 关键窗口函数,String字符串从v18~v25,共8个字符。 字符串处理核心代码区。sub_4010F0对字符串 ZJSECaNH3ng,进行处理,直接扣出来,运行一下。 // TestDemo.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <windows.h> typedef DWORD _DWORD; int sub_4010F0(char* a1, int a2, int
buuctf逆向刮开有奖
08-06
根据提供的引用内容,这段代码是一个用C语言编写的函数,名为sub_4010F0。它的功能是对输入的字符串进行某种处理。具体来说,它使用了一个...因此,如果想要了解buuctf逆向刮开有奖的具体内容,可能需要更多的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向萌新

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值