buu题解-[网鼎杯 2020 青龙组]singal

于 2023-03-18 21:07:19 发布
阅读量164 收藏 1
点赞数
文章标签: 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73393932/article/details/129642044
版权

打开文件,下载附件,查壳,32位无壳。

拖入ida中打开找到,找到主函数

可以看到如上操作,最后有个puts()输出,查看asc_404058是什么

可以看到asc_404058中就是得到了flag后的输出。我们跟进vm_operad函数查看,是典型的vm逆向

int __cdecl vm_operad(int *a1, int a2)
{
  int result; // eax
  char flag[200]; // [esp+13h] [ebp-E5h] BYREF
  char v4; // [esp+DBh] [ebp-1Dh]
  int v5; // [esp+DCh] [ebp-1Ch]
  int v6; // [esp+E0h] [ebp-18h]
  int v7; // [esp+E4h] [ebp-14h]
  int v8; // [esp+E8h] [ebp-10h]
  int v9; // [esp+ECh] [ebp-Ch]

  v9 = 0;
  v8 = 0;
  v7 = 0;
  v6 = 0;
  v5 = 0;
  while ( 1 )
  {
    result = v9;
    if ( v9 >= a2 )
      return result;
    switch ( a1[v9] )
    {
      case 1:
        str[v6 + 100] = v4;                    // 赋值运算,将中间量v4的值赋给flag
        ++v9;
        ++v6;
        ++v8;
        break;
      case 2:
        v4 = a1[v9 + 1] + str[v8];             // 加法运算
        v9 += 2;
        break;
      case 3:
        v4 = str[v8] - LOBYTE(a1[v9 + 1]);     // 减法运算
        v9 += 2;
        break;
      case 4:
        v4 = a1[v9 + 1] ^ str[v8];             // 异或运算
        v9 += 2;
        break;
      case 5:
        v4 = a1[v9 + 1] * str[v8];             // 乘法运算
        v9 += 2;
        break;
      case 6:
        ++v9;
        break;
      case 7:
        if ( str[v7 + 100] != a1[v9 + 1] )     // 当输入为7时判断flag的值是否与a1对应的值相等
        {
          printf(asc_404013);
          exit(0);
        }
        ++v7;
        v9 += 2;
        break;
      case 8:
        str[v5] = v4;
        ++v9;
        ++v5;
        break;
      case 10:
        read(str);                             // 判断输入的字符串长度必须为15
        ++v9;
        break;
      case 11:
        v4 = str[v8] - 1;
        ++v9;
        break;
      case 12:
        v4 = str[v8] + 1;
        ++v9;
        break;
      default:
        continue;
    }
  }
}

可以看到是switch分支语句

case 1:是赋值操作,将v4的值赋给str

case 7:进行了一个判断,即str[v7 + 100] == a1[v9 + 1]

case 10:进入查看,要求str的字符串长度为15

其他的case分支是对v4的操作,由此可以判断v4在a1[i]不等于1且不等于7时进行变换操作,在a1[i]==1时被赋给str,在a1[i]=7时,判断str的值是否和a1[i]的下一位相等。这样进行15次判断

我们先在&unk_403040处提取a1的值进行处理,处理后为:

unsigned char Str[] =
{
   4,16,8,3,5,   1,
   4,8,5,3,      1,  
   3,2,8,11,     1,  
   12,8,4,4,     1,  
   5,3,8,3,      1, 
   11,8,11,      1,    
   4,9,8,3,      1,
   2,8,4,        1,  
   12,8,11,      1, 
   5,2,8,2,      1, 
   2,8,4,        1, 
   2,8,5,        1,
   1,
   5,3,8,2,      1,
   4,9,8,3,      1,    
   2,8,12,       1,
    7,  34,    
    7,    63,   
    7,  52, 
    7,     50,  
    7,   114,     
    7,  51,     
    7,  24,   
    7,  167, 255, 255, 255, 
    7,    49,  
    7,  241, 255, 255, 255,   
    7, 40,    
    7,  132, 255, 255, 255,   
    7,  193, 255, 255, 255, 
    7,  30,    
    7,   122,
      
};

可以看到有15个1和15个7,每个1前面的数值就是对v4的操作,在a1[i]=1时赋值给str,最后的 15个7来进行比较,因为比较时是和a1的下一位比,所以每个7后面的值就是我们要找到加密后的v4

提取出来

v4[]={34,63,52,50,114,51,24,167,49,241,40,132,193,30,122}

理清大致思路后,上脚本解密,本人比较菜,附上一位大佬的脚本

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
 int v9 = 0;
  int v8 = 0;
 int v7 = 0;
 int v6 = 0;
 int v5 = 0;
 int v4 = 0;
 int last_v9 = 0,last_v8 = 0,last_v7 = 0,last_v6 = 0 ,last_v5 = 0,last_v4 = 0;

int  f(int a1[],int k,int v[])//a1是传入的值,每次对flag的操作根据其值判断,k用来暴力破解值,v是解密后的值 
{
    v4 = k;//假设k为输入的值 
    while(1)
    {
        switch ( a1[v9] )
       {
      case 1:
        if(v[v6] == v4)//找到正确值,加密成功 
        {
            printf("k = %d,v6 = %d\n",k,v6);
            ++v9;                            //此处为什么要再进行++v9,++v6,++v8可以参考ida伪代码 
            ++v6;
            ++v8;
            last_v9 = v9;//k爆破是假设k=23不符合条件,但此时v9已经经过变换,不能再用来带入k=24的运算 
            last_v8 = v8;//此时就要将v9变为原来没进行l=23时是数值,其他数值变化同理 
            //last_v7 = v7;
            last_v6 = v6;
            //last_v5 = v5;
            return 1;
        }
        else
        {

            v9 = last_v9;           //找不到则返回上一个v9
            v8 = last_v8;
           // v7 = last_v7;
            v6 = last_v6;
           // v5 = last_v5;
           return 0;
        }

        break;
      case 2:

        v4 = a1[v9 + 1] + v4; 
        v9 += 2;

        break;
      case 3:
        v4 = v4 - a1[v9 + 1];
        v9 += 2;

        break;
      case 4:
        v4 = a1[v9 + 1] ^ v4;
        v9 += 2;

        break;
      case 5:
        v4 = a1[v9 + 1] * v4;
        v9 += 2;

        break;
      case 6:
        ++v9;

        break;
      /*case 7:
        if ( Str[v7 + 100] != a1[v9 + 1] )
        {
          printf("what a shame...");
          exit(0);
        }
        ++v7;
        v9 += 2;
        break;
      /*case 8:               //这里把v4的值赋给了Str[v5],上面也有用到,所以上面的Str[v8]直接代换成v4就行
        Str[v5] = v4;         //即对v4的操作等于对flag的操作 ,上面操作已经把v4当作str,所以此处不需要了 
        ++v9;
        ++v5;
        break;*/
      /*case 10:            //可以不用读取
        read(Str);
        ++v9;
        break;*/
      case 11:
        v4 = v4 - 1;
        ++v9;

        break;
      case 12:
        v4 = v4 + 1;
        ++v9;

        break;
      default:
        v9++;//都不符合的直接跳下一个a1带入判断 
        break;
     }
  }
}
int main()
{
    int v[16] = {0x22,0x3f,0x34,0x32,0x72,0x33,0x18,0xa7,0x31,0xf1,0x28,0x84,0xc1,0x1e,0x7a};   //v4的值,即加密完成后要赋给str的值 

   int a1[] = {0x04,0x10,0x08,0x03,0x05,0x01,0x04, 0x20,0x08,0x05,0x03, 0x01,0x03,0x02,0x08,
              0x0B,0x01,0x0C,0x08, 0x04,0x04,0x01,0x05, 0x03,0x08,0x03,0x21, 0x01,0x0B,0x08,0x0B,
              0x01,0x04,0x09,0x08, 0x03,0x20,0x01,0x02, 0x51,0x08,0x04,0x24, 0x01,0x0C,0x08,0x0B,
              0x01,0x05,0x02,0x08, 0x02,0x25,0x01,0x02, 0x36,0x08,0x04,0x41, 0x01,0x02,0x20,0x08,
              0x05,0x01,0x01,0x05, 0x03,0x08,0x02,0x25, 0x01,0x04,0x09,0x08, 0x03,0x20,0x01,0x02,
              0x41,0x08,0x0C,0x01}; //0x07后面的值都是变换后的flag,可以不用管
   int i,j,k = 0;
   /*int a1[] = {0x04,0x10,0x08, 0x03,0x05,0x01,0x04, 0x20,0x08,0x05,0x03, 0x01,0x03,0x02,0x08,
              0x0B,0x01,0x0C,0x08, 0x04,0x04,0x01,0x05, 0x03,0x08,0x03,0x21, 0x01,0x0B,0x08,0x0B,
              0x01,0x04,0x09,0x08, 0x03,0x20,0x01,0x02, 0x51,0x08,0x04,0x24, 0x01,0x0C,0x08,0x0B,
              0x01,0x05,0x02,0x08, 0x02,0x25,0x01,0x02, 0x36,0x08,0x04,0x41, 0x01,0x02,0x20,0x08,
              0x05,0x01,0x01,0x05, 0x03,0x08,0x02,0x25, 0x01,0x04,0x09,0x08, 0x03,0x20,0x01,0x02,
              0x41,0x08,0x0C,0x01, 0x07,0x22,0x07,0x3F, 0x07,0x34,0x07,0x32, 0x07,0x72,0x07,0x33,
              0x07,0x18,0x07,0xA7,0xFF,0xFF,0xFF, 0x07,0x31,0x07,0xF1,0xFF,0xFF,0xFF, 0x07,0x28,0x07,
              0x84,0xFF,0xFF,0xFF, 0x07,0xC1,0xFF,0xFF,0xFF,0x07,0x1E, 0x07,0x7A,0};*/


   int flag[15] = {0};

   for(i = 0 ; i < 15 ; i++) //求解flag的每一个字符 
   {
       for(k = 33 ; k <= 'z'; k ++)   //暴力破解flag
       {
           if(f(a1,k,v))
           {
               flag[i] = k;
               break;
           }
       }
   }
   printf("flag{");
   for(i = 0 ; i < 15 ; i++)
   {
       printf("%c",flag[i]);
   }
   printf("}\n");
   return 0;
}

运行得到flag:flag{757515121f3d478}

好像还有其他做法,用ida插件符号执行可以秒掉,但是本人还不会,下次再来看这种

cool breeze☆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
网鼎杯2020青龙-web
ChenZIDu的博客
05-18 932
看来反序列化要多打点了,反序列化这块都不怎么熟~ AreUSerialz 源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "
[网鼎杯 2020 青龙]notes
qq_43801002的博客
05-11 1952
感谢蓝小俊师傅解惑! #题目: 直接给源码 app.js var express = require('express'); var path = require('path'); const undefsafe = require('undefsafe'); const { exec } = require('child_process'); var app = express(); class Notes { constructor() { this.owner = "who
BUUCTF Reverse/[网鼎杯 2020 青龙]singal
ookami6497的博客
07-31 560
BUUCTF Reverse/[网鼎杯 2020 青龙]singal 先看文件信息,没有加壳 运行,又是字符串比较的题目 IDA32位打开,打开string窗口,跟随跳转 读入字符串 size_t __cdecl read(char *Str) { size_t result; // eax printf("string:"); scanf("%s", Str); result = strlen(Str); if ( result != 15 ) {
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
apachecn#apachecn-ctf-wiki#[WP/BUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8332
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
安全技术交底记录.docx
07-13
安全技术交底记录.docx
质量隐患整改通知单.docx
07-13
质量隐患整改通知单.docx
android studio项目实例
07-13
创建一个简单的Android Studio项目实例可以帮助你理解Android应用开发的基础。以下是使用Android Studio创建一个基本的"Hello World" Android应用的步骤: ### 1. 环境准备 确保你已经安装了最新版本的Android Studio。可以在[Android Studio官网](https://developer.android.com/studio)下载。 ### 2. 创建新项目 - 打开Android Studio,点击“Start a new Android Studio project”。 - 选择一个项目模板,对于初学者来说,选择“Empty Activity”即可。 - 填写应用的名称、包名和保存位置,选择保存语言(Java或Kotlin),然后点击“Finish”。 ### 3. 理解项目结构 项目创建完成后,你将看到以下主要成部分: - `app`:包含所有应用特定的代码。 - `src/main`:包含源代码和资源。 - `java/<package-name>`:源代码目录。 - `res`:资源目录,
红色商务风2024一起向未来年终总结PPT模板
07-13
【作品名称】:红色商务风2024一起向未来年终总结PPT模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
路基板现场管理规定.docx
07-13
路基板现场管理规定.docx
活动策划 -太阳之手烘焙双水县医院店开业活动方案.pptx
07-13
活动策划 -太阳之手烘焙双水县医院店开业活动方案.pptx
超危大施工方案符合性巡查记录.docx
07-13
超危大施工方案符合性巡查记录.docx
0225-Sexyhub 无限看_4.2.apk.1.1
最新发布
07-13
0225-Sexyhub 无限看_4.2.apk.1.1
医院信息管理系统数据库文件
07-13
医院信息管理系统数据库文件,数据库文件是存储和管理数据的文件,它们在计算机系统中扮演着至关重要的角色。这些文件包含了织好的数据集合,允许用户进行高效的查询、更新、删除和插入操作。数据库文件通过其结构化的特性,使得数据可以按照一定的逻辑和规则进行存储,从而便于管理和检索。它们通常与数据库管理系统(DBMS)配合使用,后者提供了一套工具和接口,用于操作数据库文件中的数据。数据库文件的类型可能包括关系型数据库的表文件、索引文件、日志文件等,它们共同确保数据的完整性、一致性和安全性。
红色金色商务龙年发财2024工作总结PPT模版
07-13
【作品名称】:红色金色商务龙年发财2024工作总结PPT模版 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值