GDOUCTF2023-部分re复现

最新推荐文章于 2024-08-19 21:44:56 发布
最新推荐文章于 2024-08-19 21:44:56 发布
阅读量844 收藏 1
点赞数
文章标签: java 开发语言 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73393932/article/details/130366424
版权
本文详细介绍了三个GDOUCTF2023的挑战:使用z3约束器解决数学问题获取flag;解析并解密经过魔改的XTEA算法;以及通过修改和玩一个包含两个阶段的游戏(贪吃蛇和走迷宫)来获得最终的flag。每个挑战都需要特定的技术知识和解题技巧。
摘要由CSDN通过智能技术生成

目录

[GDOUCTF 2023]Check_Your_Luck

[GDOUCTF 2023]Tea

[GDOUCTF 2023]doublegame

[GDOUCTF 2023]Check_Your_Luck

打开题目是一串代码,明显的z3约束器求解

 直接上脚本

import z3
from z3 import Real

s = z3.Solver()
v=Real('v')
x=Real('x')
y=Real('y')
w=Real('w')
z=Real('z')

s.add(v * 23 + w * -32 + x * 98 + y * 55 + z * 90 == 333322)
s.add(v * 123 + w * -322 + x * 68 + y * 67 + z * 32 == 707724)
s.add(v * 266 + w * -34 + x * 43 + y * 8 + z * 32 == 1272529)
s.add(v * 343 + w * -352 + x * 58 + y * 65 + z * 5 == 1672457)
s.add(v * 231 + w * -321 + x * 938 + y * 555 + z * 970 == 3372367)
r = s.check()
print(r)
if repr(r) == 'sat':
    result = s.model()
    print(result)
else:
    print('无解')

flag:NSSCTF{4544_123_677_1754_777}

[GDOUCTF 2023]Tea

打开题目,查壳,无壳,分析代码

 function2是加密过程,进入查看

 可以发现是被魔改的xtea算法,算法进行了33轮,每次sum值不同,且i加密多异或了一个sum ,从function3中可以拿到加密后的数据。sub_140011339函数可以拿到key值

别忘了最后的输出还有一个小操作 

 

 写脚本解密

#include <stdio.h>
int main()
{
int v3; // [rsp+44h] [rbp+24h]
int i; // [rsp+64h] [rbp+44h]
unsigned int v5; // [rsp+84h] [rbp+64h]
int sum; // [rsp+C4h] [rbp+A4h]
unsigned int key[4] = {2233,4455,6677,8899 };
unsigned int a[10];
a[0] = 0x1A800BDA;
a[1] = 0xF7A6219B;
a[2] = 0x491811D8;
a[3] = 0xF2013328;
a[4] = 0x156C365B;
a[5] = 0x3C6EAAD8;
a[6] = 0x84D4BF28;
a[7] = 0xF11A7EE7;
a[8] = 0x3313B252;
a[9] = 0xDD9FE279;
for (i = 8; i >=0; i--)
{
v5 = 0;
sum = 0xF462900 * i;
for (int j = 0; j < 33; j++)
sum += 0xF462900;
v3 = i + 1;
do
{
sum -= 0xF462900;
a[v3] -= (sum + key[(sum >> 11) & 3]) ^ (a[i] + ((a[i] >> 5) ^ (16 * a[i])));
a[i] -= sum ^ (a[v3] + ((a[v3] >> 5) ^ (16 * a[v3]))) ^ (sum + key[sum & 3]);
++v5;
} while (v5 <= 32);
}
for (int k = 0; k < 10; ++k)
{
    for (int m = 3; m >= 0; m--)
        printf("%c", (a[k] >> (8 * m)));
}return 0;
}

注意:数据是unsigned int 型才可以得到flag。

[GDOUCTF 2023]doublegame

看到这个题目很懵,没得头绪,幸好有工作室的好学长指点。

可以看到刚打开是一个贪吃蛇游戏,需要将分数刷到很高(具体多少忘记了这里修改过分数的程序,可以在汇编窗口右键patching-change byte-进行修改操作 再点击editor-patch program-apply patcheds to input file)就可以,修改后何以很轻易的跳过第一个游戏

 另外补充一个,怎么让ida显示中文;可以在options-general-string中选择gbk

 没有可以右键insert添加,这样遇到中文数据就可以选择所有的中文数据 alt+a显示中文了。

现在进入第二个游戏,第二个游戏是一个走迷宫的游戏

void __noreturn sub_140012CF0()
{
  __int64 *v0; // rdi
  __int64 i; // rcx
  __int64 v2; // [rsp+20h] [rbp+0h] BYREF
  _WORD v3[22]; // [rsp+30h] [rbp+10h] BYREF
  char v4[44]; // [rsp+5Ch] [rbp+3Ch] BYREF
  char v5[44]; // [rsp+88h] [rbp+68h] BYREF
  char v6[22]; // [rsp+B4h] [rbp+94h] BYREF
  char v7[22]; // [rsp+CAh] [rbp+AAh] BYREF
  char v8[44]; // [rsp+E0h] [rbp+C0h] BYREF
  char v9[44]; // [rsp+10Ch] [rbp+ECh] BYREF
  char v10[44]; // [rsp+138h] [rbp+118h] BYREF
  char v11[22]; // [rsp+164h] [rbp+144h] BYREF
  char v12[22]; // [rsp+17Ah] [rbp+15Ah] BYREF
  char v13[44]; // [rsp+190h] [rbp+170h] BYREF
  char v14[44]; // [rsp+1BCh] [rbp+19Ch] BYREF
  char v15[24]; // [rsp+1E8h] [rbp+1C8h] BYREF
  int j; // [rsp+214h] [rbp+1F4h]
  int v17; // [rsp+234h] [rbp+214h]
  int v18; // [rsp+254h] [rbp+234h]
  int v19; // [rsp+274h] [rbp+254h]
  int v20; // [rsp+294h] [rbp+274h]
  char v21[100]; // [rsp+2C0h] [rbp+2A0h] BYREF
  char v22[100]; // [rsp+324h] [rbp+304h] BYREF
  _BYTE v23[828]; // [rsp+388h] [rbp+368h] BYREF
  char input; // [rsp+6C4h] [rbp+6A4h]
  int v25; // [rsp+6E4h] [rbp+6C4h]
  int v26; // [rsp+704h] [rbp+6E4h]

  v0 = &v2;
  for ( i = 448i64; i; --i )
  {
    *v0 = -858993460;
    v0 = (v0 + 4);
  }
  sub_14001141A(&unk_1400290A6);
  strcpy(v3, "000000000000000000000");
  strcpy(&v3[11], "0 0 0 0     0     0 0");
  strcpy(v4, "0 0 0 00000 00000 0 0");
  strcpy(&v4[22], "0 0               0 0");
  strcpy(v5, "0 000 000 0 000 0 0 0");
  strcpy(&v5[22], "0 0     0 0 0   0 0 0");
  strcpy(v6, "0 0 0 00000 000 000 0");
  strcpy(v7, "0 0 0     0   0 0    ");
  strcpy(v8, "0 000 0 0 000 0 0 0 0");
  strcpy(&v8[22], "0     0 0 0 0 0 0 0 0");
  strcpy(v9, "0 00000 000 000 0 0 0");
  strcpy(&v9[22], "0     0       0   0 0");
  strcpy(v10, "000 0 0 0 000 0 0 0 0");
  strcpy(&v10[22], "0 0 0 0 0 0 * 0 0 0 0");
  strcpy(v11, "0 0000000 0 000 00000");
  strcpy(v12, "@       0 0         0");
  strcpy(v13, "0 0 0 0 0 00000000000");
  strcpy(&v13[22], "0 0 0 0             0");
  strcpy(v14, "000 0 00000 0 000 000");
  strcpy(&v14[22], "0         0 0   0   0");
  strcpy(v15, "000000000000000000000");
  v12[4] = '0';                                 // 【12】【4】这里被墙堵住
  strcpy(v21, "Please to save the cat!");
  memset(&v21[24], 0, 0x4Cui64);
  strcpy(v22, "the score is saving cat's key!\n");
  memset(&v22[32], 0, 0x44ui64);
  qmemcpy(
    v23,
    "oh,the door open!\n恭喜你完成了第一个任务!请从头用最快的方式把猫带出去\n",
    0x47ui64);
  memset(&v23[71], 0, 729);
  printf("path\n");
  v25 = 0;
  v26 = 0;
  v17 = 15;
  v18 = 0;
  v19 = 7;
  v20 = 20;
  for ( j = 0; j <= 20; ++j )
    puts(&v3[11 * j]);
  printf("Please to save the cat!\n");          // 先救猫猫再逃出迷宫
  while ( v17 != v19 || v18 != v20 )            // 要先到达猫猫的位置
  {
    input = getchar();
    switch ( input )                            // 要从【15】【0】到【7】【20】
    {
      case 's':                                 // 下
        if ( *(&v3[11 * v17 + 11] + v18) != '0' )
        {
          *(&v3[11 * v17++] + v18) = 32;
          *(&v3[11 * v17] + v18) = 64;
        }
        break;
      case 'w':                                 // 上
        if ( *(&v3[11 * v17 - 11] + v18) != '0' )
        {
          *(&v3[11 * v17--] + v18) = 32;
          *(&v3[11 * v17] + v18) = 64;
        }
        break;
      case 'a':                                 // 左
        if ( *(&v3[11 * v17 - 1] + v18 + 1) != '0' )
        {
          if ( *(&v3[11 * v17 - 1] + v18 + 1) == '*' )
            v7[20] = 48;
          *(&v3[11 * v17] + v18--) = ' ';
          *(&v3[11 * v17] + v18) = '@';
        }
        break;
      default:
        if ( input == 'd' && *(&v3[11 * v17] + v18 + 1) != '0' )// 右
        {
          *(&v3[11 * v17] + v18++) = ' ';
          *(&v3[11 * v17] + v18) = '@';
        }
        break;
    }
    system("cls");
    for ( j = 0; j <= 20; ++j )
      puts(&v3[11 * j]);                        // 输出路径
    puts(&v21[100 * v25]);
    if ( v7[20] == '0' )                        // 救到猫后增加一个墙
    {
      v26 = sub_140011433(0i64);
      if ( v26 == 13376013 )                    // 得到key等于13376013
      {
        v25 = 1;
        v7[20] = ' ';                           // 输入正确的Key墙消失
        *(&v3[11 * v17] + v18) = ' ';
        v17 = 15;                               // 回到原点
        v18 = 0;
        v12[0] = '@';
        ++v25;
      }
      else
      {
        printf("error");
      }
    }
  }
  system("cls");
  Sleep(0x1F4u);
  Sleep(0xBB8u);
  function();
  exit(0);
}

迷宫先是要去救猫,救到猫时出现墙堵住路,输入正确的key,墙消失,回到原点,再逃出迷宫

可以看到最后function函数里显示flag为

The flag is HZCTF{md5(path)+score}

所以可以找到最后的路径为dddssssddwwwwddssddwwwwwwddddssaassddddwwwwddwwwwddd

再进行32位小写md5+分数即为flag

NSSCTF{811173b05afff098b4e0757962127eac13371337}

cool breeze☆
关注
CVE-2023-28432 MinIO 信息泄露漏洞--漏洞复现10
nnn2188185的博客
04-08 7140
MinIO是美国MinIO公司的一款开源的对象存储服务器, 是一款高性能、分布式的对象存储系统. 它是一款软件产品, 可以100%的运行在标准硬件。即X86等低成本机器也能够很好的运行MinIO。MinIO中存在一处信息泄露漏洞,由于Minio集群进行信息交换的9000端口,在未经配置的情况下通过发送特殊HPPT请求进行未授权访问,进而导致MinIO对象存储的相关环境变量泄露,环境变量中包含密钥信息。泄露的信息中包含登录账号密码。 CVE-2023-28432 CNNVD-202303-1795
[ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839)
qq_51577576的博客
03-12 1851
[ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839) WebLogic是美商Oracle的主要产品之一,系购并得来。是商业市场上主要的Java应用服务器软件之一,是世界上第一个成功商业化的J2EE应用服务器,目前已推出到14c版。而此产品也延伸出WebLogic Portal, WebLogic Integration等企业用的中间件,以及OEPE开发工具。
GDOUCTF2023 Reverse题解
OrientalGlass的博客
04-17 6035
ida分析之后会出现几个新的窗口,最关键的是这个Matched Functions窗口,绿色代表匹配一致,往下翻在最后可以发现。反汇编窗口往下翻可以看到关键函数,这个循环的基本功能应该是对lmao数组的数据进行异或,但并不容易的值用于异或的中间值是什么。然后打开ls-patched.i64文件,选择Edit>Plugins>BinDiff,进来找不到关键函数,查看strings看到类似迷宫的东西,根据字符串可以定位到关键函数。安装时注意路径即可,默认在C盘,可以自己修改,他会自动绑定IDA的路径。
[GDOUCTF 2023]doublegame
qq_73682634的博客
04-30 407
所以v27原始值为13371337,根据提示flag已经解出。shift+f12,明显看见The flag is HZCTF{md5(path)+score},所以我们接下来的目标就是找到path和score。然后由上图清晰可见迷宫,所以我们应该先找到迷宫函数,我的做法是双击please to save the cat,跟进找到迷宫函数。所以可知v27(图上注释部分v7即v27)即为key,下面我们写脚本,把v27的原来值解出来。红框即重要函数,下面我们双击跟进函数查看。首先,下载解压拖进exe里。
[GDOUCTF 2023]Tea
最新发布
2301_80959088的博客
08-19 197
看形式知道是tea,仔细分析一下密钥的处理有变化,是xtea,与标准的xtea形式也不同,多了一个异或。注意三个地方,解密时循环逆过来,33和(i+j),仔细看加密代码即可理解。最近的题目都不用动态,静态分析就可以了,如图注释。注意这里key有改变,和主函数不同了。
GDOUCTF2023-web-wp
adorkablezhenbai的博客
04-16 944
今天和别人交流了一下,发现自己还有很长的路要走。
NSSCTF逆向刷题记录
fivesheeptree的博客
07-18 2239
得到第一位字符"N"以及flag的长度为35arr数组的长度只有34,故将i的范围改为34s = ['N']
CVE-2023-21839漏洞复现
qq_34914659的博客
02-28 4158
CVE-2023-21839漏洞复现
WinRAR 0day CVE-2023-38831分析复现及poc
yuanlirong22的专栏
08-27 2425
最近WinRAR 的CVE-2023-38831 漏洞被在野利用POC已可使用。漏洞影响版本:WinRa
BF-3W_BF480_BF490_BF520_BF530_BF3310_V6_V8写频软件.rar
02-02
宝峰对讲机写频软件
GDOUCTF2023-Reverse WP
Sciurdae的博客
11-28 1386
可以解出俩条路径,用最短的,dddssssddwwwwddssddwwwwwwddddssaassddddwwwwddwwwwddd。加密的逻辑大概就是,明文的第一位和第二位进行XTEA加密,之后加密后的第二位继续和第三位XTEA,依次下去,逆向一下就好。用动态调试,输入uuuuuuuuuuuuuuuuuuu连续创建迷宫,把迷宫copy出来;用IDA打开另一个文件,找到这个函数,比对俩个函数,一个XTEA的加密,找到密文,提取出来。这里的v7是错误的,后面进行了修改。一个迷宫题,不过是三维迷宫。
GDOUCTF2023 Writeup
S4n_v1的博客
04-16 1644
钝角
GDOUCTF web部分题解 2023
Jay17的博客
04-16 2199
GDOUCTF web部分题解 2023 (已加上NSS另外两题)
[GDOUCTF 2023]Check_Your_Luck已解决
qq_73682634的博客
04-25 286
图中红框圈出的地方为方程,显而易见解出方程之后,我们就可以解出flag,此时我们可以运用python的z3库解出。故flag为NSSCTF{4544_123_677_1754_777}.首先下载文件,解压后发现是个c文件,打开查看代码。,然后导入pycharm。接下来,我们就该写脚本了。
[GDOUCTF 2023]Check_Your_Luck
2301_79234037的博客
03-14 382
我因为刚学,啥都不会,所以直接把他转成了txt文本,看里面内容。python代码运行结果。官方下载打开文件解压后是一个cpp文件。
GDOUCTF2023 WriteUP by 肥猪拱菜队
JEWSWS的博客
04-19 802
【天上皎皎明月光,人间匆匆少年郎,脚步最匆匆】
qvd-2023-45061漏洞复现
12-25
在qvd-2023-45061漏洞复现的过程中,可以尝试利用已知的payload或者编写自定义的代码来触发漏洞,记录漏洞触发的条件和效果。在复现过程中,也可以尝试不同的输入和操作,寻找漏洞的边界和影响范围。同时,需要及时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值