Neepu2023-部分Reserve复现

最新推荐文章于 2024-07-08 22:12:26 发布
最新推荐文章于 2024-07-08 22:12:26 发布
阅读量832 收藏
点赞数
文章标签: 算法 网络安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73393932/article/details/130812346
版权

目录

Base

IKUN检查器

dnSpy

 junk code

Cheat Engine工具使用:

奇怪的ELF

mov混淆问题:

Xor 

Base

打开附件,可以看到主函数

先是给出一个物理题,要求输入答案,这个无关紧要,接着要求输入一串字符,经过encode_1和encode_2的加密过程后,要求等于enflag。直接进入encode_1和encode_2查看

encode_1:

char __cdecl encode_1(char *flag, int num)
{
  size_t v2; // rax
  int i; // [rsp+2Ch] [rbp-54h]

  for ( i = 0; ; ++i )
  {
    v2 = strlen(flag);
    if ( i >= v2 )
      break;
    if ( flag[i] <= 64 || flag[i] > 90 )
    {
      if ( flag[i] > 96 && flag[i] <= 122 )
        flag[i] = (flag[i] - 97 + num) % 26 + 97;
    }
    else
    {
      flag[i] = (flag[i] - 65 + num) % 26 + 65;
    }
  }
  return v2;
}

很明显的凯撒加密,偏移量是num,传进去的参数可以知道num的值为3.

再进入encode_2查看

char __cdecl encode_2(char *str, int len, char *str1)
{
  int v3; // eax
  int v4; // eax
  int v5; // eax
  int v6; // r8d
  int v7; // eax
  int v8; // r8d
  int v9; // eax
  int v10; // eax
  int v11; // eax
  int v12; // r8d
  int v13; // eax
  int v14; // eax
  int v15; // eax
  int v16; // eax
  char base64[65]; // [rsp+20h] [rbp-60h] BYREF
  char *flag; // [rsp+68h] [rbp-18h]
  int encodeStrLen; // [rsp+74h] [rbp-Ch]
  int k; // [rsp+78h] [rbp-8h]
  int i; // [rsp+7Ch] [rbp-4h]

  strcpy(base64, "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/");
  encodeStrLen = 4 * (len / 3) + 1;
  k = 0;
  if ( len % 3 )
    v3 = 4;
  else
    v3 = 0;
  encodeStrLen += v3;
  flag = malloc(encodeStrLen);
  for ( i = 0; i < len; ++i )
  {
    if ( len - i <= 2 )
    {
      v10 = k++;
      if ( len - i == 2 )
      {
        flag[v10] = base64[str[i] >> 2];
        v11 = k++;
        v12 = 16 * (str[i++] & 3);
        flag[v11] = base64[v12 | (str[i] >> 4)];
        v13 = k++;
        flag[v13] = base64[4 * (str[i] & 0xF)];
      }
      else
      {
        flag[v10] = base64[str[i] >> 2];
        v15 = k++;
        flag[v15] = base64[16 * (str[i] & 3)];
        v16 = k++;
        flag[v16] = 61;
      }
      v14 = k++;
      flag[v14] = 61;
    }
    else
    {
      v4 = k++;
      flag[v4] = base64[str[i] >> 2];
      v5 = k++;
      v6 = 16 * (str[i++] & 3);
      flag[v5] = base64[v6 | (str[i] >> 4)];
      v7 = k++;
      v8 = 4 * (str[i++] & 0xF);
      flag[v7] = base64[v8 | (str[i] >> 6)];
      v9 = k++;
      flag[v9] = base64[str[i] & 0x3F];
    }
  }
  flag[k] = 0;
  return strcpy(str1, flag);
}

一个base64加密

最后将加密后的数据与enflag进行比较,解密过程就是先将enflag进行base64解码,然后再将得到的值进行凯撒解密,偏移量为3最后得到flag。

IKUN检查器

打开附件,可以发现是c#编写的程序,c#程序需要使用dnSpy打开

dnSpy

可以直接从官网上下载

打开可以看到主函数

// WindowsFormsApp1.From1
// Token: 0x06000006 RID: 6 RVA: 0x00002074 File Offset: 0x00000274
private void button1_Click(object sender, EventArgs e)
{
	string text = this.textBox1.Text;
	bool flag = text.Length != 34;
	if (flag)
	{
		this.label1.Text = "你不是真ikun";
	}
	else
	{
		string a = text.Substring(0, 8);
		string a2 = text.Substring(8, 1);
		string a3 = text.Substring(9, 10);
		string b = text.Substring(19, 1);
		string a4 = text.Substring(20, 14);
		int num = 0;
		int num2 = 0;
		int num3 = 0;
		int num4 = 0;
		num = this.check1(a, num);
		num2 = this.check2(a3, num2);
		num3 = this.check3(a2, b, num3);
		num4 = this.check4(a4, num4);
		bool flag2 = num + num2 + num3 + num4 == 4;
		if (flag2)
		{
			this.check5(text);
		}
	}
}

先判断flag长度是否等于34,然后会对输入的字符串分段分别经过check1,2,3,4函数进行检测,都通过时使用check5输出

check1:

public int check1(string a, int checkbox)
		{
			string value = "3eabbb3900d553d7e98a154bffa4d24a";
			char[] array = a.ToCharArray();
			MD5 md = new MD5CryptoServiceProvider();
			byte[] bytes = Encoding.Default.GetBytes(a);
			byte[] array2 = md.ComputeHash(bytes);
			md.Clear();
			string text = "";
			for (int i = 0; i < array2.Length; i++)
			{
				text += array2[i].ToString("x").PadLeft(2, '0');
			}
			bool flag = text.Equals(value);
			if (flag)
			{
				this.label1.Text = "哇,珍德食你鸭!";
				checkbox = 1;
			}
			else
			{
				this.label1.Text = "你干嘛,嗨嗨呦!";
				checkbox = 0;
			}
			return checkbox;
		}

是一个md5加密,直接爆破解密,得到 1998-8-2

check2:

		// Token: 0x0600000C RID: 12 RVA: 0x00002590 File Offset: 0x00000790
		public int check2(string a, int checkbox)
		{
			string value = "ce143362813587af5af8592984c91b5a8c11b779";
			string text = "";
			SHA1 sha = new SHA1CryptoServiceProvider();
			byte[] bytes = Encoding.Default.GetBytes(a);
			byte[] array = sha.ComputeHash(bytes);
			sha.Clear();
			for (int i = 0; i < array.Length; i++)
			{
				text += array[i].ToString("x").PadLeft(2, '0');
			}
			bool flag = text.Equals(value);
			if (flag)
			{
				this.label1.Text = "哇,珍德食你鸭!";
				checkbox = 1;
			}
			else
			{
				this.label1.Text = "你干嘛,嗨嗨呦!";
				checkbox = 0;
			}
			return checkbox;

是一个sha1加密,解密得到 jinitaimei

check3:


		// Token: 0x0600000D RID: 13 RVA: 0x0000264C File Offset: 0x0000084C
		public int check3(string a, string b, int checkbox)
		{
			string value = "-";
			bool flag = a.Equals(b) && a.Equals(value);
			if (flag)
			{
				this.label1.Text = "哇,珍德食你鸭!";
				checkbox = 1;
			}
			else
			{
				this.label1.Text = "你干嘛,嗨嗨呦!";
				checkbox = 0;
			}
			return checkbox;
		}

直接判断是一个 '-'

check4:


		// Token: 0x0600000E RID: 14 RVA: 0x000026AC File Offset: 0x000008AC
		public int check4(string a, int checkbox)
		{
			string text = "7vKrvRh4Gu7wBQn7o9VfKQ==";
			byte[] bytes = Encoding.UTF8.GetBytes("pijinchengwangbankunyuanhang!!!!");
			byte[] bytes2 = Encoding.UTF8.GetBytes(a);
			ICryptoTransform cryptoTransform = new RijndaelManaged
			{
				Key = bytes,
				Mode = CipherMode.ECB,
				Padding = PaddingMode.PKCS7
			}.CreateEncryptor();
			byte[] array = cryptoTransform.TransformFinalBlock(bytes2, 0, bytes2.Length);
			string value = Convert.ToBase64String(array, 0, array.Length);
			bool flag = text.Equals(value);
			if (flag)
			{
				this.label1.Text = "哇,珍德食你鸭!";
				checkbox = 1;
			}
			else
			{
				this.label1.Text = "你干嘛,嗨嗨呦!";
				checkbox = 0;
			}
			return checkbox;
		}

是一个AES加密.ECB,PKCS7,直接解密,得到:xiaoheizishiba

直接输入,得到flag(没想到直接输入....)

 junk code

看wp知道是使用cheat engine工具

Cheat Engine工具使用:

  • 首先运行程序
  • 打开Cheat Engine工具,点击如下图标,查找Process,找到要调试的程序,打开
  • 然后,可以在右边的框内输入要查找的字符串/字节
  • 下面的数据右键->浏览相关内存区域,即可得到flag

方法二:直接使用ida动态调试

在ida中打开文件,动态调试

注意:一定要在此处,因为此处是字符串经过异或运算后的flag值

 得到flag

奇怪的ELF

看了wp才知道是mov 混淆了

mov混淆问题:

MOV这种混淆是怎样产生的呢?剑桥大学的Stephen Dolan证明了x86的mov指令可以完成几乎所有功能了(可能还需要jmp),其他指令都是“多余的”。受此启发,有个大牛做了一个虚拟机加密编译器。它是一个修改版的LCC编译器,输入是C语言代码,输出的obj里面直接包含了虚拟机加密后的代码。如它的名字,函数的所有代码只有mov指令,没有其他任何指令。

这种题目的特征就是:汇编代码的汇编指令几乎全部就是MOV

1、 字符串的搜索是给我们最好的提示。
2、 MOV混淆是不会混淆函数的逻辑的。因此函数的逻辑还是不变的。
3、 大多数汇编代码的意思是可以猜测的。可以大概推测出具体操作了什么

具体mov混淆问题可以看:movfuscator混淆_Cherest_San的博客-CSDN博客

和这篇文章:浅析CTF中的反静态调试(二) - 先知社区

观察代码可以发现,flag的指令存储在R2中,直接手动搜索得到flag,search->text->R2。

Xor 

直接搜索字符串,找到可疑字符串

设置断点,动态调试

 一路F8,可以看到Please input flag,下面的异或部分

在此处创建函数

可以看到函数的主逻辑

  __int64 v8; // rdi
  __int64 v9; // rax
  __int64 i; // rcx
  _QWORD *v11; // rax
  __int64 v13; // [rsp-1C8h] [rbp-1D8h]
  __int64 v14; // [rsp-1C0h] [rbp-1D0h]
  unsigned __int64 v15; // [rsp-1A0h] [rbp-1B0h]
  __int64 v16; // [rsp-198h] [rbp-1A8h]
  __int64 v17; // [rsp-190h] [rbp-1A0h]
  __int64 v18; // [rsp-188h] [rbp-198h]
  __int64 v19; // [rsp-180h] [rbp-190h]
  _QWORD v20[34]; // [rsp-158h] [rbp-168h]
  __int64 v21; // [rsp-48h] [rbp-58h]
  const char *v22; // [rsp-38h] [rbp-48h]
  _QWORD *v23; // [rsp-30h] [rbp-40h]
  void *v24; // [rsp-28h] [rbp-38h]
  char **v25; // [rsp-20h] [rbp-30h]

  while ( 1 )
  {
    v19 = a6;
    v15 = a4;
    v20[32] = v6;
    sub_81A060();
    v8 = sub_819800();
    a4 = v6;
    v6 = v8;
    if ( v19 + 1 >= v16 )
      break;
    a6 = v19 + 1;
    if ( v19 + 1 - ((v19 + 1) & 0xFFFFFFFFFFFFFFFCLL) >= 4 )
      sub_82EB60(v13, v14);
  }
  v21 = sub_819DA0();
  v17 = v8;
  *(&v13 - 2) = v7;
  v9 = sub_82F0E0();
  for ( i = 0LL; i < 32; ++i )
  {
    if ( v6 <= i )
      sub_82EB60(v13, v14);
    if ( v20[i] != *(unsigned __int8 *)(v9 + i) )
    {
      v18 = i;
      v14 = sub_85F300(v13);
      v9 = v21;
      i = v18;
      v6 = v17;
    }
  }
  v24 = &unk_875580;
  v25 = &off_8ABBB0;
  sub_861F60();
  v11 = (_QWORD *)sub_7DC740();
  *v11 = 0LL;
  v22 = "\b";
  v23 = v11;
  return sub_867420();
}

函数有两个循环,第一个循环时加密过程,第二个循环是对加密的明文进行判断,所以我们需要动态调试,过第一个循环,在第二个循环中

在此处先断点,随便输入什么跳过第一个循环,F8到第二个循环,拿到密文

 写脚本解密

#include<stdio.h>
#include<stdlib.h>
#include<string.h>
int main(){
	int i;
	char arr[]={0x3f,0x12,0x0,0x2,0x4,0xc,0x3d,0x42,0x3,0x28,0xc,0x1,0x2e,0x12,0x4,0x1,0x8,0x28,0x54,0x40,0x42,0x43,0x54,0x40,0x42,0x43,0x54,0x40,0x42,0x43,0x50,0xf};
    char key[]="qwer";
  for(i=0;i<40;i++){
	arr[i]=arr[i]^key[i%4];
	printf("%c",arr[i]);
   }
  
	return 0;
}
//Neepu{X0r_is_easy_1234123412345}

cool breeze☆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
coubic-reserve-blocker
04-30
**coubic-reserve-blocker** 是一个专为防止Coubic系统进行预订的工具,其主要目的是在特定时间段内设定“休息时间”,确保在这段时间内不会被Coubic系统自动预定。这个工具可能适用于需要控制工作时间和休息时间的...
WMSU-Reserve-ComLab
03-20
【标题】"WMSU-Reserve-ComLab"是一个项目名称,可能指的是韦尔曼斯大学(WMSU)的储备通信实验室相关的系统或应用。这个系统可能用于管理、预订和监控该校通信实验室的资源。 【描述】"WMSU-Reserve-ComLab #http"...
NEEPUSec CTF 2023 Loss
Emmaaaaa's blog
06-02 1186
确实是一开始没注意到0的缺失,只知道缺失了,当时看到myhex()函数以为就是单纯的字节转16进制,但后面转念一想如果只是普通的转法,大可直接用byte_data.hex(),所以说都是有含义的啊。技不如人,没什么好说的,坚持学吧。怎么讲呢,就发自己越多不会,动力还就越大了。
2021-09-16
tale的博客
09-16 91
2019_UNCTF 666 很简单的代码审计加解密,快速水一篇睡觉了23333 main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-1E0h] char v5; // [rsp+F0h] [rbp-F0h] memset(&s, 0, 0x1EuLL); //给s初始化内存 printf("Please Input Key: ",
NEEPU Sec 2023 公开赛 writeup
mumuzi的博客
05-22 2440
Neepu2023 writeup wp
攻防世界逆向高手题之re5-packed-movement
沐一 · 林 的博客
11-14 1414
攻防世界逆向高手题之re5-packed-movement 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的re5-packed-movement 下载附件,照例扔入exeinfope中查看信息: 32位的UPX壳,直接扔入Kali中脱壳处理先: 照例先运行一下程序,看一下主要的回显信息: 照例扔入32位IDA中查看伪代码信息,有main函数看main函数,结果没有Main函数: . . . 在冷静分析一下,关键代码都在main函数中,但是都是Mov指令,这应该是经过某种处理的好像
Neepu Sec 2023公开赛Reverse题目
OrientalGlass的博客
05-22 939
可以看到做了对flag的判断,分别截取flag的不同部分并调用不同的check函数最后将加密结果拼接起来并输出结果。text是密文,bytes是密钥,并且可以看到Mode是ECB,PaddingMode是PKCS7。sha256,也就是把上面得到的结果拼接起来进行hash(也可以运行程序通过验证得到flag)最后组合到的掩码Neepu{Pyth0n_1s_a_t?​将程序用dnSpy打开后,点击From1,可以找到check1~check5函数。可以发是C#编写的,使用dnSpy分析。
express-reserve-proxy
05-07
$ npm install --save express-reserve-proxy 警告 必须在主体解析中间件(例如主体解析器和multer)之前安装express-reserve-proxy 。 例子 选项 开发 测试 $ npm test 覆盖范围 $ npm run cover 执照 麻省理工学院
react-reserve
03-30
在"react-reserve-master"这个压缩包中,我们可以预期找到的文件和目录可能包括: 1. `src`:源代码目录,包含React组件和其他前端代码。 2. `public`:静态资源文件夹,通常存放HTML、CSS、图片等不需经过编译的...
Reverse repurchase agreements - Federal Reserve 反向回购协议 - 美联储-数据集
03-11
这是由美联储经济数据库 (FRED) 托管的美联储的数据集。FRED有一个数据平台,他们根据数据更新...reverse-repurchase-agreements-held-by-the-federal-reserve-all-maturities-discontinued_metadata.json RREPT.csv
cetrainer-unpacker:从可执行文件中提取和解密CheatEngine训练器
05-02
CheatEngine Trainer开箱器 该程序提取并解密打包在任意.CETRAINER可执行文件中的CheatEngine的.CETRAINER文件。 用编写。 下载 从以下位置克隆存储库: : 。 用法 使用管理员权限运行以下命令: extract.py path/to/trainer.exe [path/to/trainer.xml] 请注意,第二个参数是可选的,默认为: path/to/trainer.exe.xml 。 档案文件 extract_dynamic.py 通过使用二进制工具提取*.CETRAINER文件。 具体来说,它将生成培训器并重新注入其子进程,直到拦截对*.CETRAINER文件的文件管理调用。 然后,如有必要,它将把它解密为纯文本(即不受保护的)XML版本。 警告:由于此方法实际上执行目标训练器,因此出于安全原因,请确保一切都在隔离的环境中运行
很经典的一个Re题目
Mr_Corazon的博客
03-11 355
很明显encode有问题 进去看看 查看key长度是18于enflag的长度一样 查看enflag里面东西是 把这一串字符用ASCII解密出来 编写python脚本得到flag` enflag=[105, 122, 119, 104, 114, 111, 122, 34, 34, 119, 34, 118, 46, 75, 34, 46, 78, 105, 0] flag=’’ for i in range(0,18,3): flag+=chr((18^enflag[i])-6) flag+=chr.
2023年2月国内外CTF比赛时间汇总来了!
网络安全
02-08 4899
2月国内外CTF比赛时间汇总
2023 铁人三项 CTF --- Misc wp
3tefanie丶zhou的博客
01-12 2337
【不被喜欢的姑娘喜欢,是一件很伤心的事情,可天没有塌下来,该怎么活,还得怎么活。】
flagen
Maxmalloc的博客
03-09 661
题目 提取码:g36p ida静态分析 找到sub_80488C6()函数中存在一个漏洞点。 case 0x48: case 0x68: v4 = v15; v5 = v15 + 1; *v4 = 0x31; *v5 = 0x2D; v6 = v5 + 1; v15 = v5 +...
攻防世界-Reverse-666(图解详细)
半岛铁盒的博客
12-03 3841
自述 这道题对于新手来说还是比较经典的,把逆向与python脚本的编写联系了起来;因为刚开始我没有学python,一遇到脚本什么的就很懵,学了半个月python后,我对做题有个更深的认识,记录一下; 解题 把文件放入IDA 找到main函数, 这一段很短却提供了很多的信息; 意思是:输入一串字符,进入encode(点进去发是一个加密函数) 再往下走,长度与key相比较,要求长度等于key,再往下走,把加密后的字符与enflag相比较,两者相等 **一.**先点进key看看; 有两个信息 1. key
Cheat Engine 教程( 1 - 9 通关 )
热门推荐
freeking101的博客
09-28 11万+
精确值扫描点击教程(64位):欢迎使用 Cheat Engine 训练教程 (3.3)本教程将尝试讲解在游戏中作弊的一些基本知识. 并帮助你熟悉 Cheat Engine 的使用方法 (简称为CE). 请按下面的步骤开始.恭喜你!如果以上步骤没什么意外的话,进程列表窗口将会消失并且在 Cheat Engine 主界面的上方会显示选择的进程名称.好了,点击 "下一步" 按钮进入下一个步骤。
【代码随想录_Day27】509 斐波那契数 70 爬楼梯 746 使用最小花费爬楼梯
最新发布
qq_43671872的博客
07-08 625
509 斐波那契数70 爬楼梯746 使用最小花费爬楼梯今天的题目难度不低,尽量还是写一些简洁代码 ^ _ ^
算法力扣刷题 三十一【150. 逆波兰表达式求值】
danaaaa的博客
07-04 682
后缀表示法。
详细解释:global_costs->Reserve(1000, 1000);
05-19
Reserve() 函数用于为 vector 容器预分配内存,以避免在插入元素时频繁地重新分配内存,从而提高程序的效率。 需要注意的是,Reserve() 函数只是为 vector 容器分配内存,而不会改变其大小。如果要改变 vector 容器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值