2023香山杯re复现

最新推荐文章于 2024-05-11 11:39:00 发布
最新推荐文章于 2024-05-11 11:39:00 发布
阅读量748 收藏
点赞数
文章标签: 网络安全 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73393932/article/details/133847290
版权

还是搞一个本地的和云端的比较好

这次的题目比较简单,但是还是会这里那里出现一点小问题

w学长说:安卓的题目变化比较多,so中找函数或者资源文件里面找函数(有的main函数从so文件中加载出来)

学到的知识点:

* 文件修改可以先尝试尝试修改后缀(哭)
* 一个题目的内部文件找不到的时候,可以试试用其他工具打开
* xxtea解密脚本

#include <stdio.h>
#include <stdint.h>
#include <string.h>

#define DELTA 0x9e3779b9

void xxtea_encrypt(uint32_t *v, int n, uint32_t *key) {
    uint32_t y, z, sum;
    int p, rounds, e;
    rounds = 6 + 52 / n;
    sum = 0;
    y = v[n - 1];
    do {
        sum += DELTA;
        e = (sum >> 2) & 3;
        for (p = 0; p < n - 1; p++) {
            y = v[p + 1];
            z = v[p] += (z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (key[p & 3 ^ e] ^ z);
        }
        y = v[0];
        z = v[n - 1] += (z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (key[n % 4 ^ e] ^ z);
    } while (--rounds);
}

void xxtea_decrypt(uint32_t *v, int n, uint32_t *key) {
    uint32_t y, z, sum;
    int p, rounds, e;
    rounds = 6 + 52 / n;
    sum = rounds * DELTA;
    y = v[0];
    do {
        e = (sum >> 2) & 3;
        for (p = n - 1; p > 0; p--) {
            z = v[p - 1];
            v[p] -= (z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (key[p & 3 ^ e] ^ z);
            y = v[p];
        }
        z = v[n - 1];
        v[0] -= (z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (key[p & 3 ^ e] ^ z);
        y = v[0];
        sum -= DELTA;
    } while (--rounds);
}

int main() {
    uint32_t key[4] = {12345678 ,12398712 ,91283904 ,12378192};
    uint32_t data[] = {689085350 ,626885696 ,1894439255 ,1204672445 ,1869189675 ,475967424 ,1932042439 ,1280104741 ,2808893494};
    int data_len = sizeof(data) / sizeof(data[0]);

    printf("Original Data:\n");
    for (int i = 0; i < data_len; i++) {
        printf("%u\n", data[i]);
    }

    xxtea_decrypt(data, data_len, key);

    printf("Decrypted Data (Printable Characters):\n");
    for (int i = 0; i < data_len; i++) {
        char c = (char)data[i];
       printf("%c%c%c%c",*((char*)&data[i]+0),*((char*)&data[i]+1),*((char*)&data[i]+2),*((char*)&data[i]+3));//这个地方也是很重要的
    }
    printf("\n");

    return 0;
}


URL从哪儿来

这个题目是一个文件操作

写入文件操作,先是获取句柄,加载资源数据,给数据分配内存,然后把内容写入文件中,这里lpAddress就是写入的数据,

这里有一个判断,如果v7[i]不是0或者120,就异或120之后再写入,否则直接等于,这里不需要进行处理操作,等它写入文件,直接看文件的数据就行

动态调试,在c盘对应目录下找到文件

动态调试,找到如下目录:

里面搜索ou文件,用记事本打开看是MZ开头,也就是PE文件

这里出现了一个重要的问题,应该直接改后缀的,但是我把文件内容用记事本打开,然后准备新建一个exe文件,结果就出问题了!!!它一直报错,显示不是Window的文件

后面才知道是要直接将后缀改了

拿到文件就好分析了

先是一个debase64函数,解密base64

下面有一个rc4加密操作

对v33数据进行处理

接下来是一个发送网络请求的操作,不过rc4和发送网络请求的操作没有对解题没有实际作用

在debase64处下断点,动态调试,就出来了

hello_py

![image](assets/image-20231015183740-k7vbvfm.png)

是一个apk文件,用jadx打开,可以看到大致思路,调用pyhon语言的sayHello函数,然后进行一个判断

这些都好理解,现在最重要的就是找出sayHello函数,看看里面有哪些操作

,但是找遍了都没找到!!!!

最后在w学长提醒下搞出来在这里看到

注意!!!!这里实际上使用jeb可以直接找到(大哭!!!!!),下面使用jeb工具来看看(jeb下载4.32的最好,其他版本容易闪退)

把hello.py打开看到里里面是xxtea加密,有点混淆,但是可以看到它的特征(红色部分),下面绿色部分是加密用的key换和加密后的数据

找到了数据,下面用脚本解密

#include <stdio.h>
#include <stdint.h>
#include <string.h>

#define DELTA 0x9e3779b9

void xxtea_encrypt(uint32_t *v, int n, uint32_t *key) {
    uint32_t y, z, sum;
    int p, rounds, e;
    rounds = 6 + 52 / n;
    sum = 0;
    y = v[n - 1];
    do {
        sum += DELTA;
        e = (sum >> 2) & 3;
        for (p = 0; p < n - 1; p++) {
            y = v[p + 1];
            z = v[p] += (z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (key[p & 3 ^ e] ^ z);
        }
        y = v[0];
        z = v[n - 1] += (z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (key[n % 4 ^ e] ^ z);
    } while (--rounds);
}

void xxtea_decrypt(uint32_t *v, int n, uint32_t *key) {
    uint32_t y, z, sum;
    int p, rounds, e;
    rounds = 6 + 52 / n;
    sum = rounds * DELTA;
    y = v[0];
    do {
        e = (sum >> 2) & 3;
        for (p = n - 1; p > 0; p--) {
            z = v[p - 1];
            v[p] -= (z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (key[p & 3 ^ e] ^ z);
            y = v[p];
        }
        z = v[n - 1];
        v[0] -= (z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (key[p & 3 ^ e] ^ z);
        y = v[0];
        sum -= DELTA;
    } while (--rounds);
}

int main() {
    uint32_t key[4] = {12345678 ,12398712 ,91283904 ,12378192};
    uint32_t data[] = {689085350 ,626885696 ,1894439255 ,1204672445 ,1869189675 ,475967424 ,1932042439 ,1280104741 ,2808893494};
    int data_len = sizeof(data) / sizeof(data[0]);

    printf("Original Data:\n");
    for (int i = 0; i < data_len; i++) {
        printf("%u\n", data[i]);
    }

    xxtea_decrypt(data, data_len, key);

    printf("Decrypted Data (Printable Characters):\n");
    for (int i = 0; i < data_len; i++) {
        char c = (char)data[i];
       printf("%c%c%c%c",*((char*)&data[i]+0),*((char*)&data[i]+1),*((char*)&data[i]+2),*((char*)&data[i]+3));//这个地方也是很重要的
    }
    printf("\n");

    return 0;
}

先记到这里,最后一题是虚拟机,搞出来再补充

cool breeze☆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2023香山决赛-pwn复现
kidsama123的博客
02-27 1003
2023香山决赛-pwn复现
2023 香山 --- Crypto wp
3tefanie丶zhou的博客
10-17 602
【等人是一件很开心的事情啊,如果等着人又能马上见着面就更幸福哩。】
2023i春秋香山网络安全大赛Write up
m0_73734159的博客
10-16 975
常用于上层语言构造特定调用链的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。序列化就是把类里面的对象转化成字符串形式(包括对象名、对象属性、对象字符、对象值等等)
2023香山决赛pwn(部分解)
m0_74220442的博客
12-10 902
所以要么解密要么绕过,因为这个for循环的语句的判断是v3>dword_4058 如果v3本身就是0,或者小于0,就可以绕过for循环,但是如果是00,前面讲过当*v4的值是两个00的时候,就退出while循环 然后结束输出,这个时候的距离是输出不到我们要泄露的地址的,所以我们就不能用0要用-1也就是0xffffffff。这是我们打怪的过程也就是sub_4015F7函数的执行效果,发现一个关键的地方,是我们先发起攻击!通过调试我们就可以通过这个泄露的东西来,通过这个地址我们就可以任意泄露我们想要的东西,
2023香山-密码部分WP
刘十三t的博客
10-18 280
解决RSA中n=p**q*r这类题e和phi不互素问题
【Web】2023香山决赛 security system 题解
uuzeray的博客
05-11 1577
add的值,即HashMap的key就是HashSet的iterator所取的内容,而PRESENT作用是占位。①题目hint:想办法修改属性值后进入java的原生反序列化,然后利用jackson链写入内存马。字段时,需要确保对应的Java类路径在类加载器的搜索路径上,并且Jackson的。反序列化入口有两处,第一处是jackson反序列化,第二处是无过滤的原生反序列化。但首先要在第一个反序列化入口打入属性覆盖,从而为进入第二个反序列化入口创造条件。对象,并将JSON中的其他属性值映射到该对象的属性上。
[wp]2023中山市第三届香山 web PHP_unserialize_pro
m0_63138919的博客
10-15 1293
本文为2023中山市第三届香山网络安全大赛 web方向 PHP_unserialize_pro 的题解
香山-2023-Crypto
Emmaaaaa's blog
10-16 272
关键词:coppersmith, n=p ** r ∗q, e与phi不互素,nth_root() 学艺不精,有待提高
2023-香山pwn-wp
hanbing0126的博客
10-17 191
main.py里面加上sys.path.append来帮助python导入app这个库。还得是调试了之后就知道怎么做了(当时一直在找magic gadget 找不到233)还有read函数可以泄露出libc的版本(貌似就是ubuntu22.04。然后剩下的就是leak canary然后打libc的ROP了。栈上有关IO的函数都与libc有关(也就是glibc那个。库与库之间的偏移是不定的,需要leak出libc的地址。而栈上可以泄露出libc的函数 比如open64等。了解了不同的库之间的调用关系。
中山市香山 2021 CTF zip
12-07
中山市香山 2021 CTF zip
第二届“香山网络安全竞赛赛题
02-11
第二届“香山网络安全竞赛赛题,喜欢网络安全的朋友们看过来,顺便帮我找到答案
2022年网络安全中山市香山misc题目附件
11-01
2022年网络安全中山市香山misc题目附件
香山部署教程1
08-03
香山部署教程1】是针对开放源代码的RISC-V处理器项目——香山(XiangShan)的详细编译和仿真指南。本教程适用于熟悉C#编程语言的开发者,虽然主要内容与C#无关,但可能涉及到一些底层系统操作,如编译、模拟和调试,...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8452
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
中国石油大学(北京)克拉玛依校区在广东2021-2024各专业最低录取分数及位次表.pdf
09-08
全国各大学在广东省2021~2024年各专业最低录取分数及位次
浙江越秀外国语学院在广东2021-2024各专业最低录取分数及位次表.pdf
09-08
全国各大学在广东省2021~2024年各专业最低录取分数及位次
网站模板源代码(组件划分规范,二改省力)
最新发布
09-08
组件划分规范,二改省力!!!
华中科技大学 Java课程设计实验.zip
09-08
华中科技大学 Java课程设计实验.zip
香山difftest
09-15
香山difftest是香山项目中的一个子模块,用于进行CPU设计的功能验证和调试。它通过与NEMU模拟器进行交互,实现对香山CPU的模拟执行和对比分析,从而检测出可能存在的错误和异常。difftest会将香山CPU与NEMU模拟器的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值