[2019红帽杯]easyRE1题解

已于 2023-01-30 21:08:10 修改
阅读量1.7k 收藏 2
点赞数 3
分类专栏: reverse 文章标签: 网络安全 逆向 buuctf ctf reverse
于 2023-01-30 21:07:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73644864/article/details/128807312
版权

迷蒙马背眠,月随残梦天边远,淡淡起茶烟。

                                                        ——松尾芭蕉

目录

1.查壳

2.拖入64位IDA,找到主函数

3.静态分析主函数

4.wp

1.查壳

ELF文件,64bit

2.拖入64位IDA,找到主函数

 没有标明main函数,我们打开string窗口跟踪一下存储的字符串常量

 发现一个base64编码表,base64不懂的查看博文base64

点击这个编码表跟进

 将光标放在上面按下快捷键X查看调用这个字符串的地方

 点击进入

按下F5反汇编

 while ( v2 < v4 - 2 )
  {
    *(_BYTE *)(v6 + v2) = aAbcdefghijklmn[*(_BYTE *)(v3 + a1) >> 2];
    *(_BYTE *)(v6 + v2 + 1LL) = aAbcdefghijklmn[(16 * (*(_BYTE *)(v3 + a1) & 3)) | (*(_BYTE *)(v3 + 1LL + a1) >> 4)];
    *(_BYTE *)(v6 + v2 + 2LL) = aAbcdefghijklmn[(4 * (*(_BYTE *)(v3 + 1LL + a1) & 0xF)) | (*(_BYTE *)(v3 + 2LL + a1) >> 6)];
    *(_BYTE *)(v6 + v2 + 3LL) = aAbcdefghijklmn[*(_BYTE *)(v3 + 2LL + a1) & 0x3F];
    v3 += 3;
    v2 += 4;
  }

这是base64编码的代码,需要知道base64编码算法的特征

这个函数有传入的参数,应该不是主函数

将光标放在函数名出,按下快捷键N重命名为base64encode

我们继续回到string窗口,查看别的可疑字符串

我们用同样的方法找到You find me字符串被使用的函数

 这个函数应该是主函数

 可以重命名一下函数名,光标放在函数名上,按下快捷键N

int __cdecl main(int argc, const char **argv, const char **envp)
{
  __int64 v3; // rax
  int result; // eax
  unsigned __int64 v5; // rax
  __int64 v6; // rax
  int i; // [rsp+Ch] [rbp-114h]
  __int64 v8; // [rsp+10h] [rbp-110h]
  __int64 v9; // [rsp+18h] [rbp-108h]
  __int64 v10; // [rsp+20h] [rbp-100h]
  __int64 v11; // [rsp+28h] [rbp-F8h]
  __int64 v12; // [rsp+30h] [rbp-F0h]
  __int64 v13; // [rsp+38h] [rbp-E8h]
  __int64 v14; // [rsp+40h] [rbp-E0h]
  __int64 v15; // [rsp+48h] [rbp-D8h]
  __int64 v16; // [rsp+50h] [rbp-D0h]
  __int64 v17; // [rsp+58h] [rbp-C8h]
  char v18; // [rsp+60h] [rbp-C0h]
  char v19; // [rsp+61h] [rbp-BFh]
  char v20; // [rsp+62h] [rbp-BEh]
  char v21; // [rsp+63h] [rbp-BDh]
  char v22; // [rsp+64h] [rbp-BCh]
  char v23; // [rsp+65h] [rbp-BBh]
  char v24; // [rsp+66h] [rbp-BAh]
  char v25; // [rsp+67h] [rbp-B9h]
  char v26; // [rsp+68h] [rbp-B8h]
  char v27; // [rsp+69h] [rbp-B7h]
  char v28; // [rsp+6Ah] [rbp-B6h]
  char v29; // [rsp+6Bh] [rbp-B5h]
  char v30; // [rsp+6Ch] [rbp-B4h]
  char v31; // [rsp+6Dh] [rbp-B3h]
  char v32; // [rsp+6Eh] [rbp-B2h]
  char v33; // [rsp+6Fh] [rbp-B1h]
  char v34; // [rsp+70h] [rbp-B0h]
  char v35; // [rsp+71h] [rbp-AFh]
  char v36; // [rsp+72h] [rbp-AEh]
  char v37; // [rsp+73h] [rbp-ADh]
  char v38; // [rsp+74h] [rbp-ACh]
  char v39; // [rsp+75h] [rbp-ABh]
  char v40; // [rsp+76h] [rbp-AAh]
  char v41; // [rsp+77h] [rbp-A9h]
  char v42; // [rsp+78h] [rbp-A8h]
  char v43; // [rsp+79h] [rbp-A7h]
  char v44; // [rsp+7Ah] [rbp-A6h]
  char v45; // [rsp+7Bh] [rbp-A5h]
  char v46; // [rsp+7Ch] [rbp-A4h]
  char v47; // [rsp+7Dh] [rbp-A3h]
  char v48; // [rsp+7Eh] [rbp-A2h]
  char v49; // [rsp+7Fh] [rbp-A1h]
  char v50; // [rsp+80h] [rbp-A0h]
  char v51; // [rsp+81h] [rbp-9Fh]
  char v52; // [rsp+82h] [rbp-9Eh]
  char v53; // [rsp+83h] [rbp-9Dh]
  char v54[32]; // [rsp+90h] [rbp-90h]
  int v55; // [rsp+B0h] [rbp-70h]
  char v56; // [rsp+B4h] [rbp-6Ch]
  char v57; // [rsp+C0h] [rbp-60h]
  char v58; // [rsp+E7h] [rbp-39h]
  char v59; // [rsp+100h] [rbp-20h]
  unsigned __int64 v60; // [rsp+108h] [rbp-18h]

  v60 = __readfsqword(0x28u);
  v18 = 73;
  v19 = 111;
  v20 = 100;
  v21 = 108;
  v22 = 62;
  v23 = 81;
  v24 = 110;
  v25 = 98;
  v26 = 40;
  v27 = 111;
  v28 = 99;
  v29 = 121;
  v30 = 127;
  v31 = 121;
  v32 = 46;
  v33 = 105;
  v34 = 127;
  v35 = 100;
  v36 = 96;
  v37 = 51;
  v38 = 119;
  v39 = 125;
  v40 = 119;
  v41 = 101;
  v42 = 107;
  v43 = 57;
  v44 = 123;
  v45 = 105;
  v46 = 121;
  v47 = 61;
  v48 = 126;
  v49 = 121;
  v50 = 76;
  v51 = 64;
  v52 = 69;
  v53 = 67;
  memset(v54, 0, sizeof(v54));
  v55 = 0;
  v56 = 0;
  sub_4406E0(0LL, v54, 37LL);
  v56 = 0;
  LODWORD(v3) = sub_424BA0((const __m128i *)v54);
  if ( v3 == 36 )
  {
    for ( i = 0; ; ++i )
    {
      LODWORD(v5) = sub_424BA0((const __m128i *)v54);
      if ( i >= v5 )
        break;
      if ( (unsigned __int8)(v54[i] ^ i) != *(&v18 + i) )
      {
        result = -2;
        goto LABEL_13;
      }
    }
    sub_410CC0("continue!");
    memset(&v57, 0, 0x40uLL);
    v59 = 0;
    sub_4406E0(0LL, &v57, 64LL);
    v58 = 0;
    LODWORD(v6) = sub_424BA0((const __m128i *)&v57);
    if ( v6 == 39 )
    {
      v8 = base64encode((__int64)&v57);
      v9 = base64encode(v8);
      v10 = base64encode(v9);
      v11 = base64encode(v10);
      v12 = base64encode(v11);
      v13 = base64encode(v12);
      v14 = base64encode(v13);
      v15 = base64encode(v14);
      v16 = base64encode(v15);
      v17 = base64encode(v16);
      if ( !(unsigned int)sub_400360(v17, off_6CC090) )
      {
        sub_410CC0("You found me!!!");
        sub_410CC0("bye bye~");
      }
      result = 0;
    }
    else
    {
      result = -3;
    }
  }
  else
  {
    result = -1;
  }
LABEL_13:
  if ( __readfsqword(0x28u) != v60 )
    sub_444020();
  return result;
}

3.静态分析主函数

if ( v3 == 36 )
  {
    for ( i = 0; ; ++i )
    {
      LODWORD(v5) = sub_424BA0((const __m128i *)v54);
      if ( i >= v5 )
        break;
      if ( (unsigned __int8)(v54[i] ^ i) != *(&v18 + i) )
      {
        result = -2;
        goto LABEL_13;
      }
    }

关注这部分

if ( i >= v5 )
        break;

这是循环结束的条件

照着这个循环用脚本模拟一下,看看会输出什么

string=[73,111,100,108,62,81,110,98,40,111,99,121,127,121,46,105,127,100,96,51,119,125,119,101,107,57,123,105,121,61,126,121,76,64,69,67]
flag=""
for i in range(0,35):
    flag+=chr(string[i]^i)
print(flag)

输出:

Info:The first four chars are `flag`

前四个字符是flag

继续往下分析

 是一组base64加密

黄色部分是一个strcmp函数

跟进off_6CC090

 继续跟进aVm0wd2vhuxhtwg

 这是一个base64编码将这个base64编码多次解码

解密网站

 不断解密

进入这个网址

 没什么用,纯属干扰解题的坑

下面有一个数据,使用快捷键X交叉引用查看一下

 到这个函数中分析一下

unsigned __int64 sub_400D35()
{
  unsigned __int64 result; // rax
  unsigned int v1; // [rsp+Ch] [rbp-24h]
  int i; // [rsp+10h] [rbp-20h]
  int j; // [rsp+14h] [rbp-1Ch]
  unsigned int v4; // [rsp+24h] [rbp-Ch]
  unsigned __int64 v5; // [rsp+28h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  v1 = sub_43FD20(0LL) - qword_6CEE38;
  for ( i = 0; i <= 1233; ++i )
  {
    sub_40F790(v1);
    sub_40FE60();
    sub_40FE60();
    v1 = (unsigned __int64)sub_40FE60() ^ 0x98765432;
  }
  v4 = v1;
  if ( ((unsigned __int8)v1 ^ byte_6CC0A0[0]) == 102 && (HIBYTE(v4) ^ (unsigned __int8)byte_6CC0A3) == 103 )
  {
    for ( j = 0; j <= 24; ++j )
      sub_410E90((unsigned __int8)(byte_6CC0A0[j] ^ *((_BYTE *)&v4 + j % 4)));
  }
  result = __readfsqword(0x28u) ^ v5;
  if ( result )
    sub_444020();
  return result;
}
if ( ((unsigned __int8)v1 ^ byte_6CC0A0[0]) == 'f' && (HIBYTE(v4) ^ (unsigned __int8)byte_6CC0A3) == 'g' )
  {
    for ( j = 0; j <= 24; ++j )
      sub_410E90((unsigned __int8)(byte_6CC0A0[j] ^ *((_BYTE *)&v4 + j % 4)));
  }

v1是unsigned int 四个字节,高字节与低字节抑或分别是f和g,中间还有两个字节,那么很可能按位与其抑或就是flag

然后循环取出这四个字节与数据段异或就是flag

4.wp

data=[0x40, 0x35, 0x20, 0x56, 0x5D, 0x18, 0x22, 0x45, 0x17, 0x2F, 0x24, 0x6E, 0x62, 0x3C, 0x27, 0x54, 0x48, 0x6C, 0x24, 0x6E, 0x72, 0x3C, 0x32, 0x45, 0x5B]
four=['f','l','a','g']
data2=[]
flag=""
for i in range(4):
    data2.append(data[i]^ord(four[i]))   #两次异或等于没有异或
for i in range(len(data)):
    flag+=chr(data[i]^data2[i%4])
print(flag)

flag{Act1ve_Defen5e_Test}

其他题解请关注我的专栏reverse

烨鹰
关注
专栏目录
红帽杯2019 Easyre wp
xia0ji233
05-17 412
title: WP:红帽杯2019 easyRe date: 2021-05-6 1:24:00 tags: writeup binary security reverse analysis comments: true categories: ctf reverse pwn题做完re题当然也不能少,buu上除了那些水题,开始做一些带点技术含量的题目了。红帽杯2019easyRE上来就是800KB的elf文件,看起来就很有技术含量的样子。其实看到大文件不用怕,函数多也不用怕,因为需要分析的函数一定.
2019美亚杯团体赛刷题 部分题解(1-42、106-116)
7ruth0hn的博客
11-10 6974
文章目录写在前面使用工具刷题1.在黑客路由器里,有一台设备的MAC地址为00:11:6B:47:4D:55,请问它的IP地址是什么?2.在黑客路由器里,发现一设备的IP地址为192.168.0.103,请问该设备为如下哪一个:3.警方已经查证所有连接此router的设备都归黑客所有,根據黑客路由器的訊息,下列哪组(设备---ip)是错误的:4.Hacker现场检获的Windows主机硬盘已成功取证并制作成镜像Win1.E01,下列哪个是其硬盘证据文件的MD5哈希值。5.MD5hash算法会产生一个什么大小的
BUUCTF-re-[2019红帽杯]easyRE
qq_61774705的博客
06-18 767
用IDA64打开文件,shift+F12查看字符串 分析关键代码:脚本如下: 继续查看sub_400E44函数继续分析 脚本如下: 继续分析 代码如下: 发现此函数的逻辑就是将字符串进行异或,还可以发现if语句中,有判断是否等于‘f’和‘g’的条件,根据已有信息猜测这个字符数组就是‘flag’。函数的作用是获取高字节也就是数组的最后一位,同时还有第一个是获取数组的第一位,第二个就是获取第二位,依次类推。查看数组byte_6CC0A0数据:可以看出byte_CC0A3=byte_CC0
buuctf [2019红帽杯]easyRE
最新发布
shdbehdvd的博客
08-12 416
② Info:The first four chars are `flag`》》》信息:前四个字符是`flag`(提示。>>>实际应该是byte_6CC0A0 = byte_6CC0A0 + byte_6CC0A3。汇编看>>>连续引用传送 说明 实际上其实就是数组。(v12=v12+v13+v14)总结:这题不难,考察点>>> = = 细节、数组的分辨。咳,python 不太熟,但是有豆包妈,没事。64位 >>> 64IDAPro打开。这样解码一样可以(10次)。异或还原得到v15的值。
[Buuctf] [2019红帽杯] easyRE
weixin_74305514的博客
03-02 1189
主动防御
[buuctf][2019红帽杯]easyRE
逆向萌新的博客
07-02 542
[buuctf][2019红帽杯]easyRE
[2019红帽杯]easyRE
yidalipao1的博客
05-07 864
BUU 2019红帽杯easyre
2019蓝桥杯算法1-9题解
08-31
自己写的蓝桥杯的算法题目,根据题目解题想参考的可以看看,文章也有
2019高教社杯全国大学生数学建模竞赛评阅要点A题.pdf
08-04
2019高教社杯全国大学生数学建模竞赛A题.评阅要点:高压油管的压力控制 燃油进入和喷出高压油管是许多燃油发动机工作的基础,图1给出了某高压燃油系统的工作原理,燃油经过高压油泵从A处进入高压油管,再由喷口B喷出...
[安洵杯 2019]easy misc 1
brightendavid的博客
05-13 1661
拿到一个压缩包 里面有一个加密的压缩包 这个压缩包里面有一个神秘的 代码,先把数值计算出来吧。反正misc的题目总是这个样子,也不是第一天知道了。 那么就先计算一个这个数值吧, import math x=2524921 y=(math.pow(x,0.5)*85/5+2)/15-1794 print(y) 算出来是7呀 FLAG IN ((√2524921X85÷5+2)÷15-1794)+NNULLULL, 这个东西理解起来铁定是有二义性的呀。 7+NNULLULL, 7NNULLULL,.
蓝桥杯-蓝桥杯2019VIP题目+题解.zip
03-04
《蓝桥杯2019VIP题目+题解》是一个针对“蓝桥杯”编程竞赛的资源包,其中包含了该赛事2019年度的VIP级别试题及其解答。这个压缩包是参赛者或者对编程竞赛感兴趣的学习者的重要参考资料,旨在帮助他们提升编程技能,...
buuctf-re-[2019红帽杯]easyRE
qq_44625297的博客
03-28 1270
拿到先查壳,发现没加壳,放进IDA中。 Shift + F12 查询字符串,通过字符串找到函数。 找到主函数。 signed __int64 sub_4009C6() { __int64 v0; // rax signed __int64 result; // rax unsigned __int64 v2; // rax __int64 v3; // rax const _...
BUUCTF - [2019红帽杯]easyRE
:-)
11-23 1054
BUUCTF - [2019红帽杯]easyRE 个人认为这道题是最近我刷的题目中难度较高的了,也是自己能力问题,不多说了,开始做题 这篇文章配图规律为,图片在上文字在下,希望大家还看到习惯 拖入die分析,elf64位文件,打开Linux跑跑看 输错就退出,毫不讲理… 那咱直接上静态分析吧,这里跟大家说一下哈,我的做题的习惯一般是静态分析无果,才去寻求动态调试,并不是说这道题用动态的方法做不出来,有能力的师傅可以自己去动态,我就继续坚持我的习惯了。 shift+F12看看字符,看到字符表,肯定用到了
BUUCTF-[2019红帽杯]easyRE
weixin_61154173的博客
11-30 597
BUUCTF-2019红帽杯easyRE
buu-[2019红帽杯]easyRE
qaq517384的博客
03-05 566
查壳 64位ida 直接查看字符串能看到you found me和一些奇怪字符串 有些类似base的东西 先找you found me 跟进后CTRL+X交叉引用找到函数,f5查看伪代码 signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8
BUUCTF逆向题[2019红帽杯]easyRE
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
10-23 1066
*(&v15 + i) 有了前面的分析,这条语句就不难理解了,我们输入的字符串保存到 v51 中,然后取出每个字符与 i 值异或再与 v15 到 v50 的字符进行比较(&v15是首元素的地址,+i 表示指向下一个的意思)跟过来后可以发现是我们前面看到的与 base64 有关的东西,所以我们猜测 sub_400E44 是一个 base64 加密处理函数,由代码可知对同一个数据加密了 10 次,加密后的数据是什么,我们接着找。我们去看看,发现是看雪的一篇文章,到这里我们基本可以确定这是一个干扰项。
buu:[2019红帽杯]easyRE wp
weixin_60553183的博客
12-19 258
放入ida后我人懵了,这是我见过函数最多的一次。但是总归是要尝试的,打开strings window ok,这里可以看出两个东西一个是base 64一个是you find me!这意味着flag位置找到了。点进去交叉引用。 第一步是静态分析,然后呢,修改函数名,其实这一步我老是忽略,但其实很重要,可以帮助分析,且有效避免眼瞎。 首先sub_410cc00很容易看出是输出可以看成puts. 然后sub_4406E0(0LL, v15, 37LL),这个函数,第一个参数0,第二个参数,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烨鹰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值