2023鹏城杯 Re——BabyRe

于 2023-11-05 01:13:30 发布
阅读量275 收藏 1
点赞数 5
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74154467/article/details/134225838
版权

1.查找不到main函数 shift + f12 查找字符串交叉引用到主函数

2.主函数将输入的48字节数据,每次传参12字节数据到sub_7FF7F2C2107D里面进行加密

3.sub_7FF7F2C2107D函数分析 ,因为是v6,v7,v8都是 int 类型数据,每次循环都取出每一个字节,然后将这每一个字节加密(23 * x + 66) & 0xff,再赋值回去,再将这几个字节相加

4.继续分析下面加密虽然看着第一眼很混乱但是,简化一下(就是我的注释)其实发现就是一个TEA加密,只不过和普通的不一样而已原理一样,由于srand的seed种子是固定的0xDEADC0DE所以每次rand生成的值我们都知道其实就可以逆向了

5.解密源码(两个注意点: 1.爆破是时候范围是 0 - 255 而不是 32 -- 127   2.使用随机数解密时应该从最后生成的随机数开始从后往前逆向)

#include <stdio.h>
#include <stdint.h>
#include <stdlib.h>
uint32_t rand_data[192] = { 0 };
void blast(uint32_t *data)
{
    uint32_t v0[3][4] = {0};
    int i = 0;
    int j = 0;
    uint32_t t = 0;

    //取出每个字节方便后面爆破
    for (i = 0; i < 3; i++)
    {
        if (i == 0)
        {
            v0[i][j + 0] = (unsigned char)(data[i]);
            v0[i][j + 1] = (unsigned char)(data[i] >> 8 );
            v0[i][j + 2] = (unsigned char)(data[i] >> 16) ;
            v0[i][j + 3] = (unsigned char)(data[i] >> 24) ;
            
        }
        if (i == 1)
        {
            v0[i][j + 0] = (unsigned char)(data[i]);
            v0[i][j + 1] = (unsigned char)(data[i] >> 8);
            v0[i][j + 2] = (unsigned char)(data[i] >> 16);
            v0[i][j + 3] = (unsigned char)(data[i] >> 24);
        }
        else
        {
            v0[i][j + 0] = (unsigned char)(data[i]);
            v0[i][j + 1] = (unsigned char)(data[i] >> 8);
            v0[i][j + 2] = (unsigned char)(data[i] >> 16);
            v0[i][j + 3] = (unsigned char)(data[i] >> 24);
        }    
    }

    for (i = 0; i < 3; i++)
    {
        for (j = 0; j < 4; j++)
        {
            for (t = 0; t < 256; t++)   //爆破,范围要对
            {
                if (((23 * t + 66) & 0xff) == v0[i][j])
                {
                    //printf("%u ", t);
                    v0[i][j] = t;
                    break;
                }
            }
        }
    }
    //每个字节相加
    j = 0;
    for (i = 0; i < 3; i++)
    {
        data[i] = v0[i][j + 3] << 24 | v0[i][j + 2] << 16 | v0[i][j + 1] << 8 | v0[i][j + 0];
    }
}

void TEA_dercypt(uint32_t* v)
{
    //data[0] 是 v6 data[1] 是 v7 data[2]是v8
    uint32_t data[3] = { 0 };
    data[0] = v[0];
    data[1] = v[1];
    data[2] = v[2];
    int index = 191;        //这个是随机数数组最后元素的下标,因为我们要从最后开始逆向,所以每次使用的随机数应该是从后往前
    int i = 0;
    for (i = 0; i < 32; i++)
    {


        data[2] -= (rand_data[index - 1] + (data[0] >> 7)) + (rand_data[index] ^ ((data[0] >> 15) ^ (data[0] << 10) | 3));
        index -= 2;
        data[1] -= (rand_data[index - 1] + (data[2] >> 7)) + (rand_data[index] ^ ((data[2] >> 15) ^ (data[2] << 10) | 3));
        index -= 2;
        data[0] -= (rand_data[index - 1] + (data[1] >> 7)) + (rand_data[index] ^ ((data[1] >> 15) ^ (data[1] << 10) | 3));
        index -= 2;
        blast(data);

    }

    v[0] = data[0];
    v[1] = data[1];
    v[2] = data[2];
}


int main()
{
    //生成随机数
    srand(0xDEADC0DE);
    int i = 0;
    for (i = 0; i < 32 * 6; i++)
    {
        rand_data[i] = rand();
    }

    
    uint32_t encode_data[12] = {2688240968, 1411920167, 891416941, 1282044696, 2562538353, 762796726, 2613783307, 2840365796, 4045098844, 1496333720, 2063340607, 721577204};
    uint32_t temp[3] = { 0 };
 
    for (i = 0; i < 12; i += 3)
    {
        temp[0] = encode_data[i + 0];
        temp[1] = encode_data[i + 1];
        temp[2] = encode_data[i + 2];
        //解密
        TEA_dercypt(temp);
        printf("%c%c%c%c%c%c%c%c%c%c%c%c", *((char*)&temp[0] + 0), *((char*)&temp[0] + 1), *((char*)&temp[0] + 2), *((char*)&temp[0] + 3), *((char*)&temp[1] + 0), *((char*)&temp[1] + 1), *((char*)&temp[1] + 2), *((char*)&temp[1] + 3), *((char*)&temp[2] + 0), *((char*)&temp[2] + 1), *((char*)&temp[2] + 2), *((char*)&temp[2] + 3));
    }
    
    return 0;
}

flag{1CpOVOIeB1d2FcYUvnN1k5PbfMzMNzUzUgV6mB7hXF}

        

upsw1ng
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网鼎-第三场-逆向-babyre
08-27
2018年8月27日网鼎第三场逆向题-babyre
鹏城-2018-note
最新发布
11-05
附件
[QCTF2018]babyre
qq_37439229的博客
05-07 575
一道一般般的题。。。 打开ida,调试到这里 发现长度为0x20,于是输入“ABCDEFGHIJKLMNOPQRSTUVWXYZ[]^-`” 第一个函数 打乱我的输入顺序,第二个函数从第三个数开始,每四个为一组分别加一些数,第三个函数从第9个开始,每四个一组进行一些位运算 写出脚步 flag=[0xda,0xd8,0x3d,0x4c,0xe3,0x63,0x97,0x3d,0xc1,0x91,...
[SUCTF2018]babyre
m0_46296905的博客
05-05 795
题目:[SUCTF2018]babyre C++写的64位bin文件 查找字符串定位到主函数 __int64 sub_140012460() { char *v0; // rdi __int64 i; // rcx char v3[48]; // [rsp+0h] [rbp-20h] BYREF char v4[32]; // [rsp+30h] [rbp+10h] char v5[184]; // [rsp+50h] [rbp+30h] BYREF char v6[60]; //
[SCTF2019]babyre
m0_46296905的博客
04-16 1506
exeinfope打开发现是64位无壳程序 ida64打开,搜索关键字符串 进入目标字符串的汇编窗口 我们发现无法F5,发现了几处反ida调试,总结有两种类别: 下面是第一种,我们直接把jb和jnb这两行改成nop。 下面是第二种, 所有都改完之后,从main开头到retn选中按p申明成一个新函数,就可以F5了 反汇编代码如下: __int64 __fastcall main(int a1, char **a2, char **a3) { __int64 result; // rax uns
xctf BABYRE
weixin_45701079的博客
10-10 533
xctf BABYRE 第一次做smc类型题目,利用idapython把源代码补全 首先确保idapro里有python插件(一般都有的),打开文件 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i &
xctf攻防世界 REVERSE 高手进阶区 BABYRE
l8947943的博客
04-13 1816
0x01. 进入环境,下载附件 给出的babyRE后缀文件,不懂是什么玩意,按照常规流程进行操作吧 0x02. 问题分析 使用IDA打开,找到main函数,F5反编译,得到代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h]
鹏城”网络安全竞赛开赛 复现真实网络靶场环境.pdf
09-20
鹏城”网络安全竞赛开赛 复现真实网络靶场环境.pdf
鹏城网安卓手机apk客户端
12-31
鹏城网是深圳最大的旅游门户网,深圳旅游,深圳景点门票,深圳一日游团购就上鹏城网,深圳旅游网涵盖深圳新闻,娱乐八卦,深圳旅游攻略,深圳同城活动,深圳公益活动,深圳打折信息,深圳美食推荐,深圳交友,深圳户外活动等....
20201120-深圳市城市公共安全技术研究院-鹏城智能体行业:城市安全发展白皮书,共建全场景智慧,共治全周期安全(2020_年).pdf
04-08
20201120-深圳市城市公共安全技术研究院-鹏城智能体行业:城市安全发展白皮书,共建全场景智慧,共治全周期安全(2020_年).pdf
鹏城智能体城市安全发展白皮书
06-14
鹏城智能体城市安全发展白皮书,精品一级
XCTF BABYRE
lhk124的博客
08-04 342
用exeinfo查出是个elf文件,把后缀去了丢linux系统里 看汇编代码和F5(在judge函数里) 直接写脚本 运行至运算结束部分,直接查看寄存器。 """ 正向思路: 1.判断长度 2.逐位与i进行异或运算 逆向思路: 1.逐位异或回去 """ str_list =[0x66, 0x6D, 0x63, 0x64, 0x7F, 0x6B, 0x37, 0x64, 0x3B, 0x56, 0x60, 0x3B, 0x6E, 0x70] flag = list.
二进制专项之babyRE
qq_41853048的博客
06-06 239
昨天没弄出来,有反调试和异常,一直找不到主要加密区域。
[SUCTF2018]babyre [ACTF新生赛2020]fungame
寻梦&之璐
06-02 820
文章目录[SUCTF2018]babyre惯用思维常人思维GAMEOVER[ACTF新生赛2020]fungame [SUCTF2018]babyre 惯用思维 首先呢,是个bin文件,需要用binwalk把文件提取出来。 binwalk -e [SUCTF2018\]babyre.bin 是一个xml文件,我打开后除了正常结构就是乱码。。。 然后就没法分析了。。。xml不能放在ida里面分析。。 常人思维 查看一下文件类型,居然是64位的exe程序,任何东西都保持怀疑的态度。。笑死人。。。。
攻防世界逆向高手题的BABYRE
沐一 · 林 的博客
08-21 2613
攻防世界逆向高手题之BABYRE 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的BABYRE
[Reverse]BABYRE(idapython解题)
qq_24481913的博客
12-24 287
脚本内容就是每一位数字对0xC也就是12进行异或,我们这里需要使用到的是 PatchByte 函数.(我个人的理解 PatchByte函数就是将后面的值赋值给前面的地址)这一段对judge函数进行了处理,那我们思路就来了我们只需要按照这个方式将judge数组里面的东西处理了之后再按c分析代码就可以出来judge函数了。循环的内容是将上面字符串循环13次恰好等于[rbp+var_13]的长度,也就是进行处理字符串。我们点击下面的run运行之后会发现judge的值已经被我们改变了。
[SCTF2019]babyre 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-15 5971
buuctf-[SCTF2019]babyre 题解
XCTF-BABYRE,XCTF-simple-check-100
weixin_61154173的博客
12-19 240
xctf-BABYRE,simple-check-100,这不是数组吗,为什么是函数?由于前面对judge数组进行异或后,这些数据可以定义为一个新的函数,并且是本题的关键函数。通过对其他wp参考可以通过快捷键“shift+f2”使用IDApython对judge数组进行操作让他的数据在IDA中更改。当然也可以通过远程调试,让judge先自己进行完异或操作然后直接生成函数查看。对操作后的judge数组按c变为汇编代码,在按p变为函数,就可以查看内容了。跟进judge再把他变为函数,查看代码也是可以的。
re学习(26)攻防世界-re-BABYRE(IDA无法分析出函数-代码混淆)
m0_66039322的博客
08-02 349
栈帧是函数在执行时在栈上所创建的一块内存区域,用于存储局部变量,函数参数,返回地址等信息。在函数调用过程中,‘rbp‘用于维护栈帧的指针,以便在函数执行结束后能够恢复调用者的上下文。在函数调用过程中,通常会先将返回地址和其他寄存器的值(如’rbx‘,'rdi','rsi','rdx'等)压入栈中,然后将’rbp‘的值压入栈中。一般应对策略:使用按键U,告诉IDA,这是一个数据(通常是一个字节就够了),然后在下一个位置,点击C告诉IDA又可以开始按照代码来解释。
[鹏城 2022]简单的php
11-04
鹏城是一个编程比赛,2022年的题目是关于简单的PHP编程。PHP是一种常用的服务器端脚本语言,用于开发动态网站和Web应用程序。 在这个比赛中,参赛者需要用PHP编写一个简单的程序。程序的要求可能包括输入一个数字...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值