[BUUCTF]Reverse——[2019红帽杯]childRE(C/C++函数名修饰)

最新推荐文章于 2022-05-09 21:00:00 发布
最新推荐文章于 2022-05-09 21:00:00 发布
阅读量377 收藏
点赞数 1
分类专栏: REVERSE BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/115575264
版权

[2019红帽杯]childRE

  1. 例行检查,64位程序,c++写的,无壳儿
    在这里插入图片描述
  2. 试运行程序没有得到有用的提示,检索字符串看到有关flag的提示信息,跟进来到关键函数
    在这里插入图片描述
  3. 截取关键部分代码分析
    在这里插入图片描述在这里插入图片描述
    循环遍历去取outputString字符串中的字符,然后分别对23取余和除数,做为下标,分别在str3中找到对应位置,而且还必须与str1和str2对应位置的值相等

先来逆算一下outputstring中的字符串

str3 = '1234567890-=!@#$%^&*()_+qwertyuiop[]QWERTYUIOP{}asdfghjkl;\'ASDFGHJKL:"ZXCVBNM<>?zxcvbnm,./'
str2 = '55565653255552225565565555243466334653663544426565555525555222'
str1 = '(_@4620!08!6_0*0442!@186%%0@3=66!!974*3234=&0^3&1@=&0908!6_0*&'
ops = ''
for i in range(len(str1)):
    index1 = str3.index(str2[i])
    index2 = str3.index(str1[i])
    ops += chr(index1 * 23 + index2)

print(ops)
#outputstring=private: char * __thiscall R0Pxx::My_Aut0_PWN(unsigned char *)

但是这个好像不是flag,继续看程序

  1. 然后关于outputString进行函数名修饰,这里给一个大佬的思路,C++代码,运行就能得到修饰结果。这样就拿到了正确的v5.
#include<iostream>
using namespace std;
 
class ROPxx {
public:
	ROPxx(){
		unsigned char a;
		My_Aut0_PWN(&a);
	}
 
private:
	char My_Aut0_PWN(unsigned char*) {
		printf("%s", __FUNCDNAME__);
		return '0';
	}
};
int main() {
	new ROPxx();
	getchar();
	return 0;
}

v5= ?My_Aut0_PWN@R0Pxx@@AAEPADPAE@Z

还可以看看这篇文章针对这道题的分析:https://blog.nowcoder.net/n/eaa035234db243959947fde394ce6964?from=nowcoder_improve

这篇文章写的比较详细:https://www.cnblogs.com/invisible2/p/6204492.html

  1. 然后看上面的那一段程序,看看v5的值一开始哪儿来的
    在这里插入图片描述
    28行v4后面的那个函数我没看大懂,估计是个加密方式或者是其他什么,肯定是有规律可循的东西,不可能硬逆。这边动调,看看上方这一块代码干了什么

  2. sub_140001280()函数我跟进去没看懂,就直接看给v5赋值的函数了
    sub_1400015c0()
    在这里插入图片描述
    我传入的v14=“abcdefghijklmnopqrstuvwxyz12345”,第一次的时候它给name[0]赋值成了p,对应我输入的字符串的下标是15,我调试了多次,发现每次都是这样,而且最后的name里存放的是打乱了顺序的输入的字符串,动调它给name赋值的过程,记录下对应的下标
    最后得到的赋值顺序下标是[15, 16, 7, 17, 18, 8, 3, 19, 20, 9, 21, 22, 10, 4, 1, 23, 24, 11, 25, 26, 12, 5, 27, 28, 13, 29, 30, 14, 6, 2, 0]

  3. 到这里程序逻辑就清楚了,首先输入长度为31的字符串,然后根据赋值下标的顺序打乱数据得到v2。
    逆算一下输入的字符串

ops = '?My_Aut0_PWN@R0Pxx@@AAEPADPAE@Z'
result = [''] * 31
index = [15, 16, 7, 17, 18, 8, 3, 19, 20, 9, 21, 22, 10, 4, 1, 23, 24, 11, 25, 26, 12, 5, 27, 28, 13, 29, 30, 14, 6, 2, 0]

for i in range(len(ops)):
    result[index[i]] += ops[i]
ss = ''.join(i for i in result)
print(ss)
print(hashlib.md5(ss.encode('utf-8')).hexdigest())
#63b148e750fed3a33419168ac58083f5

flag{63b148e750fed3a33419168ac58083f5 }

百度了其他师傅写的wp后知道了那个函数是用来生成二叉树的,具体的看链接:https://blog.csdn.net/qq_41858371/article/details/103111366

Angel~Yan
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF Crypto [NCTF2019]childRSA wp
hsqGOD's blog
03-16 2923
这一道RSA打开加密算法乍一看感觉没有问题,N特别大,除了p和q的生成算法啥都没给,于是我们去查了一下 Crypto.Util.number 中的sieve_base,发现这是前10000个素数的生成列表,我们再去查一下第10000个素数的值为104729 不过就算我们知道了这个值的大小似乎还是得不到结果,从这个p,q的生成算法中,我们可以知道其是由小于104729的素数随机组合生成的,在这里我...
BUUCTF [NCTF2019]childRSA(费马小定理)
晓寒的博客
07-12 3790
[NCTF2019]childRSA(费马小定理) 题目 from random import choice from Crypto.Util.number import isPrime, sieve_base as primes from flag import flag def getPrime(bits): while True: n = 2 while n.bit_length() < bits: n *= choice(primes) if isPrime(n + 1): return n
re学习笔记(24)BUUCTF-re-[2019红帽杯]childRE
逆向随笔
01-11 872
[2019红帽杯]childRE 新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:BUUCTF-re-[2019红帽杯]childRE 题目下载:点击下载 参考资料: UnDecorateSymbolName c/c++函数修饰规则 IDA64位载入 F5伪代码 倒着分析 可知挨个取outputString字符串的字符,然后对23取余和除数分别在str3中找到对应位置,,,必须与st...
BUUCTF [2019红帽杯]childRE
个人博客:http://s0rry.cn
12-26 2008
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
[buuctf.reverse] 064_[2019红帽杯]childRE
weixin_52640415的博客
05-09 211
C++修饰,动调乱序表
buu ctf 密码学 child rsa
guangzhihai的博客
04-27 364
buu ctf 密码学 child rsa 题目: 题目给出了n,c,e 所以可以分解质因子 得出p,q 得出phi 得出 d 解出:flag 代码:
reverse.rar_数值算法/人工智能_C/C++_
08-11
Reverse a string or a character array.Its only function
Lab0804-Reverse.rar_DSP编程_C/C++_
08-12
DSP中进行图像处理方法之图像反转C源程序
c/c++函数库说明(api)html版
03-08
所有的 C / C++ 函数 Constructors (cppstring) Constructors (cppvector) Operators (cppbitset) Operators (cppdeque) Operators (cppstack) Operators (cppstring) Operators (cppvector) abort (stdother...
reverse.zip_VHDL/FPGA/Verilog_Visual_C++_
08-11
reverse 是反转单词倒序输出句子,翻转句子中单词的顺序
matlab如何敲代码-mcwrap:从MATLAB调用C/C++函数而无需担心MEX
05-23
++函数,而不用担心MEX。 这是一个matlab程序,它使用用户提供的最小语法自动生成和编译MEX代码。 (请注意,不再支持直接fortran包装。而是使用C包装fortran,然后应用mcwrap。) 入门 确保已设置兼容MATLAB的C ++...
buuctf-re-[2019红帽杯]easyRE
qq_44625297的博客
03-28 1202
拿到先查壳,发现没加壳,放进IDA中。 Shift + F12 查询字符串,通过字符串找到函数。 找到主函数。 signed __int64 sub_4009C6() { __int64 v0; // rax signed __int64 result; // rax unsigned __int64 v2; // rax __int64 v3; // rax const _...
[BUUCTF]REVERSE——reverse3
mcmuyanga的博客
10-30 3215
reverse3 附件 步骤: 例行查壳儿,32位程序,无壳儿 32位ida载入,shift+f12检索程序里的字符串,得到了有关flag的提示,而且看到了ABCDE……78这种字符串,猜测存在base64位的加密 根据提示字符串,找到程序的关键函数 我们输入的字符串str首先经过了sub_4110BE(base64)的运算 明显的base64加密,3位变4位 之后进行了移位运算,得到了一个字符串e3nifIH9b_C@n@dH 我们将这个字符串逆运算一下,就能得到我们的flag了 impor
[BUUCTF]REVERSE——reverse2
mcmuyanga的博客
10-14 2826
reverse2 附件 例行检查,64位目标 64位ida载入,首先shift+f12检索程序里的字符串 得到了“this is the right flag!” 的提示字符串,还看到了一个可能是flag的字符串,“hacking_for fun}” 双击“this is the right flag!” 的提示字符串,ctrl+x找到调用处 根据27行的if判断可知,只有当我们输入的字符串s2跟flag字符串一一样,就会提示我们flag是正确的,看一下flag字符串 hacking_for_fun
[BUUCTF]Reverse——特殊的 BASE64
mcmuyanga的博客
07-12 2519
特殊的 BASE64 无壳儿,直接用ida打开 ,习惯性的检索程序里的字符串 根据题目这道题应该是道变种的base64,在字符串列表里也看到了base64加密后的字符串,只是这个密码表跟常见的有点不大一样,常见的base64的密码表应该是ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ 而这题的看到的类似密码表的字符串是AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYy
N1BOOK——[第五章 CTF之RE章]wp
mcmuyanga的博客
11-21 2330
[第五章 CTF之RE章]Hello, RE 附件 ida拖入直接查看字符串,发现flag [第五章 CTF之RE章]BabyAlgorithm 附件 步骤: 无壳,64位ida载入,112行的if可知,v10是加密后的数组 上面的一长串(我转换成了16进制) sub_400874函数 sub_40067A()和sub_400753()两个函数都是加密算法 sub_40067A() sub_400646函数的作用是两数交换 我们首先根据这个加密算法,算一下a2加密后的数据 sub_40075
[BUUCTF]REVERSE——刮开有奖
mcmuyanga的博客
11-02 2310
刮开有奖 附件 步骤: 例行检查,无壳,32位程序 32位ida载入,shift+f12检索程序里的字符串,看到了一个base64加密的特征字符串,猜想这题用到了base64加密 从main函数开始看程序 DialogBoxParam函数百度后得知是根据对话框模板资源创建一个模态的对话框,直接看函数主体 if ( a2 == 272 ) return 1; if ( a2 != 273 ) return 0; if ( (_WORD)a3 == 1001 )
[BUUCTF]REVERSE——rsa
mcmuyanga的博客
11-12 2196
rsa 附件 题目是rsa,首先了解一下什么是rsa加密,具体的看这个文章 首先大概介绍下RSA加密解密 RSA加密是对明文的E次方后除以N后求余数的过程 公钥n = p * q,其中p和q是两个大素数 e是随机选择的数,作为公钥 从通式可知,只要知道E和N任何人都可以进行RSA加密了 所以说E、N是RSA加密的密钥,也就是说E和N的组合就是公钥, 我们用(E,N)来表示公钥 密文进行D次方后除以N的余数就是明文,这就是RSA解密过程 知道D和N就能进行解密密文了,所以D和N的组合就是私钥
c/c++reverse
最新发布
06-09
在C/C++中,reverse函数可以用来将一个数组或容器中的元素倒序排列。其定义如下: ```c++ template void reverse (BidirectionalIterator first, BidirectionalIterator last); ``` 其中,`first`和`last`分别...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值