BUUCTF Reverse/[网鼎杯 2020 青龙组]singal

最新推荐文章于 2023-09-12 08:38:38 发布
最新推荐文章于 2023-09-12 08:38:38 发布
阅读量560 收藏
点赞数
分类专栏: # BUUCTF Reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ookami6497/article/details/119269024
版权

BUUCTF Reverse/[网鼎杯 2020 青龙组]singal

在这里插入图片描述

先看文件信息,没有加壳

在这里插入图片描述

运行,又是字符串比较的题目

在这里插入图片描述

IDA32位打开,打开string窗口,跟随跳转

在这里插入图片描述

读入字符串

size_t __cdecl read(char *Str)
{
  size_t result; // eax

  printf("string:");
  scanf("%s", Str);
  result = strlen(Str);
  if ( result != 15 )
  {
    puts("WRONG!\n");
    exit(0);
  }
  return result;
}

主函数

在这里插入图片描述

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4[117]; // [esp+18h] [ebp-1D4h] BYREF

  __main();
  qmemcpy(v4, &unk_403040, 0x1C8u);
  vm_operad(v4, 114);
  puts("good,The answer format is:flag {}");
  return 0;
}

重点就是== vm_operad==里面对字符串进行变换了

int __cdecl vm_operad(int *a1, int a2)
{
  int result; // eax
  char Str[200]; // [esp+13h] [ebp-E5h] BYREF
  char v4; // [esp+DBh] [ebp-1Dh]
  int v5; // [esp+DCh] [ebp-1Ch]
  int v6; // [esp+E0h] [ebp-18h]
  int v7; // [esp+E4h] [ebp-14h]
  int v8; // [esp+E8h] [ebp-10h]
  int v9; // [esp+ECh] [ebp-Ch]

  v9 = 0;
  v8 = 0;
  v7 = 0;
  v6 = 0;
  v5 = 0;
  while ( 1 )
  {
    result = v9;
    if ( v9 >= a2 )
      return result;
    switch ( a1[v9] )
    {
      case 1:
        Str[v6 + 100] = v4;
        ++v9;
        ++v6;
        ++v8;
        break;
      case 2:
        v4 = a1[v9 + 1] + Str[v8];
        v9 += 2;
        break;
      case 3:
        v4 = Str[v8] - LOBYTE(a1[v9 + 1]);
        v9 += 2;
        break;
      case 4:
        v4 = a1[v9 + 1] ^ Str[v8];
        v9 += 2;
        break;
      case 5:
        v4 = a1[v9 + 1] * Str[v8];
        v9 += 2;
        break;
      case 6:
        ++v9;
        break;
      case 7:
        if ( Str[v7 + 100] != a1[v9 + 1] )
        {
          printf("what a shame...");
          exit(0);
        }
        ++v7;
        v9 += 2;
        break;
      case 8:
        Str[v5] = v4;
        ++v9;
        ++v5;
        break;
      case 10:
        read(Str);
        ++v9;
        break;
      case 11:
        v4 = Str[v8] - 1;
        ++v9;
        break;
      case 12:
        v4 = Str[v8] + 1;
        ++v9;
        break;
      default:
        continue;
    }
  }
}

unk_40340里的值,这里0可以去掉

在这里插入图片描述

转到hex窗口,复制出来批量替换一下,得到

0x0A,0x04,0x10,0x08, 0x03,0x05,0x01,0x04, 0x20,0x08,0x05,0x03, 0x01,0x03,0x02,0x08, 
0x0B,0x01,0x0C,0x08, 0x04,0x04,0x01,0x05, 0x03,0x08,0x03,0x21, 0x01,0x0B,0x08,0x0B, 
0x01,0x04,0x09,0x08, 0x03,0x20,0x01,0x02, 0x51,0x08,0x04,0x24, 0x01,0x0C,0x08,0x0B, 
0x01,0x05,0x02,0x08, 0x02,0x25,0x01,0x02, 0x36,0x08,0x04,0x41, 0x01,0x02,0x20,0x08, 
0x05,0x01,0x01,0x05, 0x03,0x08,0x02,0x25, 0x01,0x04,0x09,0x08, 0x03,0x20,0x01,0x02, 
0x41,0x08,0x0C,0x01, 0x07,0x22,0x07,0x3F, 0x07,0x34,0x07,0x32, 0x07,0x72,0x07,0x33, 
0x07,0x18,0x07,0xA7,0xFF,0xFF,0xFF, 0x07,0x31,0x07,0xF1,0xFF,0xFF,0xFF, 
0x07,0x28,0x07,0x84,0xFF,0xFF,0xFF, 0x07,0xC1,0xFF,0xFF,0xFF,0x07,0x1E, 0x07,0x7A

看这个case7,以及这个case1,这个是将每个v4存储到v6+100的下标中,然后与a1[v9+1]进行比较,如果不同则退出,说明这里的a1[v9+1]存储的就是输入字符串变化后的值

 case 7:
        if ( Str[v7 + 100] != a1[v9 + 1] )
        {
          printf("what a shame...");
          exit(0);
        }

 case 1:
        Str[v6 + 100] = v4;
        ++v9;
        ++v6;
        ++v8;
        break;

而要当case1才会将变化后的值存储,说明每个1后面的一位数就是变换后的字符,得到

v[15] = {0x22,0x3f,0x34,0x32,0x72,0x33,0x18,0xa7,0x31,0xf1,0x28,0x84,0xc1,0x1e,0x7a};   //v4的值

然后直接暴力破解flag,改一些代码,写出脚本

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
 int v9 = 0;
  int v8 = 0;
 int v7 = 0;
 int v6 = 0;
 int v5 = 0;
 int v4 = 0;
 int last_v9 = 0,last_v8 = 0,last_v7 = 0,last_v6 = 0 ,last_v5 = 0,last_v4 = 0;

int  f(int a1[],int k,int v[])
{
    v4 = k;
    while(1)
    {
        switch ( a1[v9] )
       {
      case 1:
        if(v[v6] == v4)
        {
            printf("k = %d,v6 = %d\n",k,v6);
            ++v9;
            ++v6;
            ++v8;
            last_v9 = v9;
            last_v8 = v8;
            //last_v7 = v7;
            last_v6 = v6;
            //last_v5 = v5;
            return 1;
        }
        else
        {

            v9 = last_v9;           //找不到则返回上一个v9
            v8 = last_v8;
           // v7 = last_v7;
            v6 = last_v6;
           // v5 = last_v5;
           return 0;
        }

        break;
      case 2:

        v4 = a1[v9 + 1] + v4;
        v9 += 2;

        break;
      case 3:
        v4 = v4 - a1[v9 + 1];
        v9 += 2;

        break;
      case 4:
        v4 = a1[v9 + 1] ^ v4;
        v9 += 2;

        break;
      case 5:
        v4 = a1[v9 + 1] * v4;
        v9 += 2;

        break;
      case 6:
        ++v9;

        break;
      /*case 7:
        if ( Str[v7 + 100] != a1[v9 + 1] )
        {
          printf("what a shame...");
          exit(0);
        }
        ++v7;
        v9 += 2;
        break;
      /*case 8:               //这里把v4的值赋给了Str[v5],上面也有用到,所以上面的Str[v8]直接代换成v4就行
        Str[v5] = v4;
        ++v9;
        ++v5;
        break;*/
      /*case 10:            //可以不用读取
        read(Str);
        ++v9;
        break;*/
      case 11:
        v4 = v4 - 1;
        ++v9;

        break;
      case 12:
        v4 = v4 + 1;
        ++v9;

        break;
      default:
        v9++;
        break;
     }
  }
}
int main()
{
    int v[16] = {0x22,0x3f,0x34,0x32,0x72,0x33,0x18,0xa7,0x31,0xf1,0x28,0x84,0xc1,0x1e,0x7a};   //v4的值

   int a1[] = {0x04,0x10,0x08,0x03,0x05,0x01,0x04, 0x20,0x08,0x05,0x03, 0x01,0x03,0x02,0x08,
              0x0B,0x01,0x0C,0x08, 0x04,0x04,0x01,0x05, 0x03,0x08,0x03,0x21, 0x01,0x0B,0x08,0x0B,
              0x01,0x04,0x09,0x08, 0x03,0x20,0x01,0x02, 0x51,0x08,0x04,0x24, 0x01,0x0C,0x08,0x0B,
              0x01,0x05,0x02,0x08, 0x02,0x25,0x01,0x02, 0x36,0x08,0x04,0x41, 0x01,0x02,0x20,0x08,
              0x05,0x01,0x01,0x05, 0x03,0x08,0x02,0x25, 0x01,0x04,0x09,0x08, 0x03,0x20,0x01,0x02,
              0x41,0x08,0x0C,0x01}; //0x07后面的值都是变换后的flag,可以不用管
   int i,j,k = 0;
   /*int a1[] = {0x04,0x10,0x08, 0x03,0x05,0x01,0x04, 0x20,0x08,0x05,0x03, 0x01,0x03,0x02,0x08,
              0x0B,0x01,0x0C,0x08, 0x04,0x04,0x01,0x05, 0x03,0x08,0x03,0x21, 0x01,0x0B,0x08,0x0B,
              0x01,0x04,0x09,0x08, 0x03,0x20,0x01,0x02, 0x51,0x08,0x04,0x24, 0x01,0x0C,0x08,0x0B,
              0x01,0x05,0x02,0x08, 0x02,0x25,0x01,0x02, 0x36,0x08,0x04,0x41, 0x01,0x02,0x20,0x08,
              0x05,0x01,0x01,0x05, 0x03,0x08,0x02,0x25, 0x01,0x04,0x09,0x08, 0x03,0x20,0x01,0x02,
              0x41,0x08,0x0C,0x01, 0x07,0x22,0x07,0x3F, 0x07,0x34,0x07,0x32, 0x07,0x72,0x07,0x33,
              0x07,0x18,0x07,0xA7,0xFF,0xFF,0xFF, 0x07,0x31,0x07,0xF1,0xFF,0xFF,0xFF, 0x07,0x28,0x07,
              0x84,0xFF,0xFF,0xFF, 0x07,0xC1,0xFF,0xFF,0xFF,0x07,0x1E, 0x07,0x7A,0};*/


   int flag[15] = {0};

   for(i = 0 ; i < 15 ; i++)
   {
       for(k = 33 ; k <= 'z'; k ++)   //暴力破解flag
       {
           if(f(a1,k,v))
           {
               flag[i] = k;
               break;
           }
       }
   }
   printf("flag{");
   for(i = 0 ; i < 15 ; i++)
   {
       printf("%c",flag[i]);
   }
   printf("}\n");
   return 0;
}

运行结果

在这里插入图片描述

得到flag: flag{757515121f3d478}

ofo300
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buu题解-[杯 2020 龙组]singal
m0_73393932的博客
03-18 164
逆向
BUUCTF_[杯 2020 龙组]singal
qq_45149832的博客
09-22 1177
BUUCTF_[杯 2020 龙组]singal
[杯 2020 龙组]singal详细题解--VMP 直接逆向,angr模拟执行,ponce符号化
OrientalGlass的博客
09-12 1500
按F9,运行到第二个断点,查看流程图,对着jz指令右键 SMT Solver>Negate and Inject to reach。可以在每条指令处加上打印语句获取指令执行顺序,这个操作仅能大概看一下执行流,自动解密不能靠这个。不获取这个data数组也没问题,因为数据保存在opcode数组中,只要执行流正确就可以。主函数并不复杂,关键内容在vm_opcode中,先提取出main函数中的opcode。如果是赋值14,使用后自减,中间变量chr先赋值后,xyzj等的值变成13。
BUUCTF-[杯 2020 龙组]singal 1(angr用法)
weixin_61154173的博客
02-10 428
angr用法这道题之前看了看,主要是个switch语句,但是没有看太懂,然后我发现有用angr解这道题的,那时候还没接触,也没安装angr库,基本操作也不会,浅学了一下,还是不太精通,但是这道题是最基本的angr解法,所以用angr做一做。发现vm_operad是主要函数,而puts("good,The answer format is:flag {}");是你想要得到的,看它的反汇编记住地址,写脚本要用到。即初始参数用变量代替,模拟程序执行过程,维护执行到各个位置时的状态(用各个变量之间的代数关系表示)。
2020龙组 逆向signal
lhk124的博客
11-25 621
signin 虚拟机题目 1.用angr解决 In [1]: import angr In [2]: p = angr.Project("./signal.exe") In [3]: init_state = p.factory.entry_state()
2020杯.zip
07-20
杯】是一项旨在提升络安全能力的比赛,它涵盖了多种络安全技术,如逆向工程(Reverse Engineering)、pwn(破解)以及密码学等。 【逆向工程】是一种技术,它涉及分析软件或硬件的功能,以了解其工作原理...
Reverse 2020杯 bang Writeup(安卓简单的加壳)
01-03
记录下踩过的坑提醒下自己 我用到的工具: jadx DexExtractor 做好的镜像 adt-bundle(eclipse) apktool baksmali.jar 和 smali.jar 1. 观察特征 先拿 jadx 看了下,没有activity类,这里可以注意到 ...
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
杯-第三场-逆向-babyre
08-27
2018年8月27日杯第三场逆向题-babyre
re -16 buuctf [杯 2020 龙组]singal(angr使用)
weixin_45847059的博客
11-23 512
[杯 2020 龙组]singal 前话:先记录下angr的使用。参考了大佬的文章:https://blog.csdn.net/Breeze_CAT/article/details/106139253 在cmd中使用,不能在pycharm中使用。 >>> import angr >>> p = angr.Project(r'C:\Users\ASUS\Desktop\signal.exe') #地址前必须加r >>> state = p.facto
杯2020-reverse---signal
YANG12345_6的博客
05-17 1022
reverse signal 第一次接触虚拟机逆向,还不太清楚虚拟机逆向的原理等等,如有错误,请指正。 拖进ida查看伪代码: main函数: qmemcpy 给v4赋值,赋值内容是unk_403040函数,再看这个函数的内容: 是这一大段数据 再看vm_operad函数:这个函数里用到了403040函数,为了方便,将这个函数称作a1函数。 vm_operad函数里都是witch-case函数 因为v10,v9.。。太难辨认了,把它们分别改成了i、j、k、m、n 看case语句: case1: 赋值,
buuctf————[杯 2020 龙组]singal
yhfgs的博客
10-18 227
1.查壳。 无壳,32位。 2.IDA反编译 可以看到主函数中关键函数为:vm_operad(), 逻辑就是:用switch分层加密,加密的结果为a1中7值之后的东西。(没太搞懂) 3.解密(我学的太菜了,脚本没写出来,手撸的。) 4.get flag flag{757515121f3d478} ...
2020杯 逆向 signal
BengDouLove的博客
05-11 1425
先分析一下程序 main函数进来是这样,__main()好像没什么用,之后把 0x403040位置的东西复制到v4变量,之后vm_operad函数又将v4传了进去。 先看一下 0x403040 位置是什么 是很多四字节为单位的数,之后会用到 进去 vm_operad 函数之后可以看见,之前传进来的 v4 现在是 a1 ,也就是 0x403040那个位置的数用a1来表示 粗略的看一下,有 what a shame 这样的字符串,所以应该是要比较字符 再仔细分析程序,switch 这里用的参数是
[杯 2020 龙组]singal
sky123博客
01-07 2264
主程序现将byte_403040中的内容复制到v4,然后再调用vm_operad函数检验输入。 int __cdecl main(int argc, const char **argv, const char **envp) { int v4[117]; // [esp+18h] [ebp-1D4h] BYREF __main(); qmemcpy(v4, byte_403040, 456u); vm_operad(v4, 114); puts("good,The answer for
buuctf ciscn_2019_final_5 calloc整理机制修改tcache的fd puts \0泄漏 signal信号
carol2358的博客
08-14 574
ciscn_2019_final_5 有趣的题目 涉及位级操作 漏洞的关键是index为16时,二进制为1 0000 edit 他们都是认heap_ptr里最后一个16进制来判断他是index几的,index1最后一位就是1,2就是2,8就是8,4就是4,但问题是他存储是按照你申请的顺序存的,和这个index没啥关系,漏洞就来了 这题很明显是要你改got表 没有show,就把free改成puts来泄漏 exp: from pwn import * from LibcSearcher import ...
2020第二届龙组Reverse signal
YuSec
05-10 1288
signal Start 无壳,直接拖进IDA,F5 qmemcpy()内存复制,将unk_403040的内容复制到v4的地址下 跟进unk_403040看到一堆数据,整理后得到 [0Ah, 4,10h, 8, 3, 5, 1, 4,20h, 8, 5, 3, 1, 3, 2, 8,0Bh, 1,0Ch, 8, 4, 4, 1, 5, 3, 8, 3,21h , 1,0Bh, 8,0Bh, 1, 4, 9, 8, 3,20h, 1, 2,5
buuctf刷题记录21 [杯 2020 龙组]jocker
ytj00的博客
08-01 887
今天挑战一下,结果最后还是看了别人的wp才写出来的 无壳,ida查看发现不能f5,原因堆栈不平衡 进行栈指针修改 修改出错的地方的栈指针偏移,快捷键alt+k,值改为0 然后就能f5了, 逻辑也不难,首先输入长度是24位,然后有三个关键函数 wrong(),omg(),encrypt() 先看wrong和omg,wrong函数,对输入的前24个进行加密 omg函数比较wrong加密结果和unk_4030C0地址的值是否相同 把unk_4030C0地址的值考出来,写个脚本 s=[102, 1
IDA 逆向代码 --- LOBYTE、HIBYTE、BYTE0~BYTE3 的使用
qq_35576225的博客
03-29 3256
场景:IDA 反编译的代码,对于取当前数的某位时,使用的是LOBYTE、HIBYTE、BYTE1~BYTE8,但是实际上,IDA反汇编的代码里面BYTE0和 BYTE8从来没有用过。需要知道其具体的意义。 分析,这些类型数据都存储在defs.h 中,我们逆向代码的时候可以直接将此文件加到工程中,直接创建一个win32工程,贴下列代码: //测试 LOBYTE、HIBYTE typedef unsigned char uint8; #define _BYTE uint8 #define _WO.
buuctf reverse reverse3
最新发布
09-27
BUUCTF Reverse Reverse3是一个题目,通过对给定的字符串进行逆运算,解密出一个flag。首先,给出的字符串经过了base64加密和按位加的操作,得到了"e3nifIH9b_C@n@dH"这个结果。要得到flag,我们需要进行逆运算。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ofo300

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值