BUUCTF Reverse/[2019红帽杯]childRE

已于 2023-09-11 23:13:24 修改
阅读量298 收藏
点赞数
分类专栏: CTF # BUUCTF Reverse 文章标签: CTF ctfhub
于 2023-09-11 23:12:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ookami6497/article/details/132618287
版权

查看信息

在这里插入图片描述

分析代码

int __cdecl main(int argc, const char **argv, const char **envp)
{
  __int64 v3; // rax
  _QWORD *v4; // rax
  const CHAR *v5; // r11
  __int64 v6; // r10
  int v7; // er9
  const CHAR *v8; // r10
  __int64 v9; // rcx
  __int64 v10; // rax
  unsigned int v12; // ecx
  __int64 v13; // r9
  __int128 input[2]; // [rsp+20h] [rbp-38h] BYREF

  memset(input, 0, sizeof(input));
  sub_7FF714171080("%s", (const char *)input);
  v3 = -1i64;
  do
    ++v3;
  while ( *((_BYTE *)input + v3) );
  if ( v3 != 0x1F )                             // 输入字符串长度为32
  {
    while ( 1 )
      Sleep(0x3E8u);
  }
  v4 = sub_7FF714171280(input);                 // 加密(打乱顺序)
  v5 = name;
  if ( v4 )
  {
    sub_7FF7141715C0((unsigned __int8 *)v4[1]);  //打乱顺序
    sub_7FF7141715C0(*(unsigned __int8 **)(v6 + 16));
    v7 = dword_7FF7141757E0;
    v5[dword_7FF7141757E0] = *v8;
    dword_7FF7141757E0 = v7 + 1;
  }
  UnDecorateSymbolName(v5, outputString, 0x100u, 0);
  v9 = -1i64;
  do
    ++v9;
  while ( outputString[v9] );
  if ( v9 == 0x3E )
  {
    v12 = 0;
    v13 = 0i64;
    do                                                  //比较结果
    {
      if ( a1234567890Qwer[outputString[v13] % 23] != a46200860044218[v13] )
        _exit(v12);
      if ( a1234567890Qwer[outputString[v13] / 23] != a55565653255552[v13] )
        _exit(v12 * v12);
      ++v12;
      ++v13;
    }
    while ( v12 < 62 );
    sub_7FF714171020("flag{MD5(your input)}\n");
    return 0;
  }
  else
  {
    v10 = sub_7FF7141718A0(std::cout);
    std::ostream::operator<<(v10, sub_7FF714171A60);
    return -1;
  }
}

可以先写脚本将outputstring中的值给求出来

a123 = [0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38, 0x39, 0x30, 
  0x2D, 0x3D, 0x21, 0x40, 0x23, 0x24, 0x25, 0x5E, 0x26, 0x2A, 
  0x28, 0x29, 0x5F, 0x2B, 0x71, 0x77, 0x65, 0x72, 0x74, 0x79, 
  0x75, 0x69, 0x6F, 0x70, 0x5B, 0x5D, 0x51, 0x57, 0x45, 0x52, 
  0x54, 0x59, 0x55, 0x49, 0x4F, 0x50, 0x7B, 0x7D, 0x61, 0x73, 
  0x64, 0x66, 0x67, 0x68, 0x6A, 0x6B, 0x6C, 0x3B, 0x27, 0x41, 
  0x53, 0x44, 0x46, 0x47, 0x48, 0x4A, 0x4B, 0x4C, 0x3A, 0x22, 
  0x5A, 0x58, 0x43, 0x56, 0x42, 0x4E, 0x4D, 0x3C, 0x3E, 0x3F, 
  0x7A, 0x78, 0x63, 0x76, 0x62, 0x6E, 0x6D, 0x2C, 0x2E, 0x2F, 
  ]
a462 = "(_@4620!08!6_0*0442!@186%%0@3=66!!974*3234=&0^3&1@=&0908!6_0*&"
a555 = "55565653255552225565565555243466334653663544426565555525555222"


outputString = ""

for i in range(62):
    for j in range(33,128):
        if(a123[j % 23] == ord(a462[i]) and a123[j // 23] == ord(a555[i]) ):
            outputString += chr(j)
            break
        else:
            continue
print(outputString)
#  结果
private:char*__thiscallR0Pxx::My_Aut0_PWN(unsignedchar*)

然后就是这个函数了,可以参考unDecorateSymbolName 函数 以及 c, c++函数名编译符号修饰符说明

 UnDecorateSymbolName(v5, outputString, 0x100u, 0);

思路可以参考这个大佬的博客

C++的类成员函数(其调用方式是thiscall)。函数的名字修饰与非成员的C++函数稍有不同,首先就是在函数名字和參数表之间插入以“@”字 符引导的类名

简单来说就是以 @ 来分割,对应关系如下

?         My_Aut0_PWN  @R0Pxx        @@AAE                    PA            D              PA        E                 @Z
以?开始    函数名       类名    私有(private)成员函数的标识    返回指针  char拼写代号          参数指针  unsigned拼写代号          结束

合起来就是 ?My_Aut0_PWN@R0Pxx@@AAEPADPAE@Z

接下来分析这段代码

  if ( v4 )
  {
    sub_7FF7141715C0((unsigned __int8 *)v4[1]);
    sub_7FF7141715C0(*(unsigned __int8 **)(v6 + 16));
    v7 = dword_7FF7141757E0;
    v5[dword_7FF7141757E0] = *v8;
    dword_7FF7141757E0 = v7 + 1;
  }

感觉像个二叉树遍历,试了下还原二叉树但是咋搞都不对

__int64 __fastcall sub_7FF7141715C0(unsigned __int8 *a1)
{
  int v2; // er8
  __int64 result; // rax

  if ( a1 )
  {
    sub_7FF7141715C0(*((_QWORD *)a1 + 1));
    sub_7FF7141715C0(*((_QWORD *)a1 + 2));
    v2 = dword_7FF7141757E0;
    result = *a1;
    name[dword_7FF7141757E0] = result;
    dword_7FF7141757E0 = v2 + 1;
  }
  return result;
}

参考这个大佬的博客
直接在输入的时候使用 “ABCDEFGHIJKLMNOPQRSTUVWXYZ[]^_” 刚好对应65~95

得出结果为 “PQHRSIDTUJVWKEBXYLZ[MF\]N^_OGCA”,减去 ‘A’ 刚好对应每个数的下标

写出脚本

from hashlib import md5

index = "PQHRSIDTUJVWKEBXYLZ[MF\]N^_OGCA"

s = "?My_Aut0_PWN@R0Pxx@@AAEPADPAE@Z"

flag_1 = [0] * 31

for i in range(31):
    flag_1[ord(index[i]) - ord('A')] = s[i]
flag = ""
for i in flag_1:
    flag = flag + str(i)
print(flag)
print(md5(flag.encode('utf-8')).hexdigest())

得到结果为

Z0@tRAEyuP@xAAA?M_A0_WNPx@@EPDP
63b148e750fed3a33419168ac58083f5

flag{63b148e750fed3a33419168ac58083f5}

ofo300
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
BUUCTF Reverse/[2019红帽杯]Snake
ookami6497的博客
07-31 897
BUUCTF Reverse/[2019红帽杯]Snake 下载解压缩后得到可执行文件,而且有一个unity的应用程序,应该是用unity编写的游戏 打开是一个贪吃蛇游戏 用.NET Reflector打开Assembly-CSharp.dll。(unity在打包后,会将所有的代码打进一个Assembly-CSharp.dll的文件里面,通过这个文件的反编译,就是详细看见里面的代码内容) 再将Assembly-CSharp.dll拖入IDA中查看函数关系 有个start函数,但
[BUUCTF]Reverse——[2019红帽杯]childRE(C/C++函数名修饰)
mcmuyanga的博客
04-10 375
[2019红帽杯]childRE 例行检查,64位程序,c++写的,无壳儿 试运行程序没有得到有用的提示,检索字符串看到有关flag的提示信息,跟进来到关键函数 截取关键部分代码分析 循环遍历去取outputString字符串中的字符,然后分别对23取余和除数,做为下标,分别在str3中找到对应位置,而且还必须与str1和str2对应位置的值相等 先来逆算一下outputstring中的字符串 str3 = '1234567890-=!@#$%^&*()_+qwertyuiop[]QWER
re学习笔记(24)BUUCTF-re-[2019红帽杯]childRE
逆向随笔
01-11 868
[2019红帽杯]childRE 新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:BUUCTF-re-[2019红帽杯]childRE 题目下载:点击下载 参考资料: UnDecorateSymbolName c/c++函数名修饰规则 IDA64位载入 F5伪代码 倒着分析 可知挨个取outputString字符串的字符,然后对23取余和除数分别在str3中找到对应位置,,,必须与st...
[BUUCTF]REVERSE——[2019红帽杯]easyRE
mcmuyanga的博客
11-15 853
[2019红帽杯]easyRE 附件 步骤: ida载入,没有main函数,就先检索了程序里的字符串 发现了base64加密的特征字符串,双击you found me跟进,找到了调用它的函数,函数很长,我们分开看 首先我们输入的数据与它下表异或后等于数组a 数组a里的值,一开始ida分析出来是v17这种的参数,我改了一部分,太多了没有全部修改完,它这边定义了一个长度为36的数组,数值看图 先写个异或脚本,看一下我们输入的字符串是什么 a = [73,111,100,108,62,81,110,98
[BUUCTF]REVERSE——[2019红帽杯]xx
mcmuyanga的博客
03-23 1376
[2019红帽杯]xx 附件 步骤 PE文件,查壳儿,64位程序,无壳儿 64位ida载入
Reverse Current/Battery Protection Circuits
08-27
TI application report. Using a diode or N/P-MOSFET.
reverse.zip_VHDL/FPGA/Verilog_Visual_C++_
08-11
reverse 是反转单词倒序输出句子,翻转句子中单词的顺序
BUUCTF Reverse/[ACTF新生赛2020]easyre
ookami6497的博客
07-19 5739
BUUCTF Reverse/[ACTF新生赛2020]easyre 发现UPX壳 进行脱壳 用IDA32位打开,找到main函数进行分析 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[12]; // [esp+12h] [ebp-2Eh] BYREF _DWORD v5[3]; // [esp+1Eh] [ebp-22h] _BYTE v6[5]; // [esp+2A
BUUCTF Reverse/[ACTF新生赛2020]usualCrypt
ookami6497的博客
07-22 2233
BUUCTF Reverse/[ACTF新生赛2020]usualCrypt 先查看文件信息:没有加壳且为32位程序 用IDA32位打开找到main函数查看伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // esi int result; // eax int v5[3]; // [esp+8h] [ebp-74h] BYREF __int16 v6; // [esp+14
BUUCTF Reverse/[羊城杯 2020]easyre
ookami6497的博客
01-27 1230
IDA打开分析代码,又是一个字符串比较的问题,输入flag,对flag加密三次,flag的长度为38 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // eax int v5; // eax char flag[48]; // [rsp+20h] [rbp-60h] BYREF char flag_encode_3[..
BUUCTF Reverse/[ACTF新生赛2020]rome
ookami6497的博客
07-20 1157
BUUCTF Reverse/[ACTF新生赛2020]rome 先看文件信息,没有加壳,是一个32位程序 打开运行,推测又是字符串比较的题目 拖入IDA32位进行分析,依旧是先找字符串 跟踪跳转,来到func()函数 int func() { int result; // eax int v1[4]; // [esp+14h] [ebp-44h] unsigned __int8 v2; // [esp+24h] [ebp-34h] BYREF unsigned __
BUUCTF Reverse/[FlareOn4]IgniteMe
ookami6497的博客
07-25 920
BUUCTF Reverse/[FlareOn4]IgniteMe 先查看文件信息:没有加壳且为32位程序 运行,发现又是一道字符串比较的题目 用IDA32位打开分析代码 void __noreturn start() { DWORD NumberOfBytesWritten; // [esp+0h] [ebp-4h] BYREF NumberOfBytesWritten = 0; hFile = GetStdHandle(0xFFFFFFF6); dword_40307
BUUCTF Reverse/[网鼎杯 2020 青龙组]jocker
ookami6497的博客
08-11 902
BUUCTF Reverse/[网鼎杯 2020 青龙组]jocker 先看下文件信息,没有加壳,32位程序 运行一下,又是一道字符串比较的题目 用IDA32位打开,分析一下 // positive sp value has been detected, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { char Str[50]; // [esp+12h
BUUCTF Reverse/equation (jsfuck)
ookami6497的博客
02-13 857
下载得到一个html文件,打开可以看到代码,很简洁,只要满足if语句中的条件就行。flag就存放在 l 这个数组里面 在控制台里面输入if语句中的条件,也只能得到false,不能直接得到完整的代码 只输入一部分倒是可以,但是太繁琐了,网站解码也不能完全解码出来 我在GitHub上找了下,看到个unjsfuck的脚本,用python实现的。也可以使用js脚本,来源于大佬的博客,js脚本要简洁很多 进入你安装python的那个文件夹,比如我的就是 f:\Python\Scripts,然..
BUUCTF Reverse/firmware
ookami6497的博客
11-25 839
firmware-mod-kit安装
BUUCTF Reverse/findKey
ookami6497的博客
08-07 686
BUUCTF Reverse/findKey 先看文件信息:32位程序,没有加壳 打开看看,标题为find flag,也没啥有用的信息 IDA32位打开,找到start函数,看到有个main,跟随跳转 看到几个函数,都跟进查看一下 并没有什么有用的信息 ATOM __cdecl sub_4011D0(HINSTANCE hInstance) { WNDCLASSEXA v2; // [esp+4Ch] [ebp-30h] BYREF v2.cbSize = 48;
BUUCTF Reverse/[FlareOn1]Bob Doge
ookami6497的博客
01-10 654
先看信息,64位程序,无壳 然后我用IDA打开看了半天,啥也看不出来 运行一下,发现是个安装程序 安装完成 安装后的程序为Challenge1.exe ,32位,用C#写的 点击DECODE会变成一个狗头 用IDA打开发现不行,无法反汇编,然后搜了下C#逆向,看到篇文章:推荐.Net、C# 逆向反编译四大工具利器 改用NET打开,这里可以看到DECODE!这个按钮,点进去查看这个按钮的事件 发现这里有三个for循环,取用了data_secret这个里面的资..
buuctf reverse reverse3
最新发布
09-27
BUUCTF Reverse Reverse3是一个题目,通过对给定的字符串进行逆运算,解密出一个flag。首先,给出的字符串经过了base64加密和按位加的操作,得到了"e3nifIH9b_C@n@dH"这个结果。要得到flag,我们需要进行逆运算。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ofo300

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值