GDOUCTF2023 Reverse题解

已于 2023-04-20 11:31:41 修改
阅读量5.8k 收藏 3
点赞数
文章标签: Reverse Tea加密算法 keypatch GDOUCTF2023 CTF
于 2023-04-17 19:28:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/orientalglass/article/details/130185290
版权

文章目录

题目附件

链接:https://pan.baidu.com/s/1W0GisS4R-rHYHK4Bu167_g?pwd=nw4c

Check_Your_Luck

可以看到五条方程,根据方程可以求解出对应的值

请添加图片描述

Z3库解不出来,所以用了在线解方程云算网(原名云算子)-在线求解线性方程组 (yunsuan.info)

flag: NSSCTF{4544_123_677_1754_777}

TEA

基本逻辑:

  1. 调用show函数,提示输入输出
  2. 以十六进制读取输入,可以得知共10*4=40字符
  3. 设置key数组
  4. 将input复制到arr数组中
  5. tea加密
  6. judge判断是否正确
  7. 输出flag
    请添加图片描述

mainfun代码:

__int64 mainfun()
{
  char *v0; // rdi
  __int64 i; // rcx
  char v3[32]; // [rsp+0h] [rbp-20h] BYREF
  char v4; // [rsp+20h] [rbp+0h] BYREF
  int v5; // [rsp+24h] [rbp+4h]
  int result; // [rsp+44h] [rbp+24h]
  unsigned int key[12]; // [rsp+68h] [rbp+48h] BYREF
  int input[16]; // [rsp+98h] [rbp+78h] BYREF
  int arr[31]; // [rsp+D8h] [rbp+B8h] BYREF
  int j; // [rsp+154h] [rbp+134h]
  int k; // [rsp+174h] [rbp+154h]
  int m; // [rsp+194h] [rbp+174h]

  v0 = &v4;
  for ( i = 102i64; i; --i )//没作用
  {
    *v0 = 0xCCCCCCCC;
    v0 += 4;
  }
  sub_7FF7B3C8137F(&unk_7FF7B3C93009);	//没作用
  v5 = 32;//tea循环次数
  result = 0;
  key[0] = 1234;
  key[1] = 5678;
  key[2] = 9012;
  key[3] = 3456;	//设置key,但是这里设置的值是混淆的,下方会重新设置
  memset(input, 0, 40ui64);
  arr[15] = 0;
  arr[23] = 0;
  show();			//提示flag输入是以0x12345678这样的形式
  for ( j = 0; j < 10; ++j )
    scanf("%x", &input[j]);	//以16进制读取,共10个,所以有10*4=40字符
  setKey(key);		//设置key
  copy(input, arr);		//将input的内容复制到arr
  encode(input, key);	//对input加密
  result = judge(input);	//判断加密后的数组是否正确
  if ( result )	
  {
    printf("you are right\n");
    for ( k = 0; k < 10; ++k )
    {
      for ( m = 3; m >= 0; --m )
        printf("%c", (arr[k] >> (8 * m)));	//如果正确则输出input,即flag
    }
  }
  else
  {
    printf("fault!\nYou can go online and learn the tea algorithm!");
  }
  sub_7FF7B3C81311(v3, &unk_7FF7B3C8AE90);
  return 0i64;
}

show函数

请添加图片描述

setKey函数

请添加图片描述

encode函数(tea算法):

__int64 __fastcall tea(unsigned int *arr, unsigned int *key)
{
  __int64 result; // rax
  int v3; // [rsp+44h] [rbp+24h]
  int i; // [rsp+64h] [rbp+44h]
  unsigned int v5; // [rsp+84h] [rbp+64h]
  unsigned int sum; // [rsp+C4h] [rbp+A4h]

  result = sub_7FF7B3C8137F(&unk_7FF7B3C93009);//没用
  for ( i = 0; i <= 8; ++i )
  {
    v5 = 0;
    sum = 0xF462900 * i;//delta与标准的tea并不同
    v3 = i + 1;
    do
    {
      ++v5;
      arr[i] += sum ^ (arr[v3] + ((arr[v3] >> 5) ^ (16 * arr[v3]))) ^ (sum + key[sum & 3]);
      arr[v3] += (sum + key[(sum >> 11) & 3]) ^ (arr[i] + ((arr[i] >> 5) ^ (16 * arr[i])));
      sum += 0xF462900;//关键算法和tea区别不大
    }
    while ( v5 <= 32 );                         // 注意这里是从0到32,共33次循环
    result = (i + 1);
  }
  return result;
}

judge函数

请添加图片描述

解题脚本

#include <stdio.h>
int main()
{
int v3; // [rsp+44h] [rbp+24h]
int i; // [rsp+64h] [rbp+44h]
unsigned int v5; // [rsp+84h] [rbp+64h]
int sum; // [rsp+C4h] [rbp+A4h]
int key[4] = {2233,4455,6677,8899 };
unsigned int arr[10];
arr[0] = 0x1A800BDA;
arr[1] = 0xF7A6219B;
arr[2] = 0x491811D8;
arr[3] = 0xF2013328;
arr[4] = 0x156C365B;
arr[5] = 0x3C6EAAD8;
arr[6] = 0x84D4BF28;
arr[7] = 0xF11A7EE7;
arr[8] = 0x3313B252;
arr[9] = 0xDD9FE279;
for (i = 8; i >=0; i--)
{
v5 = 0;
sum = 0xF462900 * i;
for (int j = 0; j < 33; j++)
sum += 0xF462900;
v3 = i + 1;
do
{
sum -= 0xF462900;
arr[v3] -= (sum + key[(sum >> 11) & 3]) ^ (arr[i] + ((arr[i] >> 5) ^ (16 * arr[i])));
arr[i] -= sum ^ (arr[v3] + ((arr[v3] >> 5) ^ (16 * arr[v3]))) ^ (sum + key[sum & 3]);
++v5;
} while (v5 <= 32);//33次循环
}
for (int k = 0; k < 10; ++k)
{
    for (int m = 3; m >= 0; --m)
        printf("%c", (arr[k] >> (8 * m)));
}
//HZCTF{hzCtf_94_re666fingcry5641qq}
return 0;

doublegame

进来找不到关键函数,查看strings看到类似迷宫的东西,根据字符串可以定位到关键函数

请添加图片描述
然后一路用交叉引用往上找就可以找到第一和第二个游戏的函数
在这里插入图片描述

snakefun

第一个游戏贪吃蛇
通过patch可以修改得分判断条件,从而进入game2
请添加图片描述
patch在edit>keypatch(或patch progeam)>patcher
在这里插入图片描述
然后会弹出窗口
在这里插入图片描述
修改之后在patch program>apply patches to即可保存修改后的程序(记得改一下程序名)
在这里插入图片描述

__int64 __fastcall snakefun(int a1, int a2)
{
  char *v2; // rdi
  __int64 i; // rcx
  char v5[32]; // [rsp+0h] [rbp-20h] BYREF
  char v6; // [rsp+20h] [rbp+0h] BYREF
  char chr[212]; // [rsp+24h] [rbp+4h] BYREF

  v2 = &v6;
  for ( i = 10i64; i; --i )
  {
    *(_DWORD *)v2 = -858993460;
    v2 += 4;
  }
  sub_7FF6BD89141A((__int64)&unk_7FF6BD8A90A6);
  if ( dword_7FF6BD8A1E60[42 * a2 + 42 * dword_7FF6BD8A0178 + a1 + dword_7FF6BD8A0174] == 2 )
  {
    ++dword_7FF6BD8A0170;
    score += 10;
    sub_7FF6BD8911A9(7i64);
    sub_7FF6BD89130C(0i64, 22i64);
    printf(aD_2, (unsigned int)score);          // 当前得分
    setFood();                                  // 生成食物
  }
  else if ( dword_7FF6BD8A1E60[42 * a2 + 42 * dword_7FF6BD8A0178 + a1 + dword_7FF6BD8A0174] == 1
         || dword_7FF6BD8A1E60[42 * a2 + 42 * dword_7FF6BD8A0178 + a1 + dword_7FF6BD8A0174] == 4 )
  {
    Sleep(0x3E8u);
    system("cls");
    sub_7FF6BD8911A9(7i64);
    sub_7FF6BD89130C(28i64, 8i64);
    sub_7FF6BD8911DB();                         // 分数还差一点
    if ( score > 16 )                           // score13371337
      sub_7FF6BD89136B();                       // jump to game 2
    sub_7FF6BD8910E6();                         // 保存最高记录失败
    sub_7FF6BD89130C(28i64, 11i64);
    printf("GAME OVER");
    while ( 1 )
    {
      sub_7FF6BD89130C(28i64, 14i64);
      printf(asc_7FF6BD89D320);                 // 是否再来一局
      scanf_0("%c", chr);
      if ( chr[0] == 'y' || chr[0] == 'Y' )
        break;
      if ( chr[0] == 'n' || chr[0] == 'N' )
      {
        sub_7FF6BD89130C(28i64, 16i64);
        exit(0);
      }
      sub_7FF6BD89130C(28i64, 16i64);
      printf(asc_7FF6BD89D3A0);                 // 选择错误
    }
    system("cls");
    someidea();                                 // 提示
  }
  return sub_7FF6BD8913B1(v5, &unk_7FF6BD89CFC0);
}

迷宫

第二个游戏走迷宫救猫

这是迷宫图:

请添加图片描述

注意这里多了一堵墙

请添加图片描述

由于patchd的分数要大于16,贪吃蛇游戏吃两个食物撞墙之后即可进入游戏2
游戏2就是走迷宫了,一次输入一个操作符然后回车即可
在这里插入图片描述

下面还有一个大循环

关键循环

v24 = 0;
  key = 0;
  hang = 15;
  lie = 0;
  shang = 7;                                    // 8行
  slie = 20;                                    // 21列
  for ( j = 0; j <= 20; ++j )
    puts(&Buffer[22 * j]);                      // 打印迷宫
  printf("Please to save the cat!\n");
  while ( hang != shang || lie != slie )        // 好像不是走到@的位置
  {
    chr = getchar();
    switch ( chr )
    {
      case 's':
        if ( Buffer[22 * hang + 22 + lie] != '0' )
        {
          Buffer[22 * hang++ + lie] = ' ';
          Buffer[22 * hang + lie] = '@';
        }
        break;
      case 'w':
        if ( Buffer[22 * hang - 22 + lie] != '0' )
        {
          Buffer[22 * hang-- + lie] = ' ';
          Buffer[22 * hang + lie] = '@';
        }
        break;
      case 'a':
        if ( Buffer[22 * hang - 1 + lie] != '0' )
        {
          if ( Buffer[22 * hang - 1 + lie] == '*' )// 先到*这里
            v7[20] = '0';	//设置墙
          Buffer[22 * hang + lie--] = ' ';
          Buffer[22 * hang + lie] = '@';
        }
        break;
      default:
        if ( chr == 'd' && Buffer[22 * hang + 1 + lie] != '0' )
        {
          Buffer[22 * hang + lie++] = ' ';
          Buffer[22 * hang + lie] = '@';
        }
        break;
    }
    system("cls");
    for ( j = 0; j <= 20; ++j )
      puts(&Buffer[22 * j]);                    // 打印迷宫
    puts(&v19[100 * v24]);                      // 请救猫
    if ( v7[20] == '0' )
    {
      key = judge(0i64);                        // 判断key
      if ( key == 13376013 )
      {
        v24 = 1;
        v7[20] = ' ';                           // 打通终点前的墙
        Buffer[22 * hang + lie] = ' ';
        hang = 15;
        lie = 0;
        v11[0] = '@';                           // 回到起点
        ++v24;
      }
      else
      {
        printf("error");
      }
    }
  }

循环功能:

  1. shang,slie是终点;hang,lie是当前位置

  2. 从@的位置出发,经路径dddssssddwwwwddssddwwwwwwddddssa救到小猫后回到起点;同时小猫所在位置由’*‘变为’ ',且第8行第20列的空格变为0

  3. 然后要求输入key,key可以根据judge函数反推出来是13371337

  4. 再从起点出发,经路径dddssssddwwwwddssddwwwwwwddddssaassddddwwwwddwwwwddd走出迷宫

  5. 所以path:dddssssddwwwwddssddwwwwwwddddssaassddddwwwwddwwwwddd key:13371337

  6. 根据提示可以求出flag:NSSCTF{811173b05afff098b4e0757962127eac13371337}

提示函数:

请添加图片描述

L!S!

1.安装BinDiff

这里需要使用到BinDiff,下载地址zynamics.com
在这里插入图片描述
点击msi文件即可下载,如果没反应可以右键复制链接用迅雷等下载工具下载
在这里插入图片描述
安装时注意路径即可,默认在C盘,可以自己修改,他会自动绑定IDA的路径
在这里插入图片描述
这里就不演示BinDiff分析数据库文件了,相对比较麻烦,直接用ida

2.IDA分析

先用ida分别打开ls-original和ls-patched,生成对应数据库文件
在这里插入图片描述
然后打开ls-patched.i64文件,选择Edit>Plugins>BinDiff,
在这里插入图片描述

他会弹出弹窗,选择Diff Database
在这里插入图片描述
再选中ls-original.i64文件
在这里插入图片描述
注意: 文件不能保存在中文路径下,必须是英文路径,否则可能会报错找不到数据库文件
Error while diffing: Export of the secondary database failed: File not found: C:\Users\admin\Desktop\网安比赛\GDOUCTF2023\L!s!\ls-original.i64

在这里插入图片描述

ida分析之后会出现几个新的窗口,最关键的是这个Matched Functions窗口,绿色代表匹配一致,往下翻在最后可以发现extract_dirs_from_files函数的颜色是黄绿色,双击,按f5反汇编(从文件中提取目录)
在这里插入图片描述

反汇编窗口往下翻可以看到关键函数,这个循环的基本功能应该是对lmao数组的数据进行异或,但并不容易的值用于异或的中间值是什么
在这里插入图片描述

参考了大佬的wp可以使用cyberchef工具爆破出来
先拖入From Hex,再拖入XOR Brute Force,运行后在输出窗口找到key=4c即可发现flag

在这里插入图片描述

flag:HZCTF{b1ndiff_1s_a_us3ful_t00l}

参考文章

  1. 2023 | GDOUCTF
  2. 反混淆神器!CyberChef助你秒解混淆脚本
  3. Win10 + Bindiff 6.0 + IDA 7.5 安装教程
  4. BinDiff安装使用教程
  5. [GDOUCTF 2023]L!s! Y0ung的WriteUp
OrientalGlass
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
CTF特训营》学习总结——Reverse:逆向分析概述
PICACHU+++的博客
05-29 7011
一、逆向分析的主要方法 逆向分析主要是将二进制机器码进行反汇编得到汇编代码,在汇编代码的基础上,进行功能分析。经过反编译生成的汇编代码中缺失了源代码中的符号、数据结构等信息 ............
[GDOUCTF 2023]Shellcode 全网最详细write up
qq_41937545的博客
11-02 562
64 位 较短的 shellcode -> 23 字节 \x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f \x05】​。32 位 短字节 shellcode -> 21 字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80。并且没有后门没有system。
[GDOUCTF 2023]doublegame
qq_73682634的博客
04-30 332
所以v27原始值为13371337,根据提示flag已经解出。shift+f12,明显看见The flag is HZCTF{md5(path)+score},所以我们接下来的目标就是找到path和score。然后由上图清晰可见迷宫,所以我们应该先找到迷宫函数,我的做法是双击please to save the cat,跟进找到迷宫函数。所以可知v27(图上注释部分v7即v27)即为key,下面我们写脚本,把v27的原来值解出来。红框即重要函数,下面我们双击跟进函数查看。首先,下载解压拖进exe里。
NSS题目练习6
最新发布
cyy001128的博客
06-04 442
打开看到一串源代码,大概意思是关闭报错,第一层是post传参传入ctf和gdou,md5强比较绕过,满足进入下一层判断,回显“菜菜”这里因为没找到flag就查找了一下wp,发现在这个文件里,base64转图片,缺少头部data:image/jpg;可以看到绕过了第一层,第二层是一个cookie,值要等于“j0k3r”,满足进入下一层判断回显“行不行啊细狗”弹窗提示用pst传参传入了cmd,并且包含eval函数,应该是一句话木马。用ls命令查看根目录,在下面找到flag文件。再用cat查看,得到flag。
CTF-REVERSE练习之逆向初探
bdfcfff77fa的博客
07-24 1556
逆向是指通过反汇编和调试等一些手段及工具,分析计算机程序的二进制可执行代码,从而获得程序的算法细节和实现原理的技术。不仅如此,逆向技能在信息安全面向的具体工作,如恶意代码分析、软件漏洞挖掘、移动安全以及对软件的破解方面发挥着巨大的作用。前面介绍过CTF的web真题,那今天我们从CTF中选择一个REVERSE题型来讲解。
GDOUCTF2023-部分re复现
m0_73393932的博客
04-25 698
逆向比赛
NSSCTF逆向刷题记录
fivesheeptree的博客
07-18 2103
得到第一位字符"N"以及flag的长度为35arr数组的长度只有34,故将i的范围改为34s = ['N']
C++ reverse介绍及使用
10-09
在C++编程语言中,`std::reverse`函数是一个非常实用的工具,它允许程序员轻松地反转各种序列,包括字符串和数组。这个函数是C++标准库中的成员,位于`<algorithm>`头文件中。本篇文章将深入探讨`std::reverse`函数...
Scroll Reverse
12-09
标题“Scroll Reverse”所指的是一个针对MacOS操作系统的应用程序,它的主要功能是解决用户在使用鼠标滚轮或触控板滚动时感到不便的问题。在MacOS系统中,默认情况下,滚轮向上滚动会向下移动页面,这与许多Windows...
SICTF 2023 真题
09-10
8. **R4-chbase**:"R"可能代表Reverse Engineering(逆向工程),"chbase"可能是一个基础的逆向题目,需要参赛者解析代码或程序。 9. **M7-fast_morse**:结合"M"的含义,"fast_morse"可能是一个快速的摩尔斯电码...
什么是reverse常见的reverse有哪些
05-19
reverse
python numpy 反转 reverse示例
09-18
今天小编就为大家分享一篇python numpy 反转 reverse示例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
CTF之逆向Reverse入门推荐学习知识点总结面向新手小白
Sciurdae的博客
10-12 3020
ollydbg,简称OD已经蛮久没有更新了,而且OD主要支持32位的PE文件调试和分析;所以这里我比较推荐使用Xdbg,Xdbg经常更新,还有自动中文汉化。x64dbg顺便讲下简单使用:随便拖入一个可执行文件,这可以看到四个窗口;左上角的反汇编窗口,这里显示是我们要分析的程序的反汇编代码:截取一行讲解00007FFA5A3C076A | 55 | push rbp | 看这里!!!
CTF特训营》——Reverse:逆向分析
PICACHU+++的博客
07-15 2244
一、常规逆向分析流程 1.API断点 API的定义:是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。 在获取文本输入时。对于窗口类程序获取文本方式主要通过GetWindowText和 ........................
GDOUCTF2023-Reverse WP
Sciurdae的博客
11-28 1326
可以解出俩条路径,用最短的,dddssssddwwwwddssddwwwwwwddddssaassddddwwwwddwwwwddd。加密的逻辑大概就是,明文的第一位和第二位进行XTEA加密,之后加密后的第二位继续和第三位XTEA,依次下去,逆向一下就好。用动态调试,输入uuuuuuuuuuuuuuuuuuu连续创建迷宫,把迷宫copy出来;用IDA打开另一个文件,找到这个函数,比对俩个函数,一个XTEA的加密,找到密文,提取出来。这里的v7是错误的,后面进行了修改。一个迷宫题,不过是三维迷宫。
CTF-Reverse学习-为缺少指导的同学而生
yuwoxinanA3的博客
12-22 2096
Revserse逆向入门博客
[GDOUCTF 2023]
rev1ve的博客
05-17 954
再找到hahaha()所在的类为classroom,要使返回为真,三个变量赋值得为对应的值,leader指向name和rank的值,也就说明$leader=new teacher(),发现name和rank是在teacher类那里,file_get_contents()可以用php://input和data://伪协议。要执行IPO(),看到__wakeup()下,要先执行hahaha()题目是贪吃蛇游戏,F12发现被禁了,右键检查查看js代码。打开题目,f12查看网页源码发现提示/src泄露。
攻防世界 reverse 逆向简单题练习区 答题(1-12题解
小哈里的博客
01-11 9366
序 传送门:https://adworld.xctf.org.cn/task/ 1、game 题目描述:菜鸡最近迷上了玩游戏,但它总是赢不了,你可以帮他获胜吗 题目思路: 下载获得一个exe游戏文件 翻译: 玩游戏,n是灯的序列号,m是灯的状态,若是第n个灯的m是1,它就亮,若是不是,它就灭。 起初全部的灯都关了,如今你能够输入n来改变它的状态, 可是你要注意一件事,若是你改变第N个灯的状态,(N-1)th和(N+1)th的状态也会改变, 当全部灯都亮起时,将出现flag。 如今,输入n,n的值域
CTF-攻防世界 Reverse新手练习解析
热门推荐
F1ash000
08-20 1万+
博主也是CTF小白,入门ing。。。方向是RE + PWN。文章可能多有纰漏,但会持续更新更正。希望大家多多指出不足之处。 很多时候我也挺奇怪为啥我下载的附件都是一串数字,网上的视频或者博文里面都是语义化的名称······也许这就是非酋吧······[/捂脸] 1. re1 下载文件:1f7dd33440bb499e9f844f4475f3addc.exe 解析: 这道题很简单: 打开.exe随便...
buuctf reverse reverse3
09-27
BUUCTF Reverse Reverse3是一个题目,通过对给定的字符串进行逆运算,解密出一个flag。首先,给出的字符串经过了base64加密和按位加的操作,得到了"e3nifIH9b_C@n@dH"这个结果。要得到flag,我们需要进行逆运算。...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

OrientalGlass

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值