RE-国赛2018 task_reverse_01

最新推荐文章于 2023-07-27 21:09:57 发布
最新推荐文章于 2023-07-27 21:09:57 发布
阅读量585 收藏
点赞数
分类专栏: 逆向 文章标签: RE writeup 国赛2018
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q83182034/article/details/89363792
版权

Alikas-0x09
题目:国赛2018 task_reverse_01

备战国赛,做下来发现自己就是个蒟蒻…。

main()

v5 = "CISCN{";
v6 = 6LL;
v7 = &buf;
do
{
  if ( !v6 )
    break;
  v3 = *v5 < (unsigned __int8)*v7;
  v4 = *v5++ == *v7++;
  --v6;
}
if ( (!v3 && !v4) != v3 )
    return 0xFFFFFFFFLL;

检查前六个字符是否为CISCN{

  v11 = strtok(&s, "_");

输入的字符用“_”隔开,这是v11 = 第一部分,设为flag1

v12 = (const char *)dest;
memcpy(dest, v11, strlen(v11));

将flag1传给dest,v12指向dest

v13 = 1;
do
  {
    ++v13;
    v14 = strtok(0LL, "_");
    if ( !v14 )
      return 0xFFFFFFFFLL;
    memcpy((void *)v8[2], v14, strlen(v14));
    ++v8;
  }
  while ( v13 != 3 );

猜测flag由三部分组成,为CISCN{flag1_flag2_flag3}

v12指向存储flag1的dest;

而在前文有v8 = &v16;所以v8[2]即为v18,故v18为flag2

v19为flag3

if ( (unsigned int)check1(v12) )
    return 0xFFFFFFFFLL;
if ( (unsigned int)check2(v18) )
    return 0xFFFFFFFFLL;
if ( (unsigned int)check3(v19) )
    return 0xFFFFFFFFLL;
puts("Congratulations!");

接下来是三个判断语句,分别验证flag1、flag2、flag3

[为了方便,我改了一下函数名]

check1(flag1)

sub_400876(&v10);
sub_4008A0(&v10);
sub_40108B((unsigned int *)&v10, (char *)a1, strlen(a1));
sub_401170(&v10, &v11);
sub_401285((__int64)v13, &v11, 16);
qword_603640 = v11;
qword_603648 = v12;

这一段是我最难逆向分析的一段,这里函数调用函数,调用了很多个函数。分析了好久分析不出来。

然后…就去看大佬的writeup了0.0

大佬猜测为md5加密运算,理由如下:

大佬1:a1传过来的为字符串,经过一堆函数运算之后却变成了md5值,故猜测这堆函数为md5运算

大佬2:32位算法,连续四个赋值常数运算,进到函数之中还有右移4位等操作,故猜测md5加密

略过这一步,后面的问题迎刃而解

for ( i = 0LL; ; ++i )
  {
    v3 = strlen(v13) + 1;
    v4 = i < v3 - 1;
    v5 = i == v3 - 1;
    if ( i >= v3 - 1 )
      break;
    v2 = v13[i];
    if ( (unsigned __int8)(v2 - 'A') <= 5u )
      v13[i] = (signed int)i % 10 + v2;
  }
  v6 = v13;
  v7 = "9F925J9341B490FKJ3J4C4ED3G0J1NF2";
  v8 = 32LL;
  do
  {
    if ( !v8 )
      break;
    v4 = *v7 < (unsigned __int8)*v6;
    v5 = *v7++ == *v6++;
    --v8;
  }
  while ( v5 );
  return (unsigned int)-((!v4 && !v5) != v4);

要return 0,猜测v5 = 1,v4 = 0,则do-while循环中,flag1的md5值经过for循环再一步运算后的值应该与

9F925J9341B490FKJ3J4C4ED3G0J1NF2相同

则第一部分解密算法为:

def check1():
    key = "9F925J9341B490FKJ3J4C4ED3G0J1NF2"
    flag1md5 = ''
    for i in range(len(key)):
        temp = ord(key[i])-i%10
        if temp <= ord('A') + 5 and temp >= ord('A'):
            flag1md5 += chr(temp)
        else:
            flag1md5 += key[i]
    print flag1md5
check1()

解出来后是9E925E9341B490BFD3B4C4CA3B0C1EF2,扔到md5爆破软件,解出flag1 = this

在这里插入图片描述

check2(flag2)

依照check1(),check2()核心算法:

 v1 = 0LL;
  do
  {
    *((_BYTE *)&v12 + v1) ^= byte_603610[v1];
    ++v1;
  }
  while ( v1 != 16 );
  sub_401285((__int64)v14, &v12, 16);//调试,直接看出这个函数是将16进制数变成字符,例如0x6c->'6','c'
  for ( i = 0LL; ; ++i )
  {
    v4 = strlen(v14) + 1;
    v5 = i < v4 - 1;
    v6 = i == v4 - 1;
    if ( i >= v4 - 1 )
      break;
    v3 = v14[i];
    if ( (unsigned __int8)(v3 - 'A') <= 5u )
      v14[i] = (signed int)i % 10 + v3;
  }
  v7 = v14;
  v8 = "9F925J9341B490FKJ3J4C4ED3G0J1NF2";
  v9 = 32LL;

加密多了一块,剩下的与check1()一样,解密代码如下:

def check2():
    xor = [0xF2,0x1D,0x98,0xBC,0xCC,0x71,0xA1,0x39,0x1F,0x1F,0x11,0xE2,0x91,0x7C,0xA2,0x70]#数组byte_603610[]
    key = "9E925E9341B490BFD3B4C4CA3B0C1EF2"
    key = key.decode('hex')
    flag2md5 = ''
    for i in range(16):
        flag2md5 += chr(ord(key[i]) ^ xor[i]).encode('hex')
    print flag2md5
check2()

解得6c8fc62f8dc53186ccabd528aa70bc82,爆破得f1rs

check3(flag3)

代码前面一大段与check1()与check2()相同,就key不同,就不赘述了。

而flag3中重点在于这段代码:

if ( (!v6 && !v7) == v6 )
  {
    v12 = fopen("flag", "w+");
    if ( v12 )
    {
      v13 = &qword_603630;
      v14 = 0;
      do
      {
        v14 += *(unsigned __int8 *)v13;
        v13 = (__int64 *)((char *)v13 + 1);
      }
      while ( &qword_603640 != v13 );
      v15 = v1[3] ^ (v14 >> 4);
      v16 = v1[4] ^ v14 & 0xF;
      v17 = 0LL;
      do
      {
        if ( v17 & 1 )
          byte_6020E0[v17] ^= v16;
        else
          byte_6020E0[v17] ^= v15;
        ++v17;
      }
      while ( v17 != 5424 );
      fwrite(byte_6020E0, 0x1530uLL, 1uLL, v12);
      fclose(v12);
      result = 0LL;
    }
    else
    {
      result = 0xFFFFFFFFLL;
    }
  }

因为v15、v16不知道,但是知道他们是一个“char”类型的数,一个字节,范围在0~255之间,那么就直接爆破文件。256*256次种组合中一定有一次组合是我们需要的数据。脚本如下:

def data():  
    f1 = open("hex.txt",'r')  #存放数组byte_6020E0[5424]
    f2 = open("result",'wb')    
    for i in range(256):  
        for j in range(256):          
            for k in range(5424):  
                tmp = int(f1.readline(),16)
                if k&1 == 0:  
                    f2.write(chr(tmp^i))  
                else:  
                    f2.write(chr(tmp^j))  
            f2.write('\n')
            f1.seek(0) #回到f1文件头
            
    f2.close()   
data()

跑了有一会而,文件大小339 MB0.0…

打开010Editor,搜索各种文件的文件头0…0…最后发现出题人隐藏的是一张jpg图片。文件头FF D8 FF E0 00 10 4A 46 49 46 00 01,从文件头到文件尾FF D9截取出来,修改一下文件类型。

得到flag。

在这里插入图片描述

最终flag就是CISCN{this_f1rs_Zer0woRdThyes@T}

最后,大佬补充说可以直接写成256*256个文件,在ubuntu里面格式是对的,可以显示图标0.0
学到了学到了0.0

总结:做这题大概花了5,6个小时,主要还是基础不牢固,以及…么得脑洞,太菜了…期间各种查资料,各种问大佬,至少,收益匪浅吧!

Alikas
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2018国赛优秀论文A题
07-29
18年国赛数学建模A题优秀论文,取自大学生数学建模官网。
Reverse1
weixin_52034946的博客
03-07 491
打开发现有壳, 查壳upx, 脱壳 逆序是v19最后一位赋值给v4,然后*v4-- 前移 题目逻辑是,输入一段长度11的字符串,然后逆序,接着每一个成员+7,最后进行异或操作,再减去1,得到off_409030里的值 脚本 a=[0x1E, 0x5D, 0x53, 0x77, 0x5E, 0x50, 0x0E, 0x57, 0x7C, 0x47, 0x07] #print(a) str1="%+$-4-8+7=?" xors=[37 ,43 ,36 ,45 ,52 ,45 ,56 ,43 ,55 ,6
Reverse-1
point123456789的专栏
12-05 1419
#include #include #include typedef struct tagLinkList{ struct tagLinkList *next; int num; }LINK_LIST_S; LINK_LIST_S *LinkList_CreateNode(int num) { LINK_LIST_S *pstLinkList = NULL; pstLink
每日Reversereverse1
zh_cn1的博客
01-08 1137
直接看汇编,一天开始没找到入口,然后找字符串获得关键定位input the flag 然后跳到该字符串被调用的位置,即可知道关键函数,分析str2,str2中的字符串被替换,然后输入flag,对比flag,如果相同就提示这是正确的flag 打比赛直接看f5的代码,想提升就多看汇编 ...
2018国赛
会变强的
09-18 1748
这次算是第一次完整组队做了次数模……虽然写的东西还是很残念QAQ,坚持下来了是真的可喜可贺(毕竟队友和我都是第一次参加国赛)。记一下各种人生经验! 分工&amp;选题 感觉自己在与队友的分配协调上还是惨不忍睹,可能因为也是选了个偏算法的题所以整个进度都卡在我身上,我卡BUG了大家就都没事情干,程序有突破了大家就都忙得一批,导致时间分配极其不合理。最后赶论文的时候时间特别紧,九点的时候还在改(bia...
Recursive-seek-integer-reverse.rar_reverse recursive_seek
09-22
"Recursive-seek-integer-reverse.rar_reverse recursive_seek"这个标题暗示我们,它涉及到使用递归算法来实现一个特定的功能,即反转整数的顺序。描述中提到的例子,输入12345,输出54321,进一步确认了我们要讨论...
RE4B-EN.zip_RE4B-EN_engineering_re4b_reverse engineering_x86 ARM
09-14
Reverse Engineering for Beginners by Dennis Yurichev
List-of-the-reverse-output.rar_reverse list
09-24
在IT领域,链表是一种基础且重要的数据结构,它由一系列节点组成,每个节点包含数据以及指向下一个节点的引用。本话题聚焦于“链表的逆序输出”,这是一个常见的编程问题,尤其在算法和数据结构的学习中至关重要。...
eda-reversing-2.zip_reverse engineering_zip
09-24
逆向工程(Reverse Engineering)是软件安全、漏洞分析和程序理解的重要技术,它涉及到对已编译代码的理解,以揭示隐藏的功能、工作原理或潜在的安全问题。在本专题中,我们将探讨逆向工程在处理ZIP文件时的应用,...
linked-list-reverse-output.rar_Reverse Linked List
09-20
在计算机科学领域,数据结构是基础且至关重要的概念,它为高效地存储和处理数据提供了方法。本话题聚焦于一种常见的线性数据结构——单链表,并探讨如何对其进行逆序输出。逆序输出单链表涉及到对链表节点顺序的反转...
2019信息安全国赛部分题目文件
04-22
easyGo,bbvvmm,baby_pwn,double,where_u_are,Image.bin
算法【链表】 | 【01】链表反转
weixin_45926547的博客
05-04 1123
文章目录 将链表反转,需要保留当前指针和后续的指针,以免指针无效; struct LinkList { int val; LinkList* next; LinkList(int v) : val(v), next(nullptr) {} }; /** 递归形式 */ LinkList* reverse01(LinkList* head, LinkList* prev) { if(head = nullptr) return prev; LinkList* nex
reverse1题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-27 1091
buuctf-reverse1题解
从0到1的CTF之旅———— Reverse(1)
qq_44373268的博客
06-10 520
做题就像坐牢一样,继续继续,汪汪队蹲大牢 ————————————————————————————————————————————第一题:easyre(题目如下) 一段可执行文件,拖到IDA里面打开,直接可以看到flag。 ————————————————————————————————————————————第二题:reverse1(题目如下) 用IDA64位打开。 先shift+F12打开字符串窗口,搜索到有关flag的提示! 单击上述的this is the right flag,会跳转到如下界
buuctf reverse1-逆向学习记录
qq_36915061的博客
10-21 1831
buuctf reverse1首先使用exeinfo查看拖入64位IDA 首先使用exeinfo查看 该程序无壳,为64位程序 拖入64位IDA shift+F12查看字符串 发现形似flag的{hello_world} 双击跳转到该值地址处,发现有被sub_1400118C0引用 跳转到sub_1400118C0的引用处 F5查看伪代码 分析伪代码可知,程序将输入的值与程序中的Str2进行比较,若输入的值与Str2相同,则输出this is the right flag! 双击查看Str2的值,
简单逆向分析使用案例(7)--Reverse001.exe 获取密码
oBuYiSeng的博客
12-16 4008
环境:      win7 旗舰版 x64       OD1.1(吾爱破解版)       PEiD0.95 使用资源       http://download.csdn.net/detail/obuyiseng/9351217 中的 Reverse001.exe 技巧:      找对话框函数,耐心。 第一步:简单测试。  
2018国赛线上赛问答整理记录
黑夜黎明
04-19 211
Reverse(牛客)
最新发布
weixin_73471816的博客
07-27 988
来源:牛客网。
C语言实验题目[01]
Moonlight2020的博客
06-22 1557
编程计算存款利息。有1000元,想存5年,可按以下5种办法存: (1) 一次存5年期。 (2) 先存2年期,到期后将本息再存3年期。 (3) 先存3年期,到期后将本息再存2年期。 (4) 存1年期,到期后将本息再存1年期,连续存5次。 (5) 存活期存款,活期利息每一季度结算一次。 假设银行存款利息如下: 1年期定期存款利息为1.5%; 2年期定期存款利息为2.1%; 3年期定期存款利息为2.75%; 5年期定期存款利息为3%; 活期存款利息为0.35% (活期存款每一季度结算一次利息)。 计算方法如下.
void ReleaseOneValue(void* data) { if (data == NULL) { return; } ValueNode* node = (ValueNode*)data; if (node->value_.use_count_ <= 1) { node->value_.use_count_ = 0; node_list_tail_->next_node_ = node; node->next_node_ = NULL; node_list_tail_ = node; value_status_.free_num_++; node->value_.RelResourceInTime(); //RelResourceInTime: 用户需要在其中释放动态分配的内存 //reverse end; if(rphead && ::is_open_reverse) { if(PACKET_NONE != rphead->btCurStaus) { rphead->pktbuf = NULL;//防止重复存包; } rphead->CdrRaw.ncdrid = node->value_.GetCdrid(); rphead->CdrRaw.tstart.tm_cycles = node->value_.GetTstart(); rphead->CdrRaw.cdrstat = PACKET_END; rphead->btCurStaus = PACKET_END; pubSendPkt((void*)rphead); } } else { node->value_.use_count_--; } return; }什么意思每行解释
06-08
11. `if(rphead && ::is_open_reverse)`:如果变量 rphead 不为空且全局变量 ::is_open_reverse 为真,则执行以下操作: 12. `if(PACKET_NONE != rphead->btCurStaus)`:如果 rphead 的 btCurStaus 成员变量不等于 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值