buu-findKey

已于 2022-04-05 14:37:32 修改
阅读量618 收藏
点赞数
分类专栏: buuctf-reserve 文章标签: 安全
于 2022-04-04 23:20:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qaq517384/article/details/123959929
版权
本文介绍了对32位无壳exe的分析过程,通过查看字符串、使用逆向工程工具逐步分析,发现了关键的无条件跳转导致的执行问题。在修复后,识别并跟进了两个关键函数,一个是MD5加密的实现,另一个涉及特定内存地址的异或操作,用于解密得到特定内容。
摘要由CSDN通过智能技术生成

先感谢up的详细讲解

32位无壳exe
在这里插入图片描述
运行了啥也没有
在这里插入图片描述

查看字符串
在这里插入图片描述
跟进f5查看伪代码,提示

在这里插入图片描述

往上翻可以看到两断一样的汇编指令
逐步交叉引用找到函数的调用位置可以发现
在这里插入图片描述
jz+jnz=>无条件跳转
导致了下面的jmp无法执行
在这里插入图片描述
在这里插入图片描述

然后回到最开始变红的地方
按p键定义函数
在这里插入图片描述
就可以正常按F5查看伪代码了

LRESULT __stdcall sub_401640(HWND hWndParent, UINT Msg, WPARAM wParam, LPARAM lParam)
{
   
  int v5; // eax
  size_t v6; // eax
  DWORD v7; // eax
  HWND v8; // eax
  int v9; // eax
  int v10; // eax
  const CHAR *v11; // [esp+0h] [ebp-44Ch]
  const CHAR *v12; // [esp+4h] [ebp-448h]
  UINT v13; // [esp+8h] [ebp-444h]
  int v14; // [esp+4Ch] [ebp-400h]
  UINT v15; // [esp+50h] [ebp-3FCh]
  CHAR v16; // [esp+54h] [ebp-3F8h]
  CHAR v17[2]; // [esp+154h] [ebp-2F8h]
  int v18; // [esp+157h] [ebp-2F5h]
  __int16 v19; // [esp+15Bh] [ebp-2F1h]
  char v20; // [esp+15Dh] [ebp-2EFh]
  char v21; // [esp+160h] [ebp-2ECh]
  char v22; // [esp+181h] [ebp-2CBh]
  __int16 v23; // [esp+25Dh] [ebp-1EFh]
  char v24; // [esp+25Fh] [ebp-1EDh]
  CHAR v25; // [esp+260h] [ebp-1ECh]
  CHAR String[4]; // [esp+360h] [ebp-ECh]
  int v27; // [esp+364h] [ebp-E8h]
  __int16 v28; // [esp+368h] [ebp-E4h]
  CHAR Text; // [esp+36Ch] [ebp-E0h]
  struct tagRECT Rect; // [esp+38Ch] [ebp-C0h]
  CHAR Buffer; // [esp+39Ch] [ebp-B0h]
  HDC hdc; // [esp+400h] [ebp-4Ch]
  struct tagPAINTSTRUCT Paint; // [esp+404h] [ebp-48h]
  WPARAM v34; // [esp+444h] [ebp-8h]
  int v35; // [esp+448h] [ebp-4h]

  LoadStringA(hInstance, 0x6Au, &Buffer, 100);
  v15 = Msg;
  if ( Msg > 0x111 )
  {
   
    if ( v15 == 517 )
    {
   
      if ( strlen(
最低0.47元/天 解锁文章
有点水啊
关注
专栏目录
【jarvisoj刷题之旅】逆向题目FindKey的writeup
iqiqiya的博客
09-10 849
  我把下载到的文件放在了c盘根目录· Ubuntu子系统  file一下   百度应该是.pyc文件 找到反编译工具uncompyle6   后缀加上.pyc 反编译成功   分析一下直接改就行 正确 ...
buu-EasyBypass
qaq517384的博客
10-27 645
考点: linux分号执行多条命令 ?正则匹配flag 打开环境 <?php highlight_file(__FILE__); $comm1 = $_GET['comm1']; $comm2 = $_GET['comm2']; if(preg_match("/\'|\`|\\|\*|\n|\t|\xA0|\r|\{|\}|\(|\)|<|\&[^\d]|@|\||tail|bin|less|more|string|nl|pwd|cat|sh|flag|find|ls|grep
buu练题记录8-findKey
Asteri5m
04-20 532
0x00 查壳 & 运行 无壳,还是运行康康有啥 所以是啥也没有,还是用IDA看看 0x01 IDA分析 直接查找字符串找到可疑字符 从flag{}那开始分析 发现报红,两行一样的代码,nop掉第二行,按P生成函数,再F5反汇编。 从flag哪里反着看上去。ctrcmp函数比较v19和String1。v19原本是cpy的字符串"0kk`d1a`55k222k2a776jbfgd`06cjjb",然后经过了sub_401005函数,跳过去看看这个函数。 一个循环异或,而v4转成字符为"SS
BUUCTF ------findkey
qq_64558075的博客
12-17 767
1.拿到文件,老规矩,进行查壳 收集信息,无壳,32位程序 2.拖入ida中 先查找main函数 并没有什么实质性的收获 那么我们就查找字符串 发现flag字符串 跟进 发现右边的数据是红色的,ida不能正常反编译 我们就看汇编代码,寻找原因 发现两个一样的代码,所以这个地方就可以推测是花指令 我们nop(跳过)这个花指令就可以了 首先我们将鼠标的光标放到第二个push 然后修改为90(nop) 然后发现已经修改为nop了 接下来就...
buuctf刷题记录19 buuctf FindKey
ytj00的博客
08-01 657
个人感觉这个题出的不好,md5根本找不到(是我太菜) 经典无壳,拖进ida,f12找到关键字符串,发现左边地址是红色的,应该是用了花指令,果然 两个一样的指令连在一起,把下面的去掉,按p声明函数,再f5看反编译 程序逻辑并不是太难,有两处关键运算和一个关键判断 第一个关键运算是将输入的pbdata与v16进行异或,最后与v20进行比较 逻辑很简单,直接写脚本,得到第一个字符串:c8837b23ff8aaa8a2dde915473ce0991 然后如果直接按照第二个关键运算算的话,算不出来 看别人的wp
[BUUCTF]Reverse——findKey
mcmuyanga的博客
03-23 585
findKey 例行检查,32位程序,c++写的 运行一下,没什么特别提示的地方 32位ida载入,检索字符串发现flag提示,跟进跳转 会发现中间有一段汇编没有转换成成函数,选中这部分,按p转换成函数,在按f5就能得到关键代码 理一下,贴一下关键代码,这一段应该是计算flag的代码, 根据sub_401005中有md5加密的api调用判断sub_401005是md5加密。 太久没做用API进行字串hash的題目了,去微软的网站上查询了一下才认出来了是md5加密 首先让我们输入string1
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
buu-equation
qaq517384的博客
03-30 281
附件是一个html文件 打开没东西 查看原码
buu-crypto-yxx-异性相吸
seven749的博客
11-17 1882
buu-crypto-yxx-异性相吸 1.异性相吸 打开题目,发现所给的密文和密钥,得不到什么有用的信息。于是用winhex打开 密文是16进制数,密钥是ascii值,将他们转化为二进制数,然后进行二进制异或,再转化为16进制即可得到flag。 flag{ea1bc0988992276b7f95b54a7435e89e} 2.yxx 做法与异性相吸类似。先用winhex打开,然后进行二进制异或。 a = '000010100000001100010111000000100101011000
buuctf————findkey
yhfgs的博客
09-18 1061
1.查壳。无壳,32位。 2.IDA反编译。 shift+f12查找字符串。发现关键词flag。 跟进。 发现IDA没有反编译成功。手动反编译(p键)。 第一次做的时候按了p就出了。复盘的时候不知道又不行了。 又找了找原因发现是花指令。 (这个位置两个一样的push删掉一个就ok) 3.分析代码。关键函数是sub401005. 根据if条件可得string1(MD5加密后)(看最前面sub40101e函数可知string经过了MD5加密) (a2-748)是0...
BUUCTF--findit
weixin_30607659的博客
09-24 2029
测试文件:https://buuoj.cn/files/7b8602971727c6c82ec0d360d5cad2c0/6a428ff2-25d7-403c-b28e-3f980a10a5a2.apk?token=eyJ0ZWFtX2lkIjpudWxsLCJ1c2VyX2lkIjoxOTAzLCJmaWxlX2lkIjoyMTV9.XYmTqw.OyIU1nla76d5HdmzUbw...
re -20 buuctf findKey
weixin_45847059的博客
11-26 312
findKey 关于花指令的文章: 1 2 3 拿到文件拖入ida后 发现未被反编译,可能存在花指令 找到花指令后,nop掉下一行的重复指令 将其保存为可执行文件 保存后将修改好的程序拖入ida 文件已经被反编译成功 发现sub_401005的参数全部已知,跟进分析 a2通过指针赋值,该函数为Str字符串改值,也就是str与v12相互异或: s = '0kk`d1a`55k222k2a776jbfgd`06cjjb' b = ord('S') for i in range(len(s)):
buuctf 逆向 findkey wp
fzucaicai的博客
01-04 1517
右键会校验String(实际上是没有地方给我们输入String的,需要我们手动的去改String的值)。HP_ALGID 的值是 0x0001,HP_HASHSIZE 的值是 0x0004,HP_HASHVAL 的值是 0x0002。把Str拖出来,找个在线MD5网站解码 其实哈希是不能解码的,但是可以用穷举,先正向加密,和密文对比。点开也就这样了,没有输入的点,感觉和之前的 “刮开有奖” 有一点点相像。:如果哈希算法是带密钥的,则传入密钥的句柄;:指定要使用的哈希算法的 ALG_ID 值。
[CTF]Jarvis FindKey
qq_42152365的博客
02-16 736
[CTF]Jarvis FindKey 150 1. 首先看文件头,是03F30D0A,查百度,发现是pyc,于是改成pyc 2. pyc拖入uncompyle(这里用的是uncompyle6),生成py文件 3. 发现密码是17位并且其逆序满足如下关系式,式中的数组已经写死: ord(flag[i]) + pwda[i] &amp; 255 != lookup[i + pwdb[i]]...
cpp的map.find(key)函数
sdhdsf132452的博客
07-20 1511
#include<stdio.h> #include<map> using namespace std; int main() { /* map.find(key)返回键为key的映射的迭代器 */ map<char, int> mp; mp['m'] = 20; mp['r'] = 30; mp['a'] = 40; map<char, int>::iterator it = mp.find('a'); if (it !=mp.end(.
字符串———find()函数
RIPKEY的博客
05-17 5660
假设我们有字符串a和b,那么a.find(b)是指在a这个字符串中查找b并返回b开头字母的位置,没查到就是-1 例题: 链接 这个题有两种解法,一种是暴力嘛,因为字符串的数量也不多,还有一种呢则是利用到find函数 ①首先将该串复制一遍 ②遍历查找原本母串能不能找到 ③找到了的话需要移动的值就是find返回的值 ④没找到就是-1 结束over~ 下面是针对样例2的过程 2 molzv lzvmo ...
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。 在解密Quoted-printable编码时,我们可以使用在线工具来帮助我们。一个可以使用的工具是[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。 根据提供的信息,得到的flag是"flag{那你也很棒哦}"。 总结:Quoted-printable是一种常见的邮件编码方法,用于将非ASCII字符转换为可打印的ASCII字符。解密Quoted-printable编码可以使用在线工具,如[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。根据提供的信息,得到的flag是"flag{那你也很棒哦}"。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值