2021HWS冬令营选拔赛-ChildRe-WP

最新推荐文章于 2024-04-21 11:16:34 发布
最新推荐文章于 2024-04-21 11:16:34 发布
阅读量1k 收藏 1
点赞数
分类专栏: Re CTF 文章标签: reverse wp hws
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33438733/article/details/113531971
版权

2021HWS冬令营选拔赛-ChildRe-WP

前言

这种类型的题依稀记得在18年做过类似的,好久没看确实手生。

解题

考点:Debug Blocker反调试;Tea加密算法。

关于Debug Blocker原理不多写了,可以参考我之前看的一篇文章

主进程作为调试器附加调试子进程,当子进程遇到int 3指令时会发送异常给调试器也就是主进程,然后主进程会在sub_413BE0循环等待接收子进程的异常。

1

根据异常事件的不同,会进入不同的处理函数,重点关注一下sub_411023函数

2

当子进程发生异常时,并且int 3的后一个值为178时,会进入到WriteProcessMemorry函数进行处理,也就是在00412F39处,这里的目的是将1946127526这个常数写入到子进程中,而后通过SetThreadContextContinueDebugEvent函数使子进程继续运行,为了能够调试子进程,我们需要使用DebugActiveProcessStop函数使主进程脱离对子进程的调试,以使我们可以通过IDA附加子进程进行调试。

3

不过为了使子进程可以被我们附加调试,而不会退出,我们可以在相应的位置,写入一个死循环。

具体为将00412F3D地址处的值EB 00patch为EB FE然后apply,这样就可以使程序运行到这里的时候进入一个死循环,以便等待我们调试器的附加,当调试器附加上之后,在将其修改为原来指令,并在下一条指令处下断点,然后运行,这样我们就可以调试子进程了。

之后就是去了解加密过程。总体上如下:

子进程:
获取用户输入,判断长度 == 0x20
input = get()
if len(input) != 0x20:
	exit()
else:
	int 3
...
int 3	# 陷入中断,跳过垃圾指令 eip += 9 jmp junk_code
...
int 3	# 陷入中断,获取常数 get const 0x73ff8ca6
...
input[i] 占4bytes,倒序
for i in range(8):
	input[i] = _byteswap_ulong(input[i])
...
根据常数,生成一组固定常数,并将input和每个常数进行异或
num  = 0x73ff8ca6 # [0x19FBB4]
for i in range(8):
    input[i] = input[i] ^ num
    num = (num - 0x50FFE544)&0xffffffff
...
倒序
for i in range(8):
	input[i] = _byteswap_ulong(input[i])
	
init_key:初始化key
dword_432358 = [0x82ABA3FE, 0xAC1DDCA8, 0x87EC6B60, 0xA2394568, 0x432BEEE0, 0x2392B7C0, 0xC8C7FB80, 0xE7CC394D]
将key倒序
tea(key,input,5)
经过tea加密后和固定常量逐位比较。根据比较的结果输出wrong或者correct。

4

最后的解密脚本如下:

from libnum import s2n,n2s

def encrypt(v, k):
    v0 = v[0]
    v1 = v[1]
    x = 0
    delta = 0x9E3779B9
    k0 = k[0]
    k1 = k[1]
    k2 = k[2]
    k3 = k[3]
    for i in range(32):
        x += delta
        x = x & 0xFFFFFFFF
        v0 += ((
最低0.47元/天 解锁文章
坚强的女程序员
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HWS计划2021硬件安全冬令营线上选拔赛
FIshy000的博客
02-05 1259
title: HWS计划2021硬件安全冬令营线上选拔赛 time: 2021年2月1日 没有参加比赛,赛后复现一波re babyre 一道hook题,ida打开代码还是比较清晰的,首先判断长度然后在加密,但是我没有搞清楚这个hook的流程,听别的师傅说的在CRT的时候,从r3到r0时候hook的????(听的不是很懂),但是我瞎找找到这两个函数 资源解密 资源加载 可以看出程序加载了一个叫CIPHER_DLL的资源,这个资源其实就是经过加密的DLL,我用ResourceHacker(一个可以查看程
HWS-2023冬令营入营赛-re
qq_54929422的博客
01-19 312
接着看主函数,v8是输入值,接着byte_4060E0数组和v8数组异或,存入byte_4060E0数组,byte_4060E0数组后面可能会用到,dump下来—>[0x55, 0x46, 0x64, 0x03, 0x7F, 0x57, 0x55, 0x5F, 0x70, 0x04, 0x44, 0x53, 0x01, 0x49, 0x74, 0x5E]s和外部的虚拟机程序有关,s和v33有关,v33记载着虚拟机中增加的值,看上去很乱,需要很耐心才能知道s数组。
HWS计划2021硬件安全冬令营线上选拔赛 re wp
qq_37439229的博客
02-01 2263
感觉这比赛比较简单。。。花了一天时间做,直接ak逆向了 decription 弱智题,爆破就行 a = [ 0x12, 0x45, 0x10, 0x47, 0x19, 0x49, 0x49, 0x49, 0x1A, 0x4F, 0x1C, 0x1E, 0x52, 0x66, 0x1D, 0x52, 0x66, 0x67, 0x68, 0x67, 0x65, 0x6F, 0x5F, 0x59, 0x58, 0x5E, 0x6D, 0x70, 0xA1, 0x6E, 0x70, 0xA3] b
DASCTF X GFCTF 2024|四月开启第一局
最新发布
qq_61670993的博客
04-21 875
简单题
HWS-2022 夏令营线上赛 WP
CourserLi的博客
08-01 1366
HWS-2022 硬件安全在线夏令营线上预选赛 WP
HWS 2021 冬令营选拔赛 部分WP
lrcno6的编程世界
02-01 2810
比完后速度开肝WP 总分: 850 排名: 33 第一次这么长(shuang)时间肝比赛 3整天+1晚(理论上来说还有一早但我没用) 不得不说还是挺有意思的 目录: PWN2 ememarm PWN2 ememarm aarch64架构 上网搜到了环境配置: socat tcp-l:$port,fork exec:"$command",reuseaddr 譬如: socat tcp-l:10002,fork exec:"qemu-aarch64 -g 1234 ememarm",reusea
安恒信息HWS计划2021硬件冬令营 物联网安全课堂笔记 2021.1.10-附件资源
03-05
安恒信息HWS计划2021硬件冬令营 物联网安全课堂笔记 2021.1.10-附件资源
K1N5819HWS-7-F SOD-323 SL.pdf
04-24
K1N5819HWS-7-F SOD-323 SL KUU
已发布-hws-sp2021
02-23
【标题】"已发布-hws-sp2021" 暗示这可能是一个课程作业或项目,可能属于2021年春季学期(SP2021)。它已经被整理并发布出来,供他人学习或参考。这个标题可能指的是一个在线教育平台上的硬件系统(HWS)相关的学习...
HWS Connect - AHB-crx插件
04-04
人工帮助机器人可以成为HWS Connect上的私人助理。 这是一个社区项目,不是正式的HWS内容。 该工具可以直接从HWS Connect帮助您。 要使用该工具,只需打开HWS Connect,然后转到右上角并找到小型聊天图标。 单击后,...
2023-HWS-PWN-WP
weixin_51480590的博客
07-17 371
这次比赛运气比较好,把pwn ak了。
安恒hws物联网篇笔记
01-12
安恒hws物联网篇笔记
【2022HWS硬件安全冬令营预选赛 misc】BadPDF+gogogo WriteUp
ShenZ的博客
01-28 1075
2022HWS硬件安全冬令营预选赛 misc BadPDF gogogo BadPDF 附件:20200308-sitrep-48-covid-19.pdf.lnk VBScript ``` rBOH7OLTCVxzkH=HrtvBsRh3gNUbe("676d60667a64333665326564333665326564333665326536653265643336656564333665327c") execute(rBOH7OLTCVxzkH) function HrtvBsRh3gNUbe(
2022DASCTF7月赋能赛(复现)
m0_62422842的博客
07-28 2513
DASCTF七月赋能赛的三个web题复现,涉及到sql注入,模板注入,php反序列化以及session文件包含
DASCTF部分复现
qq_63928796的博客
08-08 2309
过滤了大括号 {{,我们可以用 {%print(......)%} 或 {% if ... %}1{% endif %} 的形式来代替,但是题目还过滤了 print 关键字,所以前者用不了了,只能用 {% if ... %}success{% endif %} 的形式来bypass了。因为whatisthis里头的数字,有的很大,我们尝试生成一个小数点长度在10000的圆周率出来,看看能得到什么,圆周率生成的脚本用的是下面这个网址的大佬的脚本。首先利用FTK挂载一下vmdk文件,得到加密的磁盘。...
[DASCTF 2023]controlflow
CHTXRT的博客
07-22 338
直接反编译,通过汇编代码结合动态调试综合分析,得到输入数据变化过程大致如下:(设输入字符串为。出处:https://blog.csdn.net/CHTXRT。」创作共享协议,转载请在文章明显位置注明作者及出处。
DASCTF九月挑战赛复现-web
your_friends的博客
10-18 758
那么他就会直接将product合并到order原型链上那么他就可以直接添加token进入下面的判断语句了。可以发现在调用buyapi接口的时候直接将body作为实参传过去了,所以我们就可以控制product。那么我们只需要修改其中的分数,用它原来的方法对他进行一次发包就可以拿到flag。下面的代码可以看到只有当他的密码是截取的1到6位的时候才会获得9999块钱。e就是分数,t就是我们的checkcode我们直接在页面中对他进行调用。这里是可以直接传入URL的,URL会进行编码。
全国农信银CTF流量分析(凯撒会分析流量吗)
yoyo_573的博客
06-30 322
流量分析,时间盲注,题目提示了凯撒密码。转换下就得到了结果。
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
Jay17的博客
08-05 1362
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
编写-hws函数来判断参数是否为回文数
05-22
def hws(num): """ 判断一个数是否为回文数,如果是回文数返回 True,否则返回 False """ if is_palindrome(num): return True else: return False ``` 首先,我们定义了一个辅助函数 `is_palindrome`,它将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值