ADworld reverse wp - reverse-for-the-holy-grail-350

最新推荐文章于 2023-10-07 11:52:34 发布
最新推荐文章于 2023-10-07 11:52:34 发布
阅读量135 收藏
点赞数
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/117821122
版权

字符串处理 加密算法 爆破 数组校验 密码验证
关键词由CSDN通过智能技术生成

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
所以关键函数是stringMod(v9), 其返回的结果影响是否打印出flag, 需要返回非负数

__int64 __fastcall stringMod(__int64 *a1)
{
  __int64 v1; // r9
  __int64 v2; // r10
  __int64 v3; // rcx
  int v4; // er8
  int *v5; // rdi
  int *v6; // rsi
  int v7; // ecx
  int v8; // er9
  int v9; // er10
  unsigned int v10; // eax
  int v11; // esi
  int v12; // esi
  int v14[18]; // [rsp+0h] [rbp-60h] BYREF
  __int64 v15; // [rsp+48h] [rbp-18h] BYREF

  memset(v14, 0, sizeof(v14));
  v1 = a1[1];
  if ( v1 )
  {
    v2 = *a1;
    v3 = 0LL;
    v4 = 0;
    do
    {
      v12 = *(char *)(v2 + v3);
      v14[v3] = v12;
      if ( 3 * ((unsigned int)v3 / 3) == (_DWORD)v3 && v12 != firstchar[(unsigned int)v3 / 3] )
        v4 = -1;
      ++v3;
    }
    while ( v3 != v1 );
  }
  else
  {
    v4 = 0;
  }
  v5 = v14;
  v6 = v14;
  v7 = 666;
  do
  {
    *v6 = v7 ^ *(unsigned __int8 *)v6;
    v7 += v7 % 5;
    ++v6;
  }
  while ( &v15 != (__int64 *)v6 );
  v8 = 1;
  v9 = 0;
  v10 = 1;
  v11 = 0;
  do
  {
    if ( v11 == 2 )
    {
      if ( *v5 != thirdchar[v9] )
        v4 = -1;
      if ( v10 % *v5 != masterArray[v9] )
        v4 = -1;
      ++v9;
      v10 = 1;
      v11 = 0;
    }
    else
    {
      v10 *= *v5;
      if ( ++v11 == 3 )
        v11 = 0;
    }
    ++v8;
    ++v5;
  }
  while ( v8 != 19 );
  return (unsigned int)(v7 * v4);
}

上边还有一个检查函数 validChars
在这里插入图片描述

对cpp的API不熟悉, 不过可以大致猜测, v7, v9均为输入的secret password, 分析stringMod函数, 得知firstchar和thirdchar是已知的数组, 且分别表示每3个分组时, 第一个数和第三个数, 第二个数未知, 但可以爆破出来, 1,2数相乘模3数, 是否等于masterArray[v9], 可以爆破出2数.

firstchar = [0x41, 0x69, 0x6E, 0x45, 0x6F, 0x61]
thirdchar = [0x2EF, 0x2C4, 0x2DC, 0x2C7, 0x2DE, 0x2FC]
masterArray = [0x1D7, 0x0C, 0x244, 0x25E, 0x93, 0x6C]

flag = ""
number = [0] * 18
num = 666
for i in range(18):
    if i % 3 == 0: 
        number[i] = firstchar[i // 3]
        firstchar[i // 3] = (firstchar[i // 3] ^ num) & 0xffffffff
    elif i % 3 == 1:
        number[i] = num
    elif i % 3 == 2: 
        number[i] = (thirdchar[i // 3] ^ num) & 0xffffffff
    num += num % 5

for i in range(6):
    for temp in range(1, 128):
        if ((number[i * 3 + 1] ^ temp) & 0xffffffff) * firstchar[i] % thirdchar[i] == masterArray[i]:
            number[i * 3 + 1] = temp
            break

for i in range(18):
    flag += chr(number[i])
print(flag)

加上tuctf{}修饰
tuctf{AfricanOrEuropean?}

fa1c4
关注
专栏目录
攻防世界 - RE - 666
hjj1871984569的博客
02-05 670
Title 666 Link https://adworld.xctf.org.cn 002 WP 显然是让我们构造出flag IDA pro,反编译 key是12h也就是18,这样就得到了flag的长度 然后就是encode这个函数 我们发现每三个字符为一组进行编码 第一个字符 a[i+0] -> (a[i+0] + 6) ^ key 第二个字符 a[i+1] -> (a[i+1] ...
骇极杯[what's it]
九层台
11-28 219
__main(); v8 = 0; v9 = 0; v10 = 0; memset(v6, 0, sizeof(v6)); v7 = 0; v5 = 0; v4 = 0; v15 = 0; v14 = 0; printf("Please input your luck string:"); scanf("%s", &v8); if ( str...
ADworld reverse wp - crazy
fa1c4的blog
11-12 522
前言 忙里偷闲做一道攻防世界的C++逆向, 最近刷了一遍pipixia师傅的blog, 感觉作为一个binaryer, reverse和pwn不应该割裂开来, 而且之前做了半年逆向, 发现不知不觉间代码能力提高了(最近写代码的时候才发现的), 估计能够读懂反编译的伪码对码力也有训练作用吧, 而且入坑安全1年了, 逐渐体会到逆向是一件很有趣的事情, 以前做复杂逆向的时候总是很急躁, 现在才知道搞技术, 最重要的还是耐心. 分析过程 直接拖进IDA64 (IDA32弹框提示ELFx86-64, 并且应该养成习惯
ADworld reverse wp - android-app-100
fa1c4的blog
11-16 291
前言 简单的安卓逆向 工具就用开源的jadx 参考https://openingsource.org/258/ 分析过程 拖进jadx-gui, 得到源码 package com.example.ctf2; import android.app.Activity; import android.os.Build; import android.os.Bundle; import android.widget.Button; import android.widget.EditText; import an
ADworld reverse wp - debug
fa1c4的blog
06-05 114
.NET, 用dnspy反编译 找一圈, 找到提示u got it字符串的关键位置 说了是debug, 动调一下, …, flag就出来了 flag{967DDDFBCD32C1F53527C221D9E40A0B}
ADworld reverse wp - Windows_Reverse1
fa1c4的blog
05-31 113
upx壳, 机脱手脱都可以, 这里机脱 经过加密和DDCTF{reverseMe}进行对比, 所以逆向加密函数, 这里伪代码看不出做了什么, 直接看汇编, 能判断ecx保存了一个变量, 所以相当于有两个参数使用, v1[v4]是调用a1数组的元素, 元素的值作为下表索引byte_402FF8数组, 保存到v1数组中, v1的值是由ecx寄存器传递过来的, 这里伪代码没有体现, 所以需要读汇编才能得知. 调用sub_401000()时操作ecx指向的数组前会执行若干条push指令, 考虑栈帧结构变.
ADworld reverse wp - babymips
fa1c4的blog
06-11 161
*(&i + i + 4) ^= 32 - i; 其实是对v5数组进行操作. &i + 4是v5起始地址, 观察栈帧得知. 之后对比fdata的5个字节数据 再进入sub_4007F0进行检查, 分别处理奇偶两种情况 奇数: v1 = (a1[i] >> 2) | (a1[i] << 6); 偶数: v1 = (4 * a1[i]) | (a1[i] >> 6); a1[i] = v1 再和off_410D04的数据进行对比, 共0x1B = 27个..
ADworld reverse wp - notsequence
fa1c4的blog
06-03 122
有两个check check1 i取等差数列的和n * (n + 1) / 2, j从0到v5, 累加各元素的值要和2的指数比较1 << v5 v5返回第一个为'\0'的2的指数, 或者使得i超过1024的最小数 44 * 45 / 2 = 990 45 * 46 / 2 = 1035 所以v5最大可以取到45, 不过看到后面的判断 if(v2 == 20)可以断定v5必须取20 check2 a2 == v5 == 20 如果将a1看成一个二维数组, 因为行是由等差数列索引的, 所以可..
ADworld reverse wp - Replace
fa1c4的blog
06-05 162
strlen(Buffer) <= 37, sub_401090第二个参数伪代码没有体现出来, 直接看汇编 edx是第二个参数a2, 通过main函数的汇编得知edx保存strlen(&Buffer) 所以可以判断strlen(&Buffer) == 35, 然后就是通过sub_401090的检测. 数据处理 逆向sub_401090函数, 不是对称的加密, 所以采用爆破找到flag byte_402150 = '2a49f69c38395cde96d6de96d6f...
adworld攻防世界-pwn-新手区-wp
令则
03-05 1173
adworld-pwn-新手区 tcl 到现在才算是正经昨晚攻防世界的pwn新手区, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
adworld-crypto-cr2-many-time-secrets
bunner_的博客
10-21 358
题目信息没给全,看了别人的博客才发现还有一段描述 This time Fady learned from his old mistake and decided to use onetime pad as his encryption technique, but he never knew why people call it one time pad! Flag will start with ALEXCTF{. 从上面这段描述来看,Fady 使用 OTP(一次性密码本) 来加密他的文件,但是他不
adworld-crypto-onetimepad
bunner_的博客
10-25 385
有限域GF,本原多项式P GF上的加法为异或运算 GF上的减法为异或运算 GF上的乘法为移位异或,且乘法群为循环群 GF上的除法即为乘上逆元 有限域上的运算实现 拿到题目,给了三段密文和一段加密代码 af3fcc28377e7e983355096fd4f635856df82bbab61d2c50892d9ee5d913a07f 630eb4dce274d29a16f86940f2f35253477665949170ed9e8c9e828794b5543c e913db07cbe4f433c7cde.
adworld-crypto-RSA_gcd
bunner_的博客
10-21 673
给定两个不同的n的时候一定要看看n1,n2有没有最大公约数(素数),如果有,那么该最大公约数就是两者共同的p 给定两个相同的n的时候,那就要考虑共模攻击了 拿到题目,有两个文件,里面分别有n,e,c 看了一下两份文件的e相同,n不同 题目的名字是RSA_gcd,自然想到了求n1n_1n1​,n2n_2n2​的最大公约数 求出的最大公约数若为素数的话,那么它就是p,题目自然就解出来了 import gmpy2 def get_p(n1, n2): p = gmpy2.gcd(n1, n2)..
adworld.xctf-web-新手练习区刷题
BROTHERYY的博客
05-07 1048
1.View Source 根据题目,就能猜到,此处是查看页面源码,在查看的过程中发现右键不能使用了,那就用F12吧~ 2.Robots 这题是考察Robots协议,访问的时候页面是一片空白,直接输入robots.txt 在地址栏输入robots.txt会得到f1ag_1s_h3re.php,尝试直接访问这个php文件。 3.Backup 对常用的备份文件名进行测试*.php~ or ...
dll注入失败原因总结
fa1c4的blog
03-15 6652
常见的几个原因 Windows Vista/ 7及之后的系统使用了会话隔离技术. 导致钩取API kernel32.CreateRemoteThread()失败, 可以尝试钩取ntdll.NtCreateThreadEx() 开启杀毒软件的进程保护功能导致注入失败. 注入的dll文件与目标文件格式不一致, 比如PE32注入PE32+, 或者PE32+注入PE32文件都会失败. ...
Winhex数据粘贴方法
fa1c4的blog
03-08 4973
Winhex选定一个起始地址 注意两种方式的区别, paste是将剪切板的内容插入文件, 会导致文件数据量增加. write是覆盖原数据, 维持数据量不变. 熟悉以后选择一个起始地址按快捷键即可 Ctrl + V 插入 Ctrl + B 修改 ...
热补丁原理
fa1c4的blog
03-15 2026
热补丁 普通代码修改技术是修改API起始地址的5个字节, 而热补丁是修改7个字节. 相比代码修改的API钩取, 采用热补丁能提高多线程系统的稳定性和性能. 原理和特征 二次跳转 不需要钩取函数进行脱钩/挂钩操作 ...
BUUCTF reverse wp 96 - 100
最新发布
fa1c4的blog
10-07 1741
至此BUU前100个逆向题打完, 后续的WP可能只出有价值的题目, 并不再按顺序打。
Adworld2012互联网营销大会PPT资源:新媒体运营、移动营销解析
"Adworld2012互联网营销世界大会PPT下载" 本次Adworld2012互联网营销世界大会汇集了众多业界专家和企业代表,共同探讨了互联网营销的前沿趋势和策略。会议涵盖的主题广泛,包括新媒体运营、体育营销、移动营销创新...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值