2019西湖论剑re

最新推荐文章于 2023-03-05 15:54:59 发布
最新推荐文章于 2023-03-05 15:54:59 发布
阅读量944 收藏
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35713009/article/details/89079927
版权

easyCpp

本来想静态看出来,看不了。。。IDA调试插件崩了,无奈得使用gdb。首先随便输⼊16个数字

gdb-peda$ r
Starting program: /mnt/c/CTF/reverse/xihu/easyCpp_o
100 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45

 然后下断看以下函数做了什么

最下方begin的返回值就是input变换后的结果

gdb-peda$ x/16w $rax
0x617f40:       0x00000064      0x00000083      0x00000084      0x00000085
0x617f50:       0x00000086      0x00000087      0x00000088      0x00000089
0x617f60:       0x0000008a      0x0000008b      0x0000008c      0x0000008d
0x617f70:       0x0000008e      0x0000008f      0x00000090      0x00000091

可以看到,输入的后面15个数字都加上了第一个数字。

之后又进行了一次变换,依旧是下个断点看内存的变化

gdb-peda$ x/16w *$rax
0x618110:       0x00000091      0x00000090      0x0000008f      0x0000008e
0x618120:       0x0000008d      0x0000008c      0x0000008b      0x0000008a
0x618130:       0x00000089      0x00000088      0x00000087      0x00000086
0x618140:       0x00000085      0x00000084      0x00000083      0x00000064

可以看到,这里本质上就是个逆序

之后与fib函数产生的16个数字比较。这样要还原输入就很容易了,先算出fib产生的16个数字,然后逆序,将后面15个数字减去第一个数字即可得到输入。

还是装模作样的贴个脚本吧

 def fib(n):
     if n == 0 or n == 1:
         return 1
     return fib(n-1) + fib(n-2)


 fib_vec = []
 for i in range(16):
     fib_vec.append(fib(i))


 fib_vec = fib_vec[::-1]
 for i in range(1, len(fib_vec)):
     fib_vec[i] -= fib_vec[0]


 for c in fib_vec:
     print c,

testre

base58。。。

Junk_Instruction

用Xspy可以找到快速找到点击事件函数

查看该函数很容易找到check过程。check内部控制流乱七八糟,最好动态跟踪,不然难以了解执行过程。有许多无用指令,且f5几乎失效,后面得全看汇编。

输入长度为38,之后验证时去掉了flag{},变成了中间的32个进行验证。

在check中调用了一个关键函数,参数1为256字节的一个box,参数2位输入的逆序

该函数会将输入进行某种变换,然后与之后的密文进行对比

以下是对输入进行变换的关键点,算法很简单,不过必须动态调试才能跟踪到此处

.text:00962F7C mov     ebx, 22222222h
.text:00962F81 mov     ecx, [ebp+8]
.text:00962F84 add     ecx, [ebp-10h]                  ; data + i
.text:00962F87 mov     edx, [ebp+8]
.text:00962F8A add     edx, [ebp-18h]
.text:00962F8D mov     al, [edx]
.text:00962F8F mov     [ecx], al                       ; data[i] = data[k]
.text:00962F91 mov     ecx, [ebp+8]
.text:00962F94 add     ecx, [ebp-18h]
.text:00962F97 mov     dl, [ebp-9]
.text:00962F9A mov     [ecx], dl                       ; data[k] = tmp(data[i]) //swap(data[i], data[k])
.text:00962F9C mov     eax, [ebp+8]
.text:00962F9F add     eax, [ebp-10h]
.text:00962FA2 movzx   ecx, byte ptr [eax]             ; data[i]
.text:00962FA5 mov     edx, [ebp+8]
.text:00962FA8 add     edx, [ebp-18h]
.text:00962FAB movzx   eax, byte ptr [edx]             ; data[k]
.text:00962FAE add     ecx, eax
.text:00962FB0 and     ecx, 800000FFh
.text:00962FB6 jns     short loc_962FC0                ; data[i] which after swap data[k]
.text:00962FB8 dec     ecx
.text:00962FB9 or      ecx, 0FFFFFF00h
.text:00962FBF inc     ecx
.text:00962FC0
.text:00962FC0 loc_962FC0:                             ; CODE XREF: .text:00962FB6↑j
.text:00962FC0 mov     [ebp-1Ch], ecx                  ; data[i] which after swap data[k]
.text:00962FC3 mov     ecx, [ebp+8]
.text:00962FC6 add     ecx, [ebp-1Ch]
.text:00962FC9 movzx   edx, byte ptr [ecx]             ; data[data[i] + data[k]]
.text:00962FCC mov     eax, [ebp+0Ch]                  ; input content reverse
.text:00962FCF add     eax, [ebp-14h]                  ; index
.text:00962FD2 movzx   ecx, byte ptr [eax]
.text:00962FD5 xor     ecx, edx
.text:00962FD7 mov     edx, [ebp+0Ch]
.text:00962FDA add     edx, [ebp-14h]
.text:00962FDD mov     [edx], cl
.text:00962FDF jmp     loc_962EF1

很容易写个解密脚本 

text = [0x5B, 0xD6, 0xD0, 0x26, 0xC8, 0xDD, 0x19, 0x7E, 
        0x6E, 0x3E, 0xCB, 0x16, 0x91, 0x7D, 0xFF, 0xAF, 
        0xDD, 0x76, 0x64, 0xB0, 0xF7, 0xE5, 0x89, 0x57, 
        0x82, 0x9F, 0x0C, 0x00, 0x9E, 0xD0, 0x45, 0xFA]

box  = [0x71, 0xE9, 0xE1, 0x44, 0x5D, 0xC1, 0x36, 0x30, 0xA9, 0x03, 0x11, 0xA1, 0x38, 0x21, 0x97, 0x9E, 
        0x47, 0x85, 0xA2, 0x5E, 0x6A, 0x9D, 0x3C, 0xA0, 0x28, 0xB2, 0xF9, 0x18, 0x58, 0xD0, 0x5B, 0x31, 
        0x7A, 0xED, 0xA3, 0xAA, 0xD9, 0x66, 0xFB, 0x92, 0xC2, 0x74, 0x04, 0xE7, 0x13, 0x3A, 0x08, 0x68, 
        0x37, 0xF6, 0x4B, 0x09, 0x45, 0x35, 0x6C, 0x1E, 0x14, 0xAE, 0x77, 0x50, 0xFE, 0x4A, 0x1B, 0x62, 
        0x87, 0x2E, 0x2C, 0x55, 0xE6, 0xAB, 0x7F, 0x12, 0x0B, 0x1A, 0x2B, 0x94, 0xC7, 0x96, 0x65, 0x73, 
        0x95, 0xC0, 0x6B, 0x0D, 0xF1, 0xBF, 0x8A, 0x2D, 0xB8, 0x81, 0xE3, 0xFC, 0xDF, 0xD2, 0x7E, 0xA6, 
        0x0E, 0x1C, 0x48, 0x70, 0x01, 0x88, 0x6F, 0xBD, 0x99, 0x3E, 0x2F, 0x7D, 0xAF, 0xDA, 0x75, 0x34, 
        0xCB, 0xD5, 0x29, 0x22, 0x90, 0x7C, 0x9A, 0xA4, 0x3F, 0xB0, 0x15, 0xA5, 0xF2, 0x5F, 0xEE, 0xF4, 
        0xF0, 0xDC, 0x61, 0x76, 0x06, 0xC8, 0xD6, 0xDE, 0xDB, 0x69, 0x8C, 0x0F, 0x8B, 0xB5, 0x40, 0x9C, 
        0x41, 0xF7, 0xD4, 0x67, 0x27, 0xF8, 0xCA, 0x24, 0x39, 0xEB, 0x05, 0x63, 0x51, 0xC4, 0xD3, 0xE2, 
        0xF3, 0x93, 0x0C, 0x07, 0x2A, 0x59, 0xA7, 0x0A, 0x82, 0x1D, 0xBC, 0x9B, 0x3D, 0x43, 0x10, 0xB9, 
        0xCC, 0xB1, 0x5C, 0x84, 0x23, 0x32, 0xEF, 0xB7, 0xB4, 0x25, 0xBE, 0x52, 0x86, 0xCF, 0x57, 0x17, 
        0x1F, 0x6E, 0xEA, 0x4D, 0x4E, 0xC9, 0xCE, 0x5A, 0x4C, 0x91, 0xFD, 0xEC, 0x42, 0xBA, 0x33, 0xDD, 
        0xFF, 0xD1, 0xFA, 0x8D, 0xAD, 0xB3, 0xD7, 0x78, 0x9F, 0xD8, 0x16, 0xE5, 0x4F, 0xE0, 0xE4, 0xE8, 
        0xB6, 0x3B, 0xBB, 0x53, 0x6D, 0xC6, 0xC5, 0x19, 0x54, 0xC3, 0xCD, 0xAC, 0x8E, 0x83, 0x80, 0xF5, 
        0x79, 0x89, 0x60, 0x8F, 0x72, 0x98, 0xA8, 0x64, 0x02, 0x49, 0x26, 0x20, 0x46, 0x56, 0x00, 0x7B]

def swap(box, m, n):
    t = box[m]
    box[m] = box[n]
    box[n] = t

i = 1; index = 0; k = 0
while index < 32:
    k = 0xff&(k + box[i])
    swap(box, i, k)
    text[index] ^= box[0xff&(box[i] + box[k])]
    i += 1
    index += 1

print ''.join(map(chr, text))[::-1]

更新一波,看到夜影巨巨的去花,很灵性:https://blog.csdn.net/whklhhhh/article/details/89078090

「已注销」
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
西湖论剑 easyCpp writeup
qq_43547885的博客
01-13 171
西湖论剑 easyCpp writeup 文章目录西湖论剑 easyCpp writeup分析Part01:初始化Part02:调用 `transform` 对 `vector` 进行操作Part03:调用 `accumulate` 对数组元素进行处理Part04:剩余的一点总结**对于 STL 库函数的分析****lambda 表达式的逆向** 一道经典的 C++ 的逆向,做完之后总结一下 分析 64位elf,无壳,直接拖入 IDA 中进行分析 主要的逻辑全部在 main 函数中实现 Part01
2019西湖论剑writeup
weixin_44113469的博客
04-07 1796
pwn 0x01 story 保护 开启了NX,canary 题目分析 明显的格式化字符漏洞,用来泄露canary的值,直观思路 v1控制写入s的数量,可以控制v1使s溢出,控制ret返回puts,泄露某个函数地址,计算出libc基址,算出system,str_bin_sh。再次溢出,getshell。 # -*- coding:utf-8 -*- from pwn import *...
2023西湖论剑RE--BabyRE
qq_61670993的博客
03-05 549
小菜鸡一枚
2019西湖论剑网络安全技能大赛(大学生组)部分WriteUp
weixin_30501857的博客
04-08 637
这次比赛是我参加以来成绩最好的一次,这离不开我们的小团队中任何一个人的努力,熬了一整天才答完题,差点饿死在工作室(门卫大爷出去散步,把大门锁了出不去,还好学弟提了几个盒饭用网线从窗户钓上来才吃到了午饭)。写好WP回到宿舍的时候已经快十二点了,随便吃了点面包倒头就睡...... 接下来大概写写我们的解题思路,由于做题的时候没想到可以进名次,而且赛后比赛平台也关了,所以很多实现过程的截图就...
2021西湖论剑网络安全大赛部分WP
七堇年的博客
12-23 4640
2021西湖论剑网络安全大赛WP
2024西湖论剑数据安全PHPEMS源码包
最新发布
02-14
"2024西湖论剑数据安全PHPEMS源码包" 提及的正是这个系统在2024年西湖论剑这一信息安全盛会上的展示或竞赛用例。西湖论剑,是中国极具影响力的信息安全年度大会,汇聚了众多顶尖的安全专家和技术爱好者,探讨和分享...
西湖论剑2021中国杭州网络安全技能大赛.zip
12-07
CTF 西湖论剑 决赛 2021
2021西湖论剑网络安全大会PPT汇总.zip
10-27
2021西湖论剑网络安全大会PPT汇总。 1、赋能数据开放、激活数据价值 2、防范电信网络诈骗科普分论坛-数字时代下的电信网络诈骗及防范 3、防范电信网络诈骗科普分论坛-网络空间生存法则 4、工业互联网安全分论坛-...
2021西湖论剑演讲ppt合集.zip
11-18
2021西湖论剑演讲ppt合集 数据开放和工业互联网
2019西湖论剑预选赛题目及write up(难度中等)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大赛必刷题
2019西湖论剑预选赛部分WP
weixin_33826609的博客
04-13 382
Web babyt3 点进链接发现提示 include $_GET['file'] 估计是文件包含漏洞 尝试包含index.php,发现一串base64编码,解码得到 <?php $a = @$_GET['file']; if (!$a) { $a = './templates/index.html'; } ...
后记:2020西湖论剑逆向babyre的wp
sln_1550的博客
10-12 705
这个题目对我而言太难了,比赛的时候只做了个crypto简单题和逆向的flow,这个babyre没时间看,赛后花了2天才搞出来。 题目是个PE32的可执行程序,体积挺大的,调试的时候一直报非法指令,应该是有反调试的措施。 用x64dbg也是一样,看来动态调试这条路是走不通了,干脆耐心的分析代码。 首先根据报错,查到主程序逻辑是在sub_1543D0里: 这里是一个虚机,具体代码在开头会有初始化: 右边注释是我手工写的 0x01, 0x63, 0x00, load strings 0 & output
CTF.show-mx密码3
LhzZxx的博客
09-07 119
培根密码
中国互联网十年白皮书
千禧龙的专栏
12-17 7695
新浪科技:中国互联网十年白皮书   作者:新浪科技 金朝、徐志斌、金磊、张凯锋、郭开森   序言:10年短暂的历史依然可以为鉴  野火烧不尽,春风吹又生。用这句古诗词来形容当下中国互联网创业的力量,可以说恰如其分。随着2004年以来美国纳斯达克股市的复苏,大洋此岸的中国,正在经历民间互联网创业的又一个黄金时期。  我们正在经历自1995年张树新建立瀛海威开创中国民间互联网产业以来的第二次创业高潮。
2021西湖论剑 Re wp
AlwaysBetter
11-23 593
菜狗是不可能AK的, 只能靠做一道签到维持生活这样子 ROR 用z3 一把梭了: from z3 import* res_box = [ 0x65, 0x55, 0x24, 0x36, 0x9D, 0x71, 0xB8, 0xC8, 0x65, 0xFB, 0x87, 0x7F, 0x9A, 0x9C, 0xB1, 0xDF, 0x65, 0x8F, 0x9D, 0x39, 0x8F, 0x11, 0xF6, 0x8E, 0x65, 0x42, 0xDA, 0xB4, 0x.
西湖论剑 2023 比赛复现
shinygod的博客
02-11 1381
在copy 路由会检验 ip 地址是否为 127.0.0.1,且请求体不能有__proto__。在 curl 路由中我们可以用http 请求走私来访问 copy 从而可以绕过 copy 路由里面的 ip 检测,然后利用constructor.prototype 替代__proto__,最后打ejs就行了。
190407 逆向-西湖论剑
热门推荐
whklhhhh的博客
04-08 2万+
Re1-easyCpp IDA打开发现一大堆模板很丑,但仔细看一下其实只有一堆变量来回操作而已 基本上就是各种STL和vector的用法,算法名都保留下来了所以难度下降很多 基本流程是接收输入、生成斐波那契数列的十六项 然后对输入依次使用transform和accumulate算法 分别是遍历vector中的一元运算和二元运算 运算都是自定义的方法,双击算法进去可以看到lambda函数 tra...
西湖论剑CTF2019
a16511232的博客
04-11 7462
Crypto 哈夫曼之谜 哈夫曼.png 下载下来就一个文件,里面全是0101和一些字符。 搜索哈夫曼,了解到哈夫曼压缩时用到的哈夫曼树。 猜测下面的字符代表频率。 哈夫曼树建立过程如下 哈夫曼树建立.gif 字符不多,直接在草稿纸上手写。 哈夫曼手写.jpg 圆圈内就是构建好后对应字符的哈夫曼编码。 在建立过程中,对于...
2019 安恒周周练西湖论剑特别版 pwn 题目wp
abc380620175的博客
03-28 552
pwn1 考点:构造 shellcode,patch 汇编指令 IDA 查看反汇编,程序的逻辑很简单如,如果 直接 f5 的话 IDA 可能识别不出来函数,问题出在 0x080484CF 这个地方,call eax 指令识别不出来,所以这里可以先 patch 成 nop,之后 f5 就正常了。 程序把输入当成 shellcode 直接来执行,很显然是直接往栈上写 shellcode ...
2021西湖论剑 zip
09-26
2021西湖论剑是一场面向全球的技术大赛,旨在选拔和展示在信息技术领域有创新能力和实践经验的优秀人才。zip是这次比赛的主题之一,它代表着压缩和解压缩文件的技术。 zip技术是一种常用的文件压缩算法,它能将多个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值