湖湘杯-re

最新推荐文章于 2021-12-09 20:56:58 发布
最新推荐文章于 2021-12-09 20:56:58 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: 逆向学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37439229/article/details/109452127
版权

re1

ibm s/390 看逻辑就是个解方程,z3试一下,原本用bitvec,发现看上去就不怎么对,用int 就好了,真奇怪

指令意思
larl a1 a2存地址到a1
brasl a1 a2call a2
aghik a1 ,a2,a3a1 = a2+a3
lgr a1 a2load
lar; a1 ,a2load address long
ltr a1 ,a2load and test
ldgr和load差不多
layload an address
mvhi a1 a2move a1 = a2
lgfload
agadd
larlload
from z3 import *

table = [0x00, 0x00, 0xB2, 0xB0, 0x00, 0x00, 0x6E, 0x72, 0x00, 0x00, 0x60, 0x61, 0x00, 0x00, 0x56, 0x5D, 0x00, 0x00, 0x94, 0x2D, 0x00, 0x00, 0xAC, 0x79, 0x00, 0x00, 0x39, 0x1C, 0x00, 0x00, 0x64, 0x3D, 0x00, 0x00, 0xEC, 0x3F, 0x00, 0x00, 0xBD, 0x10, 0x00, 0x00, 0xC4, 0x3E, 0x00, 0x00, 0x7A, 0x65, 0x00, 0x00, 0x18, 0x4B, 0x00, 0x00, 0xEF, 0x5B, 0x00, 0x00, 0x5A, 0x06, 0x00, 0x00, 0xA8, 0xC0, 0x00, 0x00, 0xF6, 0x4B, 0x00, 0x00, 0xC7, 0x74, 0x00, 0x00, 0x02, 0xFF, 0x00, 0x00, 0x8E, 0x57, 0x00, 0x00, 0xAE, 0xD9, 0x00, 0x00, 0xD8, 0xA9, 0x00, 0x00, 0x23, 0x0C, 0x00, 0x00, 0x74, 0xE8, 0x00, 0x00, 0xC2, 0xA6, 0x00, 0x00, 0x88, 0xB3, 0x00, 0x00, 0xAF, 0x2A, 0x00, 0x00, 0x9E, 0xA7, 0x00, 0x00, 0xCE, 0x8A, 0x00, 0x00, 0x59, 0x24, 0x00, 0x00, 0xD2, 0x76, 0x00, 0x00, 0x56, 0xD4, 0x00, 0x00, 0x77, 0xD7, 0x00, 0x00, 0x99, 0x0E, 0x00, 0x00, 0xB5, 0x85, 0x00, 0x00, 0x4B, 0xCD, 0x00, 0x00, 0x52, 0x77, 0x00, 0x00, 0x1A, 0xFC, 0x00, 0x00, 0x8C, 0x8A, 0x00, 0x00, 0xCD, 0xB5, 0x00, 0x00, 0x6E, 0x26, 0x00, 0x00, 0x4C, 0x22, 0x00, 0x00, 0x67, 0x3F, 0x00, 0x00, 0xDA, 0xFF, 0x00, 0x00, 0x0F, 0xAC, 0x00, 0x00, 0x86, 0xC7, 0x00, 0x00, 0xE0, 0x48, 0x00, 0x00, 0xC4, 0x83, 0x00, 0x00, 0x85, 0xD3, 0x00, 0x00, 0x22, 0x04, 0x00, 0x00, 0xC2, 0xEE, 0x00, 0x00, 0xE0, 0x7F, 0x00, 0x00, 0x0C, 0xAF, 0x00, 0x00, 0xBF, 0x76, 0x00, 0x00, 0x63, 0xFE, 0x00, 0x00, 0xBF, 0xFB, 0x00, 0x00, 0x4B, 0x09, 0x00, 0x00, 0xE5, 0xB3, 0x00, 0x00, 0x8B, 0xDA, 0x00, 0x00, 0x96, 0xDF, 0x00, 0x00, 0x86, 0x6D, 0x00, 0x00, 0x17, 0x19, 0x00, 0x00, 0x6B, 0xCF, 0x00, 0x00, 0xAD, 0xCC, 0x00, 0x00, 0x0F, 0x2B, 0x00, 0x00, 0x51, 0xCE, 0x00, 0x00, 0x15, 0x49, 0x00, 0x00, 0x20, 0xC1, 0x00, 0x00, 0x3A, 0x8D, 0x00, 0x00, 0x05, 0xF5, 0x00, 0x00, 0x54, 0x03, 0x00, 0x00, 0x11, 0x25, 0x00, 0x00, 0x91, 0x61, 0x00, 0x00, 0xE2, 0xA5, 0x00, 0x00, 0x51, 0x96, 0x00, 0x00, 0xD8, 0xD2, 0x00, 0x00, 0xD6, 0x44, 0x00, 0x00, 0xEE, 0x86, 0x00, 0x00, 0x38, 0x96, 0x00, 0x00, 0x2E, 0x71, 0x00, 0x00, 0xA6, 0xF1, 0x00, 0x00, 0xDF, 0xCF, 0x00, 0x00, 0x3E, 0xCE, 0x00, 0x00, 0x7D, 0x49, 0x00, 0x00, 0xC2, 0x4D, 0x00, 0x00, 0x23, 0x7E, 0x00, 0x00, 0x93, 0x52, 0x00, 0x00, 0x7A, 0x97, 0x00, 0x00, 0x7B, 0xFA, 0x00, 0x00, 0xCB, 0xAA, 0x00, 0x00, 0x10, 0xDC, 0x00, 0x00, 0x3B, 0xD9, 0x00, 0x00, 0x7D, 0x7B, 0x00, 0x00, 0x3B, 0x88, 0x00, 0x00, 0xB0, 0xD0, 0x00, 0x00, 0xE8, 0xBC]
result = [0x8A73233,0x116DB0F6,0xE654937,0x3C374A7,0x16BC8ED9,0x846B755,0x8949F47,0x4A13C27,0x976CF0A,0x7461189,0x1E1A5C12,0x11E64D96,0x3CF09B3,0x93CB610,0xD41EA64,0x7648050,0x92039BF,0x8E7F1F7,0x4D871F,0x1680F823,0x6F3C3EB,0x2205134D,0x15C6A7C,0x11C67ED0,0x817B32E,0x6BD9B92,0x8806B0C,0x6AAA515,0x205B9F76,0xDE963E9,0x2194E8E2,0x47593BC]
table_1 = []
for i in range(0, len(table), 4):
    num = (table[i] << 24) + (table[i + 1] << 16) + (table[i + 2] << 8) + table[i + 3]
    table_1.append(num)





flag = [Int("a%d" % i) for i in range(32)]
s = Solver()
for i in range(32):
    s.add(flag[i] * flag[i] * table_1[i] + flag[i] * table_1[0x20 + i] + table_1[0x40 + i] == result[i])
for i in range(32):
    s.add(flag[i]>=0x30 ,flag[i]<0x7f)

if s.check()==sat:
    m = s.model()
    Str = [chr(m[flag[i]].as_long().real) for i in range(32)]
    print("".join(Str))

re2

比较简单
加密算法换成python 语言就是

tmp = a[0] &0xe0
for i in range(len(a)-1):
    a[i] = ((a[i]<<3)|(a[i+1]>>5))&0xff
    a[i] = a[i] ^i
a[23] = (a[23]<<3)|(tmp>>5)

原本想从后往前爆破,发现情况太多就用z3l

from z3 import *
flag = [BitVec('x%d'%i,8) for i in range(0x28)]
s = Solver()
b = [0x2B, 0x08, 0xA9, 0xC8, 0x97, 0x2F, 0xFF, 0x8C, 0x92, 0xF0, 
  0xA3, 0x89, 0xF7, 0x26, 0x07, 0xA4, 0xDA, 0xEA, 0xB3, 0x91, 
  0xEF, 0xDC, 0x95, 0xAB]
for i in range(23):
  s.add((((flag[i]<<3)|(flag[i+1]>>5))&0xff) ^i==b[i])
s.add(((flag[23]<<3)|((flag[0]&0xe0)>>5))&0xff==b[23])
if s.check() == sat:
   m = s.model()
   Str = [chr(m[flag[i]].as_long().real) for i in range(24)]
   print("".join(Str))

re3

又是个python打包的exe(都出烂了。。。)
源码

# uncompyle6 version 3.7.2
# Python bytecode 3.7 (3394)
# Decompiled from: Python 3.6.0 (v3.6.0:41df79263a11, Dec 23 2016, 08:06:12) [MSC v.1900 64 bit (AMD64)]
# Embedded file name: ReMe.py
# Compiled at: 1995-09-28 00:18:56
# Size of source mod 2**32: 272 bytes
import sys, hashlib
check = [
 'e5438e78ec1de10a2693f9cffb930d23',
 '08e8e8855af8ea652df54845d21b9d67',
 'a905095f0d801abd5865d649a646b397',
 'bac8510b0902185146c838cdf8ead8e0',
 'f26f009a6dc171e0ca7a4a770fecd326',
 'cffd0b9d37e7187483dc8dd19f4a8fa8',
 '4cb467175ab6763a9867b9ed694a2780',
 '8e50684ac9ef90dfdc6b2e75f2e23741',
 'cffd0b9d37e7187483dc8dd19f4a8fa8',
 'fd311e9877c3db59027597352999e91f',
 '49733de19d912d4ad559736b1ae418a7',
 '7fb523b42413495cc4e610456d1f1c84',
 '8e50684ac9ef90dfdc6b2e75f2e23741',
 'acb465dc618e6754de2193bf0410aafe',
 'bc52c927138231e29e0b05419e741902',
 '515b7eceeb8f22b53575afec4123e878',
 '451660d67c64da6de6fadc66079e1d8a',
 '8e50684ac9ef90dfdc6b2e75f2e23741',
 'fe86104ce1853cb140b7ec0412d93837',
 'acb465dc618e6754de2193bf0410aafe',
 'c2bab7ea31577b955e2c2cac680fb2f4',
 '8e50684ac9ef90dfdc6b2e75f2e23741',
 'f077b3a47c09b44d7077877a5aff3699',
 '620741f57e7fafe43216d6aa51666f1d',
 '9e3b206e50925792c3234036de6a25ab',
 '49733de19d912d4ad559736b1ae418a7',
 '874992ac91866ce1430687aa9f7121fc']

def func(num):
    result = []
    while num != 1:
        num = num * 3 + 1 if num % 2 else num // 2
        result.append(num)

    return result


if __name__ == '__main__':
    print('Your input is not the FLAG!')
    inp = input()
    if len(inp) != 27:
        print('length error!')
        sys.exit(-1)
    for i, ch in enumerate(inp):
        ret_list = func(ord(ch))
        s = ''
        for idx in range(len(ret_list)):
            s += str(ret_list[idx])
            s += str(ret_list[(len(ret_list) - idx - 1)])

        md5 = hashlib.md5()
        md5.update(s.encode('utf-8'))
        if md5.hexdigest() != check[i]:
            sys.exit(i)

    md5 = hashlib.md5()
    md5.update(inp.encode('utf-8'))
    print('You win!')
    print('flag{' + md5.hexdigest() + '}')

爆破就行

check = [
 'e5438e78ec1de10a2693f9cffb930d23',
 '08e8e8855af8ea652df54845d21b9d67',
 'a905095f0d801abd5865d649a646b397',
 'bac8510b0902185146c838cdf8ead8e0',
 'f26f009a6dc171e0ca7a4a770fecd326',
 'cffd0b9d37e7187483dc8dd19f4a8fa8',
 '4cb467175ab6763a9867b9ed694a2780',
 '8e50684ac9ef90dfdc6b2e75f2e23741',
 'cffd0b9d37e7187483dc8dd19f4a8fa8',
 'fd311e9877c3db59027597352999e91f',
 '49733de19d912d4ad559736b1ae418a7',
 '7fb523b42413495cc4e610456d1f1c84',
 '8e50684ac9ef90dfdc6b2e75f2e23741',
 'acb465dc618e6754de2193bf0410aafe',
 'bc52c927138231e29e0b05419e741902',
 '515b7eceeb8f22b53575afec4123e878',
 '451660d67c64da6de6fadc66079e1d8a',
 '8e50684ac9ef90dfdc6b2e75f2e23741',
 'fe86104ce1853cb140b7ec0412d93837',
 'acb465dc618e6754de2193bf0410aafe',
 'c2bab7ea31577b955e2c2cac680fb2f4',
 '8e50684ac9ef90dfdc6b2e75f2e23741',
 'f077b3a47c09b44d7077877a5aff3699',
 '620741f57e7fafe43216d6aa51666f1d',
 '9e3b206e50925792c3234036de6a25ab',
 '49733de19d912d4ad559736b1ae418a7',
 '874992ac91866ce1430687aa9f7121fc']
import sys, hashlib
def func(num):
    result = []
    while num != 1:
        num = num * 3 + 1 if num % 2 else num // 2
        result.append(num)

    return result
tmp = ''
for j in range(27):
   for i in range(0x20,0x7f):
     ret_list = func(i)
     s = ''
     for idx in range(len(ret_list)):
            s += str(ret_list[idx])
            s += str(ret_list[(len(ret_list) - idx - 1)])
     md5 = hashlib.md5()
     md5.update(s.encode('utf-8'))
     if md5.hexdigest() == check[j]:
         tmp += chr(i)
         break
print(tmp)

re4就一个xor

a = '7d21e<e3<:3;9;ji t r#w\"$*{*+*$|,'
s = ""
for i in range(len(a)):
    s+=chr(ord(a[i]) ^i)
print(s)
20000s
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 17
    评论
专栏目录
2020年第六届“杯”网络安全技能大赛洞庭决赛第一场-理论答题赛
11-11
第六届“杯”网络安全技能大赛洞庭决赛第一场-理论答题赛200道原题,答题的时候保存的,跟大家分享一下,希望有需要的小伙伴可以自行学习一下。
2017杯pwn200
12-02
【标题】"2017杯pwn200"是一个网络安全竞赛中的挑战项目,专注于Pwn(破解)类别。在这个挑战中,参赛者需要利用编程和安全漏洞的知识来解决问题,通常涉及缓冲区溢出、格式字符串漏洞、堆溢出等攻击技术。这个...
-RE-replace
WocW的博客
11-19 1018
文件拖入PEID,查看到UPX壳,使用UPXSHELL进行脱壳。 然后使用IDA打开. 进入main函数,F5反编译。 main函数里的流程是输入一个长度不大于38的字符串,然后进行处理。 进入sub_401090函数。 阅读流程得: 得知flag长度为35,用byte_402150处的字符串每两个一组进行处理 得到V8与V9。 然后进行相关运算比对,35个字符全部验证完后即...
杯2021-pwn-final部分复现
qq_53062301的博客
12-09 4918
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次杯是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
杯re
Trick的博客
11-14 194
easy_c++ 长度32 关键字符串 v11是一个个字符 下面异或 写脚本 over python_exp: str = "7d21e<e3<:3;9;ji t r#w\"$*{*+*$|," v13 = '' for i in range(32): v11 = ord(str[i:i+1]) v13 += chr(i ^ v11) v11 ^= i print(v13) java_exp: public class Test { public stat
re菜鸡笔记【1】-2020杯easyre
Return的博客
12-05 125
1.IDA打开寻找字符串 2.跟进函数f5查看伪代码,发现无法查看 3.容易解决,找到该地址f5分析 4.成功进入函数但是作用不大,只是判断输入字符串长度,开始od动态调试 看见关键字符串跟进下断点,继续单步向下,运行输入密码 5.找到关键加密段,进行分析 6.分析加密过程为主要是移位运算 7.继续单步跟踪到对比段 8.转到查看对比的原有密文数据 9.写出脚本运行得到flag 10.输入得到答案 11.将ea5yre_1s_50_ea5y_t0_y0u进行MD5加密 12.最终答案为C
171125 逆向-杯RE
whklhhhh的博客
11-28 549
1625-5 王子昂 总结《2017年11月25日》 【连续第421天总结】 A. 杯Re-WriteUp B.Re4newer查壳发现加了UPX,脱壳机操作以后无法运行,于是直接静态分析 查找字符串锁定这里 再看内部校验: 很简单的异或,只不过硬编码的顺序有一些变换,在脚本中相应处理即可: 简单的Android直接反编译,看到明码flag,提交完成 pyc分析XDCTF
逆向ctf-2020杯Re_03
11-03 1255
样本链接:https://pan.baidu.com/s/14o1QOjYVtOspZd9koT4JCg 提取码:jwrp 一、获取题目压缩包,解压后发现是一个为ReMe.exe的可执行文件,但是奇怪的是在exeinfope中查询结果为: 很明显了,不是PE文件,看图标猜测为python打包的exe文件。既然如此就对exe文件进行反编译操作,因为是使用pyinstaller生成的exe文件,所以对于python打包的exe文件反编译操作流程为,首先下载pyinstxtractor.py文件并放到..
2017杯Writeup
博客搬家了
11-26 2890
作者:LB919 出处:http://www.cnblogs.com/L1B0/ RE部分 0x01 Re4newer 解题思路: Step1:die打开,发现有upx壳。   Step2:脱壳,执行upx -d 文件名即可。     Step3:IDA打开,shift+F12看字符串。            点进去,F5看伪代码如图。
2017杯复赛writeup
weixin_30552811的博客
11-26 285
2017杯复赛writeup 队伍名:China H.L.B 队伍同时在打X-NUCA 和 杯的比赛,再加上周末周末周末啊,陪女朋友逛街吃饭看电影啊。所以精力有点分散,做出来部分题目,现在就写一下吧 杯的题目总的来说还是不错的,但是赛后听别人吐槽有好几个原题 flag 都没变的,唉。 下面就步入正题 WEB 题目名random150 解题思路、...
杯2020 easyre wp
苗_的博客
11-10 441
很久没有写题解博客了,最近忙着学习深度学习= =,杯这道题还是不错的,可以锻炼一下自己动态调试的能力,所以刚好在练习的过程中记录一下,方便以后回顾: 首先拿到文件,查壳发现无壳,运行一下大概就是先判断长度,再判断是否是正确flag: 长度错误就输出wrong length并退出。 拿到ida里看一下,发现没有很明显的入口函数,查找字符串找到input your flag:,找到主函数位置 f5看一下,发现没办法反编译,所以我们就直接上动态调试吧: 在0x40DA40下断点(f2),f8单步
CTF 杯 决赛 2021 final.zip
12-07
【CTF 杯 决赛 2021 final】 CTF(Capture The Flag)是一项网络安全领域的竞技活动,参与者通过解决一系列网络安全问题来获取得分,最终以得分高低决定胜负。杯作为一项知名的CTF比赛,旨在促进网络安全...
第七届“杯”网络安全技能大赛 初赛 zip
12-07
第七届“杯”网络安全技能大赛 初赛
2017杯pwn100的题目
11-30
2017杯pwn100的题目的二进制文件和libc的二进制文件
2021虎符ctf-逆向题解
qq_37439229的博客
04-04 3026
red… mips架构,nmsl GoEncrypt 输入符合正则格式的flag:flag{11111111-1111-1111-1111-111111111111}, 除了”-“的其他hex编码 ,之后分成2组 xtea,脚本 抄百度就行 #include<stdio.h> #include<stdlib.h> #define uint32_t unsigned int void encipher(unsigned int num_rounds, uint32_t v[2], ui
HWS计划2021硬件安全冬令营线上选拔赛 re wp
qq_37439229的博客
02-01 2267
感觉这比赛比较简单。。。花了一天时间做,直接ak逆向了 decription 弱智题,爆破就行 a = [ 0x12, 0x45, 0x10, 0x47, 0x19, 0x49, 0x49, 0x49, 0x1A, 0x4F, 0x1C, 0x1E, 0x52, 0x66, 0x1D, 0x52, 0x66, 0x67, 0x68, 0x67, 0x65, 0x6F, 0x5F, 0x59, 0x58, 0x5E, 0x6D, 0x70, 0xA1, 0x6E, 0x70, 0xA3] b
针对vmp和ollvm的解决方法
qq_37439229的博客
11-25 1011
自我总结 1.angr 2.gdb脚本测试 3.pin插桩 (目前的学习经历知道这几种方法,如果有别的,欢迎师傅们补充,其中pin还没用过,angr就只会写模板,gdb还写不来。一般都动调。。。有待学习,补充) ...
祥云杯-re复现 (未完待续)
qq_37439229的博客
11-23 644
周末祥云杯没打,主要是自己想摸了。。(就是这么直白)还有就是nctf举办,我出题,我到比赛那天还没出完。。。(太咕了。。) 比赛后就想来复现这比赛,看解题人数,感觉满难的,应该很有质量,就跟着null的wp复现吧,一天复现一题 re1 动态调试,发现对flag的每一位进行相同的操作,慢慢看太多了,因此可以gdb脚本爆破, null的脚本写错了把。。程序开了pie,第一句就不对。。。而且while也没让程序重新启动,这里给出我写的 pwndbg> define f1 Type commands for
续写下列内容8.2.2学校推广把地方历史传统文化宣传和修复文物的盲盒活动逐步推广到周围的学校,扩大影响力。
最新发布
04-01
在推广过程中,学校利用校园内的资源,组织了一系列与地方历史传统文化相关的活动,例如文化讲座、书法比赛、古诗词朗诵等,让学生们深入了解文化的底蕴和特点,并通过实际操作感受其中的美妙。 同时,学校...
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值