逆向Fibonacci-WP

最新推荐文章于 2024-05-27 10:26:23 发布
最新推荐文章于 2024-05-27 10:26:23 发布
阅读量207 收藏
点赞数
分类专栏: 逆向 文章标签: CTF、Reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/99702107
版权

前言

分析

在这里插入图片描述

  • 64位未知的可执行程序,用IDA打开可以看到很多很复杂的代码。看不太懂,于是单步跟了几次。发现程序会解密一段代码,然后开启一个线程去执行解密出来的代码。但是线程里边函数下断似乎没什么好的效果。
  • 然后在字符串中看到很多java代码的身影
    在这里插入图片描述
  • 莫非刚才解密的是java的代码?由此想起了我们课设的时候,有同学用java写项目,然后用某种工具生成EXE文件,那么应该有某种方法可以提取出原来的代码数据。
  • 上了度娘之后,看到了夜影师傅的题解,此题才得以比较顺利的解决。
  • 原来使用了Jar2Exejava代码和jvm一起打包成exe,可以使得在没有java虚拟机的机器上运行该java程序。原理则是通过JNI接口,创建JVM来执行封装的java代码。
  • 通过前面的单步得知,这是在内部执行代码,我们没有现成的文件可以反编译,只能是通过dump内存来获取java代码数据
  • 有个自动化工具 e2j-agent.jar,此工具能够dump出被执行过的方法,而没有被执行的方法是不能dump的。
  • 现在解包一下程序
    在这里插入图片描述
  • 然后在该工具目录下会出现一个dump文件,用jd-gui打开
    在这里插入图片描述
  • 发现还有不完整的地方,例如找不到b这个类。如果说这个程序的flag是求a[100000000000000],很不现实;flag很有可能就是变量m
  • 要得到b类,还得dump内存。java数据存放在RCDATA段,我使用的是ResouceHack来找到相关的段落
    在这里插入图片描述
  • 这是unicode编码,将其转为hex,然后用十六进制编辑器打开源程序,找到对应数据的偏移
    在这里插入图片描述
    在这里插入图片描述
  • 得到文件偏移是0x71D98,然后用x64dbg加载源文件,快捷键ctr+shift+g,填入文件偏移来到java原始数据处
    在这里插入图片描述
  • 硬件-访问8字节断点,运行程序,最后确定断在的解密行数位置在
    在这里插入图片描述
  • 可以联想脱壳的过程,这个jb跳转实际上就是循环解密,我们在他的下一个位置下断。运行程序,直到断下,此时观察寄存器状态。
    在这里插入图片描述
    在这里插入图片描述
  • 可以确定r10指向的内存就是解密后的java代码。用Scylla dump内存,大小是猜测的,无法确定,我测试过后填的是1900,再大点就dump不出来了
    在这里插入图片描述
  • 文件名后缀是jar,然后又一个坑点就是在这个文件必须用win rar解压,我习惯用360解压,但他总是给我报错——压缩文件损坏。导致我一度认为dump内存那个步骤错了,很烦。最后解压出来得到
    在这里插入图片描述
  • 用十六进制编辑器依次打开,可以知道1ab0208dc7dce9e9是class文件,用jd-gui打开得到完整的java代码
    在这里插入图片描述

脚本

package 逆向脚本;

public class Test {
	public static String hello(String aaa, String bbb)
	  {
	    int[] iS = new int[256];
	    byte[] iK = new byte[256];
	    for (int i = 0; i < 256; i++) {
	      iS[i] = i;
	    }
	    int j = 1;
	    for (short i = 0; i < 256; i = (short)(i + 1)) {
	      iK[i] = ((byte)bbb.charAt(i % bbb.length()));
	    }
	    j = 0;
	    for (int i = 0; i < 255; i++)
	    {
	      j = (j + iS[i] + iK[i]) % 256;
	      int temp = iS[i];
	      iS[i] = iS[j];
	      iS[j] = temp;
	    }
	    int i = 0;
	    j = 0;
	    char[] iInputChar = aaa.toCharArray();
	    char[] iOutputChar = new char[iInputChar.length];
	    for (short x = 0; x < iInputChar.length; x = (short)(x + 1))
	    {
	      i = (i + 1) % 256;
	      j = (j + iS[i]) % 256;
	      int temp = iS[i];
	      iS[i] = iS[j];
	      iS[j] = temp;
	      int t = (iS[i] + iS[j] % 256) % 256;
	      int iY = iS[t];
	      char iCY = (char)iY;
	      iOutputChar[x] = ((char)(iInputChar[x] ^ iCY));
	    }
	    return new String(iOutputChar);
	  }
	public static void main(String[] args) {
		 char[] x = { '}', '\020', 'ý', 'É', '\013', '\026', '9', 'D', '7', ',', ' ', 'Í' };
		 char[] y = {
		    't', 
		    '–', 
		    '®', 
		    'D', 
		    '´', 
		    'Z', 
		    'Ö', 
		    '½', 
		    'O', 
		    '5', 
		    '
', 
		    '\n', 
		    '+', 
		    '+', 
		    '½', 
		    'Ù', 
		    'O', 
		    '`', 
		    '\023', 
		    'Š', 
		    'Ç', 
		    '€', 
		    '@', 
		    'Ü', 
		    'Þ', 
		    'ê', 
		    '\013', 
		    '¯', 
		    'ä', 
		    '' };
		  
		 System.out.println(hello(new String(y),new String(x)));
	}
}

PCTF{1ts_not_5c2ipt_Chall3nge}

补充

  • 写脚本的时候注意 tostring与new string的区别

toString()与new String ()用法区别
str.toString是调用了b这个object对象的类的toString方法。一般是返回这么一个String:[class name]@[hashCode]。
new String(str)是根据parameter是一个字节数组,使用java虚拟机默认的编码格式,将这个字节数组decode为对应的字符。若虚拟机默认的编码格式是ISO-8859-1,按照ascii编码表即可得到字节对应的字符。

飞鸿踏雪(蓝屏选手)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
提取经过Jar2Exe编译加密的源代码 教程1
RaviNow的专栏
04-11 5703
注意:本教程仅供学习交流之用,请勿用于非法用途。对于本教程带来的所有后果,作者均不承担任何法律责任。 背景:Jar2Exe是一款优秀的java源码加密软件,它能够将jar包加密为本地能够执行的exe文件,并能够附带Java语言运行时(JRE),从而免除了客户机器需要安装JRE等繁琐的步骤。本文介绍了如何从Jar2Exe编译的exe文件中提取原始的类文件。 Jar2Exe一共有三
逆向练习一
sjt670994562的博客
09-18 804
Newbie_calculations 这道题刚开始看的时候,特别多的函数着实被吓到了,但是仔细分析其实可以发现里面很多东西就是迷惑我们思路的 开始运行发现,根本运行不完,所以只能看代码,发现没有输入点,观察结尾,应该是最后自动打印flag,这时候应该是要我们理解算法复刻算法了 有三个算法,其实就是加减乘,加法比较简单,这里面的逻辑开始我发现根本运行不完的,但是计算机不能用平常数学来看,负数会用...
2021年11月逆向练习
抒情诗
11-18 1817
前言 最近每天打游戏,现在脑子里都快出现幻觉了,决定学习一段时间冷静一下脑子,下次打游戏务必冷静,每天打游戏不能超过60分钟!今天到月末,我一有空就会刷一会儿逆向题目来学习一下,每天至少要做一道逆向题目,也就是说到本月末要做至少13道题目,目标不大,现就这样吧。 一、BugKu-Timer(阿里CTF) 1. 简单分析 安装之后发现是一个倒计时,倒计时的初始数值非常大哈。那再拿到jadx-gui里面康康,发现内部加载了so文件,将apk文件以压缩包的形式打开之后拉出来一个so文件逆一下。 ida32位打开s
CTF逆向总结(二)
沐一 · 林 的博客
10-21 5698
CTF 逆向总结 非预期行为: 指解题中出现与预想结果不符合的一系列非预期行为,这基本说明了在中间或前面存在其他自己还没分析的操作。 不同系统的特殊数: 指解题中遇到考察特定位数系统中特定的数的真实值的时候,需要辨认出对应的值才能继续解题。如:32位系统中100000000就是0了 冗余中锁定关键代码: 从后往前看,就是确定比较关键对象,从该对象开始排除其他无关变量,一步步找出与该对象有关的其它变量,最后串起找到的所有相关变量,然后开始逆向分析。 题目类型总结: 题目描述
i春秋网络内生试验场CTF答题夺旗赛(第三季)WP
李熠专用博客_白帽子一枚,人称低危终结者
11-30 2419
0x01 weak 依次点击管理平台->跳转到测试页,可看到测试页代码,可知是一道MD5弱类型的题,只需要找到MD5加密出来为0e,并且用户名和密码不相等且不为数字的即可,笔者已找到两个符合条件的明文,分别是:QNKCDZO和aabg7XSs,回到管理页,用户名和密码分别输入可得flag。 0x02 Electrical System 逆向分析程序可知,这是一个栈溢出的题,编写exp如下:...
ctf刷题和一些比赛wp
m0_73693218的博客
11-23 1214
萌新的ctf刷题日记,文章可能会有大量错误,欢迎各位大佬指教
招新赛WP(crypto)
Tinyyy1的博客
10-31 168
由q = next_prime(getPrime(16) * p + 38219)可知,q为p*getPrime(16)+38219的下一个素数,因此getPrime(16)较小,所以我们可以在其取值范围为遍历出符合题目的值,从而解出q。ak,prod为M,p为Mi,inverse(p,m_i)为Mi的逆元。可以用工具,但我建议锻炼一下写代码的能力。先异或运算,既然c=m^s,那么m=c^s,转一下字符串,得到一半的flag,也就是key。题中的斐波那契数列运行不出来,根据我给的hint,降低复杂度。
sus 逆向 writrup
MozhuCY的博客
09-21 1624
东南的平台又放了新题,这次决定都做一下试试,在这里记录解题过程,因为是平时练习,我会尽可能多的把思路和解法写全,鉴于东南平台的wp不是很多,也方便下一届萌新的自主练习.平台地址:http://sus.njnet6.edu.cn helloworld 逆向签到题,直接f5看到内部if条件即可 抛开f5,分析一下汇编,首先是函数头部连续mov到栈中的数据,也就是flagenc 1 2 3...
2024年ISCC练武题部分WriteUp
最新发布
Aluxian_的博客
05-27 976
2024年ISCC练武题部分WriteUp
Fibonacci:斐波那契-matlab开发
05-29
如何使用for循环编写斐波那契数列,选取Fn=x的入口编号,并绘制它们
Fibonacci-helix:斐波那契螺旋
05-17
Fibonacci-helix 斐波那契螺旋线 Picture
Fibonacci-c++
04-03
c++递归实现斐波那契
fibonacci-heap:Java Fibonacci-Heap 实现
06-22
斐波那契堆Java 实现用法这个 Fibonacci-Heap 实现实现了java.util.Queue接口,因此用户只需获取一个新实例,即: import java.util.Queue;import org.nnsoft.trudeau.collections.fibonacciheap;...Queue<Integer> ...
single-character-Fibonacci-function.zip_single_斐波那契
09-23
用单片机的汇编语言实现单字符斐波那契函数,且循环次数为8次。
01Editor最新破解
qq_41252520的博客
12-30 8855
注册的提示信息还有界面的提示信息很丰富,这为我们定位关键代码提供了充分的线索。此函数条件为真的分支存在多对1情况,导致逆函数不能保证得到正确的原函数输入,而原函数的输入在后面验证的时候还需要用到。因此,这个函数的逆函数没有意义。在满足条件3、6和7,就能确定hb中的所有元素,然后反求得serial。注意:这个函数是多对一的,所以这个函数的反函数就成了一对多。以上就是所有注册算法流程,接下来考虑如何获得正确的任意用户名的序列号。因为有处条件永不满足。,用来和序列号某个部分进行对比的,所以该函数也不用求逆。
两道逆向题分析总结
qq_41252520的博客
03-31 5206
HWS2021——Enigma 前言 这是一道来自华为2021硬件安全冬令营线上赛的一道虚拟机逆向题,比较有特点的是整个虚拟机的操作隐藏在了异常处理函数中,正常用类似 OD调试器不能顺利调试。这种反调试结合虚拟机技巧值得学习。 分析工具:IDA 7.0 1.分析 1.1.整体流程 程序没有加壳,运行之后出现提示: 根据关键信息,来到主函数: int __cdecl main(int argc, const char **argv, const char **envp) { FILE *fout; //
CVE-2019-1458 分析
qq_41252520的博客
09-15 2155
CVE-2019-1458 0x00 漏洞简介 CVE-2019-1458是Win32k中的特权提升漏洞,Win32k组件无法正确处理内存中的对象时,导致Windows中存在一个特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式下运行任意代码。然后攻击者可能会安装程序、查看、更改或删除数据;或创建具有完全用户权限的新帐户。 0x01 影响版本 Microsoft Windows 10 Version 1607 for 32-bit Systems Microsoft Windows 10 Version
RCTF-2015-notsequence WP
qq_41252520的博客
09-05 1421
前言 这道题目有多解,但是只有一组解是flag。再次提醒自己,搞逆向的数学一定要学好,至少大学之前的数学还能有印象! 分析 程序无花无壳,直接IDA反编译。 结构很清晰,分别来看这两个 check 函数。 通过测试可以得知这些 下标 的含义,如果我们用符号来作为输出,就会很清晰了: 然后这个函数检测的就是行 i 的数字之和 v3 = 2i。其实数学好的话,仅看这个函数就立马想到是 杨辉...
CREATE PROCEDURE sp_fibonacci -------------- (1 row) n | fibn ---+------ 0 | 0 1 | 1 (2 rows)
05-19
在上述示例中,CREATE PROCEDURE sp_fibonacci 可能是创建了一个名为sp_fibonacci的存储过程,用于计算斐波那契数列,并返回n和对应的斐波那契数fibn。具体的实现方式需要根据具体的数据库系统来确定,您可以查看...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值