[安洵杯 2019]crackMe 1

已于 2023-06-05 14:26:28 修改
阅读量262 收藏
点赞数 1
文章标签: windows 开发语言
于 2023-06-03 01:13:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41853048/article/details/131009584
版权

很有趣的一道题,因素好多
运行文件弹出hook successful,说明用到hook注入,查壳发现文件为32位exe文件,中间说是缺少一个dll文件,直接百度下载过来就可以运行了
在这里插入图片描述
定位到main主函数发现原先输出的窗口和代码内的数据不匹配,动态调试发现调用MessageBoxW api时并没有直接调用而是进入了下面这个函数,这是因为win32 api在调用时会触发消息机制,会形成回调函数 ,搞错了,hook和回调函数是两个东西,一个是在消息产生传输时,一个是在api函数被执行完毕,即消息完成了传输。他们都可以用来同时执行另一个可以由用户自定义函数
在这里插入图片描述
在这里可以发现将

  • Str表中大小写发生了转化
  • AddVectoredExceptionHandler函数用于添加一个新的VEH全局异常处理程序。VEH(Vectored Exception Handler)是一种Windows操作系统提供的机制,用于处理来自应用程序的异常。
    因为在下面我们可以看到对内存为0的位置发生写入触发了一个异常,即为这里的函数handler开始执行
    在这个异常处理函数里面又设置了一个异常处理机制
    SetUnhandledExceptionFilter:用于为当前线程设置未处理异常处理程序。当一个未处理的异常导致线程退出时,系统会调用这个处理程序来处理该异常。
    在这里插入图片描述
    可以发现然后将v2当做密钥传入了下一个函数里面,有师傅说可以通过0xA3B1BAC6标识符看出是sm4加密,可恶第一次听说这个加密,标识符Rk[4]={0xA3B1BAC6, 0x56AA3350, 0x677D9197, 0xB27022DC};和md5感觉有点像
    接着进入Top函数
    在这里插入图片描述
    先将str2中字符串两两交换位置,看末尾函数发现str2为结尾判断字符串,a1赋值半天好像并没起什么作用,只剩下最后一个加密函数了98126c
    在这里插入图片描述
    为一个base64加密的变式,前面我们知道Str大小写被改变了,而且通过sub_9810ff函数间接赋值,对原结果进行了偏移,偏移了24
    在这里插入图片描述所以可以直接看做对base64进行了一个换表
  • 更换原表大小写
  • 偏移24

综上所述:

  • str1为输入flag经过sm4加密然后base64换表加密
  • str2原字符串两两字符位置发生交换

wp

#include"stdio.h"
#include"string.h"

int A_a(char *Str);
int encode(char *flag,char *table,int a[]);
int main(){
	char key[]="1UTAOIkpyOSWGv/mOYFY4R!!";
	char flag[sizeof(key)] ={0};
	int num[50]={0};
	//int num2[50]={0};
	char table[]="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";
	for(int i=0;i<strlen(key);i+=2){
		flag[i] =key[i+1];
		flag[i+1] =key[i];
	}
	puts(flag);
	A_a(table);
	putchar('\n');
	puts(table);
	encode(flag,table,num);
	putchar('\n');
	for(int q=0;q<strlen(flag);q++)
		printf("%#x ",num[q]);
	//getchar();
return 0;
}

int A_a(char *Str){
	char table[65];
	 for (int i = 0; i < strlen(Str); ++i )
  {
    if ( Str[i] <= 122 && Str[i] >= 97 )
    {
      Str[i] -= 32;
    }
    else if ( Str[i] <= 90 && Str[i] >= 65 )
    {
      Str[i] += 32;
    }
  }
	 for(int j=0;j<64;j++){
		table[j] =Str[(24 +j)%64];
	 }
	 table[64] =0;
	 for(int k=0;k<=64;k++){
		Str[k] =table[k];
	 }
return 0;
}
int encode(char *flag,char *table,int a[]){
	int temp[60]={0};
	int *end=a;
	for(int i=0;i<strlen(flag);i++){
		for(int j=0;j<64;j++){
		     if(flag[i] ==table[j]){
				 temp[i]=j;
				 break;
			 }
		}
	}
	for(int k=0,p=0;k<strlen(flag);k+=4,p+=3){
		end[p] =(temp[k]<<2) +(temp[k+1]>>4);
		end[p+1] =((temp[k+1]&0xf)<<4) +((temp[k+2]&0x3c)>>2);
		end[p+2] =((temp[k+2]&0x3)<<6) +temp[k+3];
	}
return 0;
}

没找到可以用的sm4解密代码只能用python了

from pysm4 import encrypt, decrypt
num = 0x59d095290df2400614f48d276906874e   #密文
key = 0x77686572655f6172655f755f6e6f773f      #密钥
num = decrypt(num, key) 
print('flag{'+bytes.fromhex(hex(num)[2:]).decode()+'}')

[2:0]从字符串第三个字符到结束
bytes.fromhex() 专门用于从十六进制字符串创建字节串。十六进制字符串中的每两个字符代表一个字节,
所以十六进制字符串的长度必须是偶数。
有点好奇的一点为什么不是小端序输入密文呢
还有直接调试的话似乎不会触发异常,程序会卡死在写入内存为0的时候,看见有debug_hook函数还有Isdebug判断的反调试机制所以这道题里还有些反调试的内容,但没具体发现是在哪里被调用的

WowOnWall
关注
【BUUCTF逆向 [安洵 2019]crackMe】
chuxuezhewocao的博客
06-28 870
BUUCTF逆向刷题记录,本题主要涉及SM4加密算法和变表base64,hook函数这个题目刚开始直接跟进main()函数,看了半天也没看懂是个什么,而且越看越懵逼,后来看了其他师傅的WP,才有了思路,慢慢理清了逻辑: 首先用findcrypt插件查了一下,发现有base64和SM4存在,跟进base64加密部分: 这部分是第一次对base64编码表进行换表,大小写互换,跟进Handler: base64编码部分里面仍然动了小手脚,这里在进行索引的时候凯撒移位了24位,可以理解为编码表循环左移了24位。
安洵-crackme-wp
令则
12-02 2551
crackme 这是安洵2019的逆向题 链接:https://pan.baidu.com/s/16fb_-L-dE5knUPzkSFU5rQ 提取码:z405 文章目录crackme逆向分析逆向脚本: 逆向分析 首先在ida并没有发现什么加密位置 下面的check函数如下: 只是简单的判定,其中的str2为明文,而str1却是从未出现的量。 (其实看到这个就想到了base64,而且可以...
[buuctf.reverse] [安洵 2019]crackMe
weixin_52640415的博客
05-10 418
pysm4 变表base64
[安洵 2019]crackMe
最新发布
2302_79135465的博客
05-24 1173
直接就退出程序了找到关键函数了,好像用到了 hook还有一个嘿嘿,看着就是像 base64 只是 补‘=’改成了‘!交叉引用啊,翻到一个应该是最后比较函数!那一坨对 a1数组的操作没看懂先总结一下就是 有一个大小写转换,类base64,两两交换位置,1,2,3先解码得到乱码,估计就是后面两个先,123,132,312,321应该就这四种情况试了两个没搞出来,烦 0_0靠,是对base表进行了大小写转换看wp感觉自己分析的还是有点问题这是main函数报红处汇编,扒到一个函数。
BUUCTF-[安洵 2019]crackMe1
weixin_61154173的博客
02-20 1657
sm4加密所以就是当messageboxA后发生异常,触发了 AddVectoredExceptionHandler()函数异常处理,调用了Handler。如果参数为零,则处理程序是要调用的最后一个处理程序。所以整体逻辑:str1即用户输入经过sm4加密,base64表的大小写互换与移位后的base加密结果与str2两两互换相等。调用此函数后,如果在未调试的进程中发生异常,并且异常会将其设置为未处理的异常筛选器,该筛选器将调用。指定显示按钮的数目及形式,使用的图标样式,缺省按钮是什么以及消息框的强制回应等。
re学习笔记(51)BUUCTF-re-[安洵 2019]crackMe
逆向随笔
03-10 2318
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:[安洵 2019]crackMe IDA64载入很懵逼,啥也没有 动调的时候出来一句hook,动调试试 OD搜索字符串,在输入call之后下断点 输入假码,回车程序被断下来 F8单步,发现在调用messagebox函数的时候执行了0x6AB1A0地址的代码 (我的映像基地址是0x690000) F7进call,来到这...
百度CTF比赛二月第三场比赛(Reverse专题赛)的CrackMe-1题目
03-30
百度CTF比赛二月第三场比赛(Reverse专题赛)的CrackMe-1题目。
2019SCTF crackme复现
siphre
07-04 631
比赛没做出来,参考SU战队WP复现。 exeinfope查无壳 有反调试 运行程序显示: welcome to 2019 sctf please input your ticket: 需要输入特定的ticket Shift+F12查找字符串,跟踪到主函数sub_402540 sub_402540内部伪代码 开头调用两个可疑函数:sub_402320、sub_402...
crackme1.exe
02-06
适合Windows逆向工程
BUUCTF [安洵 2019]easy_web
zgwz123456的博客
02-11 745
进入到靶机中,在url里我们看见了两个参数一个是img,一个是cmd,显然cmd是给我们的一个后门函数,但是肯定没有这么简单,img则对应左上角的这张图片,让我们看一下源代码 这里面是图片base64编码的结果,然后我们把img参数里的base64进行解码,首先base64解码两次,再将得到的16进制转成字符串 这里得到555.png应该是左上角图片的名字,然后我们需要得到index.php的源码,看看它在干嘛,同样我们将index.php转成16进制,再进行base64编码2次,得到以下代码 &lt.
[安洵 2019]easy_web
weixin_51313108的博客
09-02 464
[安洵 2019]easy_web解题的痛苦经历考点解题过程参考文章 解题的痛苦经历 每次解web题都是一次难忘的经历,这次也不意外。虽然途中有很多次奔溃了,但是没办法,菜就是原罪。通过这道题也学到不少知识。 GET和POST方法:这俩种请求方法在BP里不要随便修改这俩种方法在请求报文中有一定的差别,需要POST数据时请求方法要用POST不是GET。 hackbar和BP:选择这俩个方式提交请求也有区别,尽量不要使用hackbar来发请求然后BP再拦截请求,要用就用一个,用BP更好一些。 考点 信息
web-[安洵 2019]easy_web
wojiushilsy的博客
08-29 373
题目要点题目内容解题 题目要点 文件包含 多重编码(base64 编码时末尾的 = 可以去掉 不影响) md5碰撞 linux命令行执行绕过 fuzz rce 题目内容 解题
【Pwn】2019安洵线上赛 fmt32 && fmt64
Nothing
12-01 1087
出题人好像比较喜欢blind pwn,5道pwn题里有3个,由于时间关系来不及看rop64了(我太菜)。 1.fmt32 只给了ip&port,没有附件猜测是blind pwn,根据题目名字,猜想有格式化字符串漏洞,试了一下发现是一个循环(毕竟是复读机),每次都可以利用格式化字符串漏洞,于是首先想法是先将内存dump下来再分析,如果32位程序没开pie保护,程序首地址为0x8048000。...
2019 安洵 Re 部分WP
Hk_Mayfly的博客
12-02 2007
0x01.EasyEncryption 测试文件:https://www.lanzous.com/i7soysb 1.IDA打开 int sub_416560() { int v0; // eax int v1; // edx int v2; // edx int v3; // ecx int v4; // ST08_4 char v6[4]; // [es...
安洵 RE CrackMe的WP
Zarcs_233的博客
12-01 1165
由于当天有事没参加,只能拿题看看了,觉得这道题很有意思。 稍微写写。 IDA打开,通过字符串定位到main函数 然后开始动调,到达红色位置出现了神奇的一幕,弹出的窗口不是Exception而是hook,挺有意思的,让后只能F7进去看看了。 hook技术类似于patch,将系统函数的调用执行流程给改掉了,这里似乎用的不是inline hook,用hook来隐藏代码也是绝了 F7 通过动态调试,可以看...
2021安洵ezjson-wp
fmyyy1的博客
12-02 1244
ezjson 比赛只做了前两道web,这道题没去看了,因为当时看做出来的人不多就去复习了,今天有空看一下题。 fd文件可以泄露 jar文件下到源码。题目环境不出网没法jndi。但题目本身留了加载字节码后门。 fastjson版本1.2.47,有个通杀payload { "a":{ "@type":"java.lang.Class", "val":"com.sun.rowset.JdbcRowSetImpl" }, "b":{ "@t
REVERSE-PRACTICE-BUUCTF-16
P1umH0的博客
02-27 328
REVERSE-PRACTICE-BUUCTF-16[UTCTF2020]basic-reequation[安洵 2019]crackMe[FlareOn5]Minesweeper Championship Registration [UTCTF2020]basic-re elf文件,无壳,ida分析 main函数就是简单的加减乘除运算 shift+F12,在字符串窗口看到flag equation html文件,浏览器打开后什么都没有,查看网页源代码 是jsfuck混淆,找了好久,可以用Google
CTF2019Q2 CrackMe设计:序列号与二次剩余离散对数方程
在第十题的设计思路中,涉及到的是一个基于公钥密码学的CrackMe挑战,题目名为"一石二鸟",是CTF(Capture the Flag)比赛中的一个环节。该问题发生在Windows平台上的Win32程序中,没有壳层保护和反调试机制。 核心...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值