2021L3HCTF luuuuua Writeup

最新推荐文章于 2024-02-05 14:29:27 发布
最新推荐文章于 2024-02-05 14:29:27 发布
阅读量5.5k 收藏
点赞数
分类专栏: reverse 文章标签: lua app安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41866334/article/details/121337114
版权

2021 L3HCTF luuuua Writeup

AAA:immortal

这题做完以后感觉和ByteCTF2021的language binding很像,这是我之前写的Writeup

首先打开java层,发现asserts/res/test.lua里的逻辑是假的。然后通过LoginActivity里的afterTextChanged方法找到关键的b.c.a.b.a.d。 注意它

import org.keplerproject.luajava.LuaState; 

import org.keplerproject.luajava.LuaStateFactory;

所以在网上找到了对应的github:luajava,和一些使用例子:

public void invokeFileScript(String scriptFilePath){
	LuaState luaState = LuaStateFactory.newLuaState();
	luaState.openLibs();
	this.initLuaContext(luaState);
	int error = luaState.LdoFile(scriptFilePath);
	if(error!=0){
		Logger.log("Read/Parse lua error. Exit");
		return;
	}
	luaState.close();
}

所以我们发现真正的逻辑在logo.jpg上,010editor打开找了一下发现真的有加密了的luac脚本。异或0x3c解密以后得到了luac脚本,unluac尝试反汇编发现报错。和byteCTF那道一样改了opcode的位置,因此需要逆向.so文件找到真正的opcode解析的方法。

with open('logo.jpg','rb') as f:
    con = f.read()        
con = con[0x3afa2:]
with open('dec.luac','wb') as fs:
    fs.write(b'\x1b')
    for c in con:
        fs.write(bytes([0x3c^c]))

使用Android里的ndk工具链重新编译了lua5.3的源码,得到了正确的.so文件。两者对照以后慢慢逆向恢复出正确的opcodes。

然后和ByteCTF一样,魔改一下unluac脚本,反编译出了lua脚本:

local base64 = {}
local extract = _G.bit32 and _G.bit32.extract
if not extract then
  if _G.bit then
    local shl, shr, band = _G.bit.lshift, _G.bit.rshift, _G.bit.band
    function extract(v, from, width)
      return band(shr(v, from), shl(1, width) - 1)
    end
  elseif _G._VERSION == "Lua 5.1" then
    function extract(v, from, width)
      local w = 0
      local flag = 2 ^ from
      for i = 0, width - 1 do
        local flag2 = flag + flag
        if flag <= v % flag2 then
          w = w + 2 ^ i
        end
        flag = flag2
      end
      return w
    end
  else
    extract = load([[
return function( v, from, width )
			return ( v >> from ) & ((1 << width) - 1)
		end]])()
  end
end
function base64.makeencoder(s62, s63, spad)
  local encoder = {}
  for b64code, char in pairs({
    [0] = "A",
    "B",
    "C",
    "D",
    "E",
    "F",
    "G",
    "H",
    "I",
    "J",
    "K",
    "L",
    "M",
    "N",
    "O",
    "P",
    "Q",
    "R",
    "S",
    "T",
    "U",
    "V",
    "W",
    "X",
    "Y",
    "Z",
    "a",
    "b",
    "c",
    "d",
    "e",
    "f",
    "g",
    "h",
    "i",
    "j",
    "k",
    "l",
    "m",
    "n",
    "o",
    "p",
    "q",
    "r",
    "s",
    "t",
    "u",
    "v",
    "w",
    "x",
    "y",
    "z",
    "0",
    "1",
    "2",
    "3",
    "4",
    "5",
    "6",
    "7",
    "8",
    "9",
    s62 or "+",
    s63 or "/",
    spad or "="
  }) do
    encoder[b64code] = char:byte()
  end
  return encoder
end
function base64.makedecoder(s62, s63, spad)
  local decoder = {}
  for b64code, charcode in pairs(base64.makeencoder(s62, s63, spad)) do
    decoder[charcode] = b64code
  end
  return decoder
end
local DEFAULT_ENCODER = base64.makeencoder()
local DEFAULT_DECODER = base64.makedecoder()
local char, concat = string.char, table.concat
function base64.encode(str, encoder, usecaching)
  encoder = encoder or DEFAULT_ENCODER
  local t, k, n = {}, 1, #str
  local lastn = n % 3
  local cache = {}
  for i = 1, n - lastn, 3 do
    local a, b, c = str:byte(i, i + 2)
    local v = a * 65536 + b * 256 + c
    local s
    if usecaching then
      s = cache[v]
      if not s then
        s = char(encoder[extract(v, 18, 6)], encoder[extract(v, 12, 6)], encoder[extract(v, 6, 6)], encoder[extract(v, 0, 6)])
        cache[v] = s
      end
    else
      s = char(encoder[extract(v, 18, 6)], encoder[extract(v, 12, 6)], encoder[extract(v, 6, 6)], encoder[extract(v, 0, 6)])
    end
    t[k] = s
    k = k + 1
  end
  if lastn == 2 then
    local a, b = str:byte(n - 1, n)
    local v = a * 65536 + b * 256
    t[k] = char(encoder[extract(v, 18, 6)], encoder[extract(v, 12, 6)], encoder[extract(v, 6, 6)], encoder[64])
  elseif lastn == 1 then
    local v = str:byte(n) * 65536
    t[k] = char(encoder[extract(v, 18, 6)], encoder[extract(v, 12, 6)], encoder[64], encoder[64])
  end
  return concat(t)
end
function base64.decode(b64, decoder, usecaching)
  decoder = decoder or DEFAULT_DECODER
  local pattern = "[^%w%+%/%=]"
  if decoder then
    local s62, s63
    for charcode, b64code in pairs(decoder) do
      if b64code == 62 then
        s62 = charcode
      elseif b64code == 63 then
        s63 = charcode
      end
    end
    pattern = ("[^%%w%%%s%%%s%%=]"):format(char(s62), char(s63))
  end
  b64 = b64:gsub(pattern, "")
  local cache = usecaching and {}
  local t, k = {}, 1
  local n = #b64
  local padding = b64:sub(-2) == "==" and 2 or b64:sub(-1) == "=" and 1 or 0
  for i = 1, padding > 0 and n - 4 or n, 4 do
    local a, b, c, d = b64:byte(i, i + 3)
    local s
    if usecaching then
      local v0 = a * 16777216 + b * 65536 + c * 256 + d
      s = cache[v0]
      if not s then
        local v = decoder[a] * 262144 + decoder[b] * 4096 + decoder[c] * 64 + decoder[d]
        s = char(extract(v, 16, 8), extract(v, 8, 8), extract(v, 0, 8))
        cache[v0] = s
      end
    else
      local v = decoder[a] * 262144 + decoder[b] * 4096 + decoder[c] * 64 + decoder[d]
      s = char(extract(v, 16, 8), extract(v, 8, 8), extract(v, 0, 8))
    end
    t[k] = s
    k = k + 1
  end
  if padding == 1 then
    local a, b, c = b64:byte(n - 3, n - 1)
    local v = decoder[a] * 262144 + decoder[b] * 4096 + decoder[c] * 64
    t[k] = char(extract(v, 16, 8), extract(v, 8, 8))
  elseif padding == 2 then
    local a, b = b64:byte(n - 3, n - 2)
    local v = decoder[a] * 262144 + decoder[b] * 4096
    t[k] = char(extract(v, 16, 8))
  end
  return concat(t)
end
local strf = string.format
local byte, char = string.byte, string.char
local spack, sunpack = string.pack, string.unpack
local app, concat = table.insert, table.concat
local stohex = function(s, ln, sep)
  if #s == 0 then
    return ""
  end
  if not ln then
    return (s:gsub(".", function(c)
      return strf("%02x", byte(c))
    end))
  end
  sep = sep or ""
  local t = {}
  for i = 1, #s - 1 do
    t[#t + 1] = strf("%02x%s", s:byte(i), i % ln == 0 and "\n" or sep)
  end
  t[#t + 1] = strf("%02x", s:byte(#s))
  return concat(t)
end
local hextos = function(hs, unsafe)
  local tonumber = tonumber
  if not unsafe then
    hs = string.gsub(hs, "%s+", "")
    if string.find(hs, "[^0-9A-Za-z]") or #hs % 2 ~= 0 then
      error("invalid hex string")
    end
  end
  return hs:gsub("(%x%x)", function(c)
    return char(tonumber(c, 16))
  end)
end
local stx = stohex
local xts = hextos
local ROUNDS = 64
local keysetup = function(key)
  assert(#key == 16)
  local kt = {
    0,
    0,
    0,
    0
  }
  kt[1], kt[2], kt[3], kt[4] = sunpack(">I4I4I4I4", key)
  local skt0 = {}
  local skt1 = {}
  local sum, delta = 0, 2654435769
  for i = 1, ROUNDS do
    skt0[i] = sum + kt[(sum & 3) + 1]
    sum = sum + delta & 4294967295
    skt1[i] = sum + kt[(sum >> 11 & 3) + 1]
  end
  return {skt0 = skt0, skt1 = skt1}
end
local encrypt_u64 = function(st, bu)
  local skt0, skt1 = st.skt0, st.skt1
  local v0, v1 = bu >> 32, bu & 4294967295
  local sum, delta = 0, 2654435769
  for i = 1, ROUNDS do
    v0 = v0 + ((v1 << 4 ~ v1 >> 5) + v1 ~ skt0[i]) & 4294967295
    v1 = v1 + ((v0 << 4 ~ v0 >> 5) + v0 ~ skt1[i]) & 4294967295
  end
  bu = v0 << 32 | v1
  return bu
end
local enc = function(key, iv, itxt)
  assert(#key == 16, "bad key length")
  assert(#iv == 8, "bad IV length")
  if #itxt == 0 then
    return ""
  end
  local ivu = sunpack("<I8", iv)
  local ot = {}
  local rbn = #itxt
  local ksu, ibu, ob
  local st = keysetup(key)
  for i = 1, #itxt, 8 do
    ksu = encrypt_u64(st, ivu ~ i)
    if rbn < 8 then
      local buffer = string.sub(itxt, i) .. string.rep("\000", 8 - rbn)
      ibu = sunpack("<I8", buffer)
      ob = string.sub(spack("<I8", ibu ~ ksu), 1, rbn)
    else
      ibu = sunpack("<I8", itxt, i)
      ob = spack("<I8", ibu ~ ksu)
      rbn = rbn - 8
    end
    app(ot, ob)
  end
  return concat(ot)
end
function check_login(username, password)
  local encoded = base64.encode(username)
  if encoded ~= "TDNIX1NlYw==" then --L3H_Sec
    return false
  end
  username = username .. "!@#$%^&*("
  local x = base64.encode(enc(username, "1qazxsw2", password))
  if x == "LKq2dSc30DKJo99bsFgTkQM9dor1gLl2rejdnkw2MBpOud+38vFkCCF13qY=" then
    return true
  end
  return false
end

仔细看了一下加密的原理,发现前面虽然很复杂是tea-cbc但其实最后还是异或,所以直接在解出的lua脚本里敲个print,dump出要异或的字节流就可以了。

from base64 import b64decode

cmp = b64decode('LKq2dSc30DKJo99bsFgTkQM9dor1gLl2rejdnkw2MBpOud+38vFkCCF13qY=')
print(len(cmp)) # 44
a = [
48256960675354976,
-4890521267755574343+2**64,
4792028846500240997,
9087511422306731418,
7661124995518270764,
-4844959183373908412+2**64
]
ba= list(b''.join(map(lambda x: x.to_bytes(8,"little"),a)))
for i in range(44):
    print(chr(cmp[i]^ba[i]),end='')
1mmorta1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
L3HCTF 2021 | 大吉大利,全民夺旗!
Cyberpeace的博客
10-22 587
​​赛题攻关 战术竞技 带你深度体验网络攻防 组队开黑 策略为王 等你上演一场绝地求生! 第七届XCTF国际网络攻防联赛分站赛 L3HCTF 2021 2021年11月13日09:00-15日09:00 火力全开,等你来战! 本届L3HCTF是由XCTF联赛的合作单位L3H_Sec战队组织,由赛宁网安提供技术支持。作为第七届XCTF国际联赛的分站赛,本次比赛将采用在线网络安全夺旗挑战赛的形式,面向全球开放。 L3H_Sec战队首次作为出题战队参与赛事,赛题风格备受期待。据队长透露,赛题将侧重考察选手的综合
L3H CTF
热门推荐
qq_51584770的博客
11-15 1万+
Easy PHP 思路:当把这段代码复制到本地的时候,发现源码长得很奇怪 if ("admin" == $_GET[username] &‮⁦+!!⁩⁦& "‮⁦CTF⁩⁦l3hctf" == $_GET[‮⁦L3H⁩⁦password]) { //Welcome to include "flag.php"; echo $flag; } 想到用url编码的方式,将源码进行编码 得到: if(“admin”==$_GET[username]&%E2%80%
[2021XCTF]L3HCTF-Writeup(Web)
Y4tacker的博客
11-16 2897
文章目录写在前面WebImage Service 1Image Service 2Easy PHPbypass绕过方法一绕过方法二绕过方法Ncover 写在前面 这周刚好比较空就抽了点时间打了下,质量挺高的还是 Web Image Service 1 注册个账号,发现密码不能是admin 进去可以上传图片 flag在admin账户上传的图片中 源码都被编译了 感觉在任何地方输入admin 都会被ban, 伪造header也都不行 f12我查看源码的时候发现居然是支持表单提交 不会逆向go,那无源码情况
2021l3hctfwp_web
meteox的博客
11-15 3308
Image Service 1 给了源码但没完全给,服务是用gin写的,给的是编译后的文件,运行main后可知 运行app的main的时候由于没数据库报错了 以为下面的包名对应的链接给了源码,然而并不能访问到。。。 给了robot的源码 import requests import time import os os.chdir(os.path.dirname(os.path.abspath(__file__))) username = 'admin' password = os.e
XCTF-L3HCTF2021 DeepDarkFantasy write up
qq_42940521的博客
11-15 4617
XCTF-L3HCTF2021 DeepDarkFantasy write up DeepDarkFantasy 题目描述和hint如下 原始附件如下: 链接:https://pan.baidu.com/s/1Rs1A6viKUXuNvxExAvtvSQ 提取码:lqln 下载后得到一个pth文件,根据第一个提示,其被以简单异或的方式加密,遍历得到解密比特为0xde,此时可以发现PK头 解密后的文件如下: 链接:https://pan.baidu.com/s/1fTiS7DzQP_Rpv_fkB5Ct
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
[2021东华杯]Web Writeup1
08-03
Java 反序列化漏洞及利用 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,发生在 Java 对象的序列化和反序列化过程中。该漏洞可以导致攻击者执行恶意代码,盗取敏感信息,或者控制服务器。 ...
ISCTF2021-WriteUp.pdf
10-24
isctf的详细wp
2021强网杯Writeup--by Nu1L Team.pdf
06-15
第五届“强网杯”全国网络安全挑战赛
2023 强网杯 Writeup
01-29
CTF Writeup 2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析...
L3HCTF2021几道简单的签到题
Hopeace的博客
11-25 1431
L3HCTF2021几道简单的签到题Misc WelcomeWeb Image1Web EasyPHP 作者:Hopeace Misc Welcome 第一次做misc的题目,迷迷糊糊的注册之后, 进去好像是个聊天室类似的东西 随便点点就找到了flag Web Image1 靶机地址:http://121.36.209.245:10001/ 附件下载地址:http://121.36.209.245:10001/static/deploy.zip 题目要求: Find flags in admin’s sha
2021 L3HCTF pwn SPN
yongbaoii的博客
01-20 354
保护没开canary… 不知道啥意思 首先add这里就有问题 size也没范围 index因为限制了v3,v5不能为负,也没范围。 如果能是负数直接数组越界这题也就解决了。 再然后出大问题的是edit 首先给了100字节的堆溢出 再然后看下面那个memcpy,因为我们前面没有限制size的大小,所以我们这里可以任意覆盖bss上TEMPBUF下面的变量 后门函数要求shell等于0. shell这变量 显然就在TEMPBUF下面,我们直接盖过去就可以了。 重点要注意的是我们申请的chunk的序号要.
2024 L3HCTF---Crypto---babySPN revenge
最新发布
2202_75787160的博客
02-05 442
它是一个简化版的AES加密算法(具体为AES的Round 1部分)。简单来说就是hash_value 找出并且看出flag为hash_value加L3HCTF
2015第七届HCTF
liukenn的博客
12-07 1179
大三狗一只,第一次写blog,希望记录下自己从零开始的CTF之旅 两个彩笔第一次参见正式的CTF,写写只做出来的5道题#共三十几道题啊。。=。= 首先是全部题目的地址: https://www.zybuluo.com/lightless/note/183904
HCTF2017-Web-Writeup
dengzhasong7076的博客
11-14 2263
boring website 先通过扫描得到: http://106.15.53.124:38324/www.zip <?php echo "Bob received a mission to write a login system on someone else's server, and he he only finished half of the work<br /...
L3HCTF bypass出题人视角
yzddMr6的博客
02-27 2838
@yzddmr6 自己在L3HCTF中出了一道java上传绕过题目bypass。其中题目中的一些trick不仅仅是用于CTF出题,对于实战渗透也是有一定的帮助。今天跟大家分享一下出题时的一些思考跟解题细节。 题目有三道过滤 1. 绕过后缀 public static String checkExt(String ext) { ext = ext.toLowerCase(); ...
apk解压后assets里面png看不了_方兴未艾第10期 | 一份礼物.apk逆向分析
weixin_42168341的博客
12-16 2865
一份礼物.apk逆向分析简介这个东西跟去年的送给最好的TA.apk类似,打开软件就会拉满音量放O泡果奶的广告;很多人在上课、开会的时候中招,节目效果拉满。运行观察运行起来之后啥都没有,直接放音乐,音量拉满调不下来,返回键无效,点击home键之后依然在后台播放音乐,不过可以杀后台。APK文件调试分析首先把apk包重命名为.zip后缀,解压,得到一些东西,然后在解压出来的文件夹里搜索mp3,...
ByteCTF2021 reverse languagebinding writeup
qq_41866334的博客
10-18 770
Language Binding AAA : immortal 拿到题目ida打开发现是go语言逆向,而且函数名都被混淆掉了,动态调了一下整个人都傻了。 之后尝试直接打开了new_lang_script.out,看了一下有大量的0x55所以估计就是异或了0x55,解密出来发现是一个luac文件,修改文件头以后直接用luac -l执行,发现会报错。和我自己写的lua脚本比对会发现题目luac中的opcode全都是打乱的。 此时猜测这个程序就是用go语言写的一个执行luac脚本的编译器,因此真正解释执行的
AndLua加密解密
playmaker的博客
05-10 3746
进入关键函数Lua_loader_buffer首先判断第一个字符为= 之后根据base64解码表映射解密base64,其中将第一个字符替换为0x1d,即为0x1d+0x2b=H 解码base64后的结果如下所示 如果第一个字符为0x1c进行异或解密 最后再将第一个字符0x1c替换为0x78,进行inflate解码,解码完成后将第一个字符替换为28(0x1c) 解密算法如下 import base64 import base64 import zlib fp=open("main.lua","rb")
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值