*CTF 2022 Reverse Writeup

于 2022-04-17 09:00:00 发布
阅读量602 收藏 3
点赞数
分类专栏: reverse 文章标签: python 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41866334/article/details/124223839
版权

AAA : immortal

NaCl

感觉和native client 关系不大 就是mmap出来一个页当成栈来使用, 并且栈顶指针变成了r15而非rsp

关键函数做了反调试, 在加密输入之前会先计算dword_80AFB60 作为key, 具体操作没仔细看反正dump出来就完事了

剩下的就是动调跟着汇编指令慢慢撸逻辑, 加密部分就是一个简单的费斯妥密码后面接一个xtea , 每八个字节都是独立计算的

cmp = [0x66, 0xC2, 0xF5, 0xFD, 0x86, 0x82, 0x32, 0x7A, 0x04, 0x40, 0x94, 0xCE, 0xDC, 0x8A, 0xE0, 0x5D, 0x0A, 0xBD, 0xE4, 0xA6, 0xDC, 0xAD, 0xCA, 0x16, 0x0C, 0x6F, 0xCD, 0x13, 0x36, 0xD9, 0x75, 0x1A]
dword_80AFB60 = [0x4050607, 0x10203, 0x0C0D0E0F, 0x8090A0B, 0x0CD3FE81B, 0x0D7C45477, 0x9F3E9236, 0x107F187, 0x0F993CB81, 0x0BF74166C, 0x0DA198427, 0x1A05ABFF, 0x9307E5E4, 0x0CB8B0E45, 0x306DF7F5, 0x0AD300197, 0x0AA86B056, 0x449263BA, 0x3FA4401B, 0x1E41F917, 0x0C6CB1E7D, 0x18EB0D7A, 0x0D4EC4800, 0x0B486F92B, 0x8737F9F3, 0x765E3D25, 0x0DB3D3537, 0x0EE44552B, 0x11D0C94C, 0x9B605BCB, 0x903B98B3, 0x24C2EEA3, 0x896E10A2, 0x2247F0C0, 0x0B84E5CAA, 0x8D2C04F0, 0x3BC7842C, 0x1A50D606, 0x49A1917C, 0x7E1CB50C, 0x0FC27B826, 0x5FDDDFBC, 0x0DE0FC404, 0x0B2B30907]
xtea_key = [0x3020100,0x7060504,0x0b0a0908,0x0f0e0d0c]
rol = lambda val, r_bits, max_bits: \
    (val << r_bits%max_bits) & (2**max_bits-1) | \
    ((val & (2**max_bits-1)) >> (max_bits-(r_bits%max_bits)))
ror = lambda val, r_bits, max_bits: \
    ((val & (2**max_bits-1)) >> r_bits%max_bits) | \
    (val << (max_bits-(r_bits%max_bits)) & (2**max_bits-1))
def xtea_encrypt(rounds, v, k):
    v0 = v[0]
    v1 = v[1]
    x = 0
    delta = 0x10325476
    for i in range(rounds):
        v0 += (((v1 << 4) ^ (v1 >> 5)) + v1) ^ (x + k[x & 3])
        v0 = v0 & 0xFFFFFFFF
        x += delta
        x = x & 0xFFFFFFFF
        v1 += (((v0 << 4) ^ (v0 >> 5)) + v0) ^ (x + k[(x >> 11) & 3])
        v1 = v1 & 0xFFFFFFFF
    v[0] = v0
    v[1] = v1
    return v
def xtea_decrypt(rounds, v, k):
    v0 = v[0]
    v1 = v[1]
    delta = 0x10325476
    x = delta * rounds
    for i in range(rounds):
        v1 -= (((v0 << 4) ^ (v0 >> 5)) + v0) ^ (x + k[(x >> 11) & 3])
        v1 = v1 & 0xFFFFFFFF
        x -= delta
        x = x & 0xFFFFFFFF
        v0 -= (((v1 << 4) ^ (v1 >> 5)) + v1) ^ (x + k[x & 3])
        v0 = v0 & 0xFFFFFFFF
    v[0] = v0
    v[1] = v1
    return v

def crypt(plain):
    res = b''
    for ii in range(4):
        left = int.from_bytes(plain[ii*8:ii*8+4],'big')
        right= int.from_bytes(plain[ii*8+4:ii*8+8],'big')
        for i in range(0x2c):
            ebx = rol(left,1,32) & rol(left,8,32)
            ebx ^= rol(left,2,32)
            ebx ^= right
            ebx ^= dword_80AFB60[i]
            right = left
            left = ebx
        print(hex(left),hex(right))
        left, right = xtea_encrypt(2**(ii+1),[right,left],xtea_key)
        res += left.to_bytes(4,'little')+right.to_bytes(4,'little')
    return res

def decrypt(cipher):
    res = b''
    for ii in range(4):
        left = int.from_bytes(cipher[ii*8:ii*8+4],'little')
        right= int.from_bytes(cipher[ii*8+4:ii*8+8],'little')
        right, left = xtea_decrypt(2**(ii+1),[left,right],xtea_key)
        for i in range(0x2b,-1,-1):
            ebx = rol(right,1,32) & rol(right,8,32) 
            ebx ^= rol(right,2,32)
            ebx ^= dword_80AFB60[i]
            last_right = ebx ^ left
            left = right
            right = last_right
        res += left.to_bytes(4,'big')+right.to_bytes(4,'big')
    return res

print(decrypt(cmp))

Jump

首先因为是静态链接的文件,所以先自己编写了一个c语言文件用bindiff恢复一些符号, 发现其中大量调用了setjmp,联想题目名字知道这是关键函数.

所以搜素一下,找到Linux manual : https://linux.die.net/man/3/sigsetjmp https://linux.die.net/man/3/longjmp

val = setjmp(env)存下context, 并且val值为0. 然后每次longjmp(env, val) 就跳转到上一次执行setjmp(env)的位置并且此时setjmp(env)处的val实际上为longjmp传入的val(如果val设置为0会自动被改为1). 程序实际上利用这个跳转实现了循环, val作为循环变量i.

再自己实现一个longjmp函数编译出文件以后bindiff, 恢复出源文件里的longjmp函数.

程序本身的逻辑很简单, 在通过输入生成了0x22个字符串以后, 通过sub_401F62对字符串的首字节进行递增的排序,然后由于比较的是字符串的最后一个数据,因此可以恢复出原来的flag.

res = [ 3, 106, 109,  71, 110,  95,  61, 117,  97,  83, 90,  76, 118,  78,  52, 119,  70, 120,  69,  54, 82,  43, 112,   2,  68,  50, 113,  86,  49,  67, 66,  84,  99, 107]
q = res.copy()
t = sorted(res)
cur = q.index(2)
ans = []
while q[cur]!=3:
    nxt = t[cur]
    ans.append(nxt)
    cur = q.index(nxt)

print(bytes(ans))
1mmorta1
关注
专栏目录
阿里云ctf比赛writeup
04-26
阿里云CTF比赛Writeup详解 在网络安全领域,Capture The Flag(CTF)是一种常见的竞赛形式,参赛者通过解决各种安全挑战来展示他们的技术能力。阿里云CTF比赛提供了多种类型的挑战,包括Web、Misc、Pwn、Reverse和...
BUUCTF-Reverse Writeup【持续更新】
skysys的研究小屋
01-27 912
BUUCTF 二进制刷题
分享一个磁力下载工具
weixin_46565390的博客
03-21 1万+
TestFlight版本下载流程。 第一步:安装TestFlight(如果已安装可忽略) 第二步:点击下载链接,加入Beta版本安装APP开始使用 下载链接https://at.umtrack.com/iyOPvm ...
动态规划全解析
webnoob
09-05 1万+
本人学习算法的时候,一直对动态规划报有一种恐惧的心理,直到学习了下面链接的dp全解析,才慢慢撸起动态规划的题目: http://www.cnblogs.com/sdjl/articles/1274312.html 对于一道题目能否用dp,关键考虑以下几点: 1、构造问题所对应的过程。 2、思考过程的最后一个步骤,看看有哪些选择情况。        3、找到最后一步的子问题,确保符
www.hackhome.com
zgyjava的专栏
07-21 2万+
 www.hackhome.com
spring手撸aop
Aarid的博客
03-12 2998
SQL优化 为什么要进行SQL优化 写过SQL语句的都知道,我们在进行少量数据样本时,使用简单的增删改查的SQL语句是没有什么问题,但是当我们的数据处理量达到一定级别的时候,我们知道在不对SQL进行优化,基本会把服务器拖死,所以这个时候我们需要进行SQL的优化 以下就是我总结的优化方法和思路 对于查询我们一定要减少全局检索 ① 尽量使用where或者order by的方式进行查询 ② 尽量避免对null的判断,可以用0或者特殊的字符进行标识 ③尽量避免使用!=或者<>,否则搜索引擎会放弃索引
2023 强网杯 Writeup
最新发布
01-29
2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析和知识点总结...
Ant x D^3 CTF Official Writeup.pdf
03-22
标题《Ant x D^3 CTF Official Writeup.pdf》与描述《Ant x D^3 CTF Official Writeup.pdf》均指向同一文件,从文件名和内容中我们可以得知,该文件是一份CTF比赛(Capture The Flag,即夺旗赛)的官方解题报告。CTF...
顶级架构师学习——第二十五阶段:最新版Solr使用
鱼鱼鱼小昶的博客
03-11 8809
因为看的视频是几年前的qwq,所以视频的教程用不上了,自己慢慢撸~这里使用的是目前最新的版本Solr7.7.1 目录 一、简介 二、部署 三、schema.xml详解 四、中文分词 五、导入数据 一、简介 Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以...
CTF逆向(reverse)入门脑图
10-25
CTF逆向(reverse)入门脑图,xmind格式文件。Reverse即逆向工程,题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。主要考查参赛选手的逆向分析能力。 仅供CTF竞赛参考使用,请不要做违法乱纪的事情
Reverse 2020网鼎杯 bang Writeup(安卓简单的加壳)
01-03
记录下踩过的坑提醒下自己 我用到的工具: jadx DexExtractor 做好的镜像 adt-bundle(eclipse) apktool baksmali.jar 和 smali.jar 1. 观察特征 先拿 jadx 看了下,没有activity类,这里可以注意到 AndroidManifest.xml 无写权限(第3步会说明) 使用apktool回编译: java -jar apktool_2.4.1.jar b signed apk在 signed/dist 里,install 报错 INSTALL_PARSE_FAILED_NO_CERTIFICATES,需要签名,用命令
java 大顶堆的构建和排序
qi_Baby的博客
04-27 8245
基本原理就不说了,代码慢慢撸!!!!!!!import java.util.Arrays; public class HeapSort { public static void main(String[] args) { //int [] array ={1,2,5,6,3,4,7,8,9,12,11,0}; int [] array = {2,3,4,5,6,7}; he...
Python】 Pandas 遍历DataFrame的正确姿势 速度提升一万倍
小白兔的窝
09-26 4476
原文:https://zhuanlan.zhihu.com/p/97269320 最近做科研时经常需要遍历整个DataFrame,进行各种列操作,例如把某列的值全部转成pd.Timestamp格式或者将某两列的值进行element-wise运算之类的。大数据的数据量随便都是百万条起跳,如果只用for循环慢慢撸,不仅浪费时间也没效率。在一番Google和摸索后我找到了遍历DataFrame的至少8种方式,其中最快的和最慢的可以相差12000倍! 本文以相加和相乘两种操作为例,测试8种方法的运行速度,并附上示范
git常用操作以及多人协作开发
agua001的博客
11-29 2247
一个人走习惯了,慢慢成了单身… 一个人开发习惯了,慢慢成了废物… 哈哈哈。。。 1、 下载git git官网 2、 配置个人信息 (如果项目代码在gitlab,则配置的账号和邮箱与你在gitlab上的信息一致,不然管理员给你权限你也拉不了代码)参考 git config #查看本机是否配置了个人信息 git config --global user.name "……" #定义全局的用户名 git config --global user.email "……" #定义全局的邮件地址 3、 生成公钥 (本地和
镀铬亮条怎么修复_「翻新日记」修复一台优雅非凡的奔驰W211,向逝去的经典致敬...
weixin_42410566的博客
12-22 2543
车刚到厂,老规矩先来个小照片~整备前先记录一下,话说这代E级应该是最美的E级了吧,我话讲完,谁赞成?谁反对?那个年代是奔驰设计的巅峰,技术是没有上限的,但是设计还是有的!看看这车头和侧身腰线,再看看这尾部线条,简直是行云流水,一气呵成!尾灯款式比现在的蒙迪欧款漂亮多了!没有黑蒙迪欧的意思,各位车主手下留情,哈哈。就拿镀铬的雾灯框来说,笔画也比现在的多!轮辐对于整车的风格搭配尤为重要!一定要讲究。啊...
心情不好时就来看看这篇文章吧...(转)
weixin_30497527的博客
10-13 737
* 学会 沉默 有时候,你被人误解,你不想争辩,所以选择沈默。本来就不是所有的人都得了解你,因此你认为不必对全世界喊话。却也有时候,你被最爱的人误解,你难过到不想争辩,也只有选择沈默。全世界都可以不懂你,但他应该懂,若他竟然不能懂,还有什么话可说?生命中往往有连舒伯特都无言以对的时刻,毕竟不是所有的是非都能条列清楚,甚至可能根本没有真正的是与非。那么,不想说话,就不说吧,在多说无...
漫画大全更新了。。。。。
热门推荐
Fly的学习博客
07-21 4万+
无会员,10万+本漫画,统统免费!!! 最新最热门的免费漫画大全,最全最二次元的撸漫平台,超多正版高清彩漫尽在漫画大全APP! 《斗罗大陆》《斗破苍穹》《凤逆天下》《妃夕妍雪》《穿越西元3000后》《纯情丫头火辣辣》《勇者是女孩》《龙族》《哑舍》《暴走邻家》等等,全部免费,喜欢的统统都到碗里来!!! 欢迎下载使用   ...
adobe reader XI打开大约十几秒就闪退问题解决方法大全
凝望星空
07-28 3万+
dobe reader XI打开大约十几秒就自动退出怎么解决? 转自:https://www.fengjunzi.com/blog-55539.html 方法一、更新补丁 注意:先请安装11.0.00正式版,再打11.0.23更新补丁包。因为官方并没有提供11.0.23的简体中文版完整安装包,所以必须这样升级! 下载地址: Adobe Reader XI 11.0.00 简体中文版http://ardownload.adobe.com/pub/adobe/reader/win/11.x/11.0.00
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值