2022网刃杯CTF - REVERSE - squid

已于 2023-02-08 14:43:26 修改
阅读量375 收藏 1
点赞数
分类专栏: CTF 文章标签: ctf python逆向
于 2022-04-25 10:22:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/124397403
版权

2022网刃杯CTF - REVERSE - squid

附件下载

squid 密码: ubgs

一、信息搜集

1. 基本信息

在这里插入图片描述

2. 字符串信息

在这里插入图片描述
根据字符串信息,初步可以判断是pyinstaller打包的ELF程序。

3. 运行

注意:运行时千万不要和其他文件放在同一个文件夹!!!
注意:运行时千万不要和其他文件放在同一个文件夹!!!
注意:运行时千万不要和其他文件放在同一个文件夹!!!

3.1 第一次运行

在这里插入图片描述
查看生成的Readme.txt文件内容
在这里插入图片描述
说是勒索病毒,让我们不要再运行了。
没关系,打好快照,不怕,再次运行。

3.2 第二次运行

在这里插入图片描述
可以看到文件的后缀名被改为了.WNCRY,如果当前目录存在其他文件和文件夹的话,后缀名也会被修改(血的教训)。
但好在它只是改了文件的后缀,并非真的勒索病毒,虚晃一枪。

3.3 第三次运行

在这里插入图片描述
可以看到,即使被修改了后缀名的文件,依然是可以运行的,文件内容没变。

二、解题思路

1. 解包

首先使用pyinstxtractor进行解包。
在这里插入图片描述
解出的内容如下:
在这里插入图片描述

2. 修复pyc文件头

使用struct.pyc的文件头修复squid.pyc的文件头
在这里插入图片描述
修复后:
在这里插入图片描述

3. pyc反编译

使用python的uncompyle6模块对pyc文件进行反编译。
在这里插入图片描述
在这里插入图片描述
不难发现重点在于squid_game这个模块的get_delbat方法,但在目录中并不存在squid_game.pyc或相关文件。

使用grep搜索一下:
在这里插入图片描述
发现除了squid.py引用了这个字符串,PYZ-00.pyz也包含这个字符串,猜测squid_game模块是被打包在了PYZ-00.pyz中。

根据以前的经验,猜测出题人肯定使用了带-key参数的pyinstaller进行打包,因此找了半天的pyiboot00_crypto_key.pyc文件。

最后发现这道题并没有使用-key参数。

4. 分析PYZ-00.pyz

根据看雪论坛的一篇文章,可以使用pyinstaller模块自带的一个工具分析pyz文件。

首先使用archive_viewer分析文件内容,分析结果和之前解包的内容大致相同。
在这里插入图片描述
这个工具也提供了三个选项,分别用于U:展示列表O:打开文件X:解包文件
在这里插入图片描述
使用O选项查看PYZ-00.pyz包含的内容:
在这里插入图片描述
在列表中成功找到了squid_game模块:
在这里插入图片描述
尝试使用X选项将它提取出来:
在这里插入图片描述

然后修复squid_game.pyc的文件头:
在这里插入图片描述
再使用uncompyle6进行反编译:
在这里插入图片描述
成功读到了源码:
在这里插入图片描述
发现关键在于get_time函数,对四个flag进行了切片重组,重组后的内容就是flag。

将关键代码复制出来稍加修改,执行一遍就能得到flag:

a = 'flag{c4ca4238a0b923820dcc509a6f75849b}'
b = 'flag{c81e728s9d4c2f636f0f7f89cc14862c}'
c = 'flag{eccbc87e4b5ce2fe28308fd9fsa7baf3}'
d = 'flag{a87ff679a2f3e71d9181a67b7542122c}'
flag = a[0:8] + b[9:14] + c[6:20] + d[-1:]
print(flag)

在这里插入图片描述

参考资料

看雪论坛:[原创]Python逆向——Pyinstaller逆向

lzyddf
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python逆向总结
woshiyanfu的博客
09-28 1904
Python是解释型语言,没有严格意义上的编译和汇编过程。但是一般可以认为编写好的python文件,由python解释器翻译成以.pyc为结尾的字节码文件pyc文件是二进制文件,可以由python虚拟机直接运行。Python在执行import语句时,将会到已设定的path中寻找对应的模块。并且把对应的模块编译成相应的PyCodeObject中间结果,然后创建pyc文件,并将中间结果写入该文件
CTF中常见的四种python逆向
最新发布
蚁景网安学院
04-18 1347
pyc是一种二进制文件,是由py文件经过编译后,生成的文件,是一种byte code,py文件变成pyc文件后,加载的速度有所提高,pyc 文件Python 编译过的字节码文件。它是 Python 程序在运行过程中由源代码(通常是 .py 文件)自动或手动编译产生的二进制文件
【re】[HUBUCTF] ezPython --pyc文件
question55的博客
11-08 122
这道题的附件是一个pyc文件,需要可通过在线网站反编译成py文件在线Python pyc文件编译与反编译 (lddgo.net)代码逻辑很简单,就是我们读入的东西先base58再base64,最后等于M0hBajFITHVLcWV6R1BOcEM5MTR0R0J3eGZVODV6MTJjZUhGZFNHQw==丢进From Base64(Base64转换), From Base58(Base58转换) - CyberChef (mzy0.com)直接解密
2.12(reverse)---pyc文件反编译
qq_73505302的博客
02-11 3184
lianxi
CTF-杂项入门学习笔记分享
m0_62945162的博客
06-14 1565
CTF入门学习笔记分享-杂项
BUUCTF pyre
OrientalGlass的博客
11-02 196
pyc是一种二进制文件,是由py文件经过编译后,生成的文件,是一种byte code,py文件变成pyc文件后,加载的速度有所提高,而且pyc是一种跨平台的字节码,是由Python的虚拟机来执行的,这个是类似于Java或者.NET的虚拟机的概念。pyc的内容,是跟python的版本相关的,不同版本编译后的pyc文件是不同的,2.5编译的pyc文件,2.4版本的python是无法执行的。详见什么是pyc文件这是第一次遇见pyc逆向问题,搜了很多人的文章,见到的都是但是我个人在pyc反编译网站。
2023江苏省赛任务三CTF-Reverse
12-10
1.对RE1进行逆向分析,找出文件中的FLAG并提交;(8分) 2.对RE2进行逆向分析,找出文件中的FLAG并提交;(12分) 3.对RE3进行逆向分析,找出文件中的FLAG并提交;(15分) 4.对RE4进行逆向分析,找出文件中的...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
2018强网杯CTF-题目整理.zip
12-17
2018强网杯CTF___题目整理
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
23、Web攻防——Python考点&CTF与CMS-SSTI模板注入&PYC反编译
qq_55202378的博客
12-20 413
模板引擎:模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。如果报错页面的url或者post数据中,有一个参数你是可以控制,且会显示在报错页面中,那么就有可能存在SSTI模板注入。文件,一般python文件改变后,都会重新生成pyc文件
第23天:WEB攻防-Python考点&CTF与CMS-SSTI模版注入&PYC反编译
wuqingsix的博客
11-19 759
着重介绍了SSTI漏洞的产生发现和利用
2021年四川省ctf比赛 python反编译wp
supreme567的博客
07-24 1227
第一步反汇编,将pyc文件转换为py文件pyc就是py变成exe的中间文件,可以理解为高级语言要先变成汇编语言在被翻译为机器的01语言 那么怎么反汇编呢? 这里要说的就是uncompyle工具,功能就是将pyc文件反编译成py文件,具体操作方法是将cmd命令行的指向指向pyc文件所在目录之后,输入如下指令 uncompyle6 -o *.py *.pyc 要注意的是要在环境变量中配置的路径是python2的python3会反编译不成功 第二步代码审计,可以观察到它对真正的flag做了如下处理 1.按位
day23 Python考点&CTF与CMS-SSTI模版注入&PYC反编译
wanjia01的博客
10-15 541
小迪学习笔记,小迪yyds
XCTF-攻防世界CTF平台-Reverse逆向类——52、handcrafted-pycPythonpyc文件逆向
Onlyone_1314的博客
09-07 1612
下载题目附件之后,查看附件52: 发现它就是一个Python代码文件 #!/usr/bin/env python # -*- coding: utf-8 -*- import marshal, zlib, base64 exec(marshal.loads(zlib.decompress(base64.b64decode('eJyNVktv00AQXm/eL0igiaFA01IO4cIVCUGFBBJwqRAckLhEIQmtRfPwI0QIeio/hRO/hJ/CiStH2M/prj07diGRP
bad_python
Nike_name的博客
12-01 242
python反编译
python反编译exe
李汶峰的博客
11-26 2793
python打包的.exe文件还原成.py 1.首先下载 pyinstxtractor.py 2.下载完成后将pyinstxtractor.py和将要反编译的exe放在同一文件夹下。直接cmd进去该路径,然后输入 python pyinstxtractor.py XX.exe 执行完成后,在该文件夹里会出现XX.exe_extracted文件夹。 3.打开XX.exe_extracte...
2022网刃杯ctf
10-17
2022网刃杯CTF是一场面向信息安全爱好者的竞技赛,旨在测试参与者在网络安全领域的技术水平和解决问题的能力。CTF是Capture The Flag的缩写,意指夺旗赛。比赛中,参与者需要根据给定的情景和任务,通过寻找和利用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值