BUUCTF reverse16-20 WP

最新推荐文章于 2023-07-08 22:51:03 发布
最新推荐文章于 2023-07-08 22:51:03 发布
阅读量1.1k 收藏 3
点赞数 2
分类专栏: ctf reverse buuctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42880719/article/details/115330040
版权
ctf 同时被 3 个专栏收录
87 篇文章 63 订阅
订阅专栏
buuctf
17 篇文章 4 订阅
订阅专栏
reverse
8 篇文章 6 订阅
订阅专栏

写脚本技术很菜,所以和其他wp相比看起来比较麻烦
笔记是按照当时的题目排序写的,顺序可能有出入
做题是从0开始做起,所以前面部分也会尽可能写的详细一点
只要能记录并且了解到怎么做即可,所以就没有去在意排版
遇到不会的函数尽可能去百度了解
因为前面的题难度不大,所以前面的每道题都没有去查壳,除非有特殊:)

题目:[GWCTF 2019]pyre、[BJDCTF2020]JustRE、rsa、CrackRTF、[ACTF新生赛2020]easyre

16.[GWCTF 2019]pyre
得到的 flag 请包上 flag{} 提交。

下载附件,得到attachment.pyc,打开kali,用uncompyle6进行反编译

uncompyle6 attachment.pyc > attachment.py

打开attachment.py

# uncompyle6 version 3.7.4
# Python bytecode 2.7 (62211)
# Decompiled from: Python 3.8.7 (default, Dec 22 2020, 10:37:26) 
# [GCC 10.2.1 20201207]
# Embedded file name: encode.py
# Compiled at: 2019-08-19 21:01:57
print 'Welcome to Re World!'
print 'Your input1 is your flag~'
l = len(input1)
for i in range(l):
    num = ((input1[i] + i) % 128 + 128) % 128
    code += num

for i in range(l - 1):
    code[i] = code[i] ^ code[(i + 1)]

print code
code = ['\x1f', '\x12', '\x1d', '(', '0', '4', '\x01', '\x06', '\x14', '4', ',', '\x1b', 'U', '?', 'o', '6', '*', ':', '\x01', 'D', ';', '%', '\x13']
# okay decompiling attachment.pyc

简单逆向,放入的input1经过变换之后成code,code经过异或之后成最终的code[],所以反过来即可

code = ['\x1f', '\x12', '\x1d', '(', '0', '4', '\x01', '\x06', '\x14', '4', ',', '\x1b', 'U', '?', 'o', '6', '*', ':', '\x01', 'D', ';', '%', '\x13']
l=len(code)
flag = ''
for i in range(l-2,-1,-1):
    code[i] = chr(ord(code[i]) ^ ord(code[(i+1)]))

for i in range(l):
    flag+=chr((ord(code[i])-i)%128)
print(flag)

flag{Just_Re_1s_Ha66y!}

17.[BJDCTF2020]JustRE
得到的 flag 请包上 flag{} 提交。来源:https://github.com/BjdsecCA/BJDCTF2020

下载附件,运行看看
在这里插入图片描述
IDA打开
shift+F12查看字符串,发现有DJB字样,双击跳转并跳转至函数
在这里插入图片描述

其中有个sprintf当4099F0==19999的时候,将字符串BJD{%d%d2069a45792d233ac}写入
那么%d分别应该对应的是19999和0
所以可以得到flag

flag{1999902069a45792d233ac}

18.rsa
ras是一个非常神秘的算法,那么它神秘在哪里 请少侠自己摸索! 注意:得到的 flag 请包上 flag{} 提交

下载得到enc和key,直接RsaCtfTool(github上自行下载)一把梭,原理和一般的题型见我另一篇https://blog.csdn.net/qq_42880719/article/details/114179370

python3 RsaCtfTool.py --publickey pub.key --uncipherfile flag.enc

在这里插入图片描述

flag{decrypt_256}

19.CrackRTF
在互联网时代,兼容就是胜利,兼容就是王道。为了遏制微软一家独大的趋势,小明自诩民族斗士,向微软CEO挑战,CEO给了他一个文件,据说破解后能得到一个微软的多信息文本格式文件。只有得到了才能获得挑战CEO的机会。小明绞尽脑汁,最后不得不求助大家。。。兄弟们该出手时就出手! 注意:得到的 flag 请包上 flag{} 提交

下载附件,IDA打开,找到main函数,开始审计

memset(&pbData, 0, 0x104u);
  memset(&String1, 0, 0x104u);
  v4 = 0;
  printf("pls input the first passwd(1): ");
  scanf("%s", &pbData);
  if ( strlen((const char *)&pbData) != 6 )
  {
    printf("Must be 6 characters!\n");
    ExitProcess(0);
  }
  v4 = atoi((const char *)&pbData);
  if ( v4 < 100000 )
    ExitProcess(0);
  strcat((char *)&pbData, "@DBApp");
  v0 = strlen((const char *)&pbData);
  sub_40100A(&pbData, v0, &String1);
  if ( !_strcmpi(&String1, "6E32D0943418C2C33385BC35A1470250DD8923A9") )
  {
    printf("continue...\n\n");
    printf("pls input the first passwd(2): ");
    memset(&String, 0, 0x104u);
    scanf("%s", &String);
    if ( strlen(&String) != 6 )
    {
      printf("Must be 6 characters!\n");
      ExitProcess(0);
    }
    strcat(&String, (const char *)&pbData);
    memset(&String1, 0, 0x104u);
    v1 = strlen(&String);
    sub_401019((BYTE *)&String, v1, &String1);
    if ( !_strcmpi("27019e688a4e62a649fd99cadaafdb4e", &String1) )
    {
      if ( !(unsigned __int8)sub_40100F(&String) )
      {
        printf("Error!!\n");
        ExitProcess(0);
      }
      printf("bye ~~\n");
    }
  }
  return 0;

首先判断输入的pdData长度是否为6,然后把值赋值给v4,判断v4是否>=100000,然后将@DBApp拼接在v4后面,v0=v4的长度(即12)
之后进入sub_40100A函数,出来后与6E32D0943418C2C33385BC35A1470250DD8923A9进行对比

通过了之后再进行新的判断,String的长度也要为6,并且拼接在pdData前面,进入sub_401019函数加密后,又与27019e688a4e62a649fd99cadaafdb4e进行判断,判断过后又要经过sub_40100F

首先查看sub_40100A函数,需要继续跟进sub_401230,
在这里插入图片描述

可以发现,使用了Hash加密,8004是指用什么方法去加密这里是指sha1,应该是调用了自带的加密库,所以直接写脚本爆破

import hashlib
r = '6E32D0943418C2C33385BC35A1470250DD8923A9'
flag='@DBApp'
for i in range(100000,1000000):
    if(hashlib.sha1((str(i)+flag).encode())).hexdigest().lower() == r.lower():
        print(str(i)+flag)

在这里插入图片描述
得到123321@DBApp

查看sub_401019,跟进查看,发现这次是调用8003(MD5)
输入6个字符如果纯爆破将会爆破很久,所以先查看sub_40100F函数,跟进查看sub_4014D0函数
在这里插入图片描述

看不懂了,去看了看其他大佬的博客

第1~21行:查找类型“AAA”,名称0x65的资源。
第22行:将第二段密码与查找到的资源进行某种变换(进入sub_401005函数)。
第23行~最后:将变换得到的信息写入dbapp.rtf文件。

查看sub_401005函数,函数是要把APP的开头6位与用户输入的6位进行异或
在这里插入图片描述

根据分析之前11-22行代码可以得知,这里是需要将AAA里面找到的特定字符与我们拼接好的字符进行异或然后写到dbapp.rtf文件中去
AAA的值需要使用ResourceHacker查看
在这里插入图片描述

因为是rft文件,所以可以去搜索文件头https://blog.csdn.net/dream_dt/article/details/79215798
可以发现前六个字符是{\rtf1
那么直接把app的前六位和{\rtf1异或即可得到需要用户输入的,写脚本

aaa = [0x5, 0x7d, 0x41, 0x15, 0x26, 0x1]
header = [0x7b, 0x5c, 0x72, 0x74, 0x66, 0x31]
flag = ''

for i in range(len(aaa)):
    flag+=chr(aaa[i]^header[i])
    print(flag)

在这里插入图片描述
所以合起来,用户输入的内容是

123321
~!3a@0

运行程序,按顺序输入,会生成一个dbapp.rtf文件,打开即是flag
在这里插入图片描述

flag{N0_M0re_Free_Bugs}

20.[ACTF新生赛2020]easyre
得到的 flag 请包上 flag{} 提交。

下载后IDA打开发现并未显示,winhex能明显看到UPX壳,exeinfope查壳

在这里插入图片描述
UPXShell脱壳,再用IDA打开
在这里插入图片描述

查看一下_data_start__
在这里插入图片描述
即v4和_data_start__函数中字符串里面寻找一个字符然后 -1 进行对比

tmp = '~}|{zyxwvutsrqponmlkjihgfedcba`_^]\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>=<;:9876543210/.-,+*)(\'&%$# !"'
main = [42, 70, 39, 34, 78, 44, 34, 40, 73, 63, 43, 64]
n=[]
flag=''
for i in main:
    n.append(tmp.find(chr(i))+1)
for i in n:
    flag += chr(i)
print('flag{'+flag+'}')

在这里插入图片描述

flag{U9X_1S_W6@T?}

是Mumuzi
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF--Reverse
weixin_48295646的博客
05-21 1950
easyre 用notepad++打开文件,直接用搜索就搜索出来flag{this_Is_a_EaSyRe} reverse1 reverse1 注意:得到的 flag 请包上 flag{} 提交
reverse-utf16-string:反转 UTF16 字符串
07-06
反转 UTF-16 字符串 优化的 UTF-16 兼容反向字符串算法。 它只需要遍历给定字符串的 1/2,并处理 UTF-16 代理对。 用法 var reverse = require ( 'reverse-utf16-string' ) ; var reversed = reverse ( 'ab
Reverse-Proxy-for-Google
04-10
Google反向代理 [Nginx]可配置的Nginx com代理反Google产品,可单独使用Archivo默认的默认网站-可用nano / etc / nginx / sites-可用/默认pegar lo siguiente: 配置 server { listen 80 ; server_name example.com; location / { proxy_pass https://www.google.com; proxy_set_header Host www.google.com; proxy_set_header Referer https://www.google.com; proxy_set_header User-Agent $http_user_agent ;
reverse-shell-generator:简单的脚本来生成反向shell
04-10
我用Python编写的一个简单脚本可立即生成反向shell。 您不需要每次都打开Goog​​le,呵呵。 安装 1. Clone the Repository: git clone https://github.com/SoftwareUser23/reverse-shell-generator 2. Change the Directory: cd reverse-shell-generator 3. Install Dependencies: pip3 install -r requirements.txt 4. Run the Python-file: python3 main.py 通过脚本安装: chmod +x install.sh ./install.sh 完毕! 由SoftwareUser23充满爱 :red_heart: 。
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
python SMTP attachment
weixin_30535843的博客
11-15 448
发邮件,现在还有不带附件的吗? 开个玩笑,你要带,就得如此下边这样办 //test.py import smtplib from email.mime.text import MIMEText from email.mime.multipart import MIMEMultipart from email.header import Header mail_host="smt...
[BUUCTF 刷题] Reverse解题方法总结(一)
Y1seco的博客
04-12 5759
这里写目录标题一 动态调试gdb IDA view: 定位要修改的代码段在哪里。 Hex view: 用来修改我们的数据 exports window: 导出窗口 import window: 导入窗口 names window: 函数和参数的命名列表 functions window: 样本的所有函数窗口 strings window: 字符串显示窗口,会列出程序中的所有字符串 1.写脚本,得到最后的flag 2.GDB动态调试 一 动态调试 gdb 例: b +函数名 :下断点
BUUCTF--Reverse(1~10)
m0_59022585的博客
07-08 1282
exeinfope.exe查看文件,发现位数为32位,使用IDA32打开,Shift+F12找到flag。将脱壳后的文件用IDA32打开,Shift+F12寻到关键字符串,跳转到伪代码部分,分析代码得到flag。跳转到伪代码,分析代码并编写脚本爆破求出flag。exeinfope.exe查看文件,发现文件为带壳32位,使用FFI.exe进行脱壳。使用IDA64打开exe文件,再使用Shift+F12查看字符串,得到flag。exeinfope.exe查看文件为32位无壳,IDA32打开文件搜索字符串。
[GWCTF 2019]pyre
since_2020的博客
04-23 325
pyc 文件,python 逆向
2022-3-18
m0_57291352的博客
03-18 853
rsa ras是一个非常神秘的算法,那么它神秘在哪里 请少侠自己摸索! 注意:得到的 flag 请包上 flag{} 提交 -----BEGIN PUBLIC KEY----- MDwwDQYJKoZIhvcNAQEBBQADKwAwKAIhAMAzLFxkrkcYL2wch21CM2kQVFpY9+7+ /AvKr1rzQczdAgMBAAE= -----END PUBLIC KEY----- 这是道密码题吧 公钥解析一下,然后分解个n,然后常规解就可 注意一下,flag.enc文件直接open打开
Python Web开发 Django之上传与下载文件
iwantoseeu的博客
01-19 2554
上传文件 第一步:建立上传模板 上传模板,就是为上传文件提供相应网页操作的界面,主要提供表单功能,对应HTTP请求POST提交功能,只有通过POST才能在线提交各种资源(这里只各种文件)。 首先在项目模板路径下建立upload.html模板文件。 内容如下,这一步将建立文件上传提交界面。 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title&
py脚本检索指定文件并发送邮件+脚本打包、伪装
筱羊冰冰
09-09 541
起因 先说一下我在干什么,之前有一个朋友,他们的网安老师提出了一个挑战,就是如果能在交作业的时候把他电脑上的考试卷拿到,那么考试直接满分,老师已经展示了考卷的位置,以及自己的电脑系统。 那么就来试一下,首先我的想法是将图片和exe一起发给老师,然后同时运行,在指定位置搜索考试卷(word文档),然后用email库发邮件。 这篇博客应该会比较全,想法是把整个流程都搬一遍,如果实现上有问题我会补充。 说干就干 首先是脚本的准备,要有两个功能,一个是在搜索(其实是可以直接使用指定位置的,但是说不好会换呢),另一个
[羊城杯 2020]login + pyinstaller细节解包
m0_46296905的博客
04-29 1364
题目:[羊城杯 2020]login pyinstaller打包后的64位程序。 一、pyinstaller解包 【参考看雪论坛的发帖】 (一).exe——>.pyc 方法1:PyInstaller Extractor 用PyInstaller Extractor解包 把pyinstxtractor.py和attachment.exe文件放在同个目录下 打开cmd,进入该目录,输入: python pyinstxtractor.py attachment.exe 这里有个值得注意的地方就是执行这个
BUUCTF-reverse-reverse3(超级详细)
weixin_62387234的博客
10-28 2471
涉及到base64编码,具体原理放在了专栏“CTF逆向的加密与解密”里面,不懂的可以去看一下。
Python 发送带附件的邮件 发出去的附件格式就成bin
weixin_44063212的博客
08-14 1327
导语:学习到使用Python发送带附件的邮件,但收件人收到的附件格式是bin,附件名称也不是filename写的名称。 1、效果如下: 2、解决办法: 将 att1[‘Content-Disposition’] = 'attachment;filename = “星测试附件.txt”'替换成 att1.add_header(‘Content-Disposition’, ‘attachment’, filename=‘星测试附件.txt’),即可完美解决 3、源码如下: import smtplib fro
[BUUCTF] 集训第七天
Dannie01的博客
10-04 466
[CISCN2019 华北赛区 Day1 Web1]Dropbox 任意文件下载 phar反序列化 知识点 在下载的时候可以通过抓包修改文件名filename=…/…/index.php //class.php <?php error_reporting(0); $dbaddr = "127.0.0.1"; $dbuser = "root"; $dbpass = "root"; $dbname = "dropbox"; $db = new mysqli($dbaddr, $dbuser, $db
BUUCTF-reverse
njh18790816639的博客
06-27 715
easyre reverse1 reverse2 fl0g = '{hacking_for_fun}' flag = list(fl0g) for i in range(len(flag)): if ord(flag[i]) == 105 or ord(flag[i]) == 114: flag[i] = chr(49) print(flag[i],end='') #{hack1ng_fo1_fun} 内涵的软件 后来我菜发现得把v2里面的DBAPP换成fla
[buuctf.reverse] 1-10题
weixin_52640415的博客
05-05 961
转战到buuctf的逆向,开头1分题,闲着先练练手。 easyre int __cdecl main(int argc, const char **argv, const char **envp) { int b; // [rsp+28h] [rbp-8h] BYREF int a; // [rsp+2Ch] [rbp-4h] BYREF _main(); scanf("%d%d", &a, &b); if ( a == b ) printf("fl
BUUCTF-Reverse Writeup【持续更新】
skysys的研究小屋
01-27 845
BUUCTF 二进制刷题
buuctf reverse wp
最新发布
08-03
根据提供的引用内容,我们可以得到以下信息: ...根据以上信息,我们可以推断buuctf reverse wp是关于逆向工程的挑战。具体来说,可能需要分析get_flag()函数和main函数的逻辑,以及对n进行因式分解,以获取flag。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值