[MRCTF2020]Shit

最新推荐文章于 2024-04-13 15:53:25 发布
最新推荐文章于 2024-04-13 15:53:25 发布
阅读量853 收藏
点赞数
文章标签: c++ c语言 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45323960/article/details/122551872
版权

main函数

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  int v4; // eax
  char v5; // al
  int v6; // eax
  int v7; // eax
  int v8; // eax
  char v10[52]; // [esp+4h] [ebp-38h] BYREF

  v3 = sub_401890();
  std::ostream::operator<<(v3, sub_401AD0);
  sub_401BD0((int)v10);
  if ( IsDebuggerPresent() || strlen(v10) != 24 )
  {
    v4 = sub_401890();
    std::ostream::operator<<(v4, sub_401AD0);
    Sleep(0x7D0u);
    goto LABEL_3;
  }
  sub_401460();
  v5 = sub_4012F0(v10);
  *(_DWORD *)v10 = sub_401AD0;
  if ( v5 )
  {
    v6 = sub_401890();
    std::ostream::operator<<(v6, sub_401AD0);
    v7 = sub_401890();
    std::ostream::operator<<(v7, *(_DWORD *)v10);
    system("pause");
LABEL_3:
    exit(0);
  }
  v8 = sub_401890();
  std::ostream::operator<<(v8, *(_DWORD *)v10);
  Sleep(0x7D0u);
  return 0;
}

首先读入字符串到v10中,然后要求v10的长度为24
之后关键函数sub_401460和sub_4012F0存在花指令,IDA无法分析。
去除如下图所示花指令
在这里插入图片描述
得到函数sub_401460

int sub_401460()
{
  unsigned int v0; // eax
  int result; // eax
  int v2; // [esp+Ch] [ebp-30h]
  int v3; // [esp+18h] [ebp-24h]
  int v4; // [esp+1Ch] [ebp-20h]
  int v5; // [esp+28h] [ebp-14h]
  int v6; // [esp+2Ch] [ebp-10h]
  int k; // [esp+30h] [ebp-Ch]
  int j; // [esp+34h] [ebp-8h]
  int i; // [esp+38h] [ebp-4h]

  v6 = 0;
  v0 = time(0);
  srand(v0);
  for ( i = 1; i <= 20; ++i )
  {
    dword_405460[i] = dword_40545C[i] + rand() % 5;
    if ( v6 <= dword_405460[i] )
      v5 = dword_405460[i];
    else
      v5 = v6;
    v6 = v5;
  }
  v3 = time(0);
  for ( j = 0; ; ++j )
  {
    result = j;
    if ( j >= 6 )
      break;
    v4 = 0;
    v2 = time(0);
    result = v3;
    if ( v2 - v3 > v6 )
      break;
    for ( k = 0; k <= 20; ++k )
    {
      if ( v2 - v3 <= dword_405460[k] )
      {
        v4 = dword_405460[k];
        break;
      }
    }
    *((_DWORD *)&xmmword_405034 + j) = (3 * j + v4 + dword_405030 * *((_DWORD *)&xmmword_405034 + j)) % 32;
    v3 = v2;
  }
  return result;
}

函数sub_4012F0

char __cdecl sub_4012F0(const char *a1)
{
  int v1; // esi
  int v3; // [esp+14h] [ebp-14h]
  int i; // [esp+1Ch] [ebp-Ch]
  int v5; // [esp+20h] [ebp-8h]

  v3 = 0;
  for ( i = 0; i < strlen(a1); i += 4 )
  {
    v1 = __ROR4__(
           a1[i + 3] | (a1[i + 2] << 8) | (a1[i + 1] << 16) | (a1[i] << 24),
           *((_DWORD *)&xmmword_405034 + i / 4));
    v5 = ((v1 << 16) | (unsigned __int16)~HIWORD(v1)) ^ (1 << *((_DWORD *)&xmmword_405034 + i / 4));
    if ( i > 0 )
      v5 ^= v3;
    v3 = v5;
    if ( v5 != dword_405018[i / 4] )
      return 0;
  }
  return 1;
}

通过搜索提示字符串可知,sub_4012F0返回值为1表示输入正确。
要想根据sub_4012F0推知正确字符串需要获取sub_401460得到的xmmword_405034。
利用ollydbg动调发现结果受到每次循环的时间差v2 - v3的影响,而程序正常运行是时间差可以看做为0,因此对程序做一下修改使得时间差为0。
在这里插入图片描述
在这里插入图片描述
然后动调求xmmword_405034的值
在这里插入图片描述
得到结果为

0x03, 0x10, 0x0d, 0x04, 0x13, 0x0b

根据sub_4012F0写出对应的解密程序

#include<bits/stdc++.h>

using namespace std;
unsigned int dword_405018[6] = {2351698746u, 4148999158u, 4276070130u, 2871606843u, 651135530u, 2292314745u};
const unsigned int xmmword_405034[6] = {0x03, 0x10, 0x0d, 0x04, 0x13, 0x0b};

int main() {
    ios::sync_with_stdio(false);
    cin.tie(nullptr);
    vector<char> ans(24);
    for (int i = 5; i >= 1; i--)dword_405018[i] ^= dword_405018[i - 1];
    for (int i = 0; i < 24; i += 4) {
        unsigned int tmp = dword_405018[i >> 2] ^ (1 << xmmword_405034[i >> 2]);
        tmp = (~tmp << 16) | (tmp >> 16);
        tmp = (tmp << xmmword_405034[i >> 2]) | (tmp >> (32 - xmmword_405034[i >> 2]));
        ans[i] = char(tmp >> 24 & 0xFF);
        ans[i + 1] = char(tmp >> 16 & 0xFF);
        ans[i + 2] = char(tmp >> 8 & 0xFF);
        ans[i + 3] = char(tmp & 0xFF);
    }
    for (char c: ans)cout << c;
    return 0;
}

运行得到flag

flag{a_3a2y_re_for_test}
_sky123_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
攻防世界REVERSE新手题解答
liucc09的博客
11-25 906
csaw2013reversing2 程序分析 使用IDA打开程序,F5键利用HexRay工具生成可读代码如下: int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h] [ebp-Ch] HANDLE hHeap; // [esp+10h] [ebp-4h] hHeap = HeapCreate(0x40000u
CTF_Tracker:BullCantShit CTF 团队的网站
07-07
#介绍 这是一个追踪 BullCantShit CTF 团队成员的进度、成就和兴趣的网站 它是由: 1 - Laravel(服务器端) 2 - Mysql(数据库) 3 - HTML5 + AngularJS + Less(客户端) #会员 塞巴斯蒂亚诺·马里亚尼 (Phat3) 法比奥·格里蒂 (degrigis) 洛伦佐·丰塔纳 (r0rshark) #设置 安装作曲家 通过 composer 将 laravel 安装为全局需求 composer global require "laravel/installer=~1.1" 设置阿帕奇: 创建虚拟主机 服务器名称:local.ctftracker.com documentRoot : your_www_directory/CTF_Tracker/public/ 确保您的 php 启用了 Mcrypt 扩展 尝试运
[MRCTF2020]PixelShooter1题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-29 525
buuctf-[MRCTF2020]PixelShooter 1题解
【CTF-Reverse】初级两道题
LeeOrange_45的博客
04-06 364
这道题他给了源码,那就可以看源码(没有ida加持看源码没法改原始代码),但是我想用ida32打开,去研究。其中有一个红框(下面的这个红框)的函数根本识别不出来,看到没有!最后选中整个函数按P进行函数组装,然后ida就能识别这个函数啦。(我不知道为啥我打开好慢,他说啥C盘地下有啥东西……将call指令和相应的函数以及多出来的EB都nop掉!看她改名字了,变成sub了。代表ida可以识别了呢。是有两个这种花指令的,人工修改一下?
REVERSE-PRACTICE-BUUCTF-30
P1umH0的博客
03-03 726
REVERSE-PRACTICE-BUUCTF-30[RCTF2019]DontEatMe[b01lers2020]little_engine [RCTF2019]DontEatMe exe程序,运行后输入,无壳,ida分析 交叉引用字符串来到sub_401260函数,读取输入,NtSetInformationThread的第二个参数为17(0x11),实现了反调试效果,调试的过程中修改EIP即可绕过反调试 随后byte_9457A8数组被赋予8个随机值,不过没什么用,下面又被赋了新值,而且新值固定不变,为
BUUCTF reverse wp 96 - 100
fa1c4的blog
10-07 1086
至此BUU前100个逆向题打完, 后续的WP可能只出有价值的题目, 并不再按顺序打。
[BUUCTF]REVERSE解题记录 [MRCTF2020]Shit
weixin_44192213的博客
03-05 3843
经过大佬的教育 我意识到了与其做那么多水题,不如认认真真好好研究几道题。所以这次挑战一下我肉眼可见比较难的这道题。 首先这个题打开文件后就会发现是自带c++源代码的,逻辑也很清晰。 在这道题中出现了花指令 ...
[buuctf.reverse] 099_[MRCTF2020]Shit
weixin_52640415的博客
05-19 286
花指令是怎么生成的
Week of 2.7
weixin_50166464的博客
02-14 5448
Week of 2.7: 1. 公开赛出题 2. NCE 3. Buu 4. 逆向工程核心原理
BUUCTF Pwn 1-12题解析及答案
红叶的博客
02-28 1172
这里使用fmtstr_payload直接替换 atoi_got 的原因是got表才是程序运行时函数的真正地址,通过替换atoi,修改为system,再送入'/bin/sh\x00' 即可成功getshell。s 的大小是0x3C,那么我们只需要输入 0x3C,也就是60 / 3 个I即可溢出,之后的内容我们可以就可以构建ROP链。也就是说,我们最多输入32个字节的东西,根据上文,我们可以输入32个I,这样就是32个you,也就是96个字节。0x0F + 0x08 代表 s 的大小加上8字节大小的rbp。
BUUCTF pwn wp 86 - 90
fa1c4的blog
01-17 588
mrctf2020_shellcode_revenge 一道经典题目, 可见字符shellcode. F5失败直接读汇编 ; Attributes: bp-based frame ; int __cdecl main(int argc, const char **argv, const char **envp) public main main proc near buf= byte ptr -410h var_8= dword ptr -8 var_4= dword ptr -4 ; __unwi
Shit
10-24
Shit
SHIT在MATLAB中的实现
03-16
SHIT算法在MATLAB实现,运行代码可以实现图像的匹配
60 Hz Test Tone_activate_useless_shit_my_
10-04
audio test for speakers and
content_IDo!IDo!_shit_
10-04
i have to do this sorry :( saabnjsnkamsklaljnkaksnd
shits
03-11
shits
qt-C++笔记之QProcess声明在堆上和声明在栈上对进程执行是否异步的影响
小勇博客
04-13 927
是一个有用的函数,可以使开发者在需要确保外部程序完全执行结束后再继续执行代码的场景中,很方便地实现同步操作。然而,需要谨慎使用,以避免在不适当的场合(如在主线程中处理耗时任务)导致应用程序响应性能问题。
【cJSON】的相关的说明
weixin_53161762的博客
04-09 283
【代码】【cJSON】的相关的说明。
C语言__编译和链接__复习篇4】
最新发布
YX54201的博客
04-13 835
C语言__编译和链接__复习篇4】
北京邮电大学2018计算机网络期末shit
01-01
北京邮电大学2018年计算机网络期末考试是一个具有一定难度的考试。该考试涵盖了计算机网络的各个方面,包括网络基础知识、网络传输技术、网络安全等内容。据考生反映,考试题目设计较为综合,需要考生对知识有较深的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_sky123_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值