buu练题记录9-[2019红帽杯]xx

最新推荐文章于 2023-05-25 21:24:35 发布
最新推荐文章于 2023-05-25 21:24:35 发布
阅读量242 收藏 1
点赞数
分类专栏: buuctf Reserve
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45892237/article/details/116137057
版权

0x00 查壳

image-20210425191240165

无壳,发现是64位程序,用IDA64打开

ox01 IDA分析

搜索字符串,发现了可疑字符串,从you win开始分析

image-20210425191608716

找到关键函数:

__int64 __fastcall sub_1400011A0(__int64 a1, __int64 a2)
{
  unsigned __int64 v2; // rbx
  signed __int64 v3; // rax
  __int128 *v4; // rax
  __int64 v5; // r11
  __int128 *v6; // r14
  int v7; // edi
  __int128 *v8; // rsi
  char v9; // r10
  int v10; // edx
  __int64 v11; // r8
  unsigned __int64 v12; // rcx
  signed __int64 v13; // rcx
  unsigned __int64 v14; // rax
  unsigned __int64 i; // rax
  _BYTE *v16; // rax
  size_t v17; // rsi
  _BYTE *v18; // rbx
  _BYTE *v19; // r9
  signed int v20; // er11
  char *v21; // r8
  signed __int64 v22; // rcx
  char v23; // al
  signed __int64 v24; // r9
  signed __int64 v25; // rdx
  _QWORD *v26; // rax
  size_t Size; // [rsp+20h] [rbp-48h]
  __int128 v29; // [rsp+28h] [rbp-40h]
  int v30; // [rsp+38h] [rbp-30h]
  int v31; // [rsp+3Ch] [rbp-2Ch]
  int code[4]; // [rsp+40h] [rbp-28h]
  int v33; // [rsp+50h] [rbp-18h]

  *code = 0i64;
  v33 = 0;
  sub_1400018C0(std::cin, a2, code);            //和v5取值的code不是同一code,重命名即可看到
  v2 = -1i64;
  v3 = -1i64;
  do
    ++v3;
  while ( *(code + v3) );
  if ( v3 != 19 )                               // length == 19
  {
    sub_140001620(std::cout, "error\n");
    _exit(code);
  }
  v4 = sub_140001E5C(5ui64);
  v5 = *&Code;                                  // qwertyuiopasdfghjklzxcvbnm1234567890
  v6 = v4;
  v7 = 0;
  v8 = v4;
  do
  {
    v9 = *(v8 + code - v4);
    v10 = 0;
    *v8 = v9;
    v11 = 0i64;
    v12 = -1i64;
    do
      ++v12;
    while ( *(v5 + v12) );                      // v12 = len(Code) = 36
    if ( v12 )
    {
      do
      {
        if ( v9 == *(v5 + v11) )
          break;                                // 判断输入字符是否在Code字符集中
        ++v10;
        ++v11;
      }
      while ( v10 < v12 );
    }
    v13 = -1i64;
    do
      ++v13;
    while ( *(v5 + v13) );                      // v13 = len(Code) = 36
    if ( v10 == v13 )
      _exit(v5);
    v8 = (v8 + 1);
  }
  while ( v8 - v4 < 4 );
  *(v4 + 4) = 0;                                // v4保存前4个字符   flag?
  do
    ++v2;
  while ( *(code + v2) );                       // v2 = len(input)
  v14 = 0i64;
  v29 = *v6;
  while ( *(&v29 + v14) )
  {
    if ( !*(&v29 + v14 + 1) )
    {
      ++v14;
      break;
    }
    if ( !*(&v29 + v14 + 2) )
    {
      v14 += 2i64;
      break;
    }
    if ( !*(&v29 + v14 + 3) )
    {
      v14 += 3i64;
      break;
    }
    v14 += 4i64;
    if ( v14 >= 0x10 )
      break;
  }
  for ( i = v14 + 1; i < 16; ++i )
    *(&v29 + i) = 0;                            // 将key拓展为16位
  v16 = sub_140001AB0(code, v2, &v29, &Size);   // xxtea加密
  v17 = Size;
  v18 = v16;
  v19 = sub_140001E5C(Size);
  v20 = 1;
  *v19 = v18[2];                                // box替换
  v21 = v19 + 1;
  v19[1] = *v18;
  v19[2] = v18[3];
  v19[3] = v18[1];
  v19[4] = v18[6];
  v19[5] = v18[4];
  v19[6] = v18[7];
  v19[7] = v18[5];
  v19[8] = v18[10];
  v19[9] = v18[8];
  v19[10] = v18[11];
  v19[11] = v18[9];
  v19[12] = v18[14];
  v19[13] = v18[12];
  v19[14] = v18[15];
  v19[15] = v18[13];
  v19[16] = v18[18];
  v19[17] = v18[16];
  v19[18] = v18[19];
  v19[19] = v18[17];
  v19[20] = v18[22];
  v19[21] = v18[20];
  v19[22] = v18[23];
  for ( v19[23] = v18[21]; v20 < v17; ++v21 )   // v20 = 1,v21 = &v19[1]
  {
    v22 = 0i64;
    if ( v20 / 3 > 0 )
    {
      v23 = *v21;
      do
      {
        v23 ^= v19[v22++];                      // 循环异或
        *v21 = v23;
      }
      while ( v22 < v20 / 3 );                  // 三个一组
    }
    ++v20;
  }
  *&v29 = 0xC0953A7C6B40BCCEi64;
  v24 = v19 - &v29;
  *(&v29 + 1) = 0x3502F79120209BEFi64;
  v25 = 0i64;
  v30 = 0xC8021823;
  v31 = 0xFA5656E7;
  do
  {
    if ( *(&v29 + v25) != *(&v29 + v25 + v24) ) // &29+v24=v19
      _exit(v7 * v7);
    ++v7;
    ++v25;
  }
  while ( v25 < 24 );
  v26 = sub_140001620(std::cout, "You win!");
  std::basic_ostream<char,std::char_traits<char>>::operator<<(v26, sub_1400017F0);
  return 0i64;
}

所以获取算法核心:

  1. 获取输入input,判断输入是否为19位;
  2. 检验输入的各个字符是否在字符集“qwertyuiopasdfghjklzxcvbnm1234567890”内;
  3. 将input的前四位保存在v4中,然后拓展为16位(用 ‘\0’ 填充)作为key;
  4. 用key对input进行xxtea加密,保存在v18中;
  5. 对v18进行乱序(box替换),保存在v19中;
  6. 对v19进行分组、循环异或;
  7. 与明文对比。

所以我们就可以从明文出发,所以在上面的核心中看到,只有4,5,6步是对数据进行了加密,所以也就只有三步而已。

这里的明文是小端存储的,所以应该逆序过来(hex数据格式,两个表示一位)

0x02 exp

exp1

v29 = "FA5656E7C80218233502F79120209BEFC0953A7C6B40BCCE"
crypt = []
for i in range(len(v29)-1,-1,-2):
    crypt.append(int(v29[i-1]+v29[i],16))
    #小端存储是逆序,先倒叙,因为是hex,两个一组。

print(crypt)
for i in crypt:
    print(str(hex(i).upper())[2:],end='')
print('')#输出逆序后的v29

for i in range(len(crypt)-1,-1,-1):
    d = int(i / 3)
    if d > 0:
        for j in range(d-1,-1,-1):
            crypt[i] ^= crypt[j]
    #逆分组循环异或

for i in crypt:
    print(str(hex(i))[2:],end='')
print('')#输出逆异或后的结果

box = [2,0,3,1,6,4,7,5,10,8,11,9,14,12,15,13,18,16,19,17,22,20,23,21]
res = [0]*24
for i in range(24):
    res[box[i]] = crypt[i]
    #box替换,得到xxtea加密后的结果
res1 = ''
for i in res:
    res1 += str(hex(i))[2:].zfill(2)
    #字符处理,将res里的数转为hex再转str用切片方式删去'0x',用zfill()方法将一位的数前面补0
print(res1)
image-20210425193846839

这里运行之后可以得到xxtea加密后的数据,只需要解码(“bca5ce40f4b2b2e7a9129d12ae10c85b3dd7061ddc70f8dc”)就好。

这里的解码就出现问题了……py是含有xxtea库的,但是用的时候……会报错我是用了错误的key……

exp2

没有办法只好找找其他的不用库的实现办法

dec = 'bca5ce40f4b2b2e7a9129d12ae10c85b3dd7061ddc70f8dc'
dec1 = ''

for i in range(0,len(dec),2):
    dec1 += chr(int(dec[i]+dec[i+1],16))
    #将hex转为字符

import struct
 
_DELTA = 0x9E3779B9  
 
def _long2str(v, w):  
    n = (len(v) - 1) << 2  
    if w:  
        m = v[-1]  
        if (m < n - 3) or (m > n): return ''  
        n = m  
    s = struct.pack('<%iL' % len(v), *v)  
    return s[0:n] if w else s  
 
def _str2long(s, w):  
    n = len(s)  
    m = (4 - (n & 3) & 3) + n  
    s = s.ljust(m, "\0")  
    v = list(struct.unpack('<%iL' % (m >> 2), s))  
    if w: v.append(n)  
    return v  
 
def encrypt(str, key):  
    if str == '': return str  
    v = _str2long(str, True)  
    k = _str2long(key.ljust(16, "\0"), False)  
    n = len(v) - 1  
    z = v[n]  
    y = v[0]  
    sum = 0  
    q = 6 + 52 // (n + 1)  
    while q > 0:  
        sum = (sum + _DELTA) & 0xffffffff  
        e = sum >> 2 & 3  
        for p in xrange(n):  
            y = v[p + 1]  
            v[p] = (v[p] + ((z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (k[p & 3 ^ e] ^ z))) & 0xffffffff  
            z = v[p]  
        y = v[0]  
        v[n] = (v[n] + ((z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (k[n & 3 ^ e] ^ z))) & 0xffffffff  
        z = v[n]  
        q -= 1  
    return _long2str(v, False)  
 
def decrypt(str, key):  
    if str == '': return str  
    v = _str2long(str, False)  
    k = _str2long(key.ljust(16, "\0"), False)  
    n = len(v) - 1  
    z = v[n]  
    y = v[0]  
    q = 6 + 52 // (n + 1)  
    sum = (q * _DELTA) & 0xffffffff  
    while (sum != 0):  
        e = sum >> 2 & 3  
        for p in xrange(n, 0, -1):  
            z = v[p - 1]  
            v[p] = (v[p] - ((z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (k[p & 3 ^ e] ^ z))) & 0xffffffff  
            y = v[p]  
        z = v[n]  
        v[0] = (v[0] - ((z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (k[0 & 3 ^ e] ^ z))) & 0xffffffff  
        y = v[0]  
        sum = (sum - _DELTA) & 0xffffffff  
    return _long2str(v, True)  
 
key = 'flag'
dec2 = decrypt(dec1, key)
print (len(dec2))
print (dec2)

这里的第二个脚本需要在py2的环境下跑。然后得到了flag:

image-20210425195450671

0x03 求解

拿到flag之后,我就试着用xxtea的库来加密之后和字符串dec对比,结果发现真的不一样。但是为什么出现这种问题?不应该啊

image-20210425200029666

这个结果和dec里的值完全不一致,甚至连字符串长度都不一样。希望有大佬可以解惑 。

Asteri5m
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影“灰姑娘”中的咒语“ Bibidi Barbidibou”,分为三个,Bibi是制片人,Babidi是去除魔鬼印记的人,Buu成了魔鬼的名字。 以下是您将获得的其他功能的列表:-待办事项列表-设置您喜欢的壁纸-发现新的热点-书签-社交网络通知-每个新标签的高品质壁纸-时钟显示日期和时间-天气小部件-打开搜索 支持语言:English,中文 (简体),中文 (繁體)
第15天:红帽杯2019-XX
S1lenc3的博客
11-14 1160
比赛的时候一道逆向没做出来,ezre还被耍了,也没做出来,这两天搞android,那个AndroidStudio给我整了一天,我哭了,今天复现一道题,一天就这么没了。。。。 XX这道题思路很清晰: 输入 取输入的前四个字符 进行XXTEA加密 通过置换box进行置换 3个为一组做循环异或 和明文比较 难点就是那个XXTEA加密,然后装了一个插件,FindCrypt ,百度有安装教程。...
BUUCTF逆向 [2019红帽杯]xx
chuxuezhewocao的博客
06-27 539
BUUCTF刷题记录,本题主要是一道C++程序题,主要在于理清代码逻辑,c++的反汇编伪代码看的还不是很熟练。代码稍长,可以分段看,首先来到第一段,是一个获取输入的部分: 这里有一个容易看错的地方,就是存储输入的那个变量叫Code,然后v6指向的内容也叫Code,但是这两个不是一个东西,后者跟进去后可以看到如图上标注所示 这里是最后一个异或的逻辑,相当于从v20[3]开始,每一位都会和前面的几个数据循环异或,范围就是range(i//3),逆的时候从后往前算 总体的逻辑差不多是这样,但是在解的时候卡在了解
[BUUCTF]REVERSE——[2019红帽杯]xx
mcmuyanga的博客
03-23 1364
[2019红帽杯]xx 附件 步骤 PE文件,查壳儿,64位程序,无壳儿 64位ida载入
buu [2019红帽杯]xx1 wp
zzqzzq11的博客
01-13 470
首先用exeinfo打开它,发现是无壳的64位程序。 逆向先静后动,因此先用ida 打开: main函数代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { unsigned __int64 v3; // rbx __int64 v4; // rax __int128 *v5; // rax __int64 v6; // r11 __int128 *v7; // r14 int..
[2019红帽杯] Reverse复现
辰星的博客
01-18 317
1.EasyRe wp ELF文件结构:主要考察对ELF各Section的作用熟悉程度。 根据在字符串追踪引用至该函数中。该函数可以得到一个一个提示,已经一个无用的网站。提示信息大意为前4个字节为flag,后面有用。 其实到这步的时候很容易卡在,我动调半天没发现什么,最好看其他师傅WP基本思路都是从.data段的定义的变量入手,追踪到关键处。 其实这个思路并不明显,我自己思考了一下似乎也没有什么好的想法,也只有追踪可以全局变量这一个了,当然如果你足够有毅力也可以注意查看每一个函数。 最终关键函数在.f
[2019红帽杯]xx 1
qq_41853048的博客
05-25 125
看以看出来两个移位计算式很像tea加密中的一种,百度后发现是xxtea,那么我们需要获取密钥值,加密迭代次数,密文,直接动态调试,可以发现密钥为前五位,即flag,迭代值为6,所以前面的运算是为了产生这两个值。最后给了四个十六进制数作为结果比较,v19经过加密函数后,顺序打乱给了v20,然后进行异或操作得到最终结果。可以看到先判断输入字符长度是否为19,然后接下来的一段不知道在干嘛,我们倒着看。v8 =a2 >>2 +1,动调可以知道a2为20,所以结果为6。
BUUCTF Reverse/[2019红帽杯]xx
ookami6497的博客
11-28 491
BUUCTF Reverse/[2019红帽杯]xx 先看下文件信息:没有加壳、64位程序 看别人wp时候发现个好东东,就是这个findcrypt插件,可以看加密算法的,具体安装可以看这个IDA7.5安装findcrypt3插件 可以看到这是tea加密 ...
re学习笔记(26)BUUCTF-re-[2019红帽杯]xx
逆向随笔
01-15 2509
[2019红帽杯]easyRE 新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:BUUCTF-re-[2019红帽杯]xx 题目下载:点击下载 IDA64位载入 shift+F12查看字符串 交叉引用找到关键代码 使用findcrypt插件找到加密算法为tea系列,进函数内部查看知道为xxtea __int64 __fastcall sub_1400011A0(__...
buu逆向刷题(五)
re1wn
10-07 6602
buu刷题
apachecn#apachecn-ctf-wiki#[WP/BUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
2020网鼎杯青龙组Boom
05-12
2020网鼎杯青龙组Boom。如果需要的可以下载,其实就是解方程而已,没啥难度。
2020年网鼎杯青龙组赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
ISCC2021-Re部分题解
Asteri5m
05-28 1787
文章目录练武题0x00 Garden0x01 Analysis0x02 Ron's Code0x03 无法注册的程序擂台题0x10 汇编大人,时代变了0x11 秘笈0x12 Greedy Snake ISCC比赛怎么样,就不好评价了,但是打比赛嘛,总归还是要学点知识的。作为一个Re菜鸟,就给大家献丑了。太鼓达人那题前面一直只有几个解,后面突然出现了几百个,懂得都懂,我就不点破了。而且本菜鸡也不会,所以没有这题。其他的应该足够大家食用了,若是有其他的更好的解,欢迎师傅交流经验,是本菜鸡的荣幸。 练武题 0x0
PE文件格式简析
Asteri5m
09-16 581
#mermaid-svg-IKxrtQXeqJCXjOiJ .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-IKxrtQXeqJCXjOiJ .label text{fill:#333}#mermaid-svg-IKxrtQXeqJCXjOiJ .node rect,#mermaid-svg-IKxrtQXeqJ
buu练题记录8-findKey
Asteri5m
04-20 435
0x00 查壳 & 运行 无壳,还是运行康康有啥 所以是啥也没有,还是用IDA看看 0x01 IDA分析 直接查找字符串找到可疑字符 从flag{}那开始分析 发现报红,两行一样的代码,nop掉第二行,按P生成函数,再F5反汇编。 从flag哪里反着看上去。ctrcmp函数比较v19和String1。v19原本是cpy的字符串"0kk`d1a`55k222k2a776jbfgd`06cjjb",然后经过了sub_401005函数,跳过去看看这个函数。 一个循环异或,而v4转成字符为"SS
buu练题记录15-[ACTF新生赛2020]SoulLike
Asteri5m
06-21 406
首先拿到查壳,发现是64位的ELF文件,所以直接IDA打开,找到main函数 v9是这里解释为int类型,但是可以转为字符,所以为小端存储,既倒着取值; 这里效验v12为字符“}”,但是我们的输入在v11,所以输入应该为18位长度的字符串,刚好把最后一位溢出到v12; 这里只调用一个sub_83A函数,所以直接查看这个函数。但是F5的时候IDA会提示 too big function,解决办法为修改IDA配置文件cfg\hexrays.cfg MAX_FUNCSIZE = 64
buu-Reserve:Youngter-drive
Asteri5m
03-23 294
buu-Reserve :Youngter-drive 平时也经常在buu练题,练到后面收获越发的多。便想着记录下来。 0x00 初步分析 尝试运行的时候发现不可以,好吧,直接查壳: 0x01 查壳脱壳 简单的upx壳,但是由于也不能运行,直接自动脱壳吧: 脱完壳还是不能运行,估计是需要修复,懒人直接上IDA,shift+F12可以看到关键字符: 0x02 代码分析 直接转过去试试能不能反编译,直接进入查看伪代码。那就直接分析它的算法吧: 可以看到我们的输入保存在Source字符串里面;返回上一
buu Quoted-printable
最新发布
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值