buuctf 刮开有奖 wp

最新推荐文章于 2024-04-25 18:34:52 发布
最新推荐文章于 2024-04-25 18:34:52 发布
阅读量1.1k 收藏 1
点赞数 8
分类专栏: 逆向 文章标签: 字符串 .net leetcode python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51739768/article/details/115055019
版权

是个EXE文件首先打开看一下,只有一个带有刮开有奖的消息框,没有什么线索然后老套路拉进Exeinfo PE查看是32位的文件在这里插入图片描述拉进IDApro x86 看到 WinMain 当然毫不犹豫的进去看一下,然后F5查看一下伪代码,

在这里插入图片描述看到了GetDlgItemTextA函数,发现它在DialogFunc中,我们用F5载入它看看,

BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4)
{
  const char *v4; // esi@5
  const char *v5; // edi@5
  BOOL result; // eax@14
  int v7; // [sp+8h] [bp-20030h]@5
  int v8; // [sp+Ch] [bp-2002Ch]@5
  int v9; // [sp+10h] [bp-20028h]@5
  int v10; // [sp+14h] [bp-20024h]@5
  int v11; // [sp+18h] [bp-20020h]@5
  int v12; // [sp+1Ch] [bp-2001Ch]@5
  int v13; // [sp+20h] [bp-20018h]@5
  int v14; // [sp+24h] [bp-20014h]@5
  int v15; // [sp+28h] [bp-20010h]@5
  int v16; // [sp+2Ch] [bp-2000Ch]@5
  int v17; // [sp+30h] [bp-20008h]@5
  CHAR String; // [sp+34h] [bp-20004h]@4
  char v19; // [sp+35h] [bp-20003h]@6
  char v20; // [sp+36h] [bp-20002h]@5
  char v21; // [sp+37h] [bp-20001h]@5
  char v22; // [sp+38h] [bp-20000h]@5
  char v23; // [sp+39h] [bp-1FFFFh]@5
  char v24; // [sp+3Ah] [bp-1FFFEh]@5
  char v25; // [sp+3Bh] [bp-1FFFDh]@5
  char &Str; // [sp+10034h] [bp-10004h]@5
  char v27; // [sp+10035h] [bp-10003h]@5
  char v28; // [sp+10036h] [bp-10002h]@5

  if ( a2 == 272 )
  {
    result = 1;
  }
  else
  {
    if ( a2 != 273 )
      return 0;
    if ( (_WORD)a3 == 1001 )
    {
      memset(&String, 0, 0xFFFFu);
      GetDlgItemTextA(hDlg, 1000, &String, 0xFFFF);
      if ( strlen(&String) == 8 )
      {
        v7 = 90;
        v8 = 74;
        v9 = 83;
        v10 = 69;
        v11 = 67;
        v12 = 97;
        v13 = 78;
        v14 = 72;
        v15 = 51;
        v16 = 110;
        v17 = 103;
        sub_4010F0((int)&v7, 0, 10);
        memset(&&Str, 0, 0xFFFFu);
        &Str = v23;
        v28 = v25;
        v27 = v24;
        v4 = sub_401000((int)&&Str, strlen(&&Str));
        memset(&&Str, 0, 0xFFFFu);
        v27 = v21;
        &Str = v20;
        v28 = v22;
        v5 = sub_401000((int)&&Str, strlen(&&Str));
        if ( String == v7 + 34
          && v19 == v11
          && 4 * v20 - 141 == 3 * v9
          && v21 / 4 == 2 * (v14 / 9)
          && !strcmp(v4, "ak1w")
          && !strcmp(v5, "V1Ax") )
        {
          MessageBoxA(hDlg, "U g3t 1T!", "@_@", 0);
        }
      }
      return 0;
    }
    if ( (_WORD)a3 != 1 && (_WORD)a3 != 2 )
      return 0;
    EndDialog(hDlg, (unsigned __int16)a3);
    result = 1;
  }
  return result;
}

粗略的看一下我们可以知道我们要找的flag应该是string,长度为8;`

      memset(&String, 0, 0xFFFFu);
      GetDlgItemTextA(hDlg, 1000, &String, 0xFFFF);
      if ( strlen(&String) == 8

然后看第51行函数sub_4010F0在对v7~v17进行某种操作,进入sub_4010F0函数

int __cdecl sub_4010F0(int a1, int a2, int a3)
{
  int result; // eax@1
  int i; // esi@1
  int v5; // ecx@2
  int v6; // edx@2

  result = a3;
  for ( i = a2; i <= a3; a2 = i )
  {
    v5 = 4 * i;
    v6 = *(_DWORD *)(4 * i + a1);
    if ( a2 < result && i < result )
    {
      do
      {
        if ( v6 > *(_DWORD *)(a1 + 4 * result) )
        {
          if ( i >= result )
            break;
          ++i;
          *(_DWORD *)(v5 + a1) = *(_DWORD *)(a1 + 4 * result);
          if ( i >= result )
            break;
          while ( *(_DWORD *)(a1 + 4 * i) <= v6 )
          {
            if ( ++i >= result )
              goto LABEL_13;
          }
          if ( i >= result )
            break;
          v5 = 4 * i;
          *(_DWORD *)(a1 + 4 * result) = *(_DWORD *)(4 * i + a1);
        }
        --result;
      }
      while ( i < result );
    }
LABEL_13:
    *(_DWORD *)(a1 + 4 * result) = v6;
    sub_4010F0(a1, a2, i - 1);
    result = a3;
    ++i;
  }
  return result;
}

一步步分析这个有点太复杂了,我们将其转换成可执行c语言代码运行一下,记得把*(_DWORD*) 删掉,因为这是汇编的表示,然后将各种基址+偏移的表示也换成数组的寻址,如下

#include <stdio.h>
#include <string.h>

int  sub_4010F0(char* a1, int a2, int a3)
{
    int result; // eax
    int i; // esi
    int v5; // ecx
    int v6; // edx

    result = a3;                                 
    for (i = a2; i <= a3; a2 = i)
    {
        v5 = i;
        v6 = a1[i];
        if (a2 < result && i < result)
        {
            do
            {
                if (v6 > a1[result])
                {
                    if (i >= result)
                        break;
                    ++i;
                    a1[v5] = a1[result];
                    if (i >= result)
                        break;
                    while (a1[i] <= v6)
                    {
                        if (++i >= result)
                            goto LABEL_13;
                    }
                    if (i >= result)
                        break;
                    v5 = i;
                    a1[result] = a1[i];
                }
                --result;
            } while (i < result);
        }
    LABEL_13:
        a1[result] = v6;
        sub_4010F0(a1, a2, i - 1);
        result = a3;
        ++i;
    }
    return result;
}
int main(void)
{
    char str[] = "ZJSECaNH3ng";
    sub_4010F0(str,0,10);
    printf("%s", str);
	return 0;
}

执行后的结果为3CEHJNSZagn
这就是v7~v17执行后的所对应的字符串
回到DialogFunc函数,通过观察变量v7到v25定义时的地址(或者双击变量名),我们知道它们在地址中是相邻的`
在这里插入图片描述通过观察代码

  sub_4010F0((int)&v7, 0, 10);
        memset(&&Str, 0, 0xFFFFu);
        &Str = v23;
        v28 = v25;
        v27 = v24;
        v4 = sub_401000((int)&&Str, strlen(&&Str));
        memset(&&Str, 0, 0xFFFFu);
        v27 = v21;
        &Str = v20;
        v28 = v22;
        v5 = sub_401000((int)&&Str, strlen(&&Str));

那么可以理解,DialogFunc函数中,是把经过sub_4010F0处理后的字符串的倒数第3位到倒数第1位的值赋给v4,sub_401000是将倒数第6~倒数第4位赋给v5。

接下来就进入sub_401000看看了

代码如下

_BYTE *__cdecl sub_401000(int a1, signed int a2)
{
  int v2; // eax@1
  signed int v3; // esi@1
  size_t v4; // ebx@3
  _BYTE *v5; // eax@3
  _BYTE *v6; // edi@3
  signed int v7; // eax@5
  _BYTE *v8; // ebx@5
  int v9; // edi@8
  signed int v10; // edx@8
  signed int v11; // edi@11
  signed int v12; // eax@11
  signed int v13; // esi@11
  _BYTE *result; // eax@18
  _BYTE *v15; // [sp+Ch] [bp-10h]@3
  _BYTE *v16; // [sp+10h] [bp-Ch]@5
  signed int v17; // [sp+14h] [bp-8h]@11
  int v18; // [sp+18h] [bp-4h]@8

  v2 = a2 / 3;
  v3 = 0;
  if ( a2 % 3 > 0 )
    ++v2;
  v4 = 4 * v2 + 1;
  v5 = malloc(v4);
  v6 = v5;
  v15 = v5;
  if ( !v5 )
    exit(0);
  memset(v5, 0, v4);
  v7 = a2;
  v8 = v6;
  v16 = v6;
  if ( a2 > 0 )
  {
    while ( 1 )
    {
      v9 = 0;
      v10 = 0;
      v18 = 0;
      do
      {
        if ( v3 >= v7 )
          break;
        ++v10;
        v9 = *(_BYTE *)(v3++ + a1) | (v9 << 8);
      }
      while ( v10 < 3 );
      v11 = v9 << 8 * (3 - v10);
      v12 = 0;
      v17 = v3;
      v13 = 18;
      do
      {
        if ( v10 >= v12 )
        {
          *((_BYTE *)&v18 + v12) = (v11 >> v13) & 0x3F;
          v8 = v16;
        }
        else
        {
          *((_BYTE *)&v18 + v12) = 64;
        }
        *v8++ = byte_407830[*((_BYTE *)&v18 + v12)];
        v13 -= 6;
        ++v12;
        v16 = v8;
      }
      while ( v13 > -6 );
      v3 = v17;
      if ( v17 >= a2 )
        break;
      v7 = a2;
    }
    v6 = v15;
  }
  result = v6;
  *v8 = 0;
  return result;
}

同样是很复杂的代码,但是往下拉看见一个byte_407830,点进去看看,

在这里插入图片描述显而易见这是base64加密,
再次回到DialogFunc通过观察代码if判断语句判断完了就弹出一个MessageBoxA,这个 if 判断应该很关键,先是 v7 + 34,算一下,得到 U ( 51+34),String[0]便是U,然后 v19 == v11,V19排在String[1],所以String[1]是J,下面的两个strcmp应该是上面的base64加密后得到的结果与 ak1w 和 U1Ax 对比.

if ( String == v7 + 34
          && v19 == v11
          && 4 * v20 - 141 == 3 * v9
          && v21 / 4 == 2 * (v14 / 9)
          && !strcmp(v4, "ak1w")
          && !strcmp(v5, "V1Ax") )
        {
          MessageBoxA(hDlg, "U g3t 1T!", "@_@", 0);
        }

然后通过python脚本解密ak1w和V1Ax

import base64
str1 = 'ak1w'
str2 = 'V1Ax'
flag1 = base64.b64decode(str1)
flag2 = base64.b64decode(str2)
print(flag1)
print(flag2)

得到 jMp和WP1
然后就是谁前谁后的问题了,看if判断语句中的

&& 4 * v20 - 141 == 3 * v9
&& v21 / 4 == 2 * (v14 / 9)

应该是来验证的,我们算一下第一条,v9是’E’为69,j是106,W是87,一通计算下来,v20是W,那么就是WP1先.
再加上flag格式 即flag{UJWP1jMp}

Re~Fw
关注
  • 8
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF]-RE wp
Kiwi23333的博客
10-05 394
[BUUCTF]-RE wp
BUUCTF (特别详细了,尽自己全力理解所写)
太阳照耀我走四方
08-13 5169
title: BUUCTF date: 2021年8月13日 15点23分 tags: BUUCTF categories: BUUCTF 自己的心声(痛骂wp抄袭狗) 这道题,其实有点坑,对于目前的我来说,还是有点难度的。 在复盘之前,我想对网上一些直接抄袭别人文章的人说,可真tm不要脸啊。你若跟着别人的wp,把题做出来了,自己跟着软件啥的,实验成功之后,写一篇wp啊,抄袭别人的。主要tm一个字不改,也不说是抄袭的。 本来做题没思路了,做不下去了,想看一篇高质量的wp,跟着大佬学一学,百度一下.
[buuctf]
逆向萌新的博客
08-11 1529
buuctf
BUUCTF——
fzucaicai的博客
11-11 751
有个GetDlgItemText,我实在没搞懂,明明没有用MFC画出对话框,为什么要来一个GetDlgItemText获取输入框内容,并传给了edit_string。直接找到WinMain,发现里面只有一个对话框API(如果只有一个对话框,那真就没有输入框了),CallBack函数是DialogFunc。这里有几个比较坑的点,sub_4010F0这个函数的第一个参数是地址,但是我们追进去发现IDA对类型判断有误。按照这个解密,v7[0],v10,v8,v16,v4,v5都知道了。进入DialogFunc。
BUUCTF逆向第14题
Knozya的博客
01-31 762
而我们已知flag长度为8,后六位我们解码已得出,但是不知道顺序,现在需推断出前两位,因为上面破解的长字符串中(也就是sub_4010F0中)的结果可知前两位为'U' 'J',又因为第三位为‘W’接下来我们继续跟进sub_401000,内容多的有点懵了,往下滑发现有个byte_407830可以跟进。又发现sub_4010F0和sub_401000可能对字符串做出了改变,分别跟进,先跟进前者,如下。跟进后不难发现为base64编码形式,也就是说我们需要对其所对应的v4和v5进行解码,结果如下。
cancas 手动
07-29
【描述】"cancas 手动出" 描述了一个基于Canvas技术的卡功能,用户可以通过手动交互(如鼠标点击或拖动)在网页上模拟覆盖层,显示隐藏的项信息。这个过程涉及到用户交互、事件处理以及Canvas...
2020中国发者有大调查.pdf
01-21
### 2020年中国发者有大调查关键知识点解析 #### 一、调查背景与目的 - **背景**:此次由CSDN发起的2020年中国发者有大调查旨在深入了解中国IT行业的现状和发展趋势,以及发者的实际需求和期望。 - **...
微信小程序在线成语接龙答题有猜灯谜小程序源码可流量主
04-30
微信小程序在线成语接龙答题有源码是一款搭建在微擎上使用的 里面有成语接龙、答题有、猜灯谜 成语接龙答题有红包,可配合流量主推广,广告变现,后台含有区间余额区间励配置,自定义金额提现配置; 答题...
在线知识答题有v1.5.6.zip
10-19
【在线知识答题有v1.5.6.zip】是一个包含更新内容的压缩包,主要用于一个基于微信平台的在线知识答题应用。这个应用允许用户参与答题活动并有机会获得励,以此提升用户对知识学习的积极性。从描述中我们可以提取...
微信有转发代码
11-30
微信有转发代码,使用与微信公众平台发使用
[BUUCTF]
m0_68259687的博客
06-11 307
大概如下修改,将(a1+数字)视为数组里面的编号,其中注意将偏移中乘4操作去掉(机器语言地址+4),总的来说哪里红了改哪里。想起搜索字符串的时候搜到过base64 的base,猜测第二个处理的函数sub_40100为base64加密。进入对v7进行某种操作的函数sub_4010F0,分析后发现应该是要使用脚本来反推。按照下面这段的逻辑拼接出string即为flag。随手在函数和字符串中搜索flag,没有发现。双击进入DialogFunc这个函数,分析。拖入IDA中,嗯,看函数应该没有加壳。
BUUCTF reverse
firfis的博客
04-25 1564
一、 所需工具: IDA(反编译工具) exeinfope(查壳工具) CaptfEncoder(编码转换) 题解: 拖入exeinfope 检查是否套壳[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 发现并没有。 查看文件是32位还是64位。方法如下:使用记事本直接打你的exe文件。只要看第二行即可,第二行头不远处有PE两个字母,再后面两个空格后第三个字符就是标记了,如果是字母L的话,就是32位应用程序,如果是d?就表示是64位应用程序。 将.exe文
BUUCTF逆向wp
2302_81740139的博客
02-05 673
接着对v7到v16都进行了一个赋值,且在变量声明中v7到v16的地址是连续的,所以sub_4010F0该函数对这几个都进行了处理。解出string0和string1的话,在原来的C语言代码中把最后的注释//删掉,之后运行可以得到flag的前两位U和J。第五步 回到伪代码界面,黄色为base6加密先不看,先解码红色部分的,解出后便可得到string后六位的结果。注意:string数组赋值给v18的时候的顺序是错乱的,需要手动排序一下,再结合之前两位U和J。V18则是获取了string数组里的部分元素。
RE | BUUCTF 1
最新发布
Mintind的博客
04-25 706
(这是主参考,写得很详细(主参考的参考,思路很清晰我是大菜鸡…尽力写自己的理解了,哪里有不对的希望指正。
BUUCTF Reverse刷题笔记03——
Taikx的博客
06-11 320
一、运行程序 二、拉入ExeinfoPe分析 三、拉入32位IDA分析 进入main函数,F5查看伪代码 int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) { DialogBoxParamA(hInstance, (LPCSTR)0x67, 0, DialogFunc, 0); return 0; } 进入DialogFunc函数 BOOL __.
BUUCTF_
weixin_46009088的博客
10-18 1661
BUUCTF_程序,一个大大的,没有其他有用的信息…,如图: 用IDA载入,找到WinMain函数,按F5载入,如图: 看到DialogBoxParamA函数,该函数从对话框模板资源创建模式对话框,应用程序可以使用此值初始化对话框控件(MSDN文档截取的)。既然有初始化对话框,那么必然有读取对话框的函数,我们点进DialogBoxParamA找一下,如图: 噢!看到了GetDlgItemTextA函数,我们发现他在DialogFunc中,我们用F5载入它看看,如下: BOOL.
BUUCTF第十二、十三、十四题解题思路
EVANGELION_01a的博客
02-04 878
当(a1 + 4 * i)的值小于v6时,如果i自增后的值大于等于result,转到LABLE_13,分析一下这个函数:将(a1 + 4 * result)的值赋给v6,将a1,a2,i-1作为sub_4010F0函数的输入执行该函数,将a3的值赋给result,返回result的值。在if循环中,判断v7[0]+34与string[0]是否相等,v7[0]+34的值为U,则string[0]的值为U,判断v10与string[1]是否相等,v10= J,则string[1]=J。结果为base64加密。
[BUUCTF]REVERSE------
BangSen1的博客
01-25 330
例行检查,无壳,32bit 32位IDA打,shift+f12查看字符串,看到了一个base64加密的字符串。 进入主函数 查看函数 已经对函数进行部分注释,下面进行base64解密。 String总共是8位,这是String的存储 base64加密的汇编指令处 根据相对应的位置,String的第一位是经过sub_4010F0函数后的第一位加上34,也就是"U",第二位是"J",第三、四、五位是v5,也就是"WP1",第六、七、八位是v4,也就是"jMp" flag{UJWP1
安恒西湖论剑周周练ReverseWP
iqiqiya的博客
04-06 2591
题目信息: 这是一个赌博程序,快去赚钱吧!!!!!!!!!!!!!!!!!!!!!!!!!!!(在编辑框中的输入值,即为flag,提交即可) 无壳无花,IDA 可以直接看到具体过程 关键函数就是这个 (IDA静态分析出来的直接看的话有点问题 需要结合动态调试具体情况) BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3,...
buuctf逆向
08-06
根据提供的引用内容,这段代码是一个用C语言编写的函数,名为sub_4010F0。它的功能是对输入的字符串进行某种处理。具体来说,它使用了一个...因此,如果想要了解buuctf逆向的具体内容,可能需要更多的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值