从零开始:攻防世界_REVERSE_进阶区writeup

最新推荐文章于 2022-04-13 18:14:01 发布
最新推荐文章于 2022-04-13 18:14:01 发布
阅读量1.3k 收藏
点赞数
分类专栏: 攻防世界 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52842965/article/details/120497535
版权

1、answer_to_everything

把提供的附件下载出来用 PE 打开
在这里插入图片描述
提示是linux 的64位文件,也并无加壳,然后直接用ida64打开
打开后直接进入主函数,查看伪代码
在这里插入图片描述
进入主函数中,主函数的结构简单,直接查看 not_the_flag 函数
在这里插入图片描述
其中有个 if 判断,输出的第一个内容表明flag没有任何特征
第二个内容,意思是你真差劲,即答案错误
我们注意到第一个文本后有一串特殊的字符串,可能为本题flag
kdudpeh
对于这一串字符,开始认为是本题flag,直接输入进去,错误,我们想起本题的题目描述
在这里插入图片描述
注意中提示需要把得到的flag进行转变,猜测可能是需要进行某种加密,代码中并无进行何种加密的提示
题目描述中说到 sha1 这可能是种加密方式 百度后发现确实是一种加密方式,
采取在线加密后得到 80ee2a3fe31da904c596d993f7f1de4827c1450a
根据题目要求得到 flag为
flag{80ee2a3fe31da904c596d993f7f1de4827c1450a}

2、elrond32

先把提供的附件用PE打开,查看基本信息
在这里插入图片描述
为linux的32位ELF文件,直接ida32打开,查看主函数伪代码
在这里插入图片描述
基本函数只有sub_8048414和sub_8048538,以及if判断语句,若成立输出字样为准许进入
并执行函数,此时对题中唯一的两个函数进行分析
sub_8048538跟进查看代码

int __cdecl sub_8048538(int a1)
{
  int v2[33]; // [esp+18h] [ebp-A0h]
  int i; // [esp+9Ch] [ebp-1Ch]

  qmemcpy(v2, &unk_8048760, sizeof(v2));
  for ( i = 0; i <= 32; ++i )
    putchar(v2[i] ^ *(char *)(a1 + i % 8));
  return putchar(10);
}

代码中第一个函数qmemcpy作用简单来说就是把unk_8048760中的字符复制到v2中,
接着通过一个for循环把v2中的值以及a1中的相关数据进行异或运算后转换为字符输出,猜测输出的字符为flag,我们此时跟进 unk_8048760 去查找v2的内容
在这里插入图片描述
这是提取数据得到v2的数组
在这里插入图片描述
这时得到v2的值,只要再得到a1的值,就可以得到flag
我们根据sub_8048538函数的参数知道 a1 来自于传入的参数 (int)a2[1] ,a2[1]又是sub_8048414函数的参数根进去分析这个函数,传入的参数a2=0,还有一个数组a1

signed int __cdecl sub_8048414(_BYTE *a1, int a2)
{
  signed int result; // eax

  switch ( a2 )
  {
    case 0:
      if ( *a1 == 105 )
        goto LABEL_19;
      result = 0;
      break;
    case 1:
      if ( *a1 == 101 )
        goto LABEL_19;
      result = 0;
      break;
    case 3:
      if ( *a1 == 110 )
        goto LABEL_19;
      result = 0;
      break;
    case 4:
      if ( *a1 == 100 )
        goto LABEL_19;
      result = 0;
      break;
    case 5:
      if ( *a1 == 97 )
        goto LABEL_19;
      result = 0;
      break;
    case 6:
      if ( *a1 == 103 )
        goto LABEL_19;
      result = 0;
      break;
    case 7:
      if ( *a1 == 115 )
        goto LABEL_19;
      result = 0;
      break;
    case 9:
      if ( *a1 == 114 )
LABEL_19:
        result = sub_8048414(a1 + 1, 7 * (a2 + 1) % 11);
      else
        result = 0;
      break;
    default:
      result = 1;
      break;
  }
  return result;
}

函数中是一个switch选择,其中加入了简单的递归

result = sub_8048414(a1 + 1, 7 * (a2 + 1) % 11);

我们分析一下switch语句,这个语句是以a2的值为参考,其中case有01345679和default组成,我们判断a2可能有8个值,并且与a1的值对应,只要得到a2的值,就可以知道a1的值,根据a2的递归运算,得到a2的值

#include<stdio.h>
int main()
{
	int a2=0;
	while(1)
	{
		printf("%d",a2);
		a2=7*(a2+1)%11;
		if(a2==2||a2==8)
		{
			break;
		}
	}
	return 0;
}

a2的值依次为07136594,则a1数组可以手动比对出来,然后得到数组a1的值,就可以得到flag

 int a1[]={105,115,101,110,103,97,114,100};

编写脚本输出flag

key=[105,115,101,110,103,97,114,100]
v2=[0x0F,0x1F,0x04,0x09,0x1C,0x12,0x42,0x09,0x0C,0x44,0x0D,0x07,0x09,0x06,0x2D,0x37,0x59,0x1E,0x00,0x59,0x0F,0x08,0x1C,0x23,0x36,0x07,0x55,0x02,0x0C,0x08,0x41,0x0A,0x14]
a=''
for i in range(33):
    a+=chr(v2[i]^key[(i%8)])
print(a)

得到flag为flag{s0me7hing_S0me7hinG_t0lki3n}

3、666

这是按照习惯性的用PE打开下载出来的附件
在这里插入图片描述
提示为 linux 64位的无加壳文件,直接用ida64打开
进入后直接查看主函数的伪代码
在这里插入图片描述
我们对主函数代码进行分析

  memset(&s, 0, 0x1EuLL);
  printf("Please Input Key: ", 0LL);
  __isoc99_scanf("%s", &v5);
  encode(&v5, &s);
  if ( strlen(&v5) == key )
  {
    if ( !strcmp(&s, enflag) )
      puts("You are Right");
    else
      puts("flag{This_1s_f4cker_flag}");
  }

从第三行看起,输入字符串给 v5 ,下一行 encode加密 将得到的结果保存在 s
接着是 if 条件判断 v5的长度是否等于 key ,这时我们并不知道 key 的具体值,我们跟踪 key 查看 key 值为十六进制12h,即十进制18
在这里插入图片描述
此时得知我们输入的v5的长度为18
接着查看下一个if判断

 if ( !strcmp(&s, enflag) )
      puts("You are Right");
    else
      puts("flag{This_1s_f4cker_flag}");

如果加密后的 s 和 enflag 相等,则证明输入的v5正确,即为正确的flag
跟进enflag查看其内容
在这里插入图片描述
值为 izwhroz"“w"v.K”.Ni 这一列字符串,我们现在已经得到加密后的结果,只要根据加密方式,编写脚本就可以得到flag
此时跟进encode,查看加密方式

int __fastcall encode(const char *a1, __int64 a2)
{
  char v3[32]; // [rsp+10h] [rbp-70h]
  char v4[32]; // [rsp+30h] [rbp-50h]
  char v5[40]; // [rsp+50h] [rbp-30h]
  int v6; // [rsp+78h] [rbp-8h]
  int i; // [rsp+7Ch] [rbp-4h]

  i = 0;
  v6 = 0;
  if ( strlen(a1) != key )
    return puts("Your Length is Wrong");
  for ( i = 0; i < key; i += 3 )
  {
    v5[i] = key ^ (a1[i] + 6);
    v4[i + 1] = (a1[i + 1] - 6) ^ key;
    v3[i + 2] = a1[i + 2] ^ 6 ^ key;
    *(_BYTE *)(a2 + i) = v5[i];
    *(_BYTE *)(a2 + i + 1LL) = v4[i + 1];
    *(_BYTE *)(a2 + i + 2LL) = v3[i + 2];
  }
  return a2;
}

具体分析后发现v3,v4,v5 实际为函数中新创建的中间数组,具体加密方式为 for 循坏中的代码
分析后实际是对a1中的每个数字进行异或运算和加减后得到加密后的字符再填入a2中,我们直接根据代码编写脚本
根据函数传参,a1就是s ,a2就是enflag ,将enflag转换为十六进制写入数组

#include<stdio.h>
int main()
{
	int a2[18]={0x69 ,0x7A ,0x77, 0x68, 0x72 ,0x6F, 0x7A, 0x22, 0x22 ,0x77 ,0x22,0x76 ,0x2E ,0x4B ,0x22, 0x2E ,0x4E ,0x69 };
	for(int i=0;i<18;i+=3)
	{
		a2[i]=(a2[i]^18)-6;
		a2[i+1]=(a2[i+1]^18)+6;
		a2[i+2]=(a2[i+2]^18^6);
	}
	for(int i=0;i<18;i++)
	{
		printf("%c",a2[i]);
	}
	return 0;
}

得到flag为
在这里插入图片描述
unctf{b66_6b6_66b}

qq_52842965
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界REVERSE—高手进阶—BABYRE
Nu1bzzi的博客
03-27 626
攻防世界REVERSE—高手进阶—BABYRE 这道题真的是对新手的一个考验了,做了挺久的,脑瓜疼>m< 拿到文件先放进PEiD里查壳(养成好习惯) 应该是linux下的程序 放进IDA64里进行分析 找到main函数F5查看伪代码 if ( v5 == 14 && (*(unsigned int (__fastcall **)(char *)) judge)(s) ) 字符长度为14并且满足后面judge()函数条件即为正确,但是在点击judge函数时跳到了如下界面 判
xctf攻防世界 REVERSE 高手进阶 Mysterious
l8947943的博客
04-01 9658
0x01. 进入环境,下载附件 给出的是一个exe文件,双击运行,如图: 需要输入密码才能破译,如何想办法搞到密码才就是关键 0x02.问题分析 使用exeinfoPE打开看看是否有加壳,如图: 并没有壳子,32位可执行文件,那么果断丢入IDA中进行查看内容,找到main函数,F5反编译,主函数代码如下,注释已写: int __stdcall sub_401090(HWND hWnd, int a2, int a3, int a4) { char v5; // [esp+50h] [ebp-310h
xctf攻防世界 REVERSE 高手进阶 BABYRE
l8947943的博客
04-13 1813
0x01. 进入环境,下载附件 给出的babyRE后缀文件,不懂是什么玩意,按照常规流程进行操作吧 0x02. 问题分析 使用IDA打开,找到main函数,F5反编译,得到代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h]
xctf攻防世界 REVERSE 高手进阶 re4-unvm-me
l8947943的博客
04-02 9602
0x01. 进入环境,下载附件 题目给出的是一个pyc文件,我们对其进行反编译 uncompyle6 c2eebf52980f444684130672c821d789.pyc > test1.py 在对应目录下找到反编译的python文件test1.py。我们将其打开,内容如下: # uncompyle6 version 3.8.0 # Python bytecode 2.7 (62211) # Decompiled from: Python 3.8.8 (default, Apr 13 2021,
攻防世界Reverse进阶-Mysterious-writeup
y4ung
09-24 1771
1. 介绍 本题是xctf攻防世界Reverse进阶的题Mysterious 题目来源: BUUCTF-2019 题目描述:自从报名了CTF竞赛后,小明就辗转于各大论坛,但是对于逆向题目仍是一知半解。有一天,一个论坛老鸟给小明发了一个神秘的盒子,里面有开启逆向思维的秘密。小明如获至宝,三天三夜,终于解答出来了,聪明的你能搞定这个神秘盒子么?(答案为flag{XXX}形式) 2. 分析 运行,随便输入一个字符串,点击Crack,没反应 查壳: 扔进IDA里看一下。Strings window查看,没
:last_track_button: :play_or_pause_button: :next_track_button: 一个 Rust 库,可以轻松地向前、向后或随机读取大文件行。
06-28
开始时间会更慢,但随后的所有读数都将使用它,因此会更快(不包括索引构建时间,读取时间稍长,但仍与通过 Lines 顺序向前读取的那些相比)和随机阅读案例中的线条将采用完美的分布。顺便说一下,不建议为非常大的...
bit_reverse.rar_reverse bit
09-24
"bit_reverse.rar_reverse bit"这个标题和描述提到了一个特定的操作,即位反转或位倒置,这是一个在数字信号处理、计算几何、密码学和其他领域常见的操作。 位反转,顾名思义,就是将一个数字的二进制表示中的每一...
emoji-allography:用表情符号拼写单词。 :P_button_selector::registered::O_button_(blood_type)::copyright::registered::A_button_(blood_type)::heavy_dollar_sign::heavy_plus_sign::information_selector::Leo::A_button_(blood_type)::heavy_plus_sign::information_selector::O
02-05
>>> emojiable_words.sort(key=lambda x: len(x), reverse=True) >>> for word in emojiable_words[:30]: ... print(word) ... antidiscrimination antivaccinationist coccidioidomycosis transincorporation ...
Reverse_proxy:php_reverse_proxy
05-12
Reverse_proxyphp反代的几个demo:.htaccess:注意前面有个'.',隐藏文件,也是配置文件,作用:URL重写,将其放置网站根目录即可。1.php中修改第三行host即可使用,能反代百度的基本功能,但是不太完善。2.php使用...
str_reverse.rar_str_reverse(a)_字符串反转
09-14
一个指针从字符串的开头开始,另一个指针从末尾开始,然后两个指针指向的字符进行交换,直到它们相遇或交叉。这是一种效率较高的方法,因为它只需要遍历一次字符串。 根据提供的文件名`str_reverse.cpp`,我们可以...
攻防世界Reverse进阶-IgniteMe-writeup
y4ung
09-19 688
1. 介绍 本题是xctf攻防世界Reverse进阶的题IgniteMe 题目来源: 高校网络信息安全运维挑战赛 2. 分析 $ file fac4d1290e604fdfacbbe06fd1a5ca39.exe fac4d1290e604fdfacbbe06fd1a5ca39.exe: PE32 executable (console) Intel 80386, for MS Windows C:\Users\hzy\Downloads>fac4d1290e604fdfacbbe06fd1
攻防世界 Reverse高手进阶 2分题 BABYRE
闵行小鱼塘
12-26 544
继续ctf的旅程,攻防世界Reverse高手进阶的2分题,本篇是BABYRE的writeup
攻防世界 Reverse高手进阶 2分题 Windows_Reverse1
闵行小鱼塘
12-31 420
继续ctf的旅程,攻防世界Reverse高手进阶的2分题,本篇是Windows_Reverse1的writeup
攻防世界 reverse 进阶 easyre-153
09-03 1156
easyre-153 查壳: upx壳 脱壳: 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 int pipedes[2]; // [esp+18h] [ebp-38h] 4 __pid_t v5; // [esp+20h] [ebp...
攻防世界 reverse 进阶 -gametime
09-02 842
19.gametimecsaw-ctf-2016-quals 这是一个小游戏,挺有意思的 's'-->' ' 'x'-->'x' 'm'-->'m' 观察流程,发现检验函数在 1 char __usercall check_input_401507@<al>(int a1@<edx>, int a2@<ecx&gt...
攻防世界reverse高手进阶 ----- gametime
YANG12345_6的博客
10-19 788
gfsj ----- gametime 昨天做了一道攻防世界的题key和这个gametime,都是动态调试的题。key还稍微简单一些,gametime稍微费点时间,记录一下。 昨天晚上可能是没进入做题的状态(疯狂为自己找借口),动态调试的时候稍微有点难受,就没有做出来,今天早上改完计网的题做了二十分钟就出来了。还是要专注一点呐! 废话不多说,看题。 先运行一下题目给的程序 大致就是遇到s就按空格,遇到x按x,遇到m按m,前面都还按的挺顺畅的,后面就快了,反应不过来,按错了就直接退出。甚至玩通关了之后出现了
攻防世界 reverse 进阶 8-The_Maya_Society Hack.lu-2017
08-30 279
8.The_Maya_SocietyHack.lu-2017 在linux下将时间调整为2012-12-21,运行即可得到flag。 下面进行分析 1 signed __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 size_t v3; // rbx 4 size_t v4; ...
攻防世界misc高手进阶篇教程(6)
锋刃科技的博客
05-29 3531
halo 简单的base64解密会出现奇怪的字符 import string from base64 import * b=b64decode("aWdxNDs1NDFSOzFpa1I1MWliT08w") data=list(b) for k in range(0,200): key="" for i in range(len(data)): key+=chr(ord(data[i])^k) print (key) 跑出来的结果有一个没有特殊符
攻防世界 Reverse高手进阶 2分题 Shuffle
闵行小鱼塘
12-03 297
继续ctf的旅程,攻防世界Reverse高手进阶的2分题,本篇是Shuffle的writeup
QList<int>::reverse_iterator
最新发布
06-02
QList<int>::reverse_iterator是QList<int>类的反向迭代器,它可以从后往前遍历QList<int>类对象。反向迭代器和正向迭代器用法类似,只不过它们是反向遍历容器的。QList<int>::reverse_iterator可以通过调用QList<int>的rbegin()和rend()函数获取,示例如下: ``` QList<int> list; list << 1 << 2 << 3; for (QList<int>::reverse_iterator i = list.rbegin(); i != list.rend(); ++i) { qDebug() << *i; } ``` 这段代码会输出3、2、1,即从后往前遍历QList。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值