vnctf2022 travel-dfs递归爆破

最新推荐文章于 2024-06-21 17:14:10 发布
最新推荐文章于 2024-06-21 17:14:10 发布
阅读量192 收藏
点赞数
分类专栏: ctf   re 文章标签: 深度优先 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54929422/article/details/128758782
版权

在这里插入图片描述
运行一下
在这里插入图片描述
查看主函数
垃圾代码很少,有可读性,有两次字符串输入
关键函数sub_401A6C
在这里插入图片描述
在这里插入图片描述
很容易异或,所以不要被复杂的代码吓到
dword_405040[i] dump下来

[0x00070E15, 0x1C232A31, 0x383F464D, 0x545B6269, 0x70777E85, 0x8C939AA1, 0xA8AFB6BD, 0xC4CBD2D9, 0xE0E7EEF5, 0xFC030A11, 0x181F262D, 0x343B4249, 0x50575E65, 0x6C737A81, 0x888F969D, 0xA4ABB2B9, 0xC0C7CED5, 0xDCE3EAF1, 0xF8FF060D, 0x141B2229, 0x30373E45, 0x4C535A61, 0x686F767D, 0x848B9299, 0xA0A7AEB5, 0xBCC3CAD1, 0xD8DFE6ED, 0xF4FB0209, 0x10171E25, 0x2C333A41, 0x484F565D, 0x646B7279]

动调把dword_404040数组dump下来

[0x0FD07C452, 0x0EC90A488, 0x68D33CD1, 0x96F64587]

脚本得20211205

def ror32Bit(v, shift):
        shift &= 0x1F  # 设置要移动的位数
        if shift == 0:
            return v  # value 右移shift位
        return ((v >> shift) | (v << (32 - shift))) & 0xFFFFFFFF
def rol32bit(v,shift):
        shift &= 0x1F
        if shift == 0:
            return v
        HightBit = v >> (32 - shift)
        LowBit = v << shift
        value = (HightBit | LowBit) & 0xFFFFFFFF
        return value
def sub_401A3B(x):
    return x^(rol32bit(x,13)^ror32Bit(x,9))

lis=[0x0FD07C452, 0x0EC90A488, 0x68D33CD1, 0x96F64587]
word=[0x00070E15, 0x1C232A31, 0x383F464D, 0x545B6269, 0x70777E85, 0x8C939AA1, 0xA8AFB6BD, 0xC4CBD2D9, 0xE0E7EEF5, 0xFC030A11, 0x181F262D, 0x343B4249, 0x50575E65, 0x6C737A81, 0x888F969D, 0xA4ABB2B9, 0xC0C7CED5, 0xDCE3EAF1, 0xF8FF060D, 0x141B2229, 0x30373E45, 0x4C535A61, 0x686F767D, 0x848B9299, 0xA0A7AEB5, 0xBCC3CAD1, 0xD8DFE6ED, 0xF4FB0209, 0x10171E25, 0x2C333A41, 0x484F565D, 0x646B7279]
f=[]
for i in range(0,32):
    f.append(sub_401A3B(lis[0]^lis[1]^lis[2]^word[31-i])^lis[3])
    a=lis
    lis=[]
    lis.extend([f[i],a[0],a[1],a[2]])
print(hex(f[31]^0xA3B1BAC6),hex(f[30]^0x56AA3350))
a=hex(f[31]^0xA3B1BAC6)
b=hex(f[30]^0x56AA3350)
for j in [a,b]: #大端序转化为字符串
  for i in range(0,len(j[2:]),2):
    print(chr(int('0x'+(j[2:])[i:i+2],16)),end='')

继续动调
在这里插入图片描述
在这里插入图片描述
第45-46行的异或有点难搞,因为模的话有很多取值,所以采取爆破的方法
因为字符一环套一环,前一个数依靠后一个数,已知v4[23],可以用dfs(递归)的方法
然后是关键函数sub_402058
看上去很复杂,实际上不难理解,有点像简易版的aes
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
脚本先dfs爆破,得到的值进行逆
得到VNCTF{TimeFlightMachine}

def F(v,round):
    vv=int('0x'+((hex(v)[2:]).zfill(8))[2:]+((hex(v)[2:]).zfill(8))[0:2],16)
    return vv^dword_4050C0[round]
def dfs(n):
    if n==0:
        lei_si_aes(f)
        return 0
    for j in range(0xff):
        if v4[n-1] == j ^ ((j % 18 + f[n] + 5) ^ 0x41):
            f[n-1]=j
            dfs(n-1)

def lei_si_aes(q):
 ff=[]
 output=[0]*66
 n=9
 for i in range(0,24,4):
    ff.append(q[i]|q[i+1]<<8|q[i+2]<<16|q[i+3]<<24)
 for i in range(60,66):
    output[i]=ff[i-60]
 for i in range(59,-1,-1):
    if i%6!=0:
        output[i]=output[i+5]^output[i+6]
    else:
        output[i]=output[i+6]^F(output[i+5],n)
        n=n-1
 for i in range(6):
  for j in range(0,8,2):
    print(chr(int('0x'+(hex(output[i])[2:]).zfill(8)[j:j+2],16)),end='')
 print()
dword_4050C0 = [0x01000000, 0x02000000, 0x04000000, 0x08000000, 0x10000000, 0x20000000, 0x40000000, 0x80000000, 0x1B000000, 0x36000000]
v4=[0x25, 0x15, 0xDF, 0xA2, 0xC0, 0x93, 0xAD, 0x14, 0x46, 0xC5, 0x0F, 0x2E, 0x9A, 0xEB, 0x30, 0xF8, 0x20, 0xE9, 0xCB, 0x88, 0xC6, 0xBE, 0x8D, 0xE3]
f=[0]*24
f[23]=0xe3
dfs(23)

在这里插入图片描述
最后得到
在这里插入图片描述
flag:VNCTF{TimeFl20211205ightMachine}
总结:
学到了递归爆破dfs
进行dword截取字符的时候别忘了.zfill(8) QWQ
((hex(v)[2:]).zfill(8))[2:]
而且面对复杂的代码要慢慢看,逻辑可能是清晰的

y4n9-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
数据结构-二叉树归-非归实现
04-26
数据结构实验二叉树用归实现先序遍历、中序遍历和后序遍历,用几种不同非归方法实现了中序遍历,代码附有详细注释
vue_ant-design-vue菜单
12-28
后台返回菜单无限层级展示
算法五 归方式实现暴力破解
liyanlei的专栏
07-26 205
本篇文章根据左程云视频教程整理而来 https://www.bilibili.com/video/BV11v411G7xR?p=6 问题: 子串 子序列 1、打印一个字符串的所有子串 归:index 位置要或者不要的归 2、打印一个字符串的所有子串,要求不要出现重复值的子序列 无重复的子序列,HashSet天然去重用的 3、打印一个字符串的全排列 4、打印一个字符串的全排列,要求不要出现重复的排列 关键改动:某个位置出现了相同的字符,就返回,不再展开后续...
vnctf2023 traveler
XDiku的博客
02-22 419
vnctf2023
VNCTF2023 PWN (traveler & tongxunlu)
maple105890的博客
02-19 784
坐牢的一天呢
OneForAll “最强大”的信息收集工具
forinput的博客
07-10 2456
GitHub - shmilylty/OneForAll: OneForAll是一款功能强大的子域收集工具 OneForAll基于Python 3.6.0开发和测试,OneForAll需要高于Python 3.6.0的版本才能运行Python -Vgit clone OneForAll: OneForAll是一款功能强大的子域收集工具git clone GitHub - shmilylty/OneForAll: OneForAll是一款功能强大的子域收集工具cd OneForAll/python3 -m
暴力破解算法——寻找密码(归方法)
热门推荐
da_xiang的博客
11-20 1万+
暴力破解算法——寻找密码(归方法)本文采用暴力破解算法的基本思想: 假设密码有0,1,2三个数组组成,密码长度为2,那么,密码的组成形式如下图所示 算法步骤 算法会归到最后一层 判断生成的字符串是否一致 如果一致,找到密码,返回1,否则返回0 “父函数”判断“子函数”返回的值,如果为0,则继续往下寻找;如为1,则返回1,以表示找到 对于算法的效率暂时没有去过多的去研究,如有改进的地方,欢迎指
深度优先搜索(DFS) ----- 归与非归写法及DFS拓展
qq_44872260的博客
08-18 2221
一.DFS概述 1.Depth First Search 是遍历图的常用方法之一,它类似于与数的先根遍历,是数的先根遍历的推广。 DFS的基本实现思想是从图中的某个顶点v出发,访问此顶点,然后依次从v的未被访问的邻接点出发深度优先遍历图,直至图中所有和v路径相通的顶点都被访问到。若此时图中尚有顶点未被访问(说明该图不是连通图),则另选图中一个未曾被访问的顶点作为起始点,重复上诉过程,直至图中所有的顶点都被访问到为止。 eg:如下图DFS的遍历的详细过程,选择起始点为v12.实现DFS的关键要点 (1)结合上
手把手学会DFS (归入门)
Lin_Alpaca的博客
03-13 5786
DFS的思想,经典题目的讲解,手把手入门✨✨
leetcode池塘-DSA-BFS-DFS:DSA-BFS-DFS
06-30
深度优先搜索可以通过归轻松实现。 缺点 DFS 不一定会找到到节点的最短路径,而广度优先搜索可以。 请记住,广度优先使用队列,深度优先使用堆栈 这些差异来自于我们是按照看到节点的顺序(先进先出)访问节点还是...
模糊匹配--归遍历文件
08-22
boost库的regex正则表达式实现文件归模糊匹配搜索
商业编程-源码-用归的方法画分形图.zip
06-24
商业编程-源码-用归的方法画分形图.zip
Oneforall工具分析与改造
寒星的博客
09-24 9487
前言 在信息收集中,子域名收集基本上是一个绕不开的话题。 网上子域名收集工具很多,每个工具都有自己的有点和缺点,每次收集子域名的时候,经常是几个常见工具挨个用,所以希望能够用一款工具来应对绝大多数场景,最终选择了学习和改造一下oneforall这个工具。 分析 整体流程 oneforall除提供oneforall.py这个入口文件外, 提供了三个常用入口 brute.py 用于爆破子域名 export.py 用于导出数据 takeover.py #子域接管漏洞 这个不收集子域名 概括oneforall核.
岛屿个数(dfs)
初九·潜龙勿用的博客
04-07 5109
小蓝得到了一副大小为M×N的格子地图,可以将其视作一个只包含字符0(代表海水)和1(代表陆地)的二维数组,地图之外可以视作全部是海水,每个岛屿由在上/下/左/右四个方向上相邻的1相连接而形成。x0​y0​x1​y1​...xk−1​yk−1​,其中 (x,y) 是由xi​yi​通过上/下/左/右移动一次得来的 (0≤i≤k−1),此时这 k 个格子就构成了一个 “环”。
算法篇-二叉树
最新发布
分享Java知识,记录思考和感悟
06-21 403
分享二叉树相关概念和算法题
代码随想录算法训练营第38天|● 理论基础 ● 509. 斐波那契数● 70. 爬楼梯 ● 746. 使用最小花费爬楼梯
weixin_74408291的博客
06-17 720
2.确定推公式dp[i - 1] 跳到 dp[i] 需要花费 dp[i - 1] + cost[i - 1]。dp[i - 2] 跳到 dp[i] 需要花费 dp[i - 2] + cost[i - 2]。那么dp[i] = min(dp[i - 1] + cost[i - 1], dp[i - 2] + cost[i - 2]);3.dp数组初始化由题目可以知道你可以选择从下标为。
【康复学习--LeetCode每日一题】2748. 美丽下标对的数目
Puppet__的博客
06-20 471
如果下标对 i、j 满足 0 ≤ i < j < nums.length ,如果 nums[i] 的 第一个数字 和 nums[j] 的 最后一个数字 互质 ,则认为 nums[i] 和 nums[j] 是一组 美丽下标对。2 和 5 互质,因此 gcd(2,1) == 1。i = 1 和 j = 2 :nums[1] 的第一个数字是 5 ,nums[2] 的最后一个数字是 1。i = 0 和 j = 1 :nums[0] 的第一个数字是 1 ,nums[1] 的最后一个数字是 1。
代码随想录二刷DAY1~3
illuosion7的博客
06-16 1114
没做出来,发现问题了,滑动的应当是右指针for()里面填,这样一来,sum的初始化应当放到for的外面。//这句初始化很重要,我们要让反转后的最后一个元素指向nullptr,那么head的pre自然应该初始化为nullptr。题面:在一个排序的链表中,存在重复的节点,请删除该链表中重复的节点,重复的节点不保留。//条件也重要呀,不用判它的next,手写模拟就知道了。这题有难度,要求重复的节点不保留,显然需要三指针了。// 如果是最长,一发现不符合,就扩。//如果是最长,一发现不符合,就扩。
代码随想录算法训练营DAY39|62.不同路径、63. 不同路径 II
Greeneril_的博客
06-18 151
忙。。后两题先跳过。
6-2 归程序设计方法练习--归输出单链表
06-06
归输出单链表的方法是先输出当前节点的值,然后归输出下一个节点的值,直到链表末尾。 具体实现可以定义一个归函数,函数的参数是当前节点的指针,函数内部先判断当前节点是否为空,如果为空则返回,否则输出当前节点的值,然后归调用函数输出下一个节点的值。 例如: void printList(ListNode* node) { if (node == NULL) { return; } cout << node->val << " "; printList(node->next); } 其中ListNode是单链表的节点结构体,包含一个整数val和一个指向下一个节点的指针next。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

y4n9-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值