buu[2019红帽杯]childRE

最新推荐文章于 2024-05-06 20:43:13 发布
最新推荐文章于 2024-05-06 20:43:13 发布
阅读量63 收藏
点赞数 1
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61208431/article/details/131561209
版权
文章讲述了使用IDA进行64位C++程序分析,遇到输入函数只包含%s的情况,通过动态调试确定变量存储位置。接着处理字符串运算,利用爆搜方法解决问题。文章还涉及到函数修饰名的理解,反修饰过程,以及二叉树后根遍历的模拟,最终得出MD5加密后的结果。
摘要由CSDN通过智能技术生成

1、查壳没壳,64位c++

2、ida主函数

为啥我16行的输入函数只有个%s?日了狗了

据动态调试,应该是把存在了v14里。

先不管,把41行开始的判断语句解决掉。4个字符串的运算,由已知的三个字符串求outputString。

爆搜就完事了,python list返回索引值的index函数更显高级。

a1234567890Qwer=[  0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38, 0x39, 0x30, 
  0x2D, 0x3D, 0x21, 0x40, 0x23, 0x24, 0x25, 0x5E, 0x26, 0x2A, 
  0x28, 0x29, 0x5F, 0x2B, 0x71, 0x77, 0x65, 0x72, 0x74, 0x79, 
  0x75, 0x69, 0x6F, 0x70, 0x5B, 0x5D, 0x51, 0x57, 0x45, 0x52, 
  0x54, 0x59, 0x55, 0x49, 0x4F, 0x50, 0x7B, 0x7D, 0x61, 0x73, 
  0x64, 0x66, 0x67, 0x68, 0x6A, 0x6B, 0x6C, 0x3B, 0x27, 0x41, 
  0x53, 0x44, 0x46, 0x47, 0x48, 0x4A, 0x4B, 0x4C, 0x3A, 0x22, 
  0x5A, 0x58, 0x43, 0x56, 0x42, 0x4E, 0x4D, 0x3C, 0x3E, 0x3F, 
  0x7A, 0x78, 0x63, 0x76, 0x62, 0x6E, 0x6D, 0x2C, 0x2E, 0x2F, 
  0x00]
a46200860044218 =[
  0x28, 0x5F, 0x40, 0x34, 0x36, 0x32, 0x30, 0x21, 0x30, 0x38, 
  0x21, 0x36, 0x5F, 0x30, 0x2A, 0x30, 0x34, 0x34, 0x32, 0x21, 
  0x40, 0x31, 0x38, 0x36, 0x25, 0x25, 0x30, 0x40, 0x33, 0x3D, 
  0x36, 0x36, 0x21, 0x21, 0x39, 0x37, 0x34, 0x2A, 0x33, 0x32, 
  0x33, 0x34, 0x3D, 0x26, 0x30, 0x5E, 0x33, 0x26, 0x31, 0x40, 
  0x3D, 0x26, 0x30, 0x39, 0x30, 0x38, 0x21, 0x36, 0x5F, 0x30, 
  0x2A, 0x26, 0x00
]
a55565653255552 =[
  0x35, 0x35, 0x35, 0x36, 0x35, 0x36, 0x35, 0x33, 0x32, 0x35, 
  0x35, 0x35, 0x35, 0x32, 0x32, 0x32, 0x35, 0x35, 0x36, 0x35, 
  0x35, 0x36, 0x35, 0x35, 0x35, 0x35, 0x32, 0x34, 0x33, 0x34, 
  0x36, 0x36, 0x33, 0x33, 0x34, 0x36, 0x35, 0x33, 0x36, 0x36, 
  0x33, 0x35, 0x34, 0x34, 0x34, 0x32, 0x36, 0x35, 0x36, 0x35, 
  0x35, 0x35, 0x35, 0x35, 0x32, 0x35, 0x35, 0x35, 0x35, 0x32, 
  0x32, 0x32, 0x00
]
output=''
for i in range(62):
    index1=a1234567890Qwer.index(a46200860044218[i])
    index2=a1234567890Qwer.index(a55565653255552[i])
    index3=23*index2+index1
    output+=chr(index3)
print(output)

输出结果

然后向上看,有个UnDecorateSymbolName函数,上网搜说是对修饰的逆,就是把编译器修饰之前的原函数名搞出来。

转载解释:反修饰指定已修饰的 C++ 符号名,就是将一个已经修饰的符号符号名变为没修饰前的符号名。而修饰又是什么呢?简单的说,就是当编译器在读取我们写的变量名/函数的时候,是不可能直接把我们的命名直接读入的,这样可能会导致与读入的代码指令相混淆,所以必须把这些变量名/函数经过一定格式的转化,而这个转化的过程就是修饰。

了解修饰规则后,有如下函数(其他题解扒来的):

#include<iostream>
using namespace std;
 
class R0Pxx {
public:
	R0Pxx(){
		unsigned char a;
		My_Aut0_PWN(&a);
	}
 
private:
	char My_Aut0_PWN(unsigned char*) {
		printf("%s", __FUNCDNAME__);
		return '0';
	}
};
int main() {
	new R0Pxx();
	getchar();
	return 0;
}

其中的_FUNCDNAME_,经查,代表的就是一个函数的修饰名。

于是得修饰名:?My_Aut0_PWN@R0Pxx@@AEAADPEAE@Z

再往上看,sub_7FF7D9AC15C0函数点进去

 很像二叉树后根遍历,但这a1+1 a1+2理解不能。再往上那个v4的函数有点大,逆不了一点。

于是狠狠试,ABCDEFGHIJKLMNOPQRSTUVWXYZabcde总共31个字母往里怼,动调发现A,B,D,H,P次序,画个图发现应该是由根向下逐行依次填满二叉树。

手填二叉树图得Z0@tREEyuP@xADA?M_A0_WNPx@@AAPE

然后发现不对,心碎。

原因是我上面修饰的结果不对。

烂完了

如果我根据命名规则手撸的话

 前面部分没问题,关键是@@后面,按照命名规则,private对应AAE,前一个char*对应PAD,后一个unsigned char*对应PAE,得出结果?My_Aut0_PWN@ROPxx@@AAEPADPAE@Z

啧,硬凑也能凑出来。

 新的手填二叉树:

Z0@tRAEyuP@xAAA?M_A0_WNPx@@EPDP

md5加密

63b148e750fed3a33419168ac58083f5

头都干昏了

SMALLFOOLGGER
关注
buu-[2019红帽杯]easyRE
qaq517384的博客
03-05 557
查壳 64位ida 直接查看字符串能看到you found me和一些奇怪字符串 有些类似base的东西 先找you found me 跟进后CTRL+X交叉引用找到函数,f5查看伪代码 signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8
BUU [2019红帽杯]childRE1
zzqzzq11的博客
01-17 2408
这个题目比较难,一开始看了一下没有头绪。 首先用ida打开: 很长的一个程序,一步一步仔细分析。 首先是第一部分,这一部分是先进行了输入,然后判断是否是31字节,将我们的输入使用sub_14001290()函数。这个函数,我一开始以为是一个加密函数,看起来挺复杂的。通过下面的sub_1400015C0()函数有一些提示。if(v4)下面的部分完全就是一个后序遍历嘛?所以说,这个函数可以猜测是构造二叉树的函数。(下面第二张图是后序遍历的代码)。 但是有个问题,这个sub_140001...
[2019红帽杯]childRE
2302_79135465的博客
05-06 963
我传入的v14=“abcdefghijklmnopqrstuvwxyz12345”,第一次的时候它给name[0]赋值成了p,对应我输入的字符串的下标是15,我调试了多次,发现每次都是这样,而且最后的name里存放的是打乱了顺序的输入的字符串,动调它给name赋值的过程,记录下对应的下标。动态调试会发现,开辟的地址处有三个数据,第一个是我们输入的字符,第二个是左孩子的地址,第三个是右孩子的地址。输入长度31的字符串---进行置换运算---取消修饰函数名---将未修饰函数名的商和余数与字符串比较。
BUU [2019红帽杯]childRE wp 详解
karol_crack的博客
01-06 430
红帽杯_2019_childRE: 1.知识点: 二叉树数据结构的识别与应用 c++c, c++函数名编译符号修饰符说明,参考链接https://blog.csdn.net/liweigao01/article/details/78351464 2.解题步骤 1>无壳,64位windows可执行程序 查找字符串发现线索,跳转到指定位置 反汇编距离答案最近的是一组逐字符判断,可以根据线索恢复其关键字符串outString的内容
buu [2019红帽杯]childRE wr
liuxiaohuai_的博客
12-19 1247
无论 __cdecl,__fastcall还是__stdcall调用方式,函数修饰都是以一个“?”開始,后面紧跟函数的名字。再后面是參数表的開始标识和 依照參数类型代号拼出的參数表。
buu刷题 [2019红帽杯]childRE wp
苗_的博客
08-18 878
此题可以分为三大块来解 考点:二叉树(动态调试)、C++函数名修饰 1. 首先f5反编译,首先我们要求出outputString(长度为62),逆分析可以知道取outputString字符串的字符,然后对23取余和除数分别在a1234567890Qwer中找到对应位置,其值必须与str1和str2对应位置的值相等 上这一段脚本: str1 = "(_@4620!08!6_0*0442!@186%%0@3=66!!974*3234=&0^3&1@=&0908!6_0*&a
buu-Reverse-[2019红帽杯]childRE
m0_73393932的博客
07-12 810
逆向
BUUCTF reverse题解汇总
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-31 7869
BUUCTF平台刷题过程中做的一些逆向题解的总结归类
CTF_RE周报(三)
2302_79135465的博客
05-06 429
主要是复现XY的题目,嗯,这周刷题也感觉到了一点问题:不能太依赖wp了,但是后面的题目额也确实不看wp都不知道怎么下手有的,还是需要控制好那个度。
BUUCTF逆向 [2019红帽杯]xx】
chuxuezhewocao的博客
06-27 608
BUUCTF刷题记录,本题主要是一道C++程序题,主要在于理清代码逻辑,c++的反汇编伪代码看的还不是很熟练。代码稍长,可以分段看,首先来到第一段,是一个获取输入的部分: 这里有一个容易看错的地方,就是存储输入的那个变量叫Code,然后v6指向的内容也叫Code,但是这两个不是一个东西,后者跟进去后可以看到如图上标注所示 这里是最后一个异或的逻辑,相当于从v20[3]开始,每一位都会和前面的几个数据循环异或,范围就是range(i//3),逆的时候从后往前算 总体的逻辑差不多是这样,但是在解的时候卡在了解
buu [2019红帽杯]Snake wp
liuxiaohuai_的博客
12-23 694
不得不说这个游戏做的还是蛮精致的,我就这么玩玩了我半个小时。 该游戏是用unity编写的,那么在文件中找到Assembly-CSharp.dll(\Snake\Snake_Data\Manage\Assembly-CSharp.dll这个路径)拖进dnspy就能对该游戏框架的反汇编了。 我们把它拖入ida中,就可以很清楚的看到文件中的函数调用情况 而这个GameObject函数就是这个游戏的主函数。再回到dnspy中,找到Interface下的GameObject函数 在游戏文件中找到interface
BUUCTF Reverse/[2019红帽杯]Snake
ookami6497的博客
07-31 962
BUUCTF Reverse/[2019红帽杯]Snake 下载解压缩后得到可执行文件,而且有一个unity的应用程序,应该是用unity编写的游戏 打开是一个贪吃蛇游戏 用.NET Reflector打开Assembly-CSharp.dll。(unity在打包后,会将所有的代码打进一个Assembly-CSharp.dll的文件里面,通过这个文件的反编译,就是详细看见里面的代码内容) 再将Assembly-CSharp.dll拖入IDA中查看函数关系 有个start函数,但
2019强网杯upload
m0_61448651的博客
07-21 691
2019强网杯upload
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8459
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
长春人文学院在河北2021-2024各专业最低录取分数及位次表.pdf
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
CPA《公司战略与风险管理》张英奎 基础班 第1章 战略管理中的权力与利益相关者2.pdf
09-16
CPA《公司战略与风险管理》张英奎 基础班 第1章 战略管理中的权力与利益相关者2.pdf
昆明文理学院在河北2021-2024各专业最低录取分数及位次表.pdf
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
C++开发模板文档.docx
最新发布
09-16
C++开发模板文档
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值