[羊城杯 2020]login

已于 2023-07-08 23:33:19 修改
阅读量393 收藏 1
点赞数
文章标签: 网络安全
于 2023-07-08 14:42:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61208431/article/details/131605664
版权
文章讲述了如何将一个Pythonexe文件逆向工程回Python源码,使用了pyinstxtractor.py和uncompyle6工具,后者需要手动更新支持更高版本的Python。在遇到解码问题后,作者采用Z3求解器来解决复杂的数学等式,最终成功找到解码后的代码并计算出MD5值。
摘要由CSDN通过智能技术生成

文件是个pythonexe文件图标的exe程序,按流程先逆回pyc再逆回py。

exe逆回pyc用pyinstxtractor.py

pyc逆回py用uncompyle6

然后发现uncompyle6这步报一大堆错。

经上网查,uncompyle6正经只支持到3.8,或者说是文件里写的支持版本号只到了3.8。

因此需要自己补上3.8以后的版本号。

需要两步,第一步,\AppData\Local\Programs\Python\Python311\Lib\site-packages\uncompyle6\bin目录下的uncompile.py文件里的

 原本只到3.8,手动撸到3.11。

第二步,\AppData\Local\Programs\Python\Python311\Lib\site-packages\xdis目录下的magics.py文件里的添加版本号,本人3.11.3,手动在3.9的里面添上。

 于是反编译成功了,很兴奋,出来的代码如下:

# uncompyle6 version 3.7.4
# Python bytecode 3.6 (3379)
# Decompiled from: Python 3.11.3 (tags/v3.11.3:f3909b8, Apr  4 2023, 23:49:59) [MSC v.1934 64 bit (AMD64)]
# Embedded file name: login.py
import sys
input1 = input('input something:')
if len(input1) != 14:
    print('Wrong length!')
    sys.exit()
else:
    code = []
    for i in range(13):
        code.append(ord(input1[i]) ^ ord(input1[(i + 1)]))

    code.append(ord(input1[13]))
    a1 = code[2]
    a2 = code[1]
    a3 = code[0]
    a4 = code[3]
    a5 = code[4]
    a6 = code[5]
    a7 = code[6]
    a8 = code[7]
    a9 = code[9]
    a10 = code[8]
    a11 = code[10]
    a12 = code[11]
    a13 = code[12]
    a14 = code[13]
    if (a1 * 88 + a2 * 67 + a3 * 65 - a4 * 5 + a5 * 43 + a6 * 89 + a7 * 25 + a8 * 13 - a9 * 36 + a10 * 15 + a11 * 11 + a12 * 47 - a13 * 60 + a14 * 29 == 22748) & (a1 * 89 + a2 * 7 + a3 * 12 - a4 * 25 + a5 * 41 + a6 * 23 + a7 * 20 - a8 * 66 + a9 * 31 + a10 * 8 + a11 * 2 - a12 * 41 - a13 * 39 + a14 * 17 == 7258) & (a1 * 28 + a2 * 35 + a3 * 16 - a4 * 65 + a5 * 53 + a6 * 39 + a7 * 27 + a8 * 15 - a9 * 33 + a10 * 13 + a11 * 101 + a12 * 90 - a13 * 34 + a14 * 23 == 26190) & (a1 * 23 + a2 * 34 + a3 * 35 - a4 * 59 + a5 * 49 + a6 * 81 + a7 * 25 + (a8 << 7) - a9 * 32 + a10 * 75 + a11 * 81 + a12 * 47 - a13 * 60 + a14 * 29 == 37136) & (a1 * 38 + a2 * 97 + a3 * 35 - a4 * 52 + a5 * 42 + a6 * 79 + a7 * 90 + a8 * 23 - a9 * 36 + a10 * 57 + a11 * 81 + a12 * 42 - a13 * 62 - a14 * 11 == 27915) & (a1 * 22 + a2 * 27 + a3 * 35 - a4 * 45 + a5 * 47 + a6 * 49 + a7 * 29 + a8 * 18 - a9 * 26 + a10 * 35 + a11 * 41 + a12 * 40 - a13 * 61 + a14 * 28 == 17298) & (a1 * 12 + a2 * 45 + a3 * 35 - a4 * 9 - a5 * 42 + a6 * 86 + a7 * 23 + a8 * 85 - a9 * 47 + a10 * 34 + a11 * 76 + a12 * 43 - a13 * 44 + a14 * 65 == 19875) & (a1 * 79 + a2 * 62 + a3 * 35 - a4 * 85 + a5 * 33 + a6 * 79 + a7 * 86 + a8 * 14 - a9 * 30 + a10 * 25 + a11 * 11 + a12 * 57 - a13 * 50 - a14 * 9 == 22784) & (a1 * 8 + a2 * 6 + a3 * 64 - a4 * 85 + a5 * 73 + a6 * 29 + a7 * 2 + a8 * 23 - a9 * 36 + a10 * 5 + a11 * 2 + a12 * 47 - a13 * 64 + a14 * 27 == 9710) & (a1 * 67 - a2 * 68 + a3 * 68 - a4 * 51 - a5 * 43 + a6 * 81 + a7 * 22 - a8 * 12 - a9 * 38 + a10 * 75 + a11 * 41 + a12 * 27 - a13 * 52 + a14 * 31 == 13376) & (a1 * 85 + a2 * 63 + a3 * 5 - a4 * 51 + a5 * 44 + a6 * 36 + a7 * 28 + a8 * 15 - a9 * 6 + a10 * 45 + a11 * 31 + a12 * 7 - a13 * 67 + a14 * 78 == 24065) & (a1 * 47 + a2 * 64 + a3 * 66 - a4 * 5 + a5 * 43 + a6 * 112 + a7 * 25 + a8 * 13 - a9 * 35 + a10 * 95 + a11 * 21 + a12 * 43 - a13 * 61 + a14 * 20 == 27687) & (a1 * 89 + a2 * 67 + a3 * 85 - a4 * 25 + a5 * 49 + a6 * 89 + a7 * 23 + a8 * 56 - a9 * 92 + a10 * 14 + a11 * 89 + a12 * 47 - a13 * 61 - a14 * 29 == 29250) & (a1 * 95 + a2 * 34 + a3 * 62 - a4 * 9 - a5 * 43 + a6 * 83 + a7 * 25 + a8 * 12 - a9 * 36 + a10 * 16 + a11 * 51 + a12 * 47 - a13 * 60 - a14 * 24 == 15317):
        print('flag is GWHT{md5(your_input)}')
        print('Congratulations and have fun!')
    else:
        print('Sorry,plz try again...')
# okay decompiling login.pyc

30行有点长

绷不住了

第一次尝试z3求解,很兴奋。

首先pip install z3-solver,发现太慢。

换了国内源,网上复制了个豆瓣的,其实也有点慢,不过能接受。

pip install (库名) -i http://pypi.douban.com/simple --trusted-host pypi.douban.com

阿里云贼快

pip install (库名) -i http://mirrors.aliyun.com/pypi/simple --trusted-host mirrors.aliyun.com

代码

from z3 import *
a1=Int('a1')
a2=Int('a2')
a3=Int('a3')
a4=Int('a4')
a5=Int('a5')
a6=Int('a6')
a7=Int('a7')
a8=Int('a8')
a9=Int('a9')
a10=Int('a10')
a11=Int('a11')
a12=Int('a12')
a13=Int('a13')
a14=Int('a14')
s=Solver()
s.add(a1 * 88 + a2 * 67 + a3 * 65 - a4 * 5 + a5 * 43 + a6 * 89 + a7 * 25 + a8 * 13 - a9 * 36 + a10 * 15 + a11 * 11 + a12 * 47 - a13 * 60 + a14 * 29 == 22748)
s.add(a1 * 89 + a2 * 7 + a3 * 12 - a4 * 25 + a5 * 41 + a6 * 23 + a7 * 20 - a8 * 66 + a9 * 31 + a10 * 8 + a11 * 2 - a12 * 41 - a13 * 39 + a14 * 17 == 7258)
s.add( a1 * 28 + a2 * 35 + a3 * 16 - a4 * 65 + a5 * 53 + a6 * 39 + a7 * 27 + a8 * 15 - a9 * 33 + a10 * 13 + a11 * 101 + a12 * 90 - a13 * 34 + a14 * 23 == 26190)
s.add(a1 * 23 + a2 * 34 + a3 * 35 - a4 * 59 + a5 * 49 + a6 * 81 + a7 * 25 + a8*128 - a9 * 32 + a10 * 75 + a11 * 81 + a12 * 47 - a13 * 60 + a14 * 29 == 37136)
s.add(a1 * 38 + a2 * 97 + a3 * 35 - a4 * 52 + a5 * 42 + a6 * 79 + a7 * 90 + a8 * 23 - a9 * 36 + a10 * 57 + a11 * 81 + a12 * 42 - a13 * 62 - a14 * 11 == 27915)
s.add(a1 * 22 + a2 * 27 + a3 * 35 - a4 * 45 + a5 * 47 + a6 * 49 + a7 * 29 + a8 * 18 - a9 * 26 + a10 * 35 + a11 * 41 + a12 * 40 - a13 * 61 + a14 * 28 == 17298)
s.add(a1 * 12 + a2 * 45 + a3 * 35 - a4 * 9 - a5 * 42 + a6 * 86 + a7 * 23 + a8 * 85 - a9 * 47 + a10 * 34 + a11 * 76 + a12 * 43 - a13 * 44 + a14 * 65 == 19875)
s.add(a1 * 79 + a2 * 62 + a3 * 35 - a4 * 85 + a5 * 33 + a6 * 79 + a7 * 86 + a8 * 14 - a9 * 30 + a10 * 25 + a11 * 11 + a12 * 57 - a13 * 50 - a14 * 9 == 22784)
s.add(a1 * 8 + a2 * 6 + a3 * 64 - a4 * 85 + a5 * 73 + a6 * 29 + a7 * 2 + a8 * 23 - a9 * 36 + a10 * 5 + a11 * 2 + a12 * 47 - a13 * 64 + a14 * 27 == 9710)
s.add(a1 * 67 - a2 * 68 + a3 * 68 - a4 * 51 - a5 * 43 + a6 * 81 + a7 * 22 - a8 * 12 - a9 * 38 + a10 * 75 + a11 * 41 + a12 * 27 - a13 * 52 + a14 * 31 == 13376)
s.add(a1 * 85 + a2 * 63 + a3 * 5 - a4 * 51 + a5 * 44 + a6 * 36 + a7 * 28 + a8 * 15 - a9 * 6 + a10 * 45 + a11 * 31 + a12 * 7 - a13 * 67 + a14 * 78 == 24065)
s.add(a1 * 47 + a2 * 64 + a3 * 66 - a4 * 5 + a5 * 43 + a6 * 112 + a7 * 25 + a8 * 13 - a9 * 35 + a10 * 95 + a11 * 21 + a12 * 43 - a13 * 61 + a14 * 20 == 27687)
s.add( a1 * 89 + a2 * 67 + a3 * 85 - a4 * 25 + a5 * 49 + a6 * 89 + a7 * 23 + a8 * 56 - a9 * 92 + a10 * 14 + a11 * 89 + a12 * 47 - a13 * 61 - a14 * 29 == 29250 )
s.add( a1 * 95 + a2 * 34 + a3 * 62 - a4 * 9 - a5 * 43 + a6 * 83 + a7 * 25 + a8 * 12 - a9 * 36 + a10 * 16 + a11 * 51 + a12 * 47 - a13 * 60 - a14 * 24 == 15317)
if s.check()==sat:
    print(s.model())

add中第四行的a8<<8手动改成了a8*128,不然编译不过,查了一下z3支持左移右移操作,可能跟类型有关系?

[a13 = 88,
 a3 = 10,
 a4 = 7,
 a10 = 108,
 a12 = 74,
 a1 = 119,
 a7 = 28,
 a6 = 43,
 a9 = 52,
 a14 = 33,
 a5 = 104,
 a8 = 91,
 a2 = 24,
 a11 = 88]

代回原代码

a13 = 88
a3 = 10
a4 = 7
a10 = 108
a12 = 74
a1 = 119
a7 = 28
a6 = 43
a9 = 52
a14 = 33
a5 = 104
a8 = 91
a2 = 24
a11 = 88

code = [0]*14

code[2]=a1
code[1]=a2
code[0]=a3
code[3]=a4
code[4]=a5
code[5]=a6
code[6]=a7
code[7]=a8
code[9]=a9
code[8]=a10
code[10]=a11
code[11]=a12
code[12]=a13
code[13]=a14
for i in range(13):
    code[12-i]^=code[13-i]
for i in range(14):
    print(chr(code[i]),end='')

md5 

58964088b637e50d3a22b9510c1d1ef8

解决

SMALLFOOLGGER
关注
[羊城 2020]easyser - 反序列化+SSRF+伪协议(绕过死亡die)
oZuoShen123的博客
10-08 985
F12看提示: 小胖说用个不安全的协议从我家才能进ser.php呢! ! 意思就是http协议就能进ser.php,回顾一下http协议咋用的?……
python3.10安装uncompyle6错误(已解决)
热门推荐
principle1的博客
12-21 1万+
系统是windows11,python版本为3.10.1,安装uncompyle6后报错不支持python3.9及以上版本。 网上搜索说在限定版本的元组中添加版本 可是源码中自带,无需自己添加。 除了下载低版本的python,至今不知如何解决。 ...
BUUCTF Reverse/[羊城 2020]login(python程序)
ookami6497的博客
09-12 507
解码完成后用16进制编辑器打开,如010,将login.pyc中的第一行替换为struct.pyc的第一行,然后找个在线pyc反编译。动调了一下,该程序创建了一个线程来读入数据,而这个线程的代码应该是放在内存中直接执行的,本地看不到代码,很蛋疼。随便用个word做个替换,将a1-a14替换成code[]这样z3变量命名方便点。查看信息,python文件。工具来解包,可以参考这个。
buuctf————[羊城 2020]login
yhfgs的博客
09-30 846
1.查壳。 无壳,64位。(当时还不知到PyInstaller ) 2.直接丢到IDA反编译。发现啥也没有。 (连个提示性的字符串也没有,但运行是有input something。很迷。) 看了看大佬的wp,才知道这是PyInstaller打包的exe,需要解包。 3.解包,反编译。 (1)解包; 下载PyInstaller Extractor(PyInstaller Extractor download | SourceForge.net) 把login.exe与下载得到的pyins.
羊城2020login
09-10
羊城2020login是一个使用Python编写并编译成exe文件的程序。要解包这个exe文件并反编译成py文件,可以使用pyinstxtractor.py工具进行解包操作。找到login.exe文件后,可以使用命令"python pyinstxtractor.py ...
2020YCBCTF羊城官方Writeup.pdf
10-28
标题《2020YCBCTF羊城官方Writeup.pdf》中的“YCBCTF”指的是一种名为“羊城”的网络安全竞赛(CTF),这是一个以网络安全为主题的竞赛,CTF全称Capture The Flag,即“夺旗赛”,是一种信息安全竞赛活动。...
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
Python uncompyle6库, 反编译pyc文件工具
08-21
这是使用Python uncompyle6库反编译pyc文件的工具。将pyc文件拖入uncompile.py文件中即可运行。 如果有错误, 程序还会输出详尽的错误提示。程序经过调试, 功能完备。
python-uncompyle6:跨版本Python字节码反编译器
02-05
python-uncompyle6:跨版本Python字节码反编译器
编译好的64位pycdc.exe(支持python3.10和python3.11)
01-16
编译好的64位pycdc.exe,可用于将pyc文件反编译为py文件 只需要将pyc.exe和pyc文件放于同一文件夹内,在文件夹内打开cmd 使用命令:pycdc xxx.pyc即可输出对应的反编译py文件(支持python3.10和python3.11)
[buuctf.reverse] 070_[羊城 2020]login
weixin_52640415的博客
05-11 568
z3求解,数组 ; python生成的exe文件解包,还原头部
[羊城 2020]login [SUCTF2019]hardcpp
寻梦&之璐
06-03 6615
文章目录[羊城 2020]login思路:一个py编译的exe,需要解包,然后反编译成py文件1.解包:python pyinstxtractor.py login.exe提示:pyinstxtractor.py这玩意github 上很多,随便找2.进入文件夹,然后进行login版本hex填充用编辑工具010打开login和struct,进行对比,main前面缺少几个字节,我们直接将struct前面的几个字节复制到main上面去,再将login保存为pyc格式文件3.uncompyle6 login.py
BUUCTF-RE-2020-羊城 login
Henlenl的博客
09-24 1228
wp pyc RE 先用pyinstxtractor.py反编译为pyc文件 看到如下信息 但是注意 要对比login和struct头部的字节差异 将差异补上后 login这个文件加上.pyc后缀 然后就能用uncompyle6 将pyc反编译为python代码 # uncompyle6 version 3.7.4 # Python bytecode 3.6 (3379) # Decompiled from: Python 3.7.0 (v3.7.0:1bf9cc5093, Jun 27 2018,
[羊城 2020]login-入土为安的第二十二天
最新发布
lzx13290757580的博客
08-20 212
login.pyc的010第一行换成struct.pyc的010。exe,pyinstaller解包,
[羊城 2020]login + pyinstaller细节解包
m0_46296905的博客
04-29 1509
题目:[羊城 2020]login pyinstaller打包后的64位程序。 一、pyinstaller解包 【参考看雪论坛的发帖】 (一).exe——>.pyc 方法1:PyInstaller Extractor 用PyInstaller Extractor解包 把pyinstxtractor.py和attachment.exe文件放在同个目录下 打开cmd,进入该目录,输入: python pyinstxtractor.py attachment.exe 这里有个值得注意的地方就是执行这个
[羊城 2020]login writeup
HLi1219的博客
12-29 767
ExeinfoPE查壳,之前我用0.3的版本查不出来,因为没有壳,打开发现什么都找不到,更新了ExeinfoPE才找到了pyinstaller的壳。 至于pyinstaller,翻了很多文章,找到了它的打包原理,原来是利用Cython把Python转换成C语言,然后编译打包。(43条消息) Pyinstaller原理详解_XHG78999的代码之家-CSDN博客_pyinstaller讲解 利用pyinstxtractor.py 进行反编译,修复生成文件下的login文件的头,我用到了010ei..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值