BUUCTF逆向的一些wp(2)

最新推荐文章于 2022-11-25 00:18:24 发布
最新推荐文章于 2022-11-25 00:18:24 发布
阅读量414 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62188797/article/details/124996048
版权

目录

reverse3

不一样的flag 

helloword 

SimpleRev

reverse3

是个exe文件,不能运行,用exeinfo查壳,发现是32位的。

用ida打开,先看看字符串窗口,发现"right flag!\n",跟进并F5,看到"please enter the flag:",明白这是要输入值的就没想着用OD调试了

int __cdecl main_0(int argc, const char **argv, const char **envp)
{
  size_t v3; // eax
  const char *v4; // eax
  size_t v5; // eax
  char v7; // [esp+0h] [ebp-188h]
  char v8; // [esp+0h] [ebp-188h]
  signed int j; // [esp+DCh] [ebp-ACh]
  int i; // [esp+E8h] [ebp-A0h]
  signed int v11; // [esp+E8h] [ebp-A0h]
  char Destination[108]; // [esp+F4h] [ebp-94h] BYREF
  char Str[28]; // [esp+160h] [ebp-28h] BYREF
  char v14[8]; // [esp+17Ch] [ebp-Ch] BYREF

  for ( i = 0; i < 100; ++i )//将Deseination的前100个值置零
  {
    if ( (unsigned int)i >= 100 )
      j____report_rangecheckfailure();
    Destination[i] = 0;
  }
  sub_41132F("please enter the flag:", v7);
  sub_411375("%20s", (char)Str);//输入flag
  v3 = j_strlen(Str);
  v4 = (const char *)sub_4110BE((int)Str, v3, (int)v14);// 加密算法
  strncpy(Destination, v4, 40u);//将v4前40个字符复制给Destination
  v11 = j_strlen(Destination);
  for ( j = 0; j < v11; ++j )//加密算法
    Destination[j] += j;
  v5 = j_strlen(Destination);
  if ( !strncmp(Destination, Str2, v5) )// Str2='e3nifIH9b_C@n@dH',比较Destination与Str2的前v5个字符,相等则函数值为零
    sub_41132F("rigth flag!\n", v8);
  else
    sub_41132F("wrong flag!\n", v8);
  return 0;
}

查看之前用来加密的函数,这函数挺让我头疼的,看了很久都没看懂,后来才明白根据aAbcdefghijklmn='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/='

再加以分析可以得出这就是base64加密

void *__cdecl sub_411AB0(char *a1, unsigned int a2, int *a3)
{
  int v4; // [esp+D4h] [ebp-38h]
  int v5; // [esp+D4h] [ebp-38h]
  int v6; // [esp+D4h] [ebp-38h]
  int v7; // [esp+D4h] [ebp-38h]
  int i; // [esp+E0h] [ebp-2Ch]
  unsigned int v9; // [esp+ECh] [ebp-20h]
  int v10; // [esp+ECh] [ebp-20h]
  int v11; // [esp+ECh] [ebp-20h]
  void *v12; // [esp+F8h] [ebp-14h]
  char *v13; // [esp+104h] [ebp-8h]

  if ( !a1 || !a2 )
    return 0;
  v9 = a2 / 3;
  if ( (int)(a2 / 3) % 3 )
    ++v9;
  v10 = 4 * v9;
  *a3 = v10;
  v12 = malloc(v10 + 1);                 
  if ( !v12 )
    return 0;
  j_memset(v12, 0, v10 + 1);
  v13 = a1;
  v11 = a2;                                 
  v4 = 0;
  while ( v11 > 0 )
  {
    byte_41A144[2] = 0;
    byte_41A144[1] = 0;
    byte_41A144[0] = 0;
    for ( i = 0; i < 3 && v11 >= 1; ++i )
    {
      byte_41A144[i] = *v13;
      --v11;
      ++v13;
    }
    if ( !i )
      break;
    switch ( i )                         
    {
      case 1:
        *((_BYTE *)v12 + v4) = aAbcdefghijklmn[(int)(unsigned __int8)byte_41A144[0] >> 2];
        v5 = v4 + 1;
        *((_BYTE *)v12 + v5) = aAbcdefghijklmn[((byte_41A144[1] & 0xF0) >> 4) | (16 * (byte_41A144[0] & 3))];
        *((_BYTE *)v12 + ++v5) = aAbcdefghijklmn[64];
        *((_BYTE *)v12 + ++v5) = aAbcdefghijklmn[64];
        v4 = v5 + 1;
        break;
      case 2:
        *((_BYTE *)v12 + v4) = aAbcdefghijklmn[(int)(unsigned __int8)byte_41A144[0] >> 2];
        v6 = v4 + 1;
        *((_BYTE *)v12 + v6) = aAbcdefghijklmn[((byte_41A144[1] & 0xF0) >> 4) | (16 * (byte_41A144[0] & 3))];
        *((_BYTE *)v12 + ++v6) = aAbcdefghijklmn[((byte_41A144[2] & 0xC0) >> 6) | (4 * (byte_41A144[1] & 0xF))];
        *((_BYTE *)v12 + ++v6) = aAbcdefghijklmn[64];
        v4 = v6 + 1;
        break;
      case 3:
        *((_BYTE *)v12 + v4) = aAbcdefghijklmn[(int)(unsigned __int8)byte_41A144[0] >> 2];// aAbcdefghijklmn='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/='
        v7 = v4 + 1;
        *((_BYTE *)v12 + v7) = aAbcdefghijklmn[((byte_41A144[1] & 240) >> 4) | (16 * (byte_41A144[0] & 3))];
        *((_BYTE *)v12 + ++v7) = aAbcdefghijklmn[((byte_41A144[2] & 192) >> 6) | (4 * (byte_41A144[1] & 15))];
        *((_BYTE *)v12 + ++v7) = aAbcdefghijklmn[byte_41A144[2] & 63];
        v4 = v7 + 1;
        break;
    }
  }
  *((_BYTE *)v12 + v4) = 0;
  return v12;
}

 剩下的就好办了,写一个python脚本解密

import base64

str = 'e3nifIH9b_C@n@dH'
flag = ''
for i in range(len(str)):
    flag += chr(ord(str[i]) - i)
flag = base64.b64decode(flag)
print(flag)

不一样的flag 

 是exe文件,先运行,这题可能是个迷宫,怎么走也告诉我了

查壳,是32位 

先放ida里看字符串窗口,发现*11110100001010000101111# 这题是迷宫,迷宫图也出来了

看看main函数

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  char v3[29]; // [esp+17h] [ebp-35h] BYREF
  int v4; // [esp+34h] [ebp-18h]
  int v5; // [esp+38h] [ebp-14h] BYREF
  int i; // [esp+3Ch] [ebp-10h]
  _BYTE v7[12]; // [esp+40h] [ebp-Ch] BYREF

  __main();
  v4 = 0;
  strcpy(v3, "*11110100001010000101111#");
  while ( 1 )
  {
    puts("you can choose one action to execute");
    puts("1 up");
    puts("2 down");
    puts("3 left");
    printf("4 right\n:");
    scanf("%d", &v5);
    if ( v5 == 2 )
    {
      ++*(_DWORD *)&v3[25];
    }
    else if ( v5 > 2 )
    {
      if ( v5 == 3 )
      {
        --v4;
      }
      else
      {
        if ( v5 != 4 )
LABEL_13:
          exit(1);
        ++v4;
      }
    }
    else
    {
      if ( v5 != 1 )
        goto LABEL_13;
      --*(_DWORD *)&v3[25];
    }
    for ( i = 0; i <= 1; ++i )
    {
      if ( *(int *)&v3[4 * i + 25] < 0 || *(int *)&v3[4 * i + 25] > 4 )
        exit(1);
    }
    if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == '1' )
      exit(1);
    if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == '#' )
    {
      puts("\nok, the order you enter is the flag!");
      exit(0);
    }
  }
}

行走规则如下:

1:上
2:下
3:左
4:右

接下来只要把迷宫变成二维的就行

从最后两个if语句可以看出,#是出口,而1为墙,迷宫每行有5个字符,迷宫为

*1111
01000
01010
00010
1111#

直接走迷宫得到flag{222441144222}

helloword 

附件是apk文件,我用的是APKIDE,使用教程网上有很多。

在网上看可以直接Ctrl+F查找main函数,我可能用错了,没找到

所以我直接找到helloword文件夹,再找到main函数,flag就在其中

SimpleRev

查壳,64位elf文件

查看main函数代码易知,关键在Decry()函数

unsigned __int64 Decry()
{
  char v1; // [rsp+Fh] [rbp-51h]
  int v2; // [rsp+10h] [rbp-50h]
  int v3; // [rsp+14h] [rbp-4Ch]
  int i; // [rsp+18h] [rbp-48h]
  int v5; // [rsp+1Ch] [rbp-44h]
  char src[8]; // [rsp+20h] [rbp-40h] BYREF
  __int64 v7; // [rsp+28h] [rbp-38h]
  int v8; // [rsp+30h] [rbp-30h]
  __int64 v9[2]; // [rsp+40h] [rbp-20h] BYREF
  int v10; // [rsp+50h] [rbp-10h]
  unsigned __int64 v11; // [rsp+58h] [rbp-8h]

  v11 = __readfsqword(0x28u);
  *(_QWORD *)src = 'SLCDN';
  v7 = 0LL;
  v8 = 0;
  v9[0] = 'wodah';
  v9[1] = 0LL;
  v10 = 0;
  text = join(key3, (const char *)v9);          // key3=kills  text=killshadow
  strcpy(key, key1);                            // key1='ADSFK'
  strcat(key, src);                             // key=ADSFKNDCLS
  v2 = 0;
  v3 = 0;
  getchar();
  v5 = strlen(key);
  for ( i = 0; i < v5; ++i )                    // 大写变小写,key=adsfkndcls
  {
    if ( key[v3 % v5] > '@' && key[v3 % v5] <= 'Z' )
      key[i] = key[v3 % v5] + 32;
    ++v3;
  }
  printf("Please input your flag:");
  while ( 1 )
  {
    v1 = getchar();                              //获取输入字符
    if ( v1 == '\n' )
      break;
    if ( v1 == ' ' )
    {
      ++v2;
    }
    else
    {
      if ( v1 <= 96 || v1 > 122 )
      {
        if ( v1 > 64 && v1 <= 90 )
        {
          str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;// 关键算法
          ++v3;
        }
      }
      else
      {
        str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;
        ++v3;
      }
      if ( !(v3 % v5) )
        putchar(' ');
      ++v2;
    }
  }
  if ( !strcmp(text, str2) )
    puts("Congratulation!\n");
  else
    puts("Try again!\n");
  return __readfsqword(0x28u) ^ v11;
}

以下代码将key中的字符变成小写,需要注意的是大端序与小端序的问题,在IDA的伪代码中,int型的数据是常见的大端序,而int64型的数据是少见的小端序。

最后写了个python脚本,因自身编程能力差,参考了这篇博客

BUUCTF 逆向工程(reverse)之SimpleRev_若丶时光破灭的博客-CSDN博客_buuctf 逆向

text = 'killshadow'
key = 'adsfkndcls'
flag = ''
for i in range(len(key)):
    for j in range(128):
        if chr(j).isalpha():  # 过滤非字符串,防止结果乱码
            str = (j - 39 - ord(key[i]) + 97) % 26 + 97
            if text[i] == chr(str):
                flag += chr(j)
                break
print(flag)

flag{KLDQCUDFZO}

新手一枚,错误较多,请见谅。

∪v
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
BUUctf逆向wp usualCrypt
weixin_66718841的博客
10-31 128
BUUctf逆向wp usualCrypt
BUUCTF逆向的一些WP(4)
qq_62188797的博客
07-06 491
目录[GWCTF 2019]pyre[ACTF新生赛2020]easyre[ACTF新生赛2020]romeCrackRTF[FlareOn4]login[2019红帽杯]easyRE是pyc文件,可以用反编译工具,我这里是在线反编译,地址。 直接写脚本: [ACTF新生赛2020]easyre upx壳脱掉后 v6 = "ACTF{}",v5为括号中的内容,至于为什么是,我认为是靠猜和经验,伪代码本身不难。_data_start是字符串(这样伪代码才合理),其中有几个十六进制数要转为字符脚本
BUUCTF逆向的一些wp(3)
qq_62188797的博客
06-15 256
目录java逆向解密[GXYCTF2019]luck_guy刮开有奖[BJDCTF2020]JustRE 简单注册器java的class文件,用jd-gui打开,是一个简单的程序 没什么可以说的,会一点java再查一查不懂的函数就行,写了个python脚本 flag{This_is_the_flag_!}查壳,64位elf无壳,放进IDA先看看Strings window,发现字符串"OK, it's flag:",跟进根据交叉引用进入get_flag()函数 从case1了解到flag是f1
BUUCTF逆向练习记录(wp) --(4)(偷懒三
Air_cat的博客
09-18 467
[GKCTF2020]BabyDriver 简单win驱动。 拖ida仔细分析即可。 注意寻找关键函数。 [FlareOn6]Overlong 这个人认为非常有意思 考察的点在于①发现数组长度远大于给的长度参数0x1c②通过动调直接得出结果。 这一还给了一个附件,提示运用正确的方法进行解密可以很快得到flag,而我们知道,ctf的re中,最快的解密往往就是动调一把梭。 需要大胆猜想,大胆尝试。 [WUSTCTF2020]Cr0ssfun 额,无脑拼接嗷 ...
BUUCTF逆向练习记录(wp) --(2)
Air_cat的博客
08-06 905
注:常规处理,如upx脱壳不注明。 [GWCTF 2019]xxor 主要代码1: for ( i = 0; i <= 5; ++i ) { printf("%s", "input: ", (unsigned int)i); __isoc99_scanf("%d", (char *)&v6 + 4 * i); // 每个存四个字符 } v11 = 0LL; v12 = 0LL; v13 = 0LL; v14 = 0LL; v15 = 0LL;
BUUCTF逆向前八
最新发布
01-24
内容为BUUCTF里reserve的前八自己的一些解思路
il2cpp 逆向 破解
08-20
逆向il2cpp,恢复类名,方法名。分析源代码
IOS逆向1.1之我与cocos2d-x的全过程
11-01
文章离线备份:https://blog.csdn.net/qq_26914291/article/details/121076158
Mybatis连接DB2数据库生成逆向工程
07-13
Mybatis连接DB2数据库生成逆向工程。压缩包中包含mybatis逆向工程配置文件(含注释),及DB2数据库建表语句,保证可用。
radare2 逆向分析软件
11-20
radare2是一款开放源代码的逆向工程平台,它可以反汇编、调试、分析和操作二进制文件。 radare2(雷达,简称r2)是个基于命令行的逆向工具,但其能力完全不亚于IDA pro。包括反汇编、分析数据、打补丁、比较数据、...
buuctf_SimpleRev 1(算法逆向0r爆破0r动态调试)
m0_49936845的博客
08-29 682
ida反汇编: unsigned __int64 Decry() { char v1; // [rsp+Fh] [rbp-51h] int v2; // [rsp+10h] [rbp-50h] int v3; // [rsp+14h] [rbp-4Ch] int i; // [rsp+18h] [rbp-48h] int v5; // [rsp+1Ch] [rbp-44h] char src[8]; // [rsp+20h] [rbp-40h] __int64 v7; // [r
buuctf 逆向Transform
weixin_66718841的博客
10-30 138
buuctf 逆向Transform wp
BUUCTF Reverse/[GWCTF 2019]re3
ookami6497的博客
11-25 447
BUUCTF Reverse pyre
m0_63735735的博客
07-13 315
buuctf re pyre
BUUCTF--Reverse
weixin_48295646的博客
05-21 1969
easyre 用notepad++打开文件,直接用搜索就搜索出来flag{this_Is_a_EaSyRe} reverse1 reverse1 注意:得到的 flag 请包上 flag{} 提交
buuoj 部分逆向wp(持续更新
苗_的博客
08-06 780
[FlareOn3]Challenge1 点进去sub_401260() 看逻辑是base64解密,点开byte_413000发现是换表base64,直接上脚本: exp import base64 c="x2dtJEOmyjacxDemx2eczT5cVS9fVUGvWTuZWjuexjRqy24rV29q" flag="" table="ZYXABCDEFGHIJKLMNOPQRSTUVWzyxabcdefghijklmnopqrstuvw0123456789+/" table
BUUCTF Reverse解记录(三)
欢迎光临失去理智(sxhthreo)的博客~
03-03 4674
第九:不一样的flag 这道说实话我是看了解才恍然大悟的。 1、2、3、4分别代表往上下左右四个方向走,由下语句: if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == 49 ) exit(1); if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == 35 ) { puts("\nok, the order you enter is the flag!"); exit(0);
ctf 逆向 暴力破解类的脚本
cainiao78777的博客
03-15 1678
前言:在分析代码的时候常遇到不好逆向的逻辑,如求余(%)等,下面就是含有求余的两道逆向目 例一:buuctf [ACTF新生赛2020]rome 1.查壳 无壳32位exe. 2.ida32打开并分析main函数 发现主要函数 func() int func() { int result; // eax int v1; // [esp+14h] [ebp-44h] int v2; // [esp+18h] [ebp-40h] int v3; // [esp+1Ch] [ebp-3Ch
buuctf记录(2)
weixin_53409153的博客
06-06 663
不一样的flag 对于这种,一般最开始就是需要查壳吧: 查壳后发现无壳32位,然后就直接拖入IDA,shift+f12查看: 跟进,然后f5查看伪代码: 可以看见,这是一个while循环,然后在while循环上面有一行代码,很重要qmemcpy(&v3, _data_start__, 0x19u);跟进后可以看见: 然后再回头看伪代码: while ( 1 ) { puts("you can choose one action to execute"); puts(
buuctf逆向刮开有奖
08-06
根据提供的引用内容,这段代码是一个用C语言编写的函数,名为sub_4010F0。它的功能是对输入的字符串进行某种处理。具体来说,它使用了一个...因此,如果想要了解buuctf逆向刮开有奖的具体内容,可能需要更多的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

∪v

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值