[2019红帽杯]easyRE1

最新推荐文章于 2024-04-08 17:12:40 发布
最新推荐文章于 2024-04-08 17:12:40 发布
阅读量116 收藏
点赞数
文章标签: 青少年编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_66455531/article/details/131154077
版权

 

搜索关键字找到主程序

 

 

 

程序分别给v12,v13,v14赋值,这时候条件反射查看计算三者的地址,发现是连着的,也可以通过后面36位的v15异或v12也能察觉

 

根据程序,得知,v15异或等于v12,v13,v14的值

 

那么我们看看v15的值是什么

 

 

前四个字符是‘flag’,提醒我们flag前四位

再往下看

一连串的base64加密(base64函数易证),加密后与target比较,通过target找出并提取密文

 

将密文进行十次base64解密

 

得到网址

然而并没有什么卵用

 

到这里就没有路了,看了攻略,发现在target密文下面有俩个没有出现过的数组

 

交叉引用,发现新的函数

这个函数也看的我云里雾里,看了攻略也没看懂,自己写的脚本也没运行正确,这里就用攻略使用的脚本

 

 

得到flag{Act1ve_Defen5e_Test}

PS:新找到的函数真的一句都没看懂,大佬们又觉得太简单,分析过程也不写(悲)

等之后问学长

 

忘记aster304
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2019红帽杯恶臭的数据包.7z
11-11
2019红帽杯恶臭的数据包
BUUCTF逆向题[2019红帽杯]easyRE
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
10-23 903
*(&v15 + i) 有了前面的分析,这条语句就不难理解了,我们输入的字符串保存到 v51 中,然后取出每个字符与 i 值异或再与 v15 到 v50 的字符进行比较(&v15是首元素的地址,+i 表示指向下一个的意思)跟过来后可以发现是我们前面看到的与 base64 有关的东西,所以我们猜测 sub_400E44 是一个 base64 加密处理函数,由代码可知对同一个数据加密了 10 次,加密后的数据是什么,我们接着找。我们去看看,发现是看雪的一篇文章,到这里我们基本可以确定这是一个干扰项。
[2019红帽杯]easyRE 1
最新发布
qq_20242529的博客
04-08 746
第三部分sub_410E90((unsigned __int8)(byte_6CC0A0[j] ^ *((_BYTE *)&v4 + j % 4)))我们主要看里面这部分(byte_6CC0A0[j] ^ *((_BYTE *)&v4 + j % 4))由v1^byte_6CC0A0[0]='f'和HIBYTE(v4) ^ (unsigned __int8)byte_6CC0A3) == 'g'这里有几个关键的地方。这里补充一下HIBYTE(v4)是指V4的高位的值,由于V1=V4也就是V1高位的值。
[Buuctf] [2019红帽杯] easyRE
weixin_74305514的博客
03-02 1040
主动防御
[2019红帽杯]easyRE 分析与自省
Tokameine的博客
06-24 447
稍微......有那么一点离谱 程序无壳,可以直接放入IDA,通过字符串找到如下函数: __int64 sub_4009C6() { __int64 result; // rax int i; // [rsp+Ch] [rbp-114h] __int64 v2; // [rsp+10h] [rbp-110h] __int64 v3; // [rsp+18h] [rbp-108h] __int64 v4; // [rsp+20h] [rbp-100h] __int...
re学习(15)BUUCTF 2019红帽杯easyRe(寻找数据+xor问题)
m0_66039322的博客
07-13 413
虽然带有easy,但是并不是那么easy。CTF偏向于算法,实战偏向于程序逻辑,执行的流程。
[2019红帽杯]easyRE1题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-30 1602
buuctf-[2019红帽杯]easyRE1题解
BUUCTF-[2019红帽杯]easyRE
weixin_61154173的博客
11-30 548
BUUCTF-2019红帽杯easyRE
BUUCTF第二十四、二十五题解题思路
EVANGELION_01a的博客
02-22 1224
分析:赋值v1,再将v1赋值v4,如果高字节与低字节异或为“f”和“g”(四个字节异或很有可能是“flag”),循环取出v1的四个字节与*((_BYTE *)&v4 + j % 4))异或。分析sub_400360发现该函数是strcmp,将v11与off_6CC090比较,如果非零,输出“You found me!无壳,32位,用32位IDA打开,打开后的main函数很短,可以找到一句“jmz _main_0”——跳转到 _main_0,说明真正的主函数是_main_0,跟进。
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
红帽系统管理1
05-27
RHCSA红帽认证资料文档,是由世达培训机构编写,该机构具有红帽培训授权资格,这是教材第一部分。
2018红帽杯线上预选赛MISC文件--NotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
05-03
2018红帽杯线上预选赛MISC文件()Not Only WiresharkNotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
buuctf-re-[2019红帽杯]easyRE
qq_44625297的博客
03-28 1202
拿到先查壳,发现没加壳,放进IDA中。 Shift + F12 查询字符串,通过字符串找到函数。 找到主函数。 signed __int64 sub_4009C6() { __int64 v0; // rax signed __int64 result; // rax unsigned __int64 v2; // rax __int64 v3; // rax const _...
BUUCTF-re-[2019红帽杯]easyRE
qq_61774705的博客
06-18 681
用IDA64打开文件,shift+F12查看字符串 分析关键代码:脚本如下: 继续查看sub_400E44函数继续分析 脚本如下: 继续分析 代码如下: 发现此函数的逻辑就是将字符串进行异或,还可以发现if语句中,有判断是否等于‘f’和‘g’的条件,根据已有信息猜测这个字符数组就是‘flag’。函数的作用是获取高字节也就是数组的最后一位,同时还有第一个是获取数组的第一位,第二个就是获取第二位,依次类推。查看数组byte_6CC0A0数据:可以看出byte_CC0A3=byte_CC0
[2019红帽杯]easyRE
yidalipao1的博客
05-07 841
BUU 2019红帽杯easyre
2019 红帽杯 easyRE
mishixiaodai的博客
11-18 2423
记一次被带入坑的逆向 拿到题目,发现是elf文件,拖入Linux运行程序,发现什么提示也不给,输入任意字符串,程序退出。 拖入64位的ida中,查找字符串,发现几个很有用的字符串,查看第三个字符串处的代码 先给了一大串数字,将类型转变成char[36]后如下图所示。分析伪代码发现函数名都是统一的sub_。 进入第一个函数sub_4406E0,发现很难理解此函数是干嘛的,但通过主程序,我们可以猜测,该函数的作用应该是读取我们的输入。同理,根据if语句中的v15[i] ^ i) != v14[i],我
红帽8怎么创建raid1
04-17
sudo mdadm --create /dev/md0 --level=1 --raid-devices=2 /dev/sdb1 /dev/sdc1 3. 使用 mkfs 命令格式化该阵列 sudo mkfs.ext4 /dev/md0 请注意,在执行上述命令之前,请先备份您的数据以避免数据丢失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值