GDOUCTD NSSCTF2023广东海洋大学比赛WP RE(上) Tea Check_Your_Luck

最新推荐文章于 2024-08-15 05:02:54 发布
最新推荐文章于 2024-08-15 05:02:54 发布
阅读量728 收藏
点赞数
分类专栏: 逆向 文章标签: c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73667990/article/details/130229241
版权

Check_Your_Luck

下载文件是cpp
在这里插入图片描述
是个解方程的题,用python的z3

from z3 import *
v,w,x,y,z=BitVecs('v w x y z',16)

l=Solver()
l.add(v * 23 + w * -32 + x * 98 + y * 55 + z * 90 == 333322)
l.add(v * 123 + w * -322 + x * 68 + y * 67 + z * 32 == 707724)
l.add(v * 266 + w * -34 + x * 43 + y * 8 + z * 32 == 1272529)
l.add(v * 343 + w * -352 + x * 58 + y * 65 + z * 5 == 1672457)
l.add(v * 231 + w * -321 + x * 938 + y * 555 + z * 970 == 3372367)
if l.check() == sat:
    print(l.model())
else:
    print ('Error')
#[y = 1754, z = 777, x = 677, w = 123, v = 4544]

在这里插入图片描述

Tea

打开可执行文件有输出,直接打开ida
shift+F12点进去
在这里插入图片描述
在这里插入图片描述
他提示你,这是假的flag,看看哪个函数引用了它,往上追,就来到了关键的地方

__int64 sub_140016230()
{
  char *v0; // rdi
  __int64 i; // rcx
  char v3[32]; // [rsp+0h] [rbp-20h] BYREF
  char v4; // [rsp+20h] [rbp+0h] BYREF
  int v5; // [rsp+24h] [rbp+4h]
  int v6; // [rsp+44h] [rbp+24h]
  int v7[12]; // [rsp+68h] [rbp+48h] BYREF
  _DWORD v8[16]; // [rsp+98h] [rbp+78h] BYREF
  int v9[31]; // [rsp+D8h] [rbp+B8h] BYREF
  int j; // [rsp+154h] [rbp+134h]
  int k; // [rsp+174h] [rbp+154h]
  int m; // [rsp+194h] [rbp+174h]

  v0 = &v4;
  for ( i = 102i64; i; --i )
  {
    *(_DWORD *)v0 = -858993460;
    v0 += 4;
  }
  sub_14001137F(&unk_140023009);
  v5 = 32;
  v6 = 0;
  v7[0] = 1234;
  v7[1] = 5678;
  v7[2] = 9012;
  v7[3] = 3456;
  memset(v8, 0, 0x28ui64);
  v9[15] = 0;
  v9[23] = 0;
  sub_1400113E8();
  for ( j = 0; j < 10; ++j )
    sub_1400111FE("%x", &v8[j]);
  sub_140011339(v7);
  sub_140011145(v8, v9);
  sub_1400112B7(v8, v7);
  v6 = sub_140011352(v8);
  if ( v6 )
  {
    printf("you are right\n");
    for ( k = 0; k < 10; ++k )
    {
      for ( m = 3; m >= 0; --m )
        printf("%c", (unsigned __int8)((unsigned int)v9[k] >> (8 * m)));
    }
  }
  else
  {
    printf("fault!\nYou can go online and learn the tea algorithm!");
  }
  sub_140011311(v3, &unk_14001AE90);
  return 0i64;
}

最后一句话提醒了我们这是tea加密
最后v9输出flag。
v6 = sub_140011352(v8);
进去发现是一个返回值为bool类型的函数
在这里插入图片描述
说明了形参a1等于v8
由此我们知道了tea加密后的v8的值
sub_1400112B7(v8, v7);
进入这个函数,就是魔改版的茶加密,在解密前,我们还要知道v7
的值。
sub_140011339(v7);
进入这个函数,直接对v7进行赋值。
在这里插入图片描述
然后我们再解密,我们首先把加密改成c语言形式

for (int i = 0; i <= 8; ++i )
    {
    v5 = 0;
    v6 = 256256256 * i;
    v3 = i + 1;
    do
    {
      ++v5;
      v8[i] += v6 ^ (v8[v3]+ ((v8[v3] >> 5) ^ (16 * v8[v3]))) ^ (v6 + v7[v6&3]);
      v8[v3] += (v6 + v7[(v6>>11)&3]) ^ (v8[i]+ ((v8[i] >> 5) ^ (16 * v8[i])));
      v6 += 256256256;
    }
    while ( v5 <= 0x20 );
    }

之后再逆向写,为了检验正确性,自己可以赋值一组数,然后互相解密,看看结果对不对

#include <bits/stdc++.h>

using namespace std;
int sub_140011339(int *a1)
{
    int v6;
    int v7;
    int v8;
    int v9;
    v6 = 2233;
    v7 = 4455;
    v8 = 6677;
    v9 = 8899;
    *a1 = 2233;
    *(a1+1) = v7;
    *(a1+2) = v8;
    *(a1+3) = v9;
    return 0;
}
int main()
{
    int v7[12];
    unsigned int v8[15];
    int v5,v6,v3;
    v7[0] = 1234;
    v7[1] = 5678;
    v7[2] = 9012;
    v7[3] = 3456;
    sub_140011339(v7);
    //cout<<v7[3]<<endl;
    v8[0] = 444599258;
    v8[1] = 4154859931;
    v8[2] = 1226314200;
    v8[3] = 4060164904;
    v8[4] = 359413339;
    v8[5] = 1013885656;
    v8[6] = -2066432216;
    v8[7] = -249921817;
    v8[8] = 856928850;
    v8[9] = 3718242937;
    for (int  i = 8; i >= 0; --i )
    {
        v5 = 0;
        v6 = 0xF462900 * i;
        v3 = i + 1;
        v6=v6+(33*0xF462900);
        do
        {
            v6-=0xF462900;
            v8[v3]-=(v6+v7[(v6>>11)&3])^(v8[i]+((v8[i]>>5)^(16 * v8[i])));
            v8[i]-=v6^(v8[v3]+((v8[v3]>>5)^(16*v8[v3])))^(v6+v7[v6&3]);
            ++v5;
        }
        while ( v5 <= 0x20 );
    }
    /*for(int j=0;j<10;j++)
    cout<<v8[j]<<endl;*/
    for (int k = 0; k < 10; ++k )
    {
      for (int m = 3; m >= 0; --m )
        printf("%c",(v8[k] >> (8 * m)));
    }
    return 0;
}

要注意不能把v8定义成int类型,要定义成unsigned int类型

HDO清风
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NSSCTF-HDCTF2023-Yami题解记录
LeBR0NY的博客
04-26 353
NSS-HDCTF2023 web yami题解记录
在WordPress中使用wp_count_posts函数来统计文章数量
10-23
`wp_count_posts()`函数就是用于解决这一问题的关键工具。它是一个内置的WordPress函数,能够帮助开发者轻松获取不同状态的文章和页面的计数。 `wp_count_posts()`函数的主要作用是返回一个对象,该对象包含了所有...
[GDOUCTF 2023]Tea
qq_73682634的博客
04-27 677
可知v7为key,且被更改为{2233,4455,6677,8899},双击 sub_1400112B7(v8, v7),跟进sub_140011900(a1, a2)函数,可知其为tea加密,然后再双击sub_140011352(v8),跟进sub_140011B60(a1)函数,双击sub_140011339(v7)跟进,然后跟进sub_1400117D0(a1)函数,双击flag跟进 ,找到调用函数sub_140016230,点进去查看函数关键代码。将结果借助在线工具转换成文本字符串就可以了。
2023 广东海洋大学 GDOUCTF Writeup By AheadSec
末初的CSDN博客
04-16 4335
2023 广东海洋大学 GDOUCTF Writeup By AheadSec
[NSSCTF] web之[HDCTF 2023]SearchMaster
ZhangAweio的博客
04-23 907
看到使用的是smarty模板,那么我们就可以试试,应该是有rec漏洞的。发现报错了,证明有rec漏洞的存在,那我们就可以smarty模板注入。看到了有个 composer.json,我们打开它试试。tip:你可以使用 POST请求发送data。看到了这个文件,我们最后的payload就是。我们先对目录进行扫描试试,有啥东西。
NSSCTF-[NSSRound#X Basic]ez_z3 && [MoeCTF 2022]Art &&[HDCTF2023]basketball
weixin_61154173的博客
04-27 1361
RGB的初见,DFS代码求多解
wordpress之wp_nav_menu使用说明
09-29
在深入探讨wordpress中wp_nav_menu函数的使用说明之前,首先需要了解wp_nav_menu()方法是WordPress中用于创建导航菜单的一个重要功能。该方法定义在wp-includes/nav-menu-templates.php文件中,它的主要作用是通过...
wpad.zip_firefox wpad_wp_wpad_wpad.dat
09-21
该程序应用在WEB服务器上,以CGI方式运行 当访问WPAD.YOUR.DOMAIN/WPAD.DAT文件时, 该程序会将客户端的IP和PROXYS.TXT文件中 提供的域相匹配,返回以WPAD.TEMPL生成的WPAD.DAT 文件给客户端供其配置IE或FIREFOX
详解WordPress开发wp_title()函数的用法
10-23
如果需要在首页索引显示页面标题,还需要进行额外的定制和设置,因为默认情况下,wp_title()不会在首页索引上显示任何标题。 总结而言,wp_title()是一个灵活的函数,可以根据不同页面类型显示不同的标题,并允许...
WordPress导航菜单函数wp_nav_menu()详解
09-29
在WordPress的开发中,wp_nav_menu()是一个非常重要的函数,它用于实现和定制网站的导航菜单系统。自WordPress版本3.0起,该函数成为标准,取代了旧有的 wp_list_pages() 和 wp_page_menu(),为开发者提供了更灵活的...
nssctf部分题解+xtea加密算法初步分析
2302_81097378的博客
05-05 634
首先我们通过以下形式进行下载并打开找到以下界面因为我们看到进行比较的字符串是一串乱码,因此我们可以判断进行了一定的加密算法(比如说base64加密tea加密算法等等等等)因为我们找到如下的函数界面我们就能看到这个进行加密的表格(经过魔改的表格)我们将其放置到赛博厨子上进行解密结果如下:得到flag:hgame{s0meth1ng_run_befOre_m@in}按照要求更改形式即可打开看见如下形式的代码块让我们逐行代码进行分析我们通过查找可以知道这个算法是XTEA加密算法。
ISCTF2023新生赛Misc部分WP
Aluxian_的博客
11-30 2366
ISCTF2023新生赛Misc部分WP
GDOUCTF2023 Reverse题解
OrientalGlass的博客
04-17 5918
ida分析之后会出现几个新的窗口,最关键的是这个Matched Functions窗口,绿色代表匹配一致,往下翻在最后可以发现。反汇编窗口往下翻可以看到关键函数,这个循环的基本功能应该是对lmao数组的数据进行异或,但并不容易的值用于异或的中间值是什么。然后打开ls-patched.i64文件,选择Edit>Plugins>BinDiff,进来找不到关键函数,查看strings看到类似迷宫的东西,根据字符串可以定位到关键函数。安装时注意路径即可,默认在C盘,可以自己修改,他会自动绑定IDA的路径。
GDOUCTF2023-部分re复现
m0_73393932的博客
04-25 734
逆向比赛
[HDCTF2023] NSSweb方向题解
Leaf_initial的博客
05-06 1726
Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。了解过Jinjia2模板注入的同学应该知道,jinjia2是基于python的,而Smarty是基于PHP的,所以理解起来还是很容易,我们只需要达到命令执行就可以了。
GDOUCTF web部分题解 2023
Jay17的博客
04-16 2053
GDOUCTF web部分题解 2023 (已加上NSS另外两题)
GDOUCTF2023 Writeup
S4n_v1的博客
04-16 1531
钝角
NSSCTF-Web安全入门-wp
网安小菜鸡
01-27 3439
NSSCTF-Web安全入门-wp
C语言 | Leetcode C语言题解之第337题打家劫舍III
最新发布
m0_59237910的博客
08-15 356
C语言 | Leetcode C语言题解之第337题打家劫舍III
buuctf [第五章 ctf之re章]easy_rust 高级语言逆向wp
09-17
综上所述,我们可以编写一个脚本来尝试不同的flag值,并与给定的input进行比较,直到找到正确的flag。最后,我们将找到的flag flag{r3v3r53_mUST_8E_"aI1_DONE"} 总结起来,buuctf的Easy Rust高级语言逆向题目通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值