使用z3约束器解决CTF中的题目

最新推荐文章于 2024-06-03 13:18:14 发布
最新推荐文章于 2024-06-03 13:18:14 发布
阅读量9.6k 收藏 18
点赞数 7
分类专栏: CTF Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s1054436218/article/details/78651075
版权

Z3是什么?Z3由微软开发的一套约束求解器,你可以简单的理解它是解方程的神器。在CTF题目中,我们经常遇到一些给定的条件,或是算法难以逆向、或是涉及到未知的数学技巧又或是爆破时间过长,而在我们学会使用z3后,一类问题便迎刃而解了。想了解更多关于z3知识的,这里有篇专栏:点我

一个简单的例子给大家介绍一下z3如何使用:

>>> from z3 import *
>>> x = Int('x')
>>> y = Int('y')
>>> solve(x+y==4)
[y = 0, x = 4]

它为我们提供了一个关于x+y==4的解,可是如果我们想要x=3呢?

>>> solve(x==3,x+y==4)
[y = 1, x = 3]

当然了,z3能做的肯定不止这么简单的运算,例如:

>>> from z3 import *
>>> x = Real('x')
>>> y = Real('y')
>>> solve(x**2 + y**2 == 3, x**3 == 2)
[x = 1.2599210498?, y = -1.1885280594?]


OK,大概了解到它是干嘛的我们就开始看一道例题吧。二进制文件可以在这里下载。

这是whctf的一道逆向题,它的核心代码如下:

  v1 = 0;
  gets(flag);
  for ( i = 0; i <= 35; ++i )
  {
    if ( !flag[i] )
    {
      flag[i] = 1;
      ++v1;
    }
  }
  if ( v1 != 9 )
    exit(0);
  convert(a);
  Transposition(a);
  Multi(a, b);
  for ( j = 0; j <= 5; ++j )
  {
    for ( k = 0; k <= 5; ++k )
    {
      if ( c[0][k + 6 * j] != d[0][k + 6 * j] )
        exit(0);
    }
  }
  printf("congratulations!you have gottern the flag!");

其中convert(a)是将flag赋值给a,你可以把a当做一个6*6的矩阵。

Transposition(a)是把a的转置矩阵赋值给b

Multi(a,b)是把a和b的乘积赋值给c

而d就是堆中正确的flag经过上述运算后的结果,也就是说,如果用简单的思路去做,就是想办法爆破27位的flag添加9位1到尾部,然后经过运算结果为d中的值。但未知位数已经达到了20个,常规的爆破思路很难解决,网上的一篇writeup是经过一系列数学运算后逐行爆破,但每行依旧要消耗近10分钟的时间。在实际比赛的过程中,时间始终是最宝贵的,况且如果你对线性代数不太理解,可能会有一些棘手。

首先数学知识当然是必要的,我们应该保持着一个敬畏之心去学习这里的数学原理,但为了节省时间,或许用约束器去做会有意想不到的效果。

以下是我的脚本,注释的很详细就不多说了:

#coding:utf-8
'''
	@DateTime: 	2017-11-28 10:19:29
	@Version: 	1.0
	@Author: 	Unname_Bao
'''
from z3 import *
import time
t1 = time.time()
#创建一个解决方案实例
solver = Solver()
#flag长度先设置为36,包括尾部的9个1
flag = [Int('flag%d'%i) for i in range(36)]
#保存flag的矩阵
a = [i for i in flag]
#保存flag的转置矩阵
b = [i for i in range(36)]
#保存a*b的矩阵
c = [0 for i in range(36)]
#堆中正确flag的运算结果
d = [0x12027,0x0F296,0x0BF0E,0x0D84C,0x91D8,0x297,
	0x0F296,0x0D830,0x0A326,0x0B010,0x7627,0x230,
	0x0BF0E,0x0A326,0x8FEB,0x879D,0x70C3,0x1BD,
	0x0D84C,0x0B010,0x879D,0x0B00D,0x6E4F,0x1F7,
	0x91D8,0x7627,0x70C3,0x6E4F,0x9BDC,0x15C,
	0x297,0x230,0x1BD,0x1F7,0x15C,0x6]
#获得a的转置矩阵
for i in range(6):
	for j in range(6):
		b[i+6*j] = a[6*i+j]
#运算a*b
for i in range(6):
	for j in range(6):
		for k in range(6):
			c[j+6*i] = c[j+6*i] + a[6*i+k]*b[6*k+j]
		#添加约束,正确flag的运算结果
		solver.add(simplify(c[j+6*i]) == d[j+6*i])
#添加约束,除了尾部,flag的字符一定在可见字符范围内
for i in range(6,36-10):
	solver.add(flag[i]>=32)
	solver.add(flag[i]<=127)
#添加约束,由于flag有格式,前6位一定为whctf{
for i in range(6):
	solver.add(flag[i] == ord('whctf{'[i]))
#添加约束,flag的尾部为9个1
for i in range(36-9,36):
	solver.add(flag[i] == 0x1)
#添加约束,flag的最后一个肯定是}
solver.add(flag[-10] == ord('}'))
#这里一定要有,不check的话会报错
if solver.check() == sat:
	m = solver.model()
	s = []
	#获得结果
	for i in range(36):
		s.append(m[flag[i]].as_long())
	#输出flag
	print(bytes(s))
else:
	print('error')
t2 = time.time()
print(t2-t1)
这是最终的运行结果: 

D:\2017_WEB_Test\ulb_manager\backend\spider>python z3test.py
b'whctf{Y0u_ar3_g00d_a7_m4th}\x01\x01\x01\x01\x01\x01\x01\x01\x01'
4.042840003967285

是的,仅仅用了4s就跑出了最终结果、可见z3约束器的强大!

更多信息请看z3的官方GitHub:点我

b0ring
关注
  • 7
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTF-z3简要介绍
CharlesGodX的博客
05-08 1333
介绍 Z3是微软研究院的一个定理验证。它是由麻省理工学院授权的,常用来解一些方程组,在做一些CTF逆向题目的时候很有用,下面就简单介绍一下这个工具。 下载 官网:https://github.com/Z3Prover/z3 这里讲Linux下的安装,在官网下载源码之后进入主目录,执行下面的命令即可,一定要源码安装,挺难安装的一定要耐心,实在不行用docker python scripts/mk_...
Z3在CTF逆向的运用
re1wn
04-07 8595
Z3在CTF逆向的运用
python z3模块
最新发布
Jingged的博客
06-03 206
2.使用Z3创建一个简单的解析 3.使用Z3进行数学函数的优化 4.使用Z3进行定理证明 在这个例子,我们试图找出x和y的值,使得xy > 100,但是这是不可能的,因为如果x和y都大于1,那么xy就会大于100。所以,s.check()会返回unsat,表示没有解决方案。
z3求解脚本(CTF-reverse必备)
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
04-22 923
CTF-reverse有一类题目是通过约束方程求解变量的值,然后转化为对应的ASCII码,最终获得flag,约束方程以及要求解的未知数往往非常多,因此手算十分不现实,借助python的z3模块可以很快完成求解!下面是某道CTF-reverse原题的反汇编代码,可以看到约束方程非常多,要求解的未知数也是多达16个,因此本篇用于记录z3求解脚本方便使用
CTF Re-Python z3库的使用
weixin_52369224的博客
10-23 2806
一 安装: z3是由微软公司开发的一个优秀的SMT求解(也就定理证明),它能够检查逻辑表达式的可满足性。 我是在windows下pyCharm 里面自己添加包 包名为z3-slover(不是z3) 二 使用: 库内函数: 1.创建一个解的声明对象: a = Solver() 2.添加条件: s.add(判断公式) 3.判断是否有解: s.check() 如果有解 则反回sate 反之 返回 unsate 4.返回最后的解: result=s.modul() pr
逆向ctf-z3
10-06 861
一、z3.exe运行效果 二、使用exeinfope查壳工具看是否加壳: 结果显示为无壳,那就简单了。既然是64位,那就用IDA64位进行查看,找到主函数F5反汇编得到: int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rdx@1 __int64 v4; // rdx@1 __int64 v5; // rdx@3 int v7; // [sp+20h] [bp-
CTFWeb各种题目的解题姿势PPT模板
02-21
CTFWeb各种题目的解题姿势PPT模板
2022工业互联网大赛-杭州-CTF题目
09-14
第一次参加工控类的CTF,然后正好团队有一个小伙伴电脑连不上局域网,只能从我电脑下载下来,因此这次正好有完整的题目和附件,然后也基本是misc和crypto题。分享给需要的朋友,如果有人能写出writeup的话,那就...
2023陕西CTF部分题目
06-08
记一道MISC的题目,群里来的,发现cyberchef新用法
网络安全攻防大赛ctf题目
03-09
这类比赛通常分为多个环节,如逆向工程、Web安全、密码学、二进制安全、取证分析等,挑战者需要运用自己的技术知识,解决一系列安全问题,获取“旗标”(Flag),以得分高低决定胜负。 在"2020-7-31国电信「天翼...
z3约束求解使用
iczfy585的博客
09-17 7151
Z3约束求解Z3的使用安装用法实例 Z3的使用 z3作为一种约束求解,在CTF可以用来解一些密码学,二进制逆向等问题。本文简单的介绍了z3的安装,用法,并且通过一个逆向题目来具体实践一下。 安装 pip install z3-solver 用法 1.声明变量 z3有3类型的变量,分别是整型(Int),实型(Real)和向量(BitVec) Int-整数型 from z3 import * a = Int('a')#声明单个整型变量 a,b = Ints('a b')#声明多个整型变量 Re
Android逆向:Native层逆向与Z3Prover的使用
高新园养鸡场
06-06 1272
案例与目标 案例下载 总体:输入flag,屏幕上出现“恭喜你!”则为正确flag。要求得到正确flag 目标1:提示五位数:比如:24680 目标2:在没有提示五位数的情况下解开。 目标1 使用jadx分析【提交】点击事件,发现是把username放入Native层变换后与【57fdeca2cac0509b2e9e5c52a5b573c1608a33ac1ffb9e8210d2e129557e7f1b】作比较。 IDA查看导出函数,没有 Sign() 踪迹,应该是动态注册了,从 registerMeth
BUUCTF - re [GUET-CTF2019]re —z3约束求解题
yzl_007的博客
11-10 1411
BUUCTF - re [GUET-CTF2019]re —z3约束求解题 linux下的可执行文件,直接IDA 打不开,有壳upx 脱壳 然后再ida分析,常规操作找到主函数 然后看到if判断语句,里面的东西应该就是关键 _BOOL8 __fastcall sub_4009AE(char *a1) { if ( 1629056 * *a1 != 166163712 ) return 0LL; if ( 6771600 * a1[1] != 731332800 ) retu
Python_Z3
qq_35289660的博客
08-18 3195
Python_Z3学习 文章目录Python_Z3学习0、简介1、安装2、整型(Int)方程求解3、有理数(Real)型解方程求解4、位向量(BitVec)求解(二进制位运算求解)5、实际ctf的位运算求解 0、简介 利用python的Z3库可以进行约束求解,即解任何方程(只要有解),常用的包括整数求解、有理数求解、位向量求解(二进制位运算求解)。 1、安装 pip install z3_solver 注意不是安装z3,是z3_solver,两个不一样。 2、整型(Int)方程求解 网上贴的代码,我标注
z3 巧解CTF逆向题
weixin_30613343的博客
02-03 815
z3 巧解逆向题 题目下载链接:http://reversing.kr/download.php?n=7 这次实验的题目为Reversing.kr网站的一道题目题目要求: ReversingKr KeygenMe Find the Name when the Serial is 76876-77776 This problem has several answers. Password ...
re学习笔记(37)BUUCTF-re-[GUET-CTF2019]re Z3约束求解
逆向随笔
02-08 3420
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:[GUET-CTF2019]re 题目下载:点击下载 IDA64位载入 大概率被加壳,使用exeinfope查看 upx壳,使用官方upx脱壳 脱壳后IDA64载入,shift+F12查找字符串 找到关键代码 查看sub_4009AE()函数 典型z3约束求解题 (当然你想一个个挨个手动算的话也行……) z3安...
初遇z3并与starCTF碰面
m0_38094687的博客
04-27 711
z3的初次使用与*CTF的web题解 z3的介绍与使用 介绍 Z3 是一个微软出品的开源约束求解,能够解决很多种情况下的给定部分约束条件寻求一组满足条件的解的问题.在CTF的应用主要在CRYPTO上. 安装 pip安装:pip install z3 如果发现安装了用不了,可以使用pip install z3-solver 使用 from z3 import ...
CTF那些脑洞大开的编码和加密
weixin_34344677的博客
07-18 2866
0x00 前言 正文开始之前先闲扯几句吧,玩CTF的小伙伴也许会遇到类似这样的问题:表哥,你知道这是什么加密吗?其实CTF脑洞密码题(非现代加密方式)一般都是各种古典密码的变形,一般出题者会对密文进行一些处理,但是会给留一些线索,所以写此文的目的是想给小伙伴做题时给一些参考,当然常在CTF里出现的编码也可以了解一下。本来是想尽快写出参考的文章,无奈期间被各种事情耽搁导致文章断断续续写了2个月,...
ctfsql注入题目解法
05-05
CTF,SQL注入是一种常见的攻击...以上是一些常见的SQL注入题目解法,但是在实际的CTF比赛,攻击者需要具备较强的技术水平和经验才能成功地解决这些问题。因此,对于CTF选手而言,不断学习和实践是非常重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值