刮开有奖

最新推荐文章于 2024-06-21 11:29:10 发布
最新推荐文章于 2024-06-21 11:29:10 发布
阅读量61 收藏
点赞数
分类专栏: reverse buuctf reverse复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/since_2020/article/details/130240706
版权

刮开有奖

用 ida 打开,shift + F12 查看字符串列表,看到有一个字符串 “U g3t 1T!” ,有点像 “u got it!” 的感觉,可能是需要的信息,点进去,然后选中,Ctrl + x 交叉引用列表,f5 来到源代码

img

自下而上分析:
(1)输出 “U g3t 1T!” 的话,要满足 if 判断,if 判断里面,要求 String[0]、String[1]、String[2]、v4 和 v5 同时满足对应条件
(2)其中 v5 是数组 v18 经过 sub_401000 函数处理后的值,v18 的值又是分别等于 String[3]、String[2]、String[4]
(3)同时 v4 也是数组 v18 经过 sub_401000 函数处理后的值,这时 v18 的值又是分别等于 String[5]、String[7]、String[6]
(4)然后看到是对 v7 的处理,通过函数 sub_4010F0,在往上是对一系列变量的赋值

总体来说,就是通过 GetDlgItemTextA 获取了某个值之后,如果 String 长度为 8 时候,进行 (4)、(3)、(2) 的操作,然后如果通过了 (1) 的判断,最后输出 “U g3t 1T!”

下面先看对 v7 的处理,v7 的值为 ‘ZJ’,调用了 sub_4010F0(v7, 0, 10);,进去发现是这样的代码,如下

img

(_DWORD *)是强制类型转化,将值转换为指向 DWORD 的指针

经常看汇编的会觉得比较熟悉,尝试将其变得更易于理解

int __cdecl sub_4010F0(int a1[], int a2, int a3) // v7, 0, 10
//int __cdecl sub_4010F0(int a1, int a2, int a3)
{
    int result; // eax
    int i; // esi
    int v5; // ecx
    int v6; // edx

    result = a3; // result=10
    for ( i = a2; i <= a3; a2 = i ) // i=0, i<=10
    {
        v5 = i;//v5 = 4 * i;
        v6 = a1[i];//v6 = *(_DWORD *)(4 * i + a1);
        if ( a2 < result && i < result )
        {
            do
            {
                if ( v6 > a1[result] )//if ( v6 > *(_DWORD *)(a1 + 4 * result) )
                {
                    if ( i >= result )
                        break;
                    ++i;
                    a1[v5] = a1[result];// *(_DWORD *)(v5 + a1) = *(_DWORD *)(a1 + 4 * result);
                    if ( i >= result )
                        break;
                    while ( a1[i] <= v6 )// while ( *(_DWORD *)(a1 + 4 * i) <= v6 )
                    {
                        if ( ++i >= result )
                            goto LABEL_13;
                    }
                    if ( i >= result )
                        break;
                    v5 = i;//v5 = 4 * i;
                    a1[result] = a1[i];// *(_DWORD *)(a1 + 4 * result) = *(_DWORD *)(4 * i + a1);
                }
                --result;
            }
            while ( i < result );
        }
LABEL_13:
        a1[result] = v6;//*(_DWORD *)(a1 + 4 * result) = v6;
        sub_4010F0(a1, a2, i - 1);
        result = a3;
        ++i;
    }
    return result;
}

改完之后,可以发现一个问题,函数调用时候传参是 sub_4010F0(v7, 0, 10);,因此 v7 这个地址传入之后,它 v7[result] 寻址很明显超了 v7 的正常数组大小。
这个时候观察原本的 v7 - v16,发现它们的地址是连续的,因此可以判断,其实整个 sub_4010F0(v7, 0, 10) 的调用,是对 v7 - v16 整体进行操作,只不过可能 ida 在反编译时候,没有将这个整体识别成一个数组,我们可以用快捷键 Y 自行修改,这里就懒得改了。

虽然这个 sub_4010F0() 的操作没有看懂,但是影响不大,直接跑一轮看看结果

#include <iostream>
using namespace std;
int __cdecl sub_4010F0(int a1[11], int a2, int a3)
{
    int result; // eax
    int i; // esi
    int v5; // ecx
    int v6; // edx

    result = a3; // result=10
    for (i = a2; i <= a3; a2 = i) // i=0, i<=10
    {
        v5 = i;//v5 = 4 * i;
        v6 = a1[i];//v6 = *(_DWORD *)(4 * i + a1);
        if (a2 < result && i < result)
        {
            do
            {
                if (v6 > a1[result])//if ( v6 > *(_DWORD *)(a1 + 4 * result) )
                {
                    if (i >= result)
                        break;
                    ++i;
                    a1[v5] = a1[result];// *(_DWORD *)(v5 + a1) = *(_DWORD *)(a1 + 4 * result);
                    if (i >= result)
                        break;
                    while (a1[i] <= v6)// while ( *(_DWORD *)(a1 + 4 * i) <= v6 )
                    {
                        if (++i >= result)
                            goto LABEL_13;
                    }
                    if (i >= result)
                        break;
                    v5 = i;//v5 = 4 * i;
                    a1[result] = a1[i];// *(_DWORD *)(a1 + 4 * result) = *(_DWORD *)(4 * i + a1);
                }
                --result;
            } while (i < result);
        }
    LABEL_13:
        a1[result] = v6;//*(_DWORD *)(a1 + 4 * result) = v6;
        sub_4010F0(a1, a2, i - 1);
        result = a3;
        ++i;
    }
    return result;
}
int main()
{
    int v7[11];
    v7[0] = 90;
    v7[1] = 74;
    v7[2] = 83;
    v7[3] = 69;
    v7[4] = 67;
    v7[5] = 97;
    v7[6] = 78;
    v7[7] = 72;
    v7[8] = 51;
    v7[9] = 110;
    v7[10] = 103;
    for (int i = 0; i < 11; i++)
    {
        printf("%c", v7[i]);
    }
    printf("\n");
    sub_4010F0(v7, 0, 10);
    for (int i = 0; i < 11; i++)
    {
        printf("%c", v7[i]);
    }
    printf("\n");
    return 0;
}

结果如下
ZJSECaNH3ng
3CEHJNSZagn

下面看 sub_401000 函数,点进去之后如下

img

乍一看挺复杂的,但是观察一开始的处理,这里参数 v2 是字符的 len 长度,先判断 %3 是否为 0,从这个点上面,可能可以联想到 base64 的 %3 的操作,因为 base64 处理时候就是按照 3 bite 进行分组的。
往后看的话,在 byte_407830 这个数组里面,确实是找到了 ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/这个特征,所以直接猜测 sub_401000 就是一个 base64 的处理操作

所以把 “ak1w”、“V1Ax” 解一下得到 jMp、WP1

现在回来看这个if判断

if ( String[0] == v7[0] + 34
        && String[1] == v10
        && 4 * String[2] - 141 == 3 * v8
        && String[3] / 4 == 2 * (v13 / 9)
        && !strcmp(v4, "ak1w")
        && !strcmp(v5, "V1Ax") )

结合

        v9[0] = String[5];
        v9[2] = String[7];
        v9[1] = String[6];
        v4 = (const char *)sub_401000(v9, strlen(v9));
        memset(v9, 0, 0xFFFFu);
        v9[1] = String[3];
        v9[0] = String[2];
        v9[2] = String[4];

那么每个 String 都可以解出来了

编写解密脚本

#include <iostream>
using namespace std;

int main()
{
    string v7_s = "3CEHJNSZagn";
    int v7[11] = {0};
    for (int i = 0; i < v7_s.length(); i++)
    {
        v7[i] = int(v7_s[i]);
    }

    int String[8];
    String[0] = v7[0] + 34;
    String[1] = v7[4];
    String[2] = (3 * v7[2] + 141) / 4;
    String[3] = 2 * (v7[7] / 9) * 4;
    string v9 = "WP1";
    String[4] = int(v9[2]);
    v9 = "jMp";
    String[5] = int(v9[0]);
    String[6] = int(v9[1]);
    String[7] = int(v9[2]);
    for (int i = 0; i < 8; i++)
    {
        printf("%c", String[i]);

    }
    return 0;
}
white_&_black
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cancas 刮刮有奖 手动刮出
07-29
cancas 刮刮有奖 手动刮出
微信有奖转发代码
11-30
微信有奖转发代码,使用与微信公众平台开发使用
BUUCTF——刮开有奖
fzucaicai的博客
11-11 717
有个GetDlgItemText,我实在没搞懂,明明没有用MFC画出对话框,为什么要来一个GetDlgItemText获取输入框内容,并传给了edit_string。直接找到WinMain,发现里面只有一个对话框API(如果只有一个对话框,那真就没有输入框了),CallBack函数是DialogFunc。这里有几个比较坑的点,sub_4010F0这个函数的第一个参数是地址,但是我们追进去发现IDA对类型判断有误。按照这个解密,v7[0],v10,v8,v16,v4,v5都知道了。进入DialogFunc。
RE | BUUCTF 刮开有奖1
Mintind的博客
04-25 660
(这是主参考,写得很详细(主参考的参考,思路很清晰我是大菜鸡…尽力写自己的理解了,哪里有不对的希望指正。
[buuctf]刮开有奖
逆向萌新的博客
08-11 1523
buuctf 刮开有奖
BUUCTF reverse 刮开有奖
firfis的博客
04-25 1555
一、刮开有奖 所需工具: IDA(反编译工具) exeinfope(查壳工具) CaptfEncoder(编码转换) 题解: 拖入exeinfope 检查是否套壳[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 发现并没有。 查看文件是32位还是64位。方法如下:使用记事本直接打开你的exe文件。只要看第二行即可,第二行开头不远处有PE两个字母,再后面两个空格后第三个字符就是标记了,如果是字母L的话,就是32位应用程序,如果是d?就表示是64位应用程序。 将.exe文
[BUUCTF] 刮开有奖
m0_68259687的博客
06-11 294
大概如下修改,将(a1+数字)视为数组里面的编号,其中注意将偏移中乘4操作去掉(机器语言地址+4),总的来说哪里红了改哪里。想起搜索字符串的时候搜到过base64 的base,猜测第二个处理的函数sub_40100为base64加密。进入对v7进行某种操作的函数sub_4010F0,分析后发现应该是要使用脚本来反推。按照下面这段的逻辑拼接出string即为flag。随手在函数和字符串中搜索flag,没有发现。双击进入DialogFunc这个函数,分析。拖入IDA中,嗯,看函数应该没有加壳。
BUUCTF逆向第14题刮开有奖
Knozya的博客
01-31 721
而我们已知flag长度为8,后六位我们解码已得出,但是不知道顺序,现在需推断出前两位,因为上面破解的长字符串中(也就是sub_4010F0中)的结果可知前两位为'U' 'J',又因为第三位为‘W’接下来我们继续跟进sub_401000,内容多的有点懵了,往下滑发现有个byte_407830可以跟进。又发现sub_4010F0和sub_401000可能对字符串做出了改变,分别跟进,先跟进前者,如下。跟进后不难发现为base64编码形式,也就是说我们需要对其所对应的v4和v5进行解码,结果如下。
【CTF-Reverse】刮开有奖
LeeOrange_45的博客
03-18 268
注意:所有的4*i全改为i,因为他之前是汇编dword,访问下一个元素,地址需要+4,在c语言orc++之中,直接索引+1就可以解决了。在sub_401000函数中,可以看出是Base64编码,所以我们可以将v4带入base64解码里头,可以得到。从a2到a3的循环,清一色去(4*i+a1),a1应当是数组的首地址,a2,a3是数组的边界索引。可以说我是抄他的,事实上是看了一遍他的然后自己做了一遍再写了一下wp巩固!不管咋样吧,前两个参数是模板,第三个是窗口句柄,第四个是指针,第五个是值。
BUUCTF 刮开有奖(特别详细了,尽自己全力理解所写)
太阳照耀我走四方
08-13 5017
title: BUUCTF 刮开有奖 date: 2021年8月13日 15点23分 tags: BUUCTF categories: BUUCTF 自己的心声(痛骂wp抄袭狗) 这道题,其实有点坑,对于目前的我来说,还是有点难度的。 在复盘之前,我想对网上一些直接抄袭别人文章的人说,可真tm不要脸啊。你若跟着别人的wp,把题做出来了,自己跟着软件啥的,实验成功之后,写一篇wp啊,抄袭别人的。主要tm一个字不改,也不说是抄袭的。 本来做题没思路了,做不下去了,想看一篇高质量的wp,跟着大佬学一学,百度一下.
BUUCTF 刮开有奖 1
qq_56313338的博客
10-27 347
这是一个windows程序,主要计算出最后的String值
CTF reserve 刮开有奖
m0_64727698的博客
10-08 237
CTF reverse 刮开有奖
有奖问卷调查
03-26
这是一个有奖问卷调查的ASP源码,有单选,多选,简答,要求输入姓名,******号,联系电话,联系地址。
杂志有奖订阅
08-19
杂志有奖订阅
在线知识答题有奖v1.5.6.zip
10-19
1. 更新微信获取用户昵称头像的官方新接口 2. 新提交微信审核的小程序需要更新
c++中串口的安全封装使用
最新发布
jjjxxxhhh123的博客
06-21 130
对于内置类型,如果不显式初始化,它们的值是未定义的,可能包含任何内容。在你的代码中,buffer是一个字符数组,不需要显式初始化,因为你马上就会用::read函数把数据填充进去。字符串构造:如果::read返回负值,那么std::string(buffer, bytes_read)中的bytes_read将是负值,这会导致未定义行为。你需要确保bytes_read是非负的。在上述代码中,我添加了对read函数返回值的检查,以确保没有发生错误。如果::read返回负值,我们将抛出一个异常,以指示读取失败。
安全】软件系统安全开发指南文件(指南)
xx_123321456的博客
06-21 153
2.2.应用系统软件功能安全设计要求。2.1.应用系统架构安全设计要求。2.5.应用系统数据库安全设计要求。2.3.应用系统存储安全设计要求。2.4.应用系统通讯安全设计要求。2.6.应用系统数据安全设计要求。
企业防盗版,如何保障上网安全
shenxinda_lu的博客
06-20 212
当需要访问互联网时,用户在隔离沙盒内进行操作,确保主机与互联网物理隔离,只有沙盒能够访问互联网,且沙盒与本机隔离。
如何隐藏真实的MAC地址和IP地址,保证多账户的安全
vmlogin888的博客
06-18 474
在计算机网络中,MAC地址(Media Access Control Address)和IP地址(Internet Protocol Address)是两个重要的概念,用于网络设备之间的通信。虽然它们都用于标识设备,但在运作原理和作用上有着明显的区别。
buuctf逆向刮开有奖
08-06
根据提供的引用内容,这段代码是一个用C语言编写的函数,名为sub_4010F0。它的功能是对输入的字符串进行某种处理。具体来说,它使用了一个...因此,如果想要了解buuctf逆向刮开有奖的具体内容,可能需要更多的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值