buuctf Dig the way 题解

已于 2023-12-12 11:30:37 修改
阅读量409 收藏 7
点赞数 11
分类专栏: ctf逆向wp 文章标签: 算法 密码学 c++ c语言 笔记 学习
于 2023-12-12 11:29:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sirrior/article/details/134944098
版权

一道很有意思的题,写wp记录一下。

题目自带ida文件,打开。

主函数逻辑

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  int v4; // ebx
  size_t v5; // eax
  int v6; // ebx
  char Str[20]; // [esp+1Ch] [ebp-48h] BYREF
  _DWORD v8[3]; // [esp+30h] [ebp-34h] BYREF
  size_t v9; // [esp+3Ch] [ebp-28h]
  int v10; // [esp+40h] [ebp-24h]
  int v11; // [esp+44h] [ebp-20h]
  _DWORD v12[3]; // [esp+48h] [ebp-1Ch]
  int v13; // [esp+54h] [ebp-10h]
  size_t len; // [esp+58h] [ebp-Ch]
  FILE *v15; // [esp+5Ch] [ebp-8h]

  __main();
  v12[0] = func0;                               // exchange
  v12[1] = func1;                               // |x+y|-|x|-|y|+2
  v12[2] = func2;                               // |x|+|y|+2-|x+y|
  v8[0] = 0;
  v8[1] = 1;
  v8[2] = 2;
  v9 = 3;
  v10 = 3;
  v11 = 4;
  v15 = fopen("data", "rb");
  if ( !v15 )
    return -1;
  fseek(v15, 0, 2);
  len = ftell(v15);
  fseek(v15, 0, 0);
  v13 = ftell(v15);
  if ( v13 )
  {
    puts("something wrong");
    result = 0;
  }
  else
  {
    for ( i = 0; i < len; ++i )
    {
      v4 = i;
      Str[v4] = fgetc(v15);
    }
    v5 = strlen(Str);
    if ( v5 <= len )
    {
      len = v9;
      i = 0;
      v13 = v11;
      while ( i <= 2 )
      {
        v6 = i + 1;
        v8[v6] = (v12[i])(v8, v10, v11);
        v10 = ++i;
        v11 = i + 1;
      }
      if ( v9 )
      {
        result = -1;
      }
      else
      {
        get_key(len, v13);
        system("PAUSE");
        result = 0;
      }
    }
    else
    {
      result = -1;
    }
  }
  return result;
}

get key函数打印flag。一开始简单看了下逻辑,发现参数就是3,4,遂写了个脚本跑了一遍,结果是flag: 20c2030ccc203002;直接wa。。。。。

说明里面有玄机,再次认真看看函数。

这里,在前面的赋值中v9=3,如果没有差错getkey函数不会被执行。

可能猫腻出在上面的加密里,看一看循环的逻辑。

三个函数都不复杂。v10,v11为下标。观察函数,发现在第三次循环时,赋值的对象是v8[3],超出了v8的范围,观察数据,发现v8[3]正好为v9。所以第三次循环的结果为v9时可以得到正确的执行路线。

再看前面的函数。函数打开了一个data文件,从里面读入字符填充str(长度20)这里v14相当于文件大小,v5为字符串长度,构造字节数量大于20的文件就可以满足执行

看完了逻辑来捋一遍思路。我们需要构造一个data,满足长度大于20,同时使第三次循环时函数返回值为0就可以解出flag。

按照正常逻辑,第三次循环的函数返回值是|x|+|y|+2-|x+y|,这个式子恒大于0。。

让我们奇思妙想。观察数据栈

(这是我命名后的样子)

既然第三个函数恒大于0;我们能不能通过第二个函数|x+y|-|x|-|y|+2来得到0呢,巧妙的是,我们可以通过第一个函数交换两个函数指针所指向的函数(在栈上可以看出,函数2,3分别对应v8[7],v8[8])从而实现构造0。而v8数组又可以通过data来控制。

现在我们可以开始构造data文件了。使用010editor

注意小端序存储。

前20个数据存入str,然后是v8数组(四个字节)。现在开始构造函数输入的数据。|x|+|y|+2-|x+y|这个式子当x,y大于零时,恒等于2。所以在|x+y|-|x|-|y|+2中,构造x=-1,y=2即可得到0

因此数组的前三个我们可以不管。第四个也就是v8[3],我们令它为0xffffffff(-1)

再往下是第一次函数交换时v8的下标,改为7和8。

保存后运行题目文件,得到flag。

flag{8cda1bdb68a72a392a3968a71bdb8cda}

L4ncer_0rz
关注
专栏目录
ISCC 2019 逆向 dig dig dig (挖挖挖!你能看清这层层加密的难关,找寻到最终的真相吗?)
qq_42777804的博客
05-09 2032
依旧是先下载吧 然后用 IDA 打开 其实,每次打开这种东西我都是一脸懵b的 然后 shift + F12 打开字符串窗口 其实是上面那个@1DE!440S9W9,2T%Y07=%<W!Z.3!:1T%S2S-),7-$/3T 但是我觉得 flag_string_is_here 很可疑呀 正好是这一段呢 查看伪代码 发现 对这个...
DIG-BIND9.17.15.x64-for Windows
05-11
dig 是一个 Linux 下用来 DNS 查询信息的工具,全称是Domain Information Groper,与 nslookup 类似,但比 nslookup 功能更强大。Windows 下只有 nslookup,如果也想用到 dig 命令,就只能自己动手安装了。此为适用...
ctf-DNS信息收集
panwanpeng的专栏
05-29 392
该工具的主要重点是分析通过互联网访问的数据之间的真实世界关系,其中包括足迹互联网基础设施和收集有关拥有该网络的人员和组织的数据。通过使用OSINT(开源情报)技术,通过查询whois记录,社交网络,DNS记录,不同的在线API,提取元数据和搜索引擎来搜索这些数据之间的连接。该工具将提供广泛的图形布局结果,允许对数据进行聚类,使关系准确和即时。(4)指定地区端口: city:beijing port:80。(3) 端口查询: port:80 3389。3、使用dig命令 传参 any。
CTF逆向-Dig the way Interesting Pointer-通过栈溢出方式覆盖变量以达到修改执行流程的目的
serfend's blog
04-28 1569
CTF逆向-Dig the way Interesting Pointer-通过栈溢出方式覆盖变量以达到修改执行流程的目的 来源:https://buuoj.cn/ 内容:dig the way(to get the key)! 附件:链接:https://pan.baidu.com/s/1ohai-S1epbYp2O-hzH8CRQ?pwd=rhz5 提取码:rhz5 答案:8cda1bdb68a72a392a3968a71bdb8cda 总体思路 发现流程正常执行的话无法获得flag 尝试通过栈溢出的
BUUCTF Dig the way
寻梦&之璐
04-07 2529
文章目录题目类型查壳拖进ida整体逻辑文件读取函数fseek函数ftell函数fread函数(补充)分析三个funcfunc0func1func2解决方法分析 题目类型 这道题是一道栈溢出的题目,有点意思。 查壳 无壳 拖进ida int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax@2 int v4; // ebx@6 size_t v5; // eax@8 int v6
CTF命令执行
qq_45086218的博客
03-02 3128
文章目录通配符*号?号常用命令其他姿势 本文以ctf.show网站题目为例,总结ctf中的命令执行姿势 通配符 if(!preg_match("/flag/i", $c)){ eval($c); } *号 c=system('cat *.php'); c=system('cat f*'); ?号 c=system('cat fla?????'); c=system('cat f?????hp'); 常用命令 system() passthru() exec() shell_e
BUUCTF-Dig the way
Power Security的博客
07-10 238
这里写目录标题算法分析解题思路 算法分析 查看整个程序流, v14 = func0; //交换两个变量的值 v15 = func1; //结果可为正可为负,当第三个参数的指向的值为 //0xffffffff时,返回结果为0 v16 = func2; //恒为正数 v8 = 0; v9 = 1; v10 = 2; v11 = 3; v12 = 3; v13 = 4; v19 = fopen("data", "rb"); if ( !v19 )
BUUCTF reverse题解汇总
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-31 7984
BUUCTF平台刷题过程中做的一些逆向题解的总结归类
dig(1) command
Dablelv 的博客专栏。
11-02 6617
dig(domain information groper)是域名查询工具。dig 是一个灵活的 DNS 查询工具,它会打印出 DNS 域名服务器的回应,主要用来从 DNS 域名服务器查询主机地址信息。dig 命令与 nslookup 命令功能基本相同,但是 dig 命令灵活性好、易用、输出清晰。
win10下的dig
03-16
在Windows 10操作系统中,通常我们不会直接使用与Linux相似的`dig`命令来查询DNS(Domain Name System)记录。然而,为了满足在Windows环境中类似的需求,有一些工具和方法可以实现这一功能。标题提到的资源就是为了...
Windows平台Dig-Bind-9.16.16
12-13
**Windows平台上的DNS查询工具——Dig-Bind-9.16.16** 在Windows操作系统中,`dig`(Domain Information Groper)是一个强大的DNS(域名系统)查询工具,它通常用于网络诊断和分析。这个工具最初是为Unix-like系统...
Windows下dig命令
07-06
标题中的“Windows下dig命令”指的是在Windows操作系统环境中使用dig工具进行域名查询。dig是Domain Information Groper(域名信息检索器)的缩写,它是一个用于网络诊断的命令行工具,主要用于查询DNS(域名系统)...
GPIO_DIG.rar_GPIO_DIG_dig
09-24
标题中的"GPIO_DIG.rar_GPIO_DIG_dig"暗示了这是一个关于GPIO(通用输入/输出)的项目,特别是与数字信号处理相关的。"dig"可能代表“digital”,表明此项目专注于数字电路和接口技术。 描述中提到,“利用LPC22EB6...
力扣 困难 154.寻找旋转排序数组中的最小值 II
qq_51352130的博客
09-23 419
153.寻找旋转排序数组中的最小值在此基础上,进行二分之前,单独处理一下左指针和最后一个数相同的情况就好了。left++;} else {
使用Python实现图形学的纹理映射算法
最新发布
qq_42568323的博客
09-27 1063
纹理映射的基本概念是将二维图像(纹理)应用于三维模型的表面,以便在渲染时提供更多的细节和视觉效果。纹理坐标生成:为每个顶点生成对应的纹理坐标,通常使用归一化的二维坐标系统。纹理采样:根据生成的纹理坐标从纹理图像中获取颜色值。光照计算:结合光照模型,计算最终颜色,产生更真实的效果。图像合成:将计算得到的颜色与其他渲染信息合成,生成最终图像。纹理映射不仅可以用于简单的颜色填充,还可以模拟表面细节、光照变化等,提升渲染效果。
atcoder abc372 启发式合并, dp
2201_75845839的博客
09-22 539
现在考虑如何存数据。可以用并查集合并两个集合,并且在合并的时候一定要将小的集合合并到大的集合中去,因为小集合合并到大集合中,最后的集合一定大于小集合元素数量的两倍,因此合并的时间复杂度不会超过logn。思路:判断当前变化的位置对结果是否会产生影响,在询问前先计算有多少ABC, 每次变换位置x前后扫描一下[x - 2, x + 2]范围内是否有ABC,变换前有让cnt --, 变换后有让cnt ++思路:三进制转换,可以参考二进制,先把当前可以加入的最大的3的幂次加入,这样一定可以凑出答案。
python 实现harmonic series调和级数算法
luthane的博客
09-24 939
Hn∑k1n1kHn​k1∑n​k1​其中,𝑛n 是正整数。这个级数是由调和数列(Harmonic sequence)的各元素相加所得的和。调和级数的名字源于泛音及泛音列,即一条振动的弦的泛音的波长依次是基本波长的12131421​31​41​等。调和级数的性质发散性:调和级数是一个发散的无穷级数,也就是说,它的部分和随着项数的增加而无限增长。
算法笔记】二分查找 红蓝染色法
weixin_51325964的博客
09-23 874
一个菜鸟的算法笔记
文档矫正算法:DocTr++
Guo_Python的博客
09-23 429
论文提出了一种新的数据处理方式,解决了以前文档矫正只能处理带有边界信息的完整文档,文章通过数据处理定义了三种类型的训练数据。(a)包含完整文档边界,(b)包含部分文档边界,(c)不包含文档边界。算法框架如下:对于任意弯曲的文档,作者首先通过CNN抽取特征,然后通过transformer结构进行编码和解码,最后用Flow Head预测偏移场,用偏移场矫正弯曲图片。
DNS查询利器:dig命令深度解析
"这篇内容是关于DNS中的dig命令的详细解释,主要介绍了dig命令的多种用法,包括基本查询、查看zone数据传输、反向解析、查找授权DNS服务器、追踪域名解析过程、查看Froot DNS服务器以及获取BIND版本号等功能。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值