2021WMCTF的Re1题wp

最新推荐文章于 2022-08-24 23:55:15 发布
最新推荐文章于 2022-08-24 23:55:15 发布
阅读量431 收藏 1
点赞数 2
分类专栏: 逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sln_1550/article/details/119993017
版权

感觉比赛难度太高了,这题做了1天多才做出来,不过不得不感慨年纪大了,智商也下降的厉害。
附件解压是个exe程序,放到IDA里分析咋一看也没啥特别的:
在这里插入图片描述
前面是常规的flag头部和{}的格式判断,然后是字符串处理,后面再看。
在这里插入图片描述
刚开始是用输入的4个字符生成字符串,然后对4个字符串进行类似CRC32的校验码
在这里插入图片描述
这里我分别对4个校验值命名为a,b,c,d,然后发现有个4个等式需要为真,也就是说可以通过方程求出a,b,c,d

from z3 import *

s=Solver()
a=BitVec('a',32)
b=BitVec('b',32)
c=BitVec('c',32)
d=BitVec('d',32)

s.add((b + a)&0xffffffff == 296450682)
s.add((b - c)&0xffffffff == 483717666)
s.add((d + c)&0xffffffff == 0xC940F021)
s.add((c + a - d)&0xffffffff == 2088593617)
if s.check() == sat:
    print(s.model())

然后计算出
c = 1357369498
a = 2750330814
d = 2019106695
b = 1841087164
再看下后面的一个函数:sub_7FF7319F3840

在这里插入图片描述
这里明显是个XTEA算法,修改了delta而已
还需要注意的是,主函数的419-422行使用之前赋值的0xdead对c和d进行了修改,导致key发生变化,然后利用最终的结果我们解密,发现解密后居然是乱码!
然后经过一段时间验证,回顾了下,判断操作应该是没有问题,那就应该是key还是不对,因此对可能修改的地方进行了爆破,发现0xdead应该是0xb7ad,解密后的文本是:

_D0_yOu_L1kE_It!

嗯,感觉看起来接近了,但其实还早~(我得反思下,后面的十几个小时是咋耗费掉的)
这样我们就有了flag{}中的16个字符了,再看下前面4个,用来生成字符串做CRC的。
采用如下的脚本爆破下,就可以得到能够生成a,b,c,d分别的字符

for i in range(0x20,0x7f):
    buf=[]
    for j in range(256):
        buf.append((i+j)&0xff)
    if crc(0x0FFFFFFFE,buf,256)==a:
        print(chr(i))
        break
else:
    print('failed')

这样得到最前面的4个字符,和之前解密的字符串拼起来就是:

Hah4_D0_yOu_L1kE_It!

然后再看最关键的修改密钥部分,看0xb7ad的位置在Block偏移0x222的位置,就需要把0x223的0xde改成0xb7才可以成功。
但是如何能修改这部分Block校验块的内存数据呢,答案就在前面代码的第二步循环处理,这里程序会持续读入一个字符和4个HEX数字,然后调用对应的函数进行修改内存的操作。
这里我把整个这段解析处理的逻辑画成表格展示出来:
在这里插入图片描述
需要注意的是,同一组的操作只能做一次,而且flag长度限制总共只能做3次。
可以看到,如果需要修改0x223的字节,看起来有3个方案:
1、前导字符“+”,但是需要修改0x204,但由于flag长度限制,只能修改3次内存,所以还需要改回原值,再加上同组操作只能做一次,不可能。
2、前导字符”$“,但需要修改0x21b,原理同上,也不可能
3、前导字符“-”,但是修改的范围只能是16个字节以内,也就是从0x210-0x21f,也没用
到这里就陷入困境了,其实上面的每一步都花了很久,反复思考有没有漏过什么细节,后来灵机一动,发现第三个方案里0x210也可以被修改,如果改成0x20,就可以修改0x210-0x22f的内容
然后再看,如何修改0x210的值:
搜索满足条件的操作,只有“+”,“#”两个方案,但“+”由于和“-”同组,所以只能是“#”。
这里如果需要用“#”操作,还需要满足一个前提:*0x100==0xfe
这里看似没有解决办法,因为所有的操作都覆盖不到这个范围,但是通过仔细检查汇编代码,发现“@”操作这里a2实际是可以为负值的,比如输入0xff就表示-1
这样得到flag:

WMCTF{Hah4_D0_yOu_L1kE_It!@FFFE#0F20-11B7}

那么这样的flag是不是唯一的呢,因为flag长度限制是45个字符,而上面的长度才42。
如果你在后面}前加上任意字符,程序就会有一个特殊处理,根据你的输入修改了内存里的数据,导致前面CRC的结果出错。
其实我在找到正确的flag前,还找到了一个非预期的解法,也发现这题是多解的。这个非预期的解法是由于0x21b这里可以被输入控制,比如正确flag里的这个L1kE中的1这个字节直接改成0xce,这样就可以直接进行“$”操作,然后用“-”操作改回0x31即可,这样仅用两个操作就修改了key,后面还有很多字符可以随意组合,造成多解,验证看下图。
在这里插入图片描述
总结一下,对我来说题目难度很高,感觉年纪大了,只能靠多刷题来提升技能。

sln_1550
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WMCTF_2020官方WriteUp 高清PDF版
10-15
WMCTF_2020官方WriteUp.pdf WMCTF_2020官方WriteUp 高清PDF版
WMCTF2021 WP misc
mumuzi的博客
08-31 1778
唉因为太菜本来不想写的(其实是因为都只能做一半导致太水了不好写) 复现了一下取证还是写一下吧 Checkin ctrl+c ctrl+v enter 你画我猜 画!都可以画! WMCTF{x1aoma0_wants_a_girlfriend} 我画你猜 猜!都可以猜! WMCTF{L1near_has_double_girlfriends} LOGO LOGO!都可以LOGO! 首先nc上去,看到WM标志 为了要把图给画下来,当然是重定向啦 nc 118.190.157.196 100
WMCTF 2021 pwn dy_maze writeup
Zheng__Huang的博客
08-31 1258
  经过三天的奋战(摸鱼划水√),WMCTF 2021 终于结束,我们的萌新体验队在大家的共同努力下也拿到了前30的成绩,实在出乎我的预料。不过,对于我们的首次比赛而言,成绩是最次要的方面,队友们在比赛中表现出的认真和专注、对CTF的兴趣和热爱才是最最珍贵的东西,只有兴趣,才能推动我们不断训练进取,在水平上拥有长足的进步。   这次比赛中,除了少量签到、娱乐外,pwn方向上我只做出了一道dy_maze,原因还是技术不够,堆溢出没有学。这道也与一般的栈溢出不同,在前面加上了自动化分析的内容,确实长了见识.
WMCTF 2021 pwn Azly复现
qq_39948058的博客
09-01 617
WMCTF 2021 pwn Azly复现 前言:这次比赛好难,就复现两道pwn吧,剩下的是真不会,因为之前都没遇到过,只能以后慢慢的学,比赛中还有区块链的,关于区块链的复现下次提交,这次先复现两道关于pwn的吧,除了musl pwn第一还算常规 red_high_heels 漏洞分析: 本开启了花指令,所以先去除花指令,重组逻辑,就可以很快的发现漏洞,当时比赛的时候不会去除花指令,只是瞎翻翻,结果发现看到一个多线程,就感觉这道是考察条件竞争的,但是这出的有个缺陷就是,在主
WMCTF-RE--WMware
菜鸡的博客
08-04 561
bochs的逆向,蛮有趣,终于会了bochs的调试 去网上下一个bochs就可以在windows下运行 文件里面的那个txt其实就算是bochsrc文件,可以丢到ida里面使用bochs调试 调试之前要设置好ida的dbg_bochs.cfg里面bochsdbg的路径 然后就是使用ida在本地进行调试,简单调试可知我们的输入长度为36 注意一点,bochs读取的输入大概是类似于驱动里面的键盘扫描码对应的值,具体了解不多,盲猜可能是linux下的键盘扫描码2333 首先会安装6*6的矩阵形式将输入打乱,然后将
ctf逆向解——re1-附件资源
03-05
ctf逆向解——re1-附件资源
SSD5课程 RE1代码
03-22
在本主"SSD5课程 RE1代码"中,我们关注的是与SSD相关的一个编程任务——RE1。RE1可能是“恢复”或“重工程”的缩写,暗示我们需要处理的是与数据恢复或系统恢复相关的编程工作。以下是可能涉及到的知识点和相关...
WP.zip
最新发布
05-29
5. **RE1-WP.docx**:逆向工程(Reverse Engineering)是软件安全研究的关键技能。此文档可能阐述了逆向工程的基本概念,包括反汇编、调试工具的使用、二进制分析等。 6. **MISC1WP.docx**:与前面的"Misc-2-wp...
re1Students should have mastered the following
04-30
re1 Prerequisites: Students should have mastered the following prerequisite skills. re1
.NET Re1flect0r 9.0.1.374 注册机
07-27
可以查看.net程序的源码,包括dll和EXE,作为自己变成参考
2021-河南省金盾杯-部分wp(详细)
02-06
WEB:上传你的头像吧、上传你的压缩包吧、管理员才能拿flag Crypto:Hi There、低音吉他谱、未完成的宣传图 Misc:潦草的笔记、这可是关键信息、hello-world Reverse:Re1、Re2、Re4
【愚公系列】2021年12月 攻防世界-简单-REVERSE-004(re1)
热门推荐
时光隧道
12-26 3万+
文章目录一、re1二、使用步骤1.运行exe2.IDA总结 一、re1 目链接:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 二、使用步骤 1.运行exe 2.IDA F5反编译找到main主体函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax
DVCTF 2021 部分writeup
YuSec
03-16 858
Start 0x01 Crypto-Bootless RSA {"N": 148818474926605063920889194160313225216327492347368329952620222220173505969004341728021623813340175402441807560635794342531823708335067243413446678485411066531733814714571491348985375389581214154895499404668547123130986
BUUCTF(re1~re6)
cainiao78777的博客
02-28 557
re1:easyre 1.下载附件并查壳 64位exe 2.ida64打开并查看字符
ctf逆向解——re1
FunkyPants的博客
07-22 9521
ctf逆向解——re1 re1 1.目概述 2.目知识点 2.1 脱壳 2.2 反汇编 2.3 位运算 3.做环境 4.解思路 脱壳 4.1 初步观察 4.1.1 part1 4.1.2 part2 4.1.3 part3 4.2 具体分析 4.2.1 part1 4.2.2 part2 4.2.2 part3 4.3 flag 5.总结收获 1.目概述...
WMCTF2022 WEB
qq_53263789的博客
08-24 1545
WMCTF2022-WEB
[WMCTF2020]easy_re
m0_46296905的博客
04-22 799
目:[WMCTF2020]easy_re 64位无壳程序。 先在ida64里打开,发现找不到“please input the flag:”字符串,别的提示字符串也找不到, 再看文件名perl,选择网上搜索这个名词,但只了解到perl是个脚本语言, 推测是在程序运行过程中这些字符串才会显现出来,我目前所见过的能实现这样操作的也就SMC,但这应该不是,可能是新的反静态分析的技术。 本能想到用X64dbg动态调试。 一键F9看它跑到哪里。 它停在了entrypoint处,看不出什么。为了找到那个字符串但
wmctf2020-记录-writeup
08-03 4171
easy_re 目描述:The flag is hidden in the perl code, can you find it? 使用ida打开发现是个64位的程序,看目应该是perl脚本转成的exe程序,网上搜了下perl反编译得工具没有找到。 执行了一下如图: 使用ida查看字符串也没有找到 这俩字符串,点了动态调试,(以前没用过ida的动态调试, olldbg没法调试64位程序) 考虑应该会将perl代码加载到内存中,随便点了一些 提取内存快照后 搜索字符串找到了...
2020WMCTF cfgo_CheckIn
starssgo的博客
08-03 983
周六周日刚打了打,战队里一共出了两道。分别是cfgo_CheckIn跟mengyedekending。我的话是一直在做cfgo_CheckIn,mengyedekending由战队里的whalien51冲出来的。我暂时没有复现。就先写下这个cfgo_CheckIn的wp 详细解释的话放到我的博客站上 不太明白的湿傅们可以去我的博客上看下具体实现 思路 编写破解迷宫算法,然后栈溢出就行了。 # -*- coding: utf-8 -* from pwn import * from LibcSearcher

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值