【SCTF2020】get_up WriteUp

最新推荐文章于 2023-06-27 10:02:46 发布
最新推荐文章于 2023-06-27 10:02:46 发布
阅读量572 收藏
点赞数 1
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tqydyqt/article/details/107152475
版权

一道SCTF的逆向题,做了很久很久才做起,唉…

IDA打开,用shift+f12查找出现的字符串,再通过x交叉引用定位到主函数

根据伪代码,大概是判断我们输入的一个长度小于等于6的字符串,跟进判断函数看一看

看到32位的a-f+0-9的字符串,盲猜哈希,又因为输入的长度小于等于6,肯定能爆破出来,于是丢到cmd5网站上,解出来“sycsyc”

成功绕过第一个判断以后,下面的代码大致意思是查找.reioc段并且改为可写,然后用刚刚输入的字符串进行异或,这里用IDCPython脚本处理一下

可以看到处理完后.reioc段变成了这个样子(先u将数据转为未定义,再p转为函数)

第一个call是printf让你输入flag,第二个call比较关键。先读取输入的字符,要求长度为30,然后找到.ebata段并对其进行动态patch

具体的patch方法是,取输入的前5个字符,进行异或

再写脚本处理一下。前5个字符到底是什么呢?盲猜是4个字母+1个大括号,因此有“flag{”、“sctf{”、“SCTF{”、“FLAG{”四种可能的开头方式(以我心目中的可能性降序排序),因此全部试一遍 比赛官网上面写了flag格式


老样子,将被动态patch的数据转为函数,即可在f5里看到sub_*开头的函数啦



这里只要合理的用y来修改一下变量类型,就能更好的看清楚算法流程啦~
我们用c++写一下爆破脚本:

#include <iostream>

using namespace std;

int sub_401A70(int *a1, char *Str) {
	int v5[30];
	int v6 = 0;
	int v10 = 0;
	int v11 = 0;
	int v12[30] = { 128,85,126,45,209,9,37,171,60,86,149,196,54,19,237,114,36,147,178,200,69,236,22,107,103,29,249,163,150,217 };
	for (int i = 0; i < strlen(Str); ++i)
		v5[i] = Str[i];
	for (int j = 0; j < strlen(Str); ++j) {
		v11 = (v11 + 1) % 256;
		v10 = (a1[v11] + v10) % 256;
		a1[v11] = a1[v10] & ~a1[v11] | a1[v11] & ~a1[v10];
		a1[v10] = a1[v10] & ~a1[v11] | a1[v11] & ~a1[v10];
		a1[v11] = a1[v10] & ~a1[v11] | a1[v11] & ~a1[v10];
		v6 = (a1[v10] + a1[v11]) % 256;
		v5[j] ^= a1[v6];
	}
	for (int k = 0; k < 30; ++k)
		if (v5[k] != v12[k]) {
			return k + 1;
		}
	return 0;
}

int sub_404000(char *Str) {
	int v3[300];
	int v5 = 0;
	int v9[300];
	char Dst[40];
	char v11[9] = "syclover";
	memset(Dst, 0, 0x28u);
	for (int i = 0; i < strlen(Str); ++i)
		Dst[i] = Str[i];
	for (int j = 0; j < 256; ++j) {
		v9[j] = j;
		v3[j] = v11[j % 8];
	}
	for (int k = 0; k < 256; ++k) {
		v5 = (v3[k] + v9[k] + v5) % 256;
		int tmp = v9[k];
		v9[k] = v9[v5];
		v9[v5] = tmp;
	}
	return sub_401A70(v9, Dst);
}

int main()
{
	char flag[] = "SCTF{111111111111111111111111}";
	for (int i = 5; i < 29; i++)
		flag[i] = 1;
	for (int i = 5; sub_404000(flag);)
		if (sub_404000(flag) == i + 1)
			flag[i]++;
		else
			i++;
	cout << flag;
}

成功爆破出flag!

SCTF{zzz~(|3[___]_rc4_5o_e4sy}

古月浪子
关注
sctf_2019_easy_heap
fayinq的博客
04-20 283
sctf_2019_easy_heap 保护全开,所以又只能修改__malloc_hook,或者说__free_hook了。 函数分析: main函数 add函数 Free函数 Edit函数 下面的函数中有一个off-by-one的漏洞,所以我们可以很自然的想到overlap 思路 首先,程序在运行的时候泄露了一段Mmap的地址,至于给了一个地址,那一定是有用的东西,这里可以思考,是不是可以直接往里面写一段shellcode,然后把__free_hook或者说__malloc_hook改成前面的
SCTF2020】signin WriteUp
古月浪子的博客
07-06 1039
一道SCTF的逆向题,做了很久很久才做起,唉…  下载附件,打开发现是一个GUI程序  IDA打开,根据经验分析出这是一个pyqt程序,于是用解包脚本处理这个exe 脚本Github:pyinstxtractor 执行脚本后得到了一个解包后的文件夹 在这里我们重点关注main和struct文件 用WinHex打开,发现main其实是一个没有pyc文件头的pyc文件,而struct中有文件头 于是我们把struct的前16个字节添加到main的最前面,并改名为main.pyc,得到如下文
SCTF2020 官方Write-up.pdf
07-08
SCTF的官方wp!SCTF的官方wp!如有侵权请私信撤回谢谢。
SCTF2020 Reverse----get_up
一位非著名不专业的Re选手
02-04 639
题目下载地址: 链接:https://pan.baidu.com/s/1ZMLB0lk1uh0PoD_vZiYCiw提取码:o9k8 拿到题目先看下main函数 调用了两个函数,第二个函数没有被IDA正常识别,可能存在SMC 先看下sub_402700的伪代码 要求输入一个长度不超过6的字符串,还要满足sub_401DF0的校验 取到.reioc段的地址,然后进行SMC解密,解密函数为sub_402610,解密操作是异或,不过不需要关心,动态调试下就好 这里待解决的是sub_401DF0函数,进入看下.
2020 SCTF 部分WriteUp
Hk_Mayfly的博客
07-06 1507
signin 准备 signin.exe:https://wwa.lanzous.com/inIQdec11zi 程序分析 可以判断出,这个程序实际上是由Python打包成的可执行文件,且在运行这个程序时,在同目录下产生了一个tmp.dll文件,猜测是程序调用某些函数的接口。 反编译 使用archive_viewer.py反编译为字节码文件 python archive_v...
SCTF-WriteUp
weixin_34345560的博客
03-08 816
EvilMoon · 2014/12/09 12:26PT100看到题面提示说 flag 在后台输入 /admin/ 看到一个 HTTP Basic Authentication既然是CTF肯定不可能是跑密码了,所以考虑其他情况。观察可知主页跑的是 PHP 。但是看 HTTP 头却是 IIS 。所以考虑是不是 短文件名之类的。搜索可得http://www.freebuf.com/articles/...
SCTF2020:SCTF2020
04-01
SCTF2020 SCTF2020
SCTF 2020 部分WEB writeup
qq_21912769的博客
07-07 710
Web CloudDisk Score: 250 flag: SCTF{47cf9489d8832e44312dssxag6f88f45736e0e9c8} https://github.com/dlau/koa-body/issues/75 http://120.79.1.217:7777/uploadfile { "files": { "file": { "name": "jankincai", "path": "./flag" } } } Upload success
2020sctf-orz
qq_37439229的博客
10-07 210
马的,我的密码学是真的弱阿,就这个题我都要看一天,是真的服了,不过是真的学到好多, 主要说一下程序流程, 首先输入32个数字,然后用其中的三个数字,作为种子,使用线性同余发生器生成伪随机数 在此说一下线性同余发生器,因为我是真的不知道 就是这玩意,(记住这个是四个字节)然后与flag xor ,生成64个方程,每个都是4个字节, 然后传进4个方程,des加密,前面两个(8个字节)合并组成密钥,后面两个是明文(8个字节),后面再放回原处,进行比较, 其中des加密 还是分奇偶的,要当心溢出, //2 |
2020SCTF——PWN snake
baidu_36110484的博客
07-15 383
0x00 背景 今年SCTF上的一道PWN题,难度还行,关键是要大概读懂程序,找到可利用的漏洞。由于比赛环境使用的是libc2.23,我为了复现也搞了一个ubuntu16.04的虚拟机(也是libc2.23)。这样搞fastbin利用比较方便。最后在libc的小版本上还是有一点出入,不过,问题不大。 0x01 源码分析 while ( 1 ) { v10 = 0; v13 = 60; v14 = 4; v11 = 0; v12 = 1; dword_603
get-up
03-27
起床
2020SCTF PWN部分wp
starssgo的博客
07-06 1020
人在楼顶,感觉良好。 目前的自己还是只能做一些常规的Liunx下的PWN题,对其他的我就是个废物了。 这里写目录CoolCodesnake总结 CoolCode 这个题主要是shellcode非常的难构造。 比赛的时候whali3n51大师傅做出来的,我只是复现了他的payload。 本题目沙盒只剩下了0,1,5,9四个函数调用。 当我们想构造ORW的时候,没有open函数怎么办。 这个时候我们知道5在32位下是open。 那么我们考虑用retfq修改cs寄存器从而修改运行模式。 具体参考:https:/
技巧篇:SCTF2020 coolcode 测信道攻击pwn题
qq_39948058的博客
08-27 836
**前言:第二次遇到侧信道攻击pwn题,禁用了open,同样需要切换32位使用open,随后利用retfq切换回来,进行rw。就可以了,这个不需要爆破,free为read,读取道bss段,rw即可,另一篇侧信道是强网杯的一道强网先锋:http://www.maxbos44k.top/index.php/archives/102/http://www.maxbos44k.top/index.php/archives/103/。** 转载ChaMd5 exp: from pwn import * cont
SCTF2020
doudoudedi
07-06 1557
Snake 在输入的地方有一次off by one的机会通过构造堆块重叠然后做2次double free改写got拿到shell exp: from pwn import * p=remote('39.107.244.116',9999) #p=process('./snake') elf=ELF('./snake') libc=elf.libc def add(idx,size,data): p.sendlineafter('name','1') p.sendlineafter('?',str(id
SCTF2023复现(部分web复现)
最新发布
leekos的博客,分享web安全相关知识~
06-27 1144
以下命令可以找到正在系统上运行的所有SUID可执行文件。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Xu7woghW-1687831317765)(null)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pe8DGg3N-1687831317538)(null)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sAXA9jrN-1687831319189)(null)]
sctf
zhang14916的博客
06-26 1681
1.warmup 阅读源码,我们发现整个加密流程如下—对明文长度使用pad()填充至长度为16的倍数,然后将msg分成长度为16 的n段,将n段明文做异或得到一段长度为16的明文,然后使用aes_cbc模式加密得到密文。在题目中已经给出了明文'see you at three o\'clock tomorrow'和它的密文,题目要求我们输入“please send me your flag”使用...
[SCTF2019]Flag Shop ruby REB
scrawman的博客
12-04 595
[GXYCTF2019]StrongestMind 计算算式1000次给flag,写一个脚本就行。重点考察正则的使用: from time import sleep import requests import re url = "http://944c02ef-5777-4072-84fa-3fabe8c45ae9.node4.buuoj.cn:81/index.php" s = requests.session() r = re.compile(r"[0-9]+ [+|-] [0-9]+") r
2020 Zh3r0 部分WP
Hk_Mayfly的博客
06-19 364
测试文件:https://wwa.lanzous.com/iEIHddtrkwb crypto RSA-Warmup 就是一个简单的RSA解密 import gmpy2 import rsa from Crypto.Util.number import long_to_bytes e = 65537 n = 41049891753792030326026671910957...
SCTF | 三足鼎立焦点对抗,天枢战队有惊无险斩获冠军头衔
Cyberpeace的博客
12-29 2604
​​2021年12月27日9:00,第七届XCTF国际网络攻防联赛分站赛SCTF 2021顺利落幕。本场赛事由XCTF国际联赛主办,成都信息工程大学Syclover战队组织,赛宁网安提供技术支持。 来自全球的67个国家和地区、419支队伍、1536人次共赴赛事,赶在2022年钟声敲响之前,为今年最后一场CTF盛宴画上圆满句号。 SCTF 2021是XCTF国际联赛与Syclover战队的第五次合作。此次赛事,三叶草小组将自己对CTF的理解融入赛题,大胆尝试,在Pwn赛题首次设置开放性新玩法,旨在模拟真实环境
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值