【KCTF2020秋季赛】异常信号 WriteUp

最新推荐文章于 2024-04-15 09:37:55 发布
最新推荐文章于 2024-04-15 09:37:55 发布
阅读量432 收藏
点赞数
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tqydyqt/article/details/111350655
版权


这道题做出来的时候还是非常激动的,不枉费本菜鸡从中午肝到半夜/(ㄒoㄒ)/~~

这道题的壳是出题方自己写的,强度其实是非常不错的,这里我投机取巧了,直接dump内存后转静态分析,这壳子直接木大

后面的哥隆尺算法卡了我好久,最后只能去找金牌爷了= =


下面是照搬的发在看雪的WriteUp:

肝了个一血出来哈哈哈

直接运行,然后x32dbg附加,注意开启sharpod的anti anti attach,然后ollydumpex,点search image,选择module、binary(virtual),dump下来,用ida打开,定位到sub_2F12B0函数

int sub_2F12B0()
{
  int v0; // esi
  char v1; // al
  char *v2; // ecx
  unsigned __int8 *v3; // ecx
  unsigned __int8 v4; // al
  signed int v5; // eax
  signed int v6; // ecx
  signed int length; // ebx
  unsigned __int8 v8; // al
  char v9; // al
  signed int v10; // edx
  int v11; // esi
  char v12; // cl
  char v13; // al
  char v14; // cl
  signed int v15; // eax
  __int16 v16; // ax
  signed int half_len; // ebx
  int v18; // edi
  int v19; // ecx
  signed int v20; // esi
  signed int v21; // esi
  int v22; // eax
  int v23; // eax
  __int16 v24; // ax
  int v25; // esi
  int v26; // eax
  int v27; // ecx
  int v28; // edx
  int v29; // eax
  __int16 v31; // [esp+Ch] [ebp-514h]
  int v32; // [esp+10h] [ebp-510h]
  int v33; // [esp+14h] [ebp-50Ch]
  unsigned __int16 v34; // [esp+18h] [ebp-508h]
  __int16 v35; // [esp+18h] [ebp-508h]
  int v36; // [esp+1Ch] [ebp-504h]
  int v37; // [esp+20h] [ebp-500h]
  unsigned __int8 input; // [esp+23h] [ebp-4FDh]
  int v39[100]; // [esp+24h] [ebp-4FCh]
  char flag[400]; // [esp+1B4h] [ebp-36Ch]
  char table[256]; // [esp+344h] [ebp-1DCh]
  __int16 dest[50]; // [esp+444h] [ebp-DCh]
  char v43[100]; // [esp+4A8h] [ebp-78h]
  char v44; // [esp+50Ch] [ebp-14h]
  int v45; // [esp+50Dh] [ebp-13h]
  int v46; // [esp+511h] [ebp-Fh]
  int v47; // [esp+515h] [ebp-Bh]
  __int16 v48; // [esp+519h] [ebp-7h]
 
  v0 = *(_DWORD *)&unk_314474;
  memset(*(_DWORD *)&unk_314474, 0, 256);
  v1 = *(_BYTE *)&unk_3138B0;
  if ( *(_BYTE *)&unk_3138B0 )
  {
    v2 = (_BYTE *)&unk_3138B0;
    do
    {
      *(++v2 - 1) = v1 ^ 0xE4;
      v1 = *v2;
    }
    while ( *v2 );
  }
  sub_2F5D70(v0, 0x3138B0, strlen((const char *)&unk_3138B0) + 1);// Correct
  v45 = 0x9091948A;
  v46 = 0x9681B7C4;
  v3 = (unsigned __int8 *)&v44;
  v47 = 0xDE88858D;
  v4 = 0xADu;
  v48 = 0xEE;
  do
  {
    *(++v3 - 1) = v4 ^ 0xE4;
    v4 = *v3;
  }
  while ( *v3 );                                // Input Serial:\n
  v36 = **(_DWORD **)(*(_DWORD *)(*(_DWORD *)&unk_314478 + 0x3C) + *(_DWORD *)&unk_314478 + 0x28);
  printf(&v44);
  memset(v39, 0, 400);
  memset(dest, 0, 200);
  memset(flag, 255, 400);
  memset(table, 255, 256);
  v5 = 0;
  do
  {
    table[v5 + '0'] = v5;
    ++v5;
  }
  while ( v5 <= 9 );
  v6 = 0;
  do
  {
    table[v6 + 'A'] = v6 + 10;
    ++v6;
  }
  while ( v6 <= 5 );
  input = 0;
  length = 0;
  scanf(0x310CDC, &input, 1);                   // %c
  v8 = input;
  if ( input != 10 )
  {
    while ( length < 360 )
    {
      v9 = table[v8];
      if ( v9 == -1 )
      {
LABEL_52:
        printf(0x310C6C);
        printf(0x310C80);                       // 一个礼貌的开场白还是要的
        return 0;
      }
      flag[length++] = v9;
      scanf(0x310CDC, &input, 1);               // %c
      v8 = input;
      if ( input == '\n' )
        goto LABEL_14;
    }
LABEL_32:
    printf(0x310C6C);
    printf(0x310C70);                           // \f换页
    return 0;
  }
LABEL_14:
  v10 = 0;
  if ( length > 0 )
  {
    v11 = *(_DWORD *)&unk_31446C;
    while ( v11 )
    {
      v12 = flag[v10];
      if ( v12 == -1 )
        goto LABEL_52;
      v13 = flag[v10 + 1];
      if ( v13 == -1 )
        goto LABEL_52;
      v14 = v13 + 16 * v12;
      v15 = v10 >> 1;
      v10 += 2;
      *((_BYTE *)dest + v15) = v14;             // 4个输入构成一个int16
      if ( v10 >= length )
        goto LABEL_20;
    }
    goto LABEL_32;
  }
LABEL_20:
  v16 = 0;
  half_len = length >> 2;
  v18 = 0;
  v33 = 0;
  if ( half_len <= 0 )
    goto LABEL_57;
  v19 = 0;
  v32 = 0;
  do
  {
    v34 = -v16;
    sub_2F6305(v19);
    v20 = 0x65;
    do
    {
      v31 = sub_2F62E4();
      --v20;
    }
    while ( v20 );
    sub_2F6305(v34);
    v21 = 0x65;
    do
    {
      v35 = sub_2F62E4();
      --v21;
    }
    while ( v21 );
    v22 = (*(int (__stdcall **)(_DWORD))&unk_30B144)(0);// GetActiveWindow(0)
    if ( v22 )
    {
      v23 = (*(int (__stdcall **)(int))&unk_30B148)(v22);// GetWindowLongA(v22,GWL_STYLE)
      if ( v23 == 0x17CF0000 || v23 == 0x16CF0000 || v23 == 0x97CF0000 )
        goto LABEL_51;
    }
    v24 = dest[v32];                            // v32是满足条件v31的输入的index
    if ( v31 == v24 )
    {
      v39[v18++] = v32;                         // 将满足条件的index入队
    }
    else if ( v35 != v24 )
    {
      goto LABEL_52;
    }
    v16 = v33++ + 1;
    v19 = (unsigned __int16)v33;
    v32 = (unsigned __int16)v33;
  }
  while ( (unsigned __int16)v33 < half_len );
  if ( v18 < 12 )
  {
LABEL_57:
    printf(0x310C6C);
    printf(0x310C9C);                           // 行星太少了
    return 0;
  }
  if ( v39[1] - v39[0] > *(&v37 + v18) - *(&v36 + v18) )
  {
    printf(0x310C6C);
    printf(0x310CA8);                           // 穿越虫洞还得讲个顺序
    return 0;
  }
  memset(v43, 0, 100);
  v25 = 0;
  if ( v18 - 1 <= 0 )
  {
LABEL_49:
    if ( !*(_DWORD *)&unk_314470 )
      return 0;
    printf(*(_DWORD *)&unk_314474);             // Correct
    return 0;
  }
  v26 = v36;
  while ( 1 )
  {
    if ( !v26 )
    {
      printf(0x310C6C);
      printf(0x310C80);                         // 一个礼貌的开场白还是要的
LABEL_47:
      v26 = v36;
      goto LABEL_48;
    }
    v27 = v25 + 1;
    if ( v25 + 1 < v18 )
      break;
LABEL_48:
    if ( ++v25 >= v18 - 1 )
      goto LABEL_49;
  }
  v28 = v39[v25];
  while ( 1 )
  {
    v29 = v39[v27] - v28;                       // v29每次必须不一样
    if ( v43[v29] )                             // 队列中的indexes,两两的差必须唯一
      break;
    ++v27;
    v43[v29] = 1;
    if ( v27 >= v18 )
      goto LABEL_47;
  }
LABEL_51:
  printf(0x310C6C);
  printf(0x310CC0);                             // 有人说这题根本无解,你信吗
  return 0;
}

遇到30xxxx的地址,从x32dbg里查看到底是啥内容

解密脚本:

int gl;
 
int sub_2F62E4()
{
    unsigned int v1;
 
    v1 = 214013 * gl + 2531011;
    gl = v1;
    return (v1 >> 16) & 0x7FFF;
}
 
void sub_2F6305(int a1)
{
    gl = a1;
}
 
int main()
{
    int list[] = { 0,2,6,24,29,40,43,55,68,75,76,85 };
    __int16 v16, v31, v35;
    unsigned __int16 v34;
    int v18, v19, v20, v21, v32;
    int n = 85;
    v16 = 0;
    v19 = 0;
    v32 = 0;
    do
    {
        v34 = -v16;
        sub_2F6305(v19);
        v20 = 0x65;
        do
        {
            v31 = sub_2F62E4();
            --v20;
        } while (v20);
        sub_2F6305(v34);
        v21 = 0x65;
        do
        {
            v35 = sub_2F62E4();
            --v21;
        } while (v21);
        bool isin = false;
        for (size_t i = 0; i < 12; i++)
        {
            if (list[i] == v16)
            {
                isin = true;
                break;
            }
        }
        if (isin)
        {
            if ((v31 / 16 & 0xF) < 10)
                cout << (v31 / 16 & 0xF);
            else
                cout << char((v31 / 16 & 0xF) - 10 + 'A');
            if ((v31 & 0xF) < 10)
                cout << (v31 & 0xF);
            else
                cout << char((v31 & 0xF) - 10 + 'A');
            if ((v31 / 4096 & 0xF) < 10)
                cout << (v31 / 4096 & 0xF);
            else
                cout << char((v31 / 4096 & 0xF) - 10 + 'A');
            if ((v31 / 256 & 0xF) < 10)
                cout << (v31 / 256 & 0xF);
            else
                cout << char((v31 / 256 & 0xF) - 10 + 'A');
        }
        else
        {
            if ((v35 / 16 & 0xF) < 10)
                cout << (v35 / 16 & 0xF);
            else
                cout << char((v35 / 16 & 0xF) - 10 + 'A');
            if ((v35 & 0xF) < 10)
                cout << (v35 & 0xF);
            else
                cout << char((v35 & 0xF) - 10 + 'A');
            if ((v35 / 4096 & 0xF) < 10)
                cout << (v35 / 4096 & 0xF);
            else
                cout << char((v35 / 4096 & 0xF) - 10 + 'A');
            if ((v35 / 256 & 0xF) < 10)
                cout << (v35 / 256 & 0xF);
            else
                cout << char((v35 / 256 & 0xF) - 10 + 'A');
        }
        v16++;
        v19++;
        v32++;
    } while (n--);
    return 0;
}

list中的值要满足的条件是:从[0,89]中选择12个互不相同的数,使它们任意两个数之差都不相同,这里我问了4位ACM金牌爷,2个多小时后有人把结果弄出来了

程序执行的思路就是,读入至多360个字符,只能0-9、A-F,把每4个输入组合成一个类似0x1234这样的short,如果与v31一样,则把下标加入v39队列,如果与v35一样,则继续,如果都不一样,则结束程序。如果v39的元素小于12则结束程序。之后会判断v39里面的数(也就是满足v31的输入的下标)是否两两之差唯一,是的话就输出Correct。

生成v31和v35的算法是可以本地写代码跑出来的,只要输入的满足“下标不在list里的输入等于v35,否则等于v31”的就是flag

补充金牌爷算法:

#include <stdio.h>
 
int c[100];
int a[100];
int abs(int x)
{
    return x <0?-x:x;
}
 
void work(int x,int n,int k)
{
    for(int i=0;i<n;i++)
        c[x-a[i]]+=k;
}
 
int check(int x,int n)
{
    for(int i=0;i<n;i++)
    {
        if(c[x-a[i]] > 0)
            return 0;
    }
    return 1;
}
 
void dfs(int now,int n)
{
    if(n == 12)
    {
        for(int i=0;i<n;i++)
        {
            printf("%d,",a[i]);
        }
        printf("\n");
    }
    if(90-now < 12-n) return ;
    for(int i=now;i<=89;i++)
    {
        if(check(i,n))
        {
            work(i,n,1);
            a[n] = i;
            dfs(i+1,n+1);
            work(i,n,-1);
        }
    }
}
int main()
{
    dfs(0,0);
    return 0;
}

注意,这段代码能跑出多组解,但是其余解不满足程序的要求,会输出“穿越虫洞要讲究顺序”,因此上面那组解应该是唯一满足题目限制的解

古月浪子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
看雪2020 KCTF 子鼠开天writeup复现
qq_41170946的博客
08-23 529
小学期的作业,也是第一次看这么长的writeup,放在这里当纪念。 IDA PRO 7.0安装findcrypt插件后打开keygenme使用插件, F5找到关键函数,可以看到传入的参数是name,name长度,sn,sn长度。且name的长度在3到20之间,sn长度为64. 进入sub_401380函数(此图为分析到rsa算法后截,所以重命名了部分函数) 2.首先分析sub_401000(重命名后为string_2_hex),打开OD在00401000处设置断点,随机输入长度为64的sn和长度
Crypto日记之CTF中的二叉树问题
zgzhzywzd的博客
03-23 3514
0x00前言 vishwaCTF 2022的一道题目,最终只有24人解出来了,脑洞算是难住了大多人,队友说vishwaCTF应该改名为guessCTF。题目却是不难,但的确得脑洞够大。 因为在比中很少遇见考查二叉树的题目,所以记录一下。 0x01题目 题目给了一大串数字,想都不用想,先转acsii码,得到一个字符串: TR3{0RTa3H_3WPShTR___MHT3H1_N3YiwCFT3S43T3P3ST4_H_4T_RTSU0_H_K}vs 字符串中包含了 _ { } 和..
看雪CTF2020 KCTF 秋季 签到题
闵行小鱼塘
12-19 1076
佛系参加看雪CTF2020,本题是签到题,是个win64的逆向
CTF WriteUp】2020数字中国创新大部分题解
cccchhhh6819的博客
04-20 1966
(好难啊~不会做啊) Crypto Can you get flag from GM crypto system 观察代码,程序生成的p和q要满足一些条件,其中有一条比较奇怪 pow(q ** 2 * x, (p-1)/2, p) + pow(p ** 2 * x, (q-1)/2, q) == N - phi - 1 我们知道 N = p * q,phi = (p - 1) * (q - 1)...
流密码:线性同余生成器 LCG
m0_62506844的博客
07-27 1592
在介绍流密码之前,我们先引入OTP(One-timePassword,一次性密码)这样一个概念。所谓一次性密码,是一次加密使用一次密钥,这次加密过程中使用的密钥不能在下一次加密中继续使用,密钥是一次性的,使用一次当即作废。例如我们想加密abcdefg这串字符。想要加密所有明文,就要用与明文等长的密钥来加密。比如利用密钥1234567加密,1代表在字母表的顺序向后移动一位,2代表移动2位,等等,和凯撒的原理相同,只不过这里使用了多个密钥。...
Kanxue看雪KCTF2019-Q1第十题【初入好望角】Writeup
iqiqiya的博客
03-26 567
第十题:初入好望角 PEiD查到是C#编写的程序 直接用dnspy载入 得到源代码 using System; using System.IO; using System.Security.Cryptography; using System.Text; // Token: 0x02000003 RID: 3 internal class a { // Token: 0x0600...
Kanxue看雪KCTF2019-Q1第二题【变形金钢】Writeup
iqiqiya的博客
03-27 1037
第二题:变形金钢 解压得到一个apk 模拟器运行 是一个登陆注册 账号直接就有了 还是一个手机号(好奇就百度了一下) 随意输入iqiqiya 会弹出消息框 并且登录按钮不可用 必须重启应用 好了 载入解压下apk 并没有发现什么奇怪的 比如jar文件之类的 直接载入jeb进行查看 奔向MainActivity中的onCreate方法 右键...
2020YCBCTF羊城杯官方Writeup.pdf
10-28
标题《2020YCBCTF羊城杯官方Writeup.pdf》中的“YCBCTF”指的是一种名为“羊城杯”的网络安全竞CTF),这是一个以网络安全为主题的竞CTF全称Capture The Flag,即“夺旗”,是一种信息安全竞活动。...
2024年第十七届全国大学生信息安全竞创新实践能力部分Writeup
最新发布
05-27
2024年第十七届全国大学生信息安全竞创新实践能力部分Writeup解析部分题目
看雪 KCTF GMAE 闯关记
shao65308的专栏
08-29 2165
用010editor打开,修改压缩文件加密标志位为00,保存后就没有密码了。如果不能识别把 / 替换成空格。
kctf:kCTF是一个基于Kubernetes的基础设施,用于CTF。 有关文档,请参见
05-14
kCTF kCTF是一个基于Kubernetes的基础设施,用于CTF。 先决条件 入门/文档 有关什么是kCTF以及它如何与Kubernetes交互的介绍,请参阅 。 其他文档资源包括: –快速入门指南,向您展示如何在本地构建和测试挑战。 –一切正常运行后,请尝试将其部署到Google Cloud。 –帮助解决难题。 –有关kCTF的安全注意事项,包括有关资产,风险和潜在攻击者的信息。
BROP入门之 KCTF 2022 废土末世
weixin_46483787的博客
05-25 1215
定义 来自CTF wiki: BROP 是没有对应应用程序的源代码或者二进制文件下,对程序进行攻击,劫持程序的执行流 攻击条件 源程序必须存在栈溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重新启动的进程的地址与先前的地址一样(这也就是说即使程序有 ASLR 保护,但是其只是在程序最初启动的时候有效果)。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的 基本思路 暴力枚举获取栈溢出长度,逐字符比较泄露返回地址,获取gad
探索 KCTF:Google 创建的安全竞平台
gitblog_00089的博客
04-15 471
探索 KCTF:Google 创建的安全竞平台 项目地址:https://gitcode.com/google/kctf KCTF 是一个由 Google 开发的开源项目,全称为 "Kernel Challenge Toolkit for CTF"(CTF 挑战内核工具包)。这个平台专为构建和运行安全相关的竞,如 Capture The Flag (CTF) 比而设计。本...
逆向分析——2022KCTF秋季第六题详解
qq_45307564的博客
12-26 610
刚入门逆向试着复现一道CTF题,大佬们的文章省去了一些步骤(作者太菜了…),在这里记录详细的步骤。
KCTF中常见加密算法的变形应用
AlickXc的专栏
08-30 672
题目文件上传审核中... 首先jadx-gui打开apk 发现Activity所继承的并非真实的系统Activity所以怀疑有猫腻我们跟进这个类看一下发现这个Activity实现了onStart方法会覆盖掉子Activity的onClick事件所以这里才是重要的 由图可见eq函数尤为重要它的实现在so中我们来看so实现了.init段所以我们看下init段的内容 作用主要是在so...
Kanxue看雪KCTF2019-Q1第六题【Repwn】Writeup
iqiqiya的博客
03-26 612
第六题:Repwn PEiD查壳,无壳 直接载入IDA shift+f12分析字符串 sub_4014C0()分析如下: sub_4012F0()可以得到flag的第8-19位是X1Y0uN3tG00d,第20位是H 双击进入sub_401460() 可以先分析sub_4013B0 sub_4013B0取输入第一部分前8个字符按aaaabbcc转为整数, 校验是...
Kanxue看雪KCTF2019-Q1第一题【流浪者】Writeup
iqiqiya的博客
03-25 905
第一题:流浪者 IDA载入查看字符串 可以看到很多有用的信息 双击pass 接着F5查看伪代码 sub_4017f0() v5这个数组里边的元素作为下标映射出来 脚本如下: table = "abcdefghiABCDEFGHIJKLMNjklmn0123456789opqrstuvwxyzOPQRSTUVWXYZ" aa = "KanXueCTF2019JustF...
部分WP-GKCTF2020
~airrudder~
05-24 6230
本篇内容 MISC: [GKCTF2020]签到 [GKCTF2020]Pokémon [GKCTF2020]问卷调查 [GKCTF2020]code obfuscation Crypto: [GKCTF2020]小学生的密码学 [GKCTF2020]汉字的秘密 [GKCTF2020]babycrypto Web: [GKCTF2020]CheckIN [GKCTF2020]老八小超市儿 Reverse: [GKCTF2020]Check_1n 上一篇 | 目录 | 下一篇 [GKC.
2020-1-11 //CTF入门
qq_45666654的博客
01-12 736
CTF入门 一、什么是CTF? 总而言是这种事就是通过技术手段(pwn 逆向分析 decode等)从 程序或者数据中 找到关键的字符串(flag)并正确提交。 二、CTF主要类别 解题模式 解题模式(Jeopardy)常见于线上选拔比。在解题模式 CTF 制中,参队伍可以通过互联网或者现场网络参与,参数队伍通过与在线环境交互或文件离线分析,解决网络安全技术挑战获取相应分值,根据总分和时...
2020 YCBCTF羊城杯官方Writeup:PHP与Web安全解题技巧实录
2020YCBCTF羊城杯官方Writeup是一份详细的竞报告,涵盖了该年度网络安全 Capture The Flag (CTF) 比中的一系列挑战,主要集中在Web、PHP、漏洞利用、密码学、以及逆向工程等不同领域。以下是各个部分的主要知识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值