【2020XCTF/华为杯】PYPY WriteUp

最新推荐文章于 2022-03-27 15:46:58 发布
最新推荐文章于 2022-03-27 15:46:58 发布
阅读量643 收藏
点赞数
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tqydyqt/article/details/111643266
版权

题目是一个PYPY打包的elf程序,使用pygame写了一个贪吃蛇游戏,现有的pyinstaller的解包脚本好像不太好使,那么自己动手

根据输出报错信息定位代码,这个qword_6077E0应该是反序列化pyc代码的函数,gdb断在这里,即可拿到对应的pyc文件

这个函数会被执行4次,第4次是我们期望的代码,第四次断下后使用 dump memory ./dmp $rdi $rdi+$rsi 拿到文件,补上前8个字节的文件头以后,加上.pyc后缀然后使用uncompyle6反编译,得到源码

DEFAULT_KEY = 'Yó\x02Ã%\x9a\x820\x0b»%\x7f~;ÒÜ'


def rc4(msg, key=DEFAULT_KEY, skip=1024):
    barray = bytearray([i for i in range(256)])
    curr = 0
    for i in range(256):
        curr = (curr + barray[i] + ord(key[(i % len(key))])) % 256
        t = barray[i]
        barray[i] = barray[curr]
        barray[curr] = t
    else:
        curr = 0
        another = 0
        blist = []
        if skip > 0:
            for i in range(skip):
                curr = (curr + 1) % 256
                another = (another + barray[curr]) % 256
                barray[curr], barray[another] = barray[another], barray[curr]

        for j in msg:
            curr = (curr + 1) % 256
            another = (another + barray[curr]) % 256
            barray[curr], barray[another] = barray[another], barray[curr]
            t = barray[((barray[curr] + barray[another]) % 256)]
            blist.append(chr(ord(j) ^ t))
        else:
            return ''.join(blist)


def func():
    t = rc4('flag{this is a fake flag}')
    if t.encode(
            'utf-8').hex() == '275b39c381c28b701ac3972338456022c2ba06c3b04f5501471c47c38ac380c29b72c3b5c38a7ec2a5c2a0':
        return 'YOU WIN'
    return 'YOU LOSE'

代码被混淆了,我重命名了一下变量,提取了关键部分贴出来

发现是rc4加密,给了key和加密后的值,当你得到5192296858534827628530496329220096分以后,就会输出YOU LOSE,如果想得到YOU WIN,则需要让flag满足上面的条件

和异或类似,rc4再加密一次就还原了

解密脚本:

import binascii

msg = binascii.a2b_hex('275b39c381c28b701ac3972338456022c2ba06c3b04f5501471c47c38ac380c29b72c3b5c38a7ec2a5c2a0')
key = 'Yó\x02Ã%\x9a\x820\x0b»%\x7f~;ÒÜ'


def rc4(msg, skip=1024):
    barray = bytearray([i for i in range(256)])
    curr = 0
    for i in range(256):
        curr = (curr + barray[i] + ord(key[(i % len(key))])) % 256
        t = barray[i]
        barray[i] = barray[curr]
        barray[curr] = t
    else:
        curr = 0
        another = 0
        blist = []
        if skip > 0:
            for i in range(skip):
                curr = (curr + 1) % 256
                another = (another + barray[curr]) % 256
                barray[curr], barray[another] = barray[another], barray[curr]

        for j in msg:
            curr = (curr + 1) % 256
            another = (another + barray[curr]) % 256
            barray[curr], barray[another] = barray[another], barray[curr]
            t = barray[((barray[curr] + barray[another]) % 256)]
            blist.append(chr(ord(j) ^ t))
        else:
            return ''.join(blist)


print(rc4(str(msg, 'utf8')))

flag{snake_bao_is_really_lucky}

古月浪子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
2020 华为xctf第二场
Firebasky的博客
12-24 650
第二次就做了一个web,web3是看三之师傅的wp复现的。 如果wp有错误希望师傅们指出 链接:https://pan.baidu.com/s/16BhdYDuD7yR-eBH-zgbsow 提取码:t2rl 复制这段内容后打开百度网盘手机App,操作更方便哦
2020XCTF天津垓问题求解
WaterDemo22的专栏
03-10 707
1.天津垓 有一些反调试措施和加壳的保护,但是总体逻辑非常简单 1.1 “Authorize:”求解 核心逻辑是: v39是一个数组,长度为14,具体值为: arrlist = [0x52,0x69,0x73,0x69,0x6e,0x67,0x5f,0x48,0x6f,0x70,0x70,0x65,0x72,0x21] 其中*(&v39+i%14)就是 arrlist[i%14] v...
XCTF 华为云专场 fastexec
yongbaoii的博客
01-26 282
绿 缺个库 sudo apt-get install libjpeg62 分析一下qemu文件 拿到id 注册了个mmio 可以看一下结构体 fastexec_mmio_read 逻辑非常简单 就是将四个成员依次输出 fastexec_mmio_write 有一次任意写机会。 怎么攻击呢?首先看了官方给的思路 用到了TCG模块攻击 什么是TCG模块? 我们一张图就明白了 图是网上找的 从QEMU-0.10.0开始,TCG成为QEMU新的翻译引擎,使QEMU不再依赖于GCC3.X版本,并且做到.
XCTF高校网络安全专题挑战赛 |华为云专场重磅开启!
Cyberpeace的博客
12-17 567
网络空间的竞争,归根结底是人才的竞争。数字化转型大潮之下,网络与物理空间的边界日渐消融,越来越专业化、规模化的黑客组织攻击带来新的挑战,网络攻防态势也愈演愈烈。基于此,XCTF高校网络安全专题挑战赛吹响集结号。 XCTF高校网络安全专题挑战赛由XCTF国际联赛主办,赛宁网安承办,华为终端安全、华为云安全、华为鲲鹏计算安全独家赞助。大赛共设“HarmonyOS和HMS”、“华为云”、“鲲鹏计算”三场专场选拔赛及总决赛,面向全体高校在校生开启,并提供35万元专项奖励基金供选手挑战,赛事优胜者除了获得华为盖章认
huaweictf pyer
qq_43615820的博客
12-21 291
摸了一天鱼。 抓包。 经过fuzz测试,发现单引号引发错误 闭合单引号。 经过多次测试。 猜测sql语句: $user = $_post['username']; $password = $_post['password']; $sql = "select password from users where username = '$user' "; $passwd_t =mysql()->query($sql); //伪代码,查...
竞赛资料源码-XCTF联赛杭州(杭电)站选拔赛,动画效果图.zip
最新发布
01-24
大数据挑战赛、团体程序设计天梯赛、移动应用创新赛、网络技术挑战赛、全国大学生信息安全竞赛、“中国软件杯”大学生软件设计大赛、全国大学生光电设计竞赛、中国机器人及人工智能大赛、“大唐杯”全国大学生移动...
2020高校战疫 twochunk wp(转载)
Eagle_hwei的博客
04-25 702
tcache相关题目 2020-04-20 23:16:23 HawkJiawei 主要第一次接触到tcache相关的题目,这里记录一下做过的题目,记录一下相关的思路。因为有大佬写了wp,所以就直接引用这些大佬的wp,将自己的wp保存在git上。。。。     2020高校战疫 twochunk;对应的wp 原文来自安全客、原文作者:ERROR404以及原文链接 ...
Python进阶、加速、打包
专业主义
03-27 1671
datatime模块重新封装了time模块,提供更多接口,提供的类有:date,time,datetime,timedelta,tzinfo。
2020华为杯.zip
10-21
参考论文的可看,有优秀论文和题目。
xctf-simple-check-100
Spwpun的博客
11-05 468
水题一枚 这道题有点坑,给了三个平台的程序文件,可惜win上面的是错的。考察的也仅仅只是一个逻辑修改,不过为了能从这道题学点东西,我把静态情况下分析的结果利用py写了个脚本来跑flag,算是对IDA中的算法逆向有了更深一步的理解吧。 算法描述 程序一开始会初始化一个数组,这里我把它叫做key_data数组,ida自动分析出来的数值不好看把它转为16进制的: 然后就是输出字符提示让输入key: ...
PyPy初体验
weixin_33691700的博客
05-17 1064
PyPy初体验 PyPy安装 1.下载 下载地址:http://pypy.org/download.html(温馨提示:需要梯子) 下载PyPy3.6 64bit Ubuntu版本 解压 下载下来的文件pypy3.6-v7.1.1-linux64.tar.bz2移动到家目录或/opt目录下,然后解压 tar -xjf pypy3.6-v7.1.1-linux64.tar.bz2 建立软连接 ...
pypy确实要比我们平时用的python快
yyw794的专栏
06-25 4468
什么是pypypypy就是用python实现的python。 我们平时用的python,一般叫Cpython,是由C语言开发的python。 pypy的速度反而要快于我们现在使用的Cpython。
CTF【每日一题20160613】
hhhparty的博客
06-14 2094
谁是卧底 原题:http://ctf.idf.cn/index.php?g=game&m=article&a=index&id=49 武林中某知名杀手在一次任务中失败,然后逃窜到了人群中,当时那个社会并没有我们现在这么发达,满地都是文盲,而这些文盲甚至连一句完整的英文都说不出来,所以其实只要用心去发现,就会很容易发现这个稍微有些文化的杀手是谁哦~答案wctf{杀手的英文名} 人群→ http:
2020华为杯第十七届中国研究生数学建模竞赛---回顾记录
Ls_attack的博客
09-22 1万+
这次做一个复盘贴,刚刚参加完这次的华为杯数学建模,由于是2020级研究生所以允许跨校组队,所以选择的队友是两个外校的,沟通方面第一天至第三天每天在微信使用语音通话汇报一次进度,第四天至第五天腾讯会议共享桌面进行论文修改。 比赛时间 2020年9月17日8:00 -- 2020年9月21日12:00 第一天 9月17日上午8:00 比赛试题解压密码分发 比赛试题会在开赛前一天分发,但是解压密码并不会即时分发,而是在等到第二天早上八点。试题的信息是百度网盘链接,推荐提前下载好,不然下载需要较长时间。队友
【WhaleCTF逆向题】第一期py转子——大结局!writeup
iqiqiya的博客
09-22 1113
题目信息: 这个是0CTF的一道题 转载自http://hebin.me/2018/01/24/%E8%A5%BF%E6%99%AEctf-py137/ The archive contains a compiled Python file crypt.pyc and an encrypted flag file encrypted_flag. As the description s...
2020XCTF华为云专场pwn题WP
Sakura给爷pwn全场
12-23 477
Pwn CPP 解题思路 题⽬存在uaf,结合堆⻛⽔getshell #!/usr/bin/python #coding:utf-8 from pwn import * context.log_level='debug' #io=process("./chall",env={"LD_PRELOAD":"./libc-2.31.so"}) io=remote('124.70.12.210', 10002) libc=ELF("./libc-2.31.so") sla=lambda a : io.sendlin
编译安装pypy,让py飞起来
热门推荐
李余通的博客
06-19 1万+
什么是pypy PyPy是Python开发者为了更好的Hack Python创建的项目。此外,PyPy比CPython更灵活,易于使用和试验,以制定具体的功能在不同情况的实现方法,可以很容易实施。该项目的目标是,让PyPy比C实现的Python更为容易的适应各个项目和方便裁剪。——维基百科 简单来说,pypy解释py文件可以跑得更快 安装环境linux x86_64 fedora24下载地
whaleCTF RE方向部分writeup
苗_的博客
01-02 454
0x00 PE格式 用PEtools打开,通过查找 块数目 0x0004 时间戳 0x591D5CCC 入口地址 0x0005B789 信息标识 0x0103 得出flag:BJWXB_CTF{0004h-591D5CCCh-0005B789h-0103h} 0x01 WarmUp 经过一系列操作,进入compare函数,然后进入分支语句。 回头看,若v17和上图中高亮部分相等,则...
【0CTF/TCTF2021预选】[Misc] pypypypy Sloth writeup python字节码编程
Csome
07-06 704
题目 题目环境 3.8.11 (default, Jun 29 2021, 19:54:56) [GCC 8.3.0] import sys from pathlib import Path from types import CodeType src = Path(__file__).read_text() print(globals()) print(sys.version) print(src) codestring = bytes.fromhex(input('Give me your byt
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值