攻防世界WP-reverse-湖湘杯2018-Replace

最新推荐文章于 2023-11-26 23:18:36 发布
最新推荐文章于 2023-11-26 23:18:36 发布
阅读量4.7k 收藏
点赞数 1
分类专栏: ida ctf reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wallacegen/article/details/105746050
版权
ctf 同时被 3 个专栏收录
19 篇文章 0 订阅
订阅专栏
reverse
17 篇文章 0 订阅
订阅专栏
ida
15 篇文章 0 订阅
订阅专栏

首先查壳,upx壳,直接upx -d脱掉。
放入ida,查看伪代码,结构比较简单就不多说了。
关键是下面这个函数,return 1,则成功。

signed int __fastcall sub_401090(int a1, int a2)
{
  int v2; // ebx
  int v4; // edx
  char v5; // al
  int v6; // esi
  int v7; // edi
  char v8; // al
  int v9; // eax
  char v10; // cl
  int v11; // eax
  int v12; // ecx

  v2 = a1;//a1是输入的flag值
  if ( a2 != 35 )//a2是flag的长度
    return -1;
  v4 = 0;
  while ( 1 )
  {
    v5 = *(_BYTE *)(v4 + v2);//取flag的每一个字符,v4相当一个索引
    v6 = (v5 >> 4) % 16;
    v7 = (16 * v5 >> 4) % 16;
    v8 = byte_402150[2 * v4];
    if ( v8 < 48 || v8 > 57 )
      v9 = v8 - 87;                             // //10
    else
      v9 = v8 - 48;                             // 2
    v10 = byte_402151[2 * v4];
    v11 = 16 * v9;
    if ( v10 < 48 || v10 > 57 )
      v12 = v10 - 87;
    else
      v12 = v10 - 48;
    if ( (unsigned __int8)byte_4021A0[16 * v6 + v7] != ((v11 + v12) ^ 0x19) )
      break;
    if ( ++v4 >= 35 )
      return 1;
  }
  return -1;
}

因为题目算法中由取余运算,所以采用枚举的方法,让flag中的每一个字符遍历常用的字符(ascii码表中32-126),带入加密算法,如果成功,就把这个flag存入。
脚本

data = [50, 97, 52, 57, 102, 54, 57, 99, 51, 56, 51, 57, 53, 99, 100, 101, 57, 54, 100, 54, 100, 101, 57, 54, 100, 54, 102, 52, 101, 48, 50, 53, 52, 56, 52, 57, 53, 52, 100, 54, 49, 57, 53, 52, 52, 56, 100, 101, 102, 54, 101, 50, 100, 97, 100, 54, 55, 55, 56, 54, 101, 50, 49, 100, 53, 97, 100, 97, 101, 54, 0]
data2 = [97, 52, 57, 102, 54, 57, 99, 51, 56, 51, 57, 53, 99, 100, 101, 57, 54, 100, 54, 100, 101, 57, 54, 100, 54, 102, 52, 101, 48, 50, 53, 52, 56, 52, 57, 53, 52, 100, 54, 49, 57, 53, 52, 52, 56, 100, 101, 102, 54, 101, 50, 100, 97, 100, 54, 55, 55, 56, 54, 101, 50, 49, 100, 53, 97, 100, 97, 101, 54, 0]
compy_data = [99, 124, 119, 123, 242, 107, 111, 197, 48, 1, 103, 43, 254, 215, 171, 118, 202, 130, 201, 125, 250, 89, 71, 240, 173, 212, 162, 175, 156, 164, 114, 192, 183, 253, 147, 38, 54, 63, 247, 204, 52, 165, 229, 241, 113, 216, 49, 21, 4, 199, 35, 195, 24, 150, 5, 154, 7, 18, 128, 226, 235, 39, 178, 117, 9, 131, 44, 26, 27, 110, 90, 160, 82, 59, 214, 179, 41, 227, 47, 132, 83, 209, 0, 237, 32, 252, 177, 91, 106, 203, 190, 57, 74, 76, 88, 207, 208, 239, 170, 251, 67, 77, 51, 133, 69, 249, 2, 127, 80, 60, 159, 168, 81, 163, 64, 143, 146, 157, 56, 245, 188, 182, 218, 33, 16, 255, 243, 210, 205, 12, 19, 236, 95, 151, 68, 23, 196, 167, 126, 61, 100, 93, 25, 115, 96, 129, 79, 220, 34, 42, 144, 136, 70, 238, 184, 20, 222, 94, 11, 219, 224, 50, 58, 10, 73, 6, 36, 92, 194, 211, 172, 98, 145, 149, 228, 121, 231, 200, 55, 109, 141, 213, 78, 169, 108, 86, 244, 234, 101, 122, 174, 8, 186, 120, 37, 46, 28, 166, 180, 198, 232, 221, 116, 31, 75, 189, 139, 138, 112, 62, 181, 102, 72, 3, 246, 14, 97, 53, 87, 185, 134, 193, 29, 158, 225, 248, 152, 17, 105, 217, 142, 148, 155, 30, 135, 233, 206, 85, 40, 223, 140, 161, 137, 13, 191, 230, 66, 104, 65, 153, 45, 15, 176, 84, 187]

flag = [0 for i in range(35)]
v4=0
for i in range(35):
	for j in range(32,127):
		v5 = j
		v6 = (v5>>4)%16
		v7 = (16*v5>>4)%16
		v8=data[2*i]
		if(v8<48|v8>57):
			v9=v8-87
		else:
			v9=v8-48
		v10=data2[2*i]#这个地方开始弄错了,直接用data[2*(i+1)]是不对的
		v11 = 16*v9
		if(v10<48|v10>57):
			v12 = v10 -87
		else:
			v12 = v10 -48
		if(compy_data[16*v6+v7]==((v11+v12)^0x19)):
			flag[i] = chr(j)
			break
print("".join(flag))
print(len(flag))

还有一个错误需要记录一下,就是我用c++来写解密的时候,直接复制伪代码,compy_data 的值给了一个char类型,但是忘了写强制类型转换。因为有符号的char最大表示127,而compy_data中的值有的超过了127。
在这里插入图片描述在实际比较的过程中,有些数字会被转成“负数”
在这里插入图片描述这样再判断是否相等时肯定会出错。
总结一下,枚举,数据类型,这两个点需要注意。

wallacegen
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fasthttp-reverse-proxy:基于fasthttp的反向http websocket代理
05-10
特征 代理客户端支持的pool 。... proxy "github.com/yeqown/fasthttp-reverse-proxy/v2" ) var ( proxyServer = proxy . NewReverseProxy ( "localhost:8080" ) // use with balancer // weights = map[string]p
2018.11.18湖湘wp
uiop_uiop_uiop的博客
11-19 1435
1、签到 关注公众号,略。 2、HighwayHash64 根据题目名称以及里面的口算hash,结合着题目反汇编了解到这是一个hash算法,搜索得到哈希的源代码。 拖进ida里面,分析程序逻辑发现程序首先对输入的flag长度进行了一次hash验证需要等于一个16位hash,之后又对花括号当中的数字进行了hash验证,不成功就return 1。既然是一个hash算法,应该只有爆破了吧。先把长...
2019湖湘部分WP
蚁景网安学院
11-12 976
0x01 untar直接访问题目可以看到源码<?php $sandbox = "sandbox/" . md5($_SERVER["REMOTE_A...
CTF 湖湘 2018 WriteUp (部分)
weixin_33804990的博客
11-25 320
湖湘 2018 WriteUp (部分),欢迎转载,转载请注明出处https://www.cnblogs.com/iAmSoScArEd/p/10016564.html! 1、 CodeCheck(WEB) 测试admin ‘ or ‘1’=’1’# ,php报错。点击登录框下面的滚动通知,URL中有id=b3FCRU5iOU9IemZYc1JQSkY0WG5JZz09,想到注入,但是不...
攻防世界逆向高手题之Replace
沐一 · 林 的博客
08-29 644
攻防世界逆向高手题之Replace 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的Replace 下载附件,照例扔入exeinfope中查看信息: . 有壳,用Kali的upx -d脱壳,然后照例扔入IDA32中查看伪代码,有main函数看main函数:(脱壳后不能运行,因为伪代码信息足够,所以就不用修复了) . . 代码量很少,第一个红框不知道要输入35还是36还是37,直接看第二个红框的判断语句: . . 主要逻辑在上面了,涉及三个数组,用IDA内嵌脚本dump下来,这里积累第一个经验
攻防世界-Replace
qq_70851535的博客
11-13 208
逆向题目分析
【Web】攻防世界Web_php_wrong_nginx_config
uuzeray的博客
11-26 584
file=./index.php,回显正常。再输入../index.php仍显回显正常,可能../被替换为空,尝试inde../x.php,发现回显仍然正常,印证猜想)访问/web-img../proc/1/environ。这里太明显了,file就是文件名,ext是文件后缀。找到hack.php.bak,访问,下载附件。查看源码,好家伙,不管输什么都进不去。直接访问根目录/web-img../我的评价是,不多纠结,直接拿脚本打了。经过尝试发现../被替换为空。双写绕过即可..././
攻防世界web:Web_php_wrong_nginx_config,python3后门
qq_42016346的博客
07-16 365
python3的后门。
攻防世界 Replace
P_Bloomberg的博客
08-14 340
工具:IDA、Python 附件是.exe文件,放入IDA中分析主函数 可以看出,输入的Key放在Buffer中,如果Key的长度小于等于37,就把它交给函数sub_401090处理 且该函数要返回1 int __fastcall sub_401090(int a1, int a2) { int v4; // edx char v5; // al int v6; // esi int v7; // edi char v8; // al int v9; // eax char .
simple-reverse-geocoder:从一个点获取地址
05-14
npm i -S simple-reverse-geocoder 用 const rg = require ( 'simple-reverse-geocoder' ) const loc = { type : 'Point' , coordinates : [ - 70.5171743 , - 33.3608387 ] } rg . getAddress ( loc ) . then ( ...
HTTP-Reverse-Shell:Python中的HTTP反向Shell
05-22
这是用Python编程的HTTP Reverse Shell。 它用于建立从客户端到服务器端的反向HTTP连接。 先决条件 Python 用法 在客户端上传输客户端程序 在服务器端传输服务器程序 运行服务器端程序以开始侦听 运行客户端程序 ...
react-native-reverse-geo
06-05
从你的项目内部运行npm install react-native-reverse-geo --save 在 XCode 中,在项目导航器中,右键单击Libraries ➜ Add Files to [your project's name] 转到node_modules ➜ react-native-reverse-geo并添加...
rails-reverse-proxy:Ruby on Rails的反向代理
02-06
在您的Gemfile中gem 'rails-reverse-proxy' 然后(您猜对了!) $ bundle用法该gem的一个用例是在Rails应用程序内的路径(例如/blog上提供WordPress。 为此,您的控制器可能看起来像这样class WordpressController ...
攻防世界逆向初级训练
qq_42988973的博客
05-20 1081
攻防世界逆向新手训练区wp 文章目录re1做题实录分析总结game做题实录分析总结Hello,CTF做题实录分析总结open-source做题实录分析总结simple-unpack做题实录分析总结logmein做题实录分析总结insanity做题实录分析总结no-strings-attached做题实录分析总结getit做题实录分析总结python-trade做题实录分析总结csaw2013reversing2做题实录分析总结方法一:直接修改程序逻辑方法二:DLL注入maze做题实录分析总结 本来是搞Web
攻防世界-WEB进阶区-Web_php_wrong_nginx_config
qq_64966153的博客
07-05 1436
攻防世界
湖湘-RE-replace
WocW的博客
11-19 1006
文件拖入PEID,查看到UPX壳,使用UPXSHELL进行脱壳。 然后使用IDA打开. 进入main函数,F5反编译。 main函数里的流程是输入一个长度不大于38的字符串,然后进行处理。 进入sub_401090函数。 阅读流程得: 得知flag长度为35,用byte_402150处的字符串每两个一组进行处理 得到V8与V9。 然后进行相关运算比对,35个字符全部验证完后即...
2018湖湘逆向(Reverse
CharlesGodX的博客
02-04 1521
0x00:介绍 HighwayHash64这道题放了很久一直没有去做,最近看了一下发现这道题比较特殊,重新整理了一下思路,Replace这道题比较简单,属于签到题难度。 0x01:题目 题目1:Replace 题目链接: 简单的…密码学~ http://hxb2018.oss-cn-beijing.aliyuncs.com/reserves/Replace_B21DA8B2F172C137649...
湖湘2018
CODER的博客
12-25 738
好吧我被打爆了。 补题记录 1.Flow emm流量分析做过类似的 但比赛的时候没做出来 aircrack 爆破密码:password1 //需要强一点的字典 参考:https://xz.aliyun.com/t/1972 这个教你怎么解密的 以前我只会用工具解密 解不出答案。。。 解密完重新打开一次文件 翻一下http协议的可以看到flag… ...
flex-row-reverse
最新发布
01-05
flex-row-reverse是CSS中的一个属性,用于指定flex容器中子元素的排列方向为从右到左。具体示例如下: ```html .flex-container { display: flex; flex-direction: row-reverse; } .flex-item { width: 100...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值