CG-CTF simple-machine

最新推荐文章于 2020-02-10 15:36:30 发布
最新推荐文章于 2020-02-10 15:36:30 发布
阅读量111 收藏
点赞数
原文链接:http://www.cnblogs.com/zUotTe0/p/10629383.html
版权

运行一下,输入flag;
用ida打开:
1164674-20190330203844592-98247846.png
input_lengthinput_byte_804B0C0为重命名的变量;现在一个个看调用的函数。
sub_8048526():
1164674-20190330204733803-479069795.png
这个函数使用了mmap分配内存空间,并将首地址和偏移首地址0x8000的地址赋给两个变量:dword_804B160 = (int)v0;dword_804B158 = (int)(v0 + 0x8000);,其实这里就相当于一个分配栈的函数。
执行完分配栈函数之后的if判断语句中的函数调用ptrace,将自身设为被调试程序,如果程序正常执行,debugger被设置为系统。是一个用来反调试的东西,但是很容易绕过,题目也不用调试。
接着需要输入flag,长度为3的倍数。
看一下sub_8048633():

int __cdecl sub_8048633(int input_byte_804B0C0, unsigned int input_length)
{
  unsigned int v2; // eax
  int v3; // eax

  sub_8048567(dword_804B15C);                   // 0x804B158处存储mmap分配地址+0x8000地址
  dword_804B15C = dword_804B158;                // dword_804B15C = dword_804B158, 为此前的-4
  sub_8048567(dword_804B150);
  sub_8048567(dword_804B144);
  dword_804B158 -= 0x30;
  *(_DWORD *)(dword_804B15C - 0x1D) = 'deef';
  *(_DWORD *)(dword_804B15C - 0x19) = 'daed';
  *(_DWORD *)(dword_804B15C - 0x15) = 'feeb';
  *(_DWORD *)(dword_804B15C - 0x11) = 'efac';
  *(_BYTE *)(dword_804B15C - 0xD) = 0;
  for ( *(_DWORD *)(dword_804B15C - 0xC) = 0; ; ++*(_DWORD *)(dword_804B15C - 0xC) )
  {
    dword_804B140 = *(_DWORD *)(dword_804B15C - 0xC);
    if ( dword_804B140 >= input_length )
      break;
    dword_804B14C = *(_DWORD *)(dword_804B15C - 0xC);
    dword_804B140 = input_byte_804B0C0;
    dword_804B150 = dword_804B14C + input_byte_804B0C0;
    dword_804B14C = *(_DWORD *)(dword_804B15C - 0xC);
    dword_804B140 = dword_804B14C + input_byte_804B0C0;
    dword_804B140 = *(unsigned __int8 *)(dword_804B14C + input_byte_804B0C0);
    byte_804B164 = dword_804B140;
    *(_BYTE *)(dword_804B15C - 0x29) = dword_804B140;
    dword_804B144 = *(_DWORD *)(dword_804B15C - 0xC);// i
    dword_804B158 -= 0xC;
    dword_804B140 = dword_804B15C - 0x1D;
    sub_8048567(dword_804B15C - 0x1D);
    v2 = strlen(*(const char **)dword_804B158);
    dword_804B158 += 0x10;
    dword_804B148 = v2;
    dword_804B140 = dword_804B144;              // i
    dword_804B14C = 0;
    sub_80485AB(v2);
    dword_804B140 = dword_804B14C;              // i % v2
    dword_804B140 = *(unsigned __int8 *)(dword_804B14C - 0x1D + dword_804B15C);// 取array的byte
    byte_804B164 = dword_804B140;
    byte_804B164 = *(_BYTE *)(dword_804B15C - 0x29) ^ dword_804B140;// 输入与array[i%v2]异或
    *(_BYTE *)dword_804B150 = byte_804B164;     // 存于input中
    v3 = dword_804B140;
    LOBYTE(v3) = 0;
    dword_804B140 = v3 + (unsigned __int8)byte_804B164;
  }
  sub_80485A5();
  dword_804B158 = dword_804B15C - 8;
  sub_8048584(&dword_804B144);
  sub_8048584(&dword_804B150);
  return sub_8048584(&dword_804B15C);
}

sub_8048567()函数作用类似于压栈操作,并且在“栈”中压入了一个字符串“feeddeadbeefcafe”,根据代码for循环的次数为输入的字符串的长度,整个循环所做的事情就是:input_byte_804B0C0[i]=xor[i%input_length] ^ input_byte_804B0C0[i],xor为之前初始化的字符串。跳出循环之后就相当"寄存器"出栈了。
再看sub_80488C7((int)input_byte_804B0C0, (int)&unk_804B100, input_length);函数:
1164674-20190330220201533-347638070.png
函数中嵌套了两层循环,最里层跳出条件是循环次数j>=0x55555556*input_length >> 32;这应该是编译器的优化,作用相当于除3,将除法转化为乘法,0X55555556是编译器计算出来用于优化的值。
函数中ans为运算结果存放处;是由input_byte_804B0C0数组挪过来的。最终的效果相当于:ans[18*i + j] = input_byte_804B0C0[i + 3j]。数组转置了一下。
回到主函数中就是于一个已初始化的长度为54bytes的数组比较了,那么可以求出flag:

  
lst =  [  0x00, 0x03, 0x09, 0x3A, 0x05, 0x0E, 0x02, 0x16, 0x0F, 0x1F, 0x12, 0x56, 0x3B, 0x0B, 0x51, 0x50, 0x39, 0x00,  
          0x09, 0x1F, 0x50, 0x04, 0x14, 0x57, 0x3B, 0x12, 0x07, 0x3C, 0x1C, 0x3A, 0x15, 0x05, 0x0B, 0x08, 0x06, 0x01,  
          0x04, 0x12, 0x16, 0x39, 0x05, 0x0B, 0x50, 0x57, 0x09, 0x12, 0x0A, 0x27, 0x13, 0x17, 0x0E, 0x02, 0x55, 0x18 ]  
tmp = []  
xor = b'feeddeadbeefcafe'  
  
def main():  
    for i in range(18):  
        for j in range(3):  
            tmp.append(lst[i + 18*j])  
    L = len(xor)  
    for i in range(54):  
        print(chr(xor[i%L] ^ tmp[i]), end = '')  
  
if __name__ == '__main__':  
    main()

转载于:https://www.cnblogs.com/zUotTe0/p/10629383.html

weixin_30553777
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CGCTF
weixin_43225801的博客
10-15 1279
CGCTF 第一题,hello,re。 小端序:高位数据放在高位地址,即输出相反; 大端序:高位数据放在低位地址,输出相同。 strcmp:设这两个字符串为str1,str2, 若str1==str2,则返回零; 若str1<str2,则返回负数; 若str1>str2,则返回正数。 ida:R键转换字符;f5查看伪代码。 第二题 下载后,用记事本打开文件,发现是对func函数的汇编解...
CG-CTF single
YenKoc的博客
04-10 375
一.拖入ida,先静态分析一下 发现有三个函数,点击进去看看 a1为0时,当a2[i]为0时,将自身的值赋值到该位置,a1为0时,就不需要动。 这三个函数都是在暗示这东西是个数独,每行每列,都有1到9的数字,并且不能重复。。。 把之前的数取出来,用在线的数组求解器操作一下 同时写个脚本,将之前不是零的地方改成0,就是flag shudu=[0x00, 0x03, 0x00, 0x06, ...
CG-ctf re 逆向基础学习
weixin_30314631的博客
03-11 438
Hello,RE! 下载程序后打开 把程序拖进ida 之后F5 查看到了代码 选中字符串点击R 可以得到 galfleW{emoc_oT_W_ERdlro}! emmmm 不是 倒过来 程序结束了 flag{Welcome_To_RE_World!} ReadAsm2 给出了一段c代码 int main(int argc, char co...
CGCTF平台web题writeup
test
10-25 1万+
前言 正文 签到题 10pt tips : 这一定是最简单的 连接 恩,key在源代码中 md5 collision 20pt 连接 直接贴出了代码 $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md5...
CGCTF——GBK Injection
知足且坚定,温柔且上进
02-10 394
该题提示是gbk数据库,所以咱们就有利用宽字节注入来解题的思路。 (%df%27是双字节不转义单引号实现注入的方法) 原理参考:https://blog.csdn.net/weixin_42419856/article/details/82872653 参考2:https://lyiang.wordpress.com/2015/06/09/sql%E6%B3%A8%E5%85%A5%EF%BC%...
My-CTF-Challenges
05-16
我的CTF挑战 周大福 名称 语 概括 等级 TCTF2018_决赛 给我看一下贝壳 Java Spring自动绑定/反序列化 中等的
saigar-ctf:Saigar CTF 平台
05-29
赛加尔CTF世界上第一个众包调查的 CTF 平台介绍Saigar CTF 是一个开源 CTF 平台,用于促进众包调查,可以扩展到数百个具有实时数据的并发用户。 Saigar CTF 平台促成的最大事件有500 多个用户,在6 小时内提交了8,...
google-ctf:Google CTF
02-04
Google CTF 该存储库列出了2017-2019 Google CTF中使用的大多数挑战以及可用于运行这些挑战的大多数基础结构。 重要信息-2017、2018、2019和2020文件夹中的代码具有未修复的安全漏洞。 这些是故意存在的,并且在...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也...
南邮CTF练习题——web题
热门推荐
dcison的博客
11-11 4万+
南邮CTF部分题解
CGCTF-综合题2-writeup
test
10-26 2446
前言 tips : 没有提示 链接 我个人认为这个题目非常的好,这道题虽然花了很长的时候,但是收获也很大。所以不放在writeup集合中,单独拿出来写了一篇。我写的CGCTF关于web的writeup请移步,点击这里。 正文 首先访问题目,发现好像挺正常的,没有发现什么提示。所以第一步做一个简单信息收集。 已知可能有价值的url http://cms.nuptzj.cn/ 首页 htt...
cgctf RE 480小时精通C++
qq_42192672的博客
12-17 440
咕王今天有点膨胀,解决了两个不需要靠脑子,只要靠眼睛的vm题目,就再看一个 480小时精通C++,啥意思,看不懂提示 拖进IDA,一大堆函数,这……ELF文件在linux底下运行一下,结果如下 处理可得加密后的flag bdacsN4jo`q_g<n[Eaw|3vWc[x1q{_tDuw)} 可以看到加密后的密文,靠关键字符串定位 可以看出是两个两个输出的 函数整体如下 ...
南邮CTF(cgctf)Misc MD5
天马行空
11-30 2017
题目链接:cgctf 这里有一段丢失的md5密文 e9032???da???08????911513?0???a2 要求你还原出他并且加上nctf{}提交 已知线索 明文为: TASC?O3RJMV?WDJKX?ZM 题目来源:安恒杯   给出一段不完整的md5值,和一段不完整的明文值。思路比较简单,明文中有3个未知的值,枚举即可。 26+26+9=61个字母和数字字符,再加上符号字符...
CG-CTF-Web-单身一百年
1stPeak's Blog
06-28 541
单身一百年 1.题目 2.我们访问题目地址,看到下图所示 3.二话不说,我们先来查看源码 4.我们看到链接是定向到index.php,但是我们点击_到这里找key__出现的却不是这个,原因是什么呢,请看下面两幅图的对比 5.由上面两幅图可以知道,这是在访问index.php的时候,被重定向了,好的,咱们来抓包!! 将被重定向的地址,修改为正确的index.php地址,注意web9也被重...
CG-CTF——你大概需要一个优秀的mac
weixin_43464124的博客
12-02 1784
由于上个星期比赛的原因,发现了自己许许多多的问题,尤其是在python方面,几乎是一片空白,所以这个星期恶补了一下python,算是搞清楚了一些,打算找个题练练手,不能纸上谈兵不是QAQ 这是CG-CTF一道老题了,之前因为不会python一直没写,今天就拿它来看看。 用IDA打开来看,是这样的: 很明显它是经过func1,xfunc1…xfunc5这六个函数一番操作之后达到check函数需要满足...
CG-CTF-Web-这题不是WEB
1stPeak's Blog
06-19 916
这题不是WEB 1.查看题目: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190619202147885.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxNjE3MDM0,size_1...
cgctf RE WxyVM1
qq_42192672的博客
12-08 442
之前沉迷各种实验,咕了真的有点久了……咕咕咕 自己分析虚拟机指令的能力一向是比较弱的,应该说主要就是基本没有练过,打算从简单开始练习 基本就是一个这样的一个ELF文件,拖进IDA分析 首先分析main函数 然后分析函数4005B6 流程基本就这样,三个一组,写个脚本逆回去就好 脚本,数据特别多…… dword_601060 = [0xC4, 0x34, 0x22, 0x...
CG-CTF-Web-/x00
1stPeak's Blog
07-01 1018
/x00 1.查看题目 2.进入题目,查看地址,如下图所示: 3.进行代码分析: if (isset ($_GET['nctf'])) { //检测nctf变量是否设置并且不为NULL if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE) //ereg,搜索nctf变量匹配的正则,这里的正则是首字母必须匹配到[1-9...
Ubuntu-CTF
最新发布
07-28
CTFd是一个用于举办和参加CTF(Capture The Flag)安全竞赛的平台。根据引用\[1\]和引用\[2\]的内容,你可以按照以下步骤在Ubuntu上搭建CTFd平台: 1. 首先,确保你已经安装了虚拟机并配置好了Ubuntu系统。具体的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值