CTF-攻防世界 Reverse新手练习解析

CTF 同时被 2 个专栏收录
2 篇文章 0 订阅
3 篇文章 0 订阅

博主也是CTF小白,入门ing。。。方向是RE + PWN。文章可能多有纰漏,但会持续更新更正。希望大家多多指出不足之处。

0x1. re1

解析:
这道题很简单:
打开.exe随便输点东西进去,发现不对,退出。
用IDA打开,点到十六进制视图
点IDA视图–打开子视图–字符串(英文版IDA应该就是view这种常见的单词)。或者直接按shift+F12。然后在一大堆东西中找到这个:flag get
在这里插入图片描述
英文应该都能看懂吧······这就是关键
双击,跳到十六进制视图窗口就可轻松获得flag:DUTCTF{We1c0met0DUTCTF}

0x2.game

n是灯的序列号,m是灯的状态
如果第N个灯的m为1,则它打开,如果不是,则关闭
起初所有的灯都关闭了
现在您可以输入n来更改其状态
但是你应该注意一件事,如果改变第N盏灯的状态,第(N-1)和第(N + 1)的状态也会改变
当所有灯都亮起时,将出现标志
现在,输入n
(来自谷歌翻译·······QAQ)

解析:
依旧什么都不用管,直接拖到IDA打开
shift+F12
Alt+T(搜索字符串),搜索: flag
直接跳出来:done!!!the flag is
双击,跳到IDA View-A(这里说一下,字符串窗口双击跳转的窗口是打开字符串窗口时停留的窗口。也就是说,当你页面停在IDA View-A时,你打开了字符串窗口,那在字符串窗口双击,就跳转到IDA View-A)
Ctrl+X(交叉引用)
F5(生成伪代码)
如下图
在这里插入图片描述
在这里插入图片描述

这里我们就初步接触到了逆向的加解密,加解密其实也就是算法的使用。这里加密比较简单,甚至都不能称为加密。*(&v2 + i)的值练起来就是flag的值
所以得到解密代码:(博主使用python,其他语言均可)

#v2:原代码v2-v58的值
v2 = [123,32,18,98,119,108,65,41,124,80,125,38,124,111,74,49,83,108,94,108,84,6,96,83,44,121,104,110,32,95,117,101,99,123,127,119,96,48,107,71,92,29,81,107,90,85,64,12,43,76,86,13,114,1,117,126,0]

#v59:原代码v59-v115的值
v59 = [18,64,98,5,2,4,6,3,6,48,49,65,32,12,48,65,31,78,62,32,49,32,1,57,96,3,21,9,4,62,3,5,4,1,2,3,44,65,78,32,16,97,54,16,44,52,32,64,89,45,32,65,15,34,18,16,0]

s = ""

for i in range(57):
    v2[i] = v2[i] ^ v59[i]
    v2[i] = v2[i] ^ 19
    s += chr(v2[i])
    
print(s)

得到flag:zsctf{T9is_tOpic_1s_v5ry_int7resting_b6t_others_are_n0t}

0x3.Hello,CTF

解析:
老办法,遇到.exe直接打开看看是啥玩意儿。随便输,发现会弹出来wrong,输出巨长字符串后会直接退出
拖到IDA打开,shift+F12
发现和我们的程序中有一个东西是匹配的:“wrong!\n”,关键点get到!
双击进IDA View-A,Ctrl+X,F5
在这里插入图片描述

简单的逻辑推理:
v9为我们的输入,长度≤0x11(10进制的17)
v10储存的就是v9,和v13进行比较。相同就success
到这里我们就知道输入必须就是v13这个字符串相同。但是发现引号中字符数>17,所以判断这是个16进制数表示的字符串(ASCII码),用网上16进制转字符串得到flag:CrackMeJustForFun

0x4.open-source

拿到源码了嘤嘤嘤,就直接IDE打开不解释!
源码如下图:
在这里插入图片描述
解析:
这个题不用逆向也能做,纯源码分析就能得到答案。
逆向做法:
随便输入几个参数编译链接执行发现wrong
拖IDA,shift+F12,发现“Get your key:”,双击,Ctrl+X+确定,F5
发现v3就是key,写出代码求得v3

v3 = 11 * (25 % 17) + 1628458542 + len("h4cky0u") - 1615810207
print(v3)

得到12648430,转16进制得到flag:c0ffee

0x5.simple-unpack

解析:
从题目就知道需要脱壳,但是让我们假装不知道QAQ!依旧还是拖到IDA里面看看,果然!
什么都看不懂······那还是老步骤:shift+F12,发现了一个关键字:upx,说明他是upx压缩的文件,所以就需要upx解压

这里博主还是推荐大家装一个kali,双系统或者虚拟机都可以。如果原本就用的Ubuntu等Linux可以忽略这句话QWQ

upx -d filename脱壳
在这里插入图片描述

拖到IDA,shift+F12直接得到flag:flag{Upx_1s_n0t_a_d3liv3r_c0mp4ny}

0x6.logmein

解析:
日常拖IDA,shift+F12
第一次经验性进You entered the correct password!\nGreat job!\n,发现反编译出来的函数没啥用,所以第二次选择进输入点Enter your guess(类似于找OEP时先找PUSHAD和POPAD)
在这里插入图片描述
逻辑分析:
v8是给定的字符串,v7是long long的数据类型
s是输入,v3是s的长度,v3必须≥v8的长度17,否则会进入提示输入错误的函数sub_4007C0()
重点是:(_BYTE *)&v7的意思是,把longlong型的v7强制转化为byte型的地址,简单的说,就是把它看成字符串(C语言字符串本质都是指针首地址+偏移)。
所以我们用先用v7的值10进制转16进制,然后16进制转文本得到:ebmarah
重点来了!为什么直接套这个字符串不对,根本原因是因为在机器虚拟化内存后,规定地址排列规则时使用了小端法(最低有效字节在前面)。因此我们真正的解码文本应该是把上面的答案倒过来写:harambe

v8 = ":\"AL_RT^L*.?+6/46"
v7 = 'harambe'

for i in range(len(v8)):
    char = ord(v7[i % 7]) ^ ord(v8[i])
    print(chr(char),end='')
    

得到flag:RC3-2016-XORISGUD

当然个人感觉最简单的办法还是C++重现一遍。。。就不用考虑这么多

#include <iostream>
using namespace std;

int main(){
	long long v7 = 28537194573619560;
	char *p = (char*)&v7;
	char v8[] = ":\"AL_RT^L*.?+6/46";
	for(int i = 0;v8[i]!=0;i++){
		v8[i] = v8[i]^p[i%7];
	}
	cout<<v8<<endl;
	return 0;
}

0x7. insanity

解析:
这个真的不知道咋解析······至于为啥放这里,也许就和题目所言一样吧,希望大家身心愉悦继续肝吧·······
拖IDA,shift+F12直接拿到flag:9447{This_is_a_flag}

0x8.no-strings-attached

这个题是真的有难度QAQ

解析:
正常步骤拖到IDA静态分析,shfit+F12,发现第一行赫然出现:/lib/ld-linux.so.2。看见这个大家心里应该都有数了,和linux有关没跑了。同时也说明这是个ELF文件
字符串没有关键字,就从IDA左边函数列表找到main函数双击进去,F5反汇编,再进到authenticate函数看看(有的东西做多了就知道了),如下:
在这里插入图片描述
此时就真的看英语了······计算s2的函数decrypt正是非常专业的术语:解密。
粗略的看一下下面的伪码,得出:ws是输入,ws==s2时就是正确的flag
此时我们需要转变一下思维:之前我们都是各种找、各种逻辑推断正确输入。但是我们忽略了一件事,那个与输入的比较的正确答案,一定是加载到内存里面之后,才与输入比较。要是我们能跟踪到这个正确答案储存在内存的位置然后把他拿出来,这不也行嘛!!!(Reverse!)

思路有了,还需要实际的操作。这里就不能用静态分析了。这里插一句,我们逆向分析分为静态分析和动态分析,直接拖到IDA反汇编看伪代码,逻辑推断等等都属于静态分析。换言之,在没有执行程序或程序是静态时的分析。
所以要用IDA动态调试ELF—IDA remote linux debugger

环境配置参考IDA动态调试ELF写的非常清楚

为了检验连通性,可以看看kali的命令行,如下图
kali检验

首先我们进入authenticate,F5,点左边设置断点,如下图(在s2刚被赋值完毕后停止,找s2的值)
在这里插入图片描述
然后按F9,编译链接运行到断点停止,如下图
在这里插入图片描述
这个时候,我们看到了s2就储存在寄存器eax中,所以我们在下面的Hex View窗口中右键,synchronized with,选eax,就能看到值啦,这就是flag,如下图
在这里插入图片描述
至此拿到flag:9447{you_are_an_international_mystery}

0x9.csaw2013reversing2

解析:拖到IDA中分析发现有重要的函数IsDebuggerPresent(),这个函数目的就是反调试(检测是否处于调试环境中)。既然如此千方百计阻止我们调试,那就直接OD动态走起。
我们拖到OD中,ctrl+n找到IsDebuggerPresent(),确定他的位置之后下断点开始调试程序,发现底下有两个对话框的代码(能看见注释那里有Flag,Text字样就ok),手动F8看一次,发现00C61000那里的函数没有执行。本着现在是“你不让干的事我偏要搞一次”的思想,我们修改程序跳转代码,发现flag赫然出现!
由于这样的方法强行改汇编跳转也存在“试”的成分,所以直接给修改完成的代码(修改了4处),如下图:
在这里插入图片描述

所以直接能拿flag啦:flag{reversing_is_not_that_hard!}

0xa.getit

解析:依旧老套路,拖IDA,shift+F12看字符串发现linux和一个很像flag形式的字符串"SharifCTF{???}",双击点进去,然后在左边的框找到主函数,反汇编成伪代码。如下图:在这里插入图片描述
简单分析代码:(重点是11~20行)s长度限定,v5条件选择,v3偏移量,用参数操作s,t为最终存放数组,最后用流写入tmp文件夹下的flag.txt中。但是/tmp是linux主目录下一个存放临时文件的文件夹,程序return后写入的临时文件也一并丢弃。

这里额外说一下,这道题可以用在linux环境下运行,然后设置断点去/tmp文件夹下找,或者直接更改流写入的目标文件夹都是可以的。这里我们使用windows纯代码分析的方法。

通过分析我们发现v3,v5已知,需要知道s和t。我们在IDA的IDA View-A的窗口中找到s的值,如下图

在这里插入图片描述
找t的值,代码如下:(注意这里是题目有bug!!!t的值是SharifCTF{???},可在16进制视图窗口查看)
在这里插入图片描述

最后写出代码

v5 = 0
s = 'c61b68366edeb7bdce3c6820314b7498'
t = ['S','h','a','r','i','f','C','T','F','{','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','?','}']
v3 = 0
l = len(s)
while(v5 < l):
    if( v5 & 1 ):
        v3 = 1
    else:
        v3 = -1
    t[10+v5] = chr(ord(s[v5])+v3)
    v5 += 1
flag = ''
for x in t:
    flag+=x
print(flag)

得到flag:SharifCTF{b70c59275fcfa8aebf2d5911223c6589}

0xB.python-trade

解析:
下载完文件发现是一个.pyc文件,百度得知.pyc文件其实是PyCodeObject的一种持久化保存方式(感兴趣可自行搜索学习)。所以思路就比较清晰了:用python反编译在线工具反编译这个.pyc文件得到源码,如下图
在这里插入图片描述
关键点:encode(flag) == correct
所以就很容易写出逆向解码的代码:

# encoding: utf-8
import base64
s = "XlNkVmtUI1MgXWBZXCFeKY+AaXNt"
flag = ""

#base64
b = base64.b64decode(s)# print(b)

#encode
for i in b:
    i -= 16
    i ^= 32
    flag += chr(i)
print(flag)

拿到flag:nctf{d3c0mpil1n9_PyC}

0xC.maze

解析:ELF文件,日常拖到IDA,查找字符串,交叉引用,F5大法好。
分析代码,s1储存输入对象,比较前5位是不是"nctf{",第25位最后一位是不是"}"。之后发现asc_601060中储存的是一个8*8的迷宫,迷宫如下:

  ******
*   *  *
*** * **
**  * **
**  * **
*  *#  *
** *** *
**     *
********

通过分析,发现v4是玩家输入的方向:‘O’–左,‘o’–右,’.’–上,‘0’–下,由迷宫得到轨迹:右下右右下下左下下下右右右右上上左左
所以flag就是:nctf{o0oo00O000oooo…OO}


到这里,整个攻防世界Reverse的Exercise area就解答完毕了,希望大家能多多交【pi】流【ping】!
RE真好玩~强颜欢笑.jpg

  • 6
    点赞
  • 8
    评论
  • 27
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

相关推荐
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值