picoCTF-RE-otp WP

最新推荐文章于 2023-08-28 12:09:42 发布
最新推荐文章于 2023-08-28 12:09:42 发布
阅读量597 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43781139/article/details/109102818
版权

今天被大佬学弟带着做了一道国外的ctf,质量果然和国内的套娃题不一样,挺有意思的,写个wp纪念一下。
64位elf文件,无壳,用ida64打开,主要算法代码如下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  char v4; // al
  char v5; // dl
  unsigned int v6; // eax
  int i; // [rsp+18h] [rbp-E8h]
  int j; // [rsp+1Ch] [rbp-E4h]
  char dest[100]; // [rsp+20h] [rbp-E0h]
  char v10; // [rsp+84h] [rbp-7Ch]
  char s1[104]; // [rsp+90h] [rbp-70h]
  unsigned __int64 v12; // [rsp+F8h] [rbp-8h]

  v12 = __readfsqword(0x28u);
  if ( argc > 1 )
  {
    strncpy(dest, argv[1], 0x64uLL);
    v10 = 0;
    for ( i = 0; (unsigned int)valid_char((unsigned int)dest[i]); ++i )
    {
      if ( i )
      {
        v4 = jumble((unsigned int)dest[i]);
        v5 = s1[i - 1] + v4;
        v6 = (unsigned int)((s1[i - 1] + v4) >> 31) >> 28;
        s1[i] = ((v6 + v5) & 0xF) - v6;
      }
      else
      {
        s1[0] = (char)jumble((unsigned int)dest[0]) % 16;
      }
    }
    for ( j = 0; j < i; ++j )
      s1[j] += 97;
    if ( i == 100
      && !strncmp(
            s1,
            "adpjkoadapekldmpbjhjhbaghlfldbhjdalgnbeedheenfoeddabpmdnliokcahomdphbcleipfgibjdcgmjcmadaomiakpdjcni",
            0x64uLL) )
    {
      puts("You got the key, congrats! Now xor it with the flag!");
      result = 0;
    }
    else
    {
      puts("Invalid key!");
      result = 1;
    }
  }
  else
  {
    printf("USAGE: %s [KEY]\n", *argv, envp, argv);
    result = 1;
  }
  return result;
}

大体看一下整体的正向思路是先检查输入的合法化,然后进行第一层加密,最后+97与一串字符串比较,然后根据给的提示把输入与给的字符串进行异或得到flag。接下来一层一层分析加密。
先看vaild_char函数:

signed __int64 __fastcall valid_char(char a1)
{
  if ( a1 > 47 && a1 <= 57 )
    return 1LL;
  if ( a1 <= 96 || a1 > 102 )
    return 0LL;
  return 1LL;
}

这里是限制输入为十六进制0~f
然后看一下jumble函数:

__int64 __fastcall jumble(char a1)
{
  char v2; // [rsp+0h] [rbp-4h]
  unsigned __int8 v3; // [rsp+0h] [rbp-4h]

  v2 = a1;
  if ( a1 > 96 )
    v2 = a1 + 9;
  v3 = 2 * (v2 % 16);
  if ( (char)v3 > 15 )
    ++v3;
  return v3;
}

传入的参数为我们的输入,这里做的变化经过分析发现是在干以下事情:
如果a1<=7,返回2a1,如果7<a1<=0x0Fh,返回2a1+1。
接下来分析第一层加密函数:

 for ( i = 0; (unsigned int)valid_char(dest[i]); ++i )
    {
      if ( i )
      {
        v4 = jumble(dest[i]);
        v5 = s1[i - 1] + v4;
        v6 = (unsigned int)((s1[i - 1] + v4) >> 31) >> 28;
        s1[i] = ((v6 + v5) & 0xF) - v6;
      }
      else
      {
        s1[0] = (char)jumble(dest[0]) % 16;
      }
    }

v4取出jumble返回的值,v5将输入的s[i-1]与s[i]相加,v6看似很迷茫,但经过动态调试发现v6一直为0,这里我就不管他了。有了v6看作0,s1[i]=v5&0xF,其实这个就等价于s1[i]=v5%16,这样这个加密就很清晰了。
这里还要注意s1[0] = (char)jumble(dest[0]) % 16这个,分析出s1[0]的值是很关键的,下面字符串第一个为a,‘a’-97=0,所以jumble(dest[0]) % 16应该是0,也就是我们第一个输入为0。
第二层加密是一个全体+97,很简单不多赘述。
接下来我写下我的解密脚本:

#include <iostream>
using namespace std;

int rejumble(int a)
{
    int v2 = a;
    unsigned __int8 v3;
    if (v2 < 15) {
        v3 = v2 / 2;
    }
    else {
        v3 = (v2 - 1) / 2;
    }
    return v3;
}

int main()
{
    char a[] = { "adpjkoadapekldmpbjhjhbaghlfldbhjdalgnbeedheenfoeddabpmdnliokcahomdphbcleipfgibjdcgmjcmadaomiakpdjcni" };
    int b[100] = { 0 };//-97后 0 3 15 9 10 14 0 3 0 15 4 10 11 3 12 15 1 9 7 9 7 1 0 6 7 11 5 11 3 1 7 9 3 0 11 6 13 1 4 4 3 7 4 4 13 5 14 4 3 3 0 1 15 12 3 13 11 8 14 10 2 0 7 14 12 3 15 7 1 2 11 4 8 15 5 6 8 1 9 3 2 6 12 9 2 12 0 3 0 14 12 8 0 10 15 3 9 2 13 8
    int c[100] = { 0 };

    for (int i = 0; i < 100; i++) {
        b[i] = (int)(a[i] - 97);
    }

    b[0] = 0;
    for (int i = 1; i < 100; i++) {
        if (b[i] - b[i - 1] < 0 || (b[i] - b[i - 1]) % 2 != 0) {
            if (b[i] - b[i - 1] < 0 && (b[i] - b[i - 1]) % 2 != 0) c[i] = rejumble(b[i] + 32 - b[i - 1]);
            else c[i] = rejumble(b[i] + 16 - b[i - 1]);
        }
        else {
            c[i] = rejumble(b[i] - b[i - 1]);
        }
    }

    for (int i = 0; i < 100; i++) {
        cout << hex << c[i];
    }
}

得到
09658219efa384c9147175f3825347315eddb290f2e0c4c3f0e87eb57e3647bb7b6458cc2b381c45f23ec529e77645a23cdd,与flag异或就是flag。

import binascii
Ans1 = "790ce176acf7c2b277040687b23e185b2bb0d0fcc1939bf782db10c1210218dc4b2b3c931a5c2f04ad5aa711d04175920aa0"
Ans2 = "09658219efa384c9147175f3825347315eddb290f2e0c4c3f0e87eb57e3647bb7b6458cc2b381c45f23ec529e77645a23cdd"
ans1 = binascii.unhexlify(Ans1)
ans2 = binascii.unhexlify(Ans2)
key = ""
for i in range(len(ans1)):
    key += chr(ans1[i] ^ ans2[i])
print(key)

flag:picoCTF{cust0m_jumbl3s_4r3nt_4_g0Od_1d3A_db877006}

孤客浪子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PicoCTF——Most Cookie思路讲解
npu2022303155的博客
04-25 835
1. 并没有手把手的步骤,只有一些经验。 2. 会有一些抓包图片来帮助理解,只是不知道有没有多此一举。
otp-view:OTP视图
05-10
OTP视图 准备使用一次性密码组件。 用法 XML格式 < com .hololo.library.otpview.OTPView android : layout_width = " match_parent " android : layout_height = " wrap_content " android : gravity = " ...
“黑客”营倒计时 - 体验由卡内基梅隆大学组织的信息安全竞赛
weixin_36841920的博客
02-21 330
眺望前方,有人看到是障碍,有人看到是更大的目标。PicoCTF 由卡内基梅隆大学组织,是全球最大面向中学生的网络信息安全竞赛。去年有7800多个队参赛。PwA队取得了前12%的优异成绩。在为期两周刺激的竞赛过程中,PwA的队员们挑战智力、毅力、体力,夺旗后的快乐感满满,在知识、能力和信心上,获得巨大提升。PicoCTF竞赛的设计原则是”玩乐中学” (Learn in play) ,极具趣味性和挑战...
picoCTF,Forensics,取证类,43/50
Allezima阿力代码
02-10 1496
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……
picoCTF,General Skills,基本技能类,34/34
Allezima阿力代码
12-28 1778
自己做的CTF,记录一下。后期不断编辑。
picoCTF 2023 Writeup By AheadSec
末初的CSDN博客
03-24 2350
picoCTF 2023 Writeup By AheadSec
picoctf_2018_are you root
最新发布
qq_62887641的博客
08-28 68
只free掉了v6的指针,也就是二号堆,并没有把申请的一号堆free掉,并且只清空了一号堆的[0]。然后free掉,进入tcache,然后再申请回来,此时的二号堆变成了。他会调用malloc()函数并且不会自身free。发现有个give_flag函数,基本调用就可以getflag了。第一个堆,申请0x10大小的堆,并且放入第二个堆的堆指针。的指针,指向的内容是5就可以getflag了。申请的二号堆,写入辣鸡数据,然后将[1]写入。所以再看一下free的过程。新的一号堆,里面存放着。他这里是申请两个堆,
行业分类-设备装置-OTP寄存器读写装置.zip
08-22
OTP寄存器,全称One-Time Programmable Register,是一种特殊类型的存储器,它只能被编程一次,一旦数据被写入,就不能再进行修改或擦除。这种特性使得OTP寄存器在很多应用中,特别是在设备配置、固件保护以及安全...
教育科研-学习工具-OTP寄存器读写装置.zip
08-13
OTP(One-Time Programmable)寄存器是一种特殊的存储器件,其设计目的是在编程一次后便不可再更改。这种特性使得OTP寄存器广泛应用于各种领域,包括教育科研和学习工具中,例如在教学实验、嵌入式系统设计、数字...
教育科研-学习工具-OTP寄存器的多次写入装置.zip
08-13
OTP,全称One-Time Programmable,是一种只允许编程一次的存储器。在教育科研领域,OTP寄存器常被用于教学和实验,让学生理解非易失性存储技术的基本原理和特性。这种寄存器一旦被写入数据,就不能再进行修改,这与...
教育科研-学习工具-OTP寄存器中的芯片标识符读写方法.zip
08-13
OTP(One-Time Programmable)寄存器是一种特殊的存储器,常用于存储固定的、不可更改的信息,如芯片制造商的标识符、设备序列号等。在教育科研领域,理解OTP寄存器的工作原理及其读写方法是电子工程和计算机科学...
picoCTF:picoCTF挑战的解决方案
03-31
微微CTF 您好,我将尽可能详细地发布针对picoCTF问题的解决方案。 我建议您先尝试自己解决问题,如果遇到困难,可以按照我的详细解决方案进行操作!
picoCTF-2020-撰写:picoCTF 2020解决方案的撰写
02-21
picoCTF 2020撰写 此存储库包含picoCTF 2020的字样,提示和解决方案。每个文件夹对每个类别都有相应的问题。 麻省理工学院 版权所有2021 Adam Jeniski和Caleb Garrick 特此免费授予获得该软件和相关文档文件(“软件”)副本的任何人无限制使用软件的权利,包括但不限于使用,复制,修改,合并的权利,发布,分发,再许可和/或出售本软件的副本,并允许具备软件的人员这样做,但须满足以下条件: 以上版权声明和本许可声明应包含在本软件的所有副本或大部分内容中。 该软件按“原样”提供,不提供任何形式的明示或暗示担保,包括但不限于对适销性,特定目的的适用性和非侵权性的担保。 无论是由于软件,使用或其他方式产生的,与之有关或与之有关的合同,侵权或其他形式的任何索赔,损害或其他责任,作者或版权所有者概不负责。软件。
picoCTF 2022 web
qq_61768489的博客
04-10 3230
Includes 看题目以为文件包含啥的 很简单,直接看源码,然后里面有 两个源码链接,点进去就是flag Inspect HTML 直接看源码。。 Local Authority 打不开网页 不过也是源码类的题目 Search source js源码找了半天没找到,还是在css翻到了 Forbidden Paths We know that the website files live in/usr/share/nginx/html/and ...
picoCTF - Day 1 - Warm up
0pr
08-30 502
picoCTF - Day 1 - Warm up
picoCTF,Cryptography,密码类,40/50
Allezima阿力代码
02-10 1243
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……
picoCTF,Binary Exploitation,二进制类,23/37
Allezima阿力代码
02-10 741
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……
picoctf——Insp3ct0r wp
m0_62851980的博客
03-25 325
打开网页没有什么信息,直接f12: 提示的很清楚了: <!-- Html is neat. Anyways have 1/3 of the flag: picoCTF{tru3_d3 --> 这一部分的注释告诉我们flag被分为了三部分,而已知: so,剩下的flag必在css和js里 用Ctrl r刷新网络,圈出来css和js: 可以知道myjs.js有一部分flag(3/3),直接网址输入myjs.js查看即可,同理,我们在查看器查看源码,可以看到css的名称..
picoctf_2018_echooo
z1r0的博客
03-12 320
picoctf_2018_echooo 查看保护 格式化字符串漏洞 攻击思路:flag在栈上,所以直接格式化字符串泄露即可,但是在这里需要注意小端序 在28的偏移开始,这时笔者直接用循环来爆破的,最后的结果为11,因为12的时候是null。 注意:小端序,两种方式,直接倒着输出,或者取每一个字节然后chr倒着拼接。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0'
最详细的MPU6050寄存器说明手册-中文
05-05
例如,MPU6050_RA_XG_OFFS_TC (0x00) 寄存器包含了X轴陀螺仪的温度补偿值,其bit7位是PWR_MODE,6到1位是XG_OFFS_TC,bit0位是OTP_BNK_VLD,表明OTP(一次编程存储器)银行的有效性。类似的,MPU6050_RA_YG_OFFS_TC ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值