2020第二届网鼎杯青龙组Reverse signal

最新推荐文章于 2023-07-21 11:06:38 发布
最新推荐文章于 2023-07-21 11:06:38 发布
阅读量1.2k 收藏 3
点赞数 1
分类专栏: CTF 网鼎杯 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43859686/article/details/106040210
版权

signal

Start

无壳,直接拖进IDA,F5
在这里插入图片描述
qmemcpy()内存复制,将unk_403040的内容复制到v4的地址下
跟进unk_403040看到一堆数据,整理后得到

  [0Ah,  4,10h,  8,  3,  5,  1,  4,20h,  8,  5,  3,  1,  3,  2,  8,0Bh,  1,0Ch,  8,  4,  4,  1,  5,  3,  8,  3,21h ,  1,0Bh,  8,0Bh,  1,  4,  9,  8,  3,20h,  1,  2,51h ,  8,  4,24h ,  1,0Ch,  8,0Bh,  1,  5,  2,  8,  2,25h ,  1,  2,36h ,  8,  4,41h ,  1,  2,20h,  8,  5,  1,  1,  5,  3,  8,  2,25h ,  1,  4,  9,  8,  3,20h,  1,  2,41h ,  8,0Ch,  1,  7,22h ,  7,3Fh ,  7,34h ,  7,32h ,  7,72h ,  7,33h ,  7,18h,  7,A7h,FFh,FFh,FFh,  7,31h ,  7,F1h,FFh,FFh,FFh,  7,28h ,  7,84h,FFh,FFh,FFh,  7,C1h,FFh,FFh,FFh,  7,1Eh,  7,7Ah]

之后将该数据传入vm_operad函数中,并且发现该数组的长度为114.

跟进vm_operad函数
看到关键语句switch_case, 外面的v4传入后变成了a1,通过a1下的不同值去执行对应的case

发现case 7 是对输入的字符串进行验证,然后发现v10作为索引,初始值为0,也就是说第一次传入的值为0Ah, 对应case10

case 7:
  if ( v4[v8] != a1[v10 + 1] )
    {
      printf("what a shame...");
      exit(0);
    }
    ++v8;
    v10 += 2;
    break;

该条件下调用了read函数,参数为v3

case 10:
    read(v3);
    ++v10;
    break;

跟进去可以发现,该函数就是输入函数,并将值存储到v3中,长度为15

size_t __cdecl read(char *a1)
{
  size_t result; // eax

  printf("string:");
  scanf("%s", a1);
  result = strlen(a1);
  if ( result != 15 )
  {
    puts("WRONG!\n");
    exit(0);
  }
  return result;
}

之后对case进行分析,可将case分为3类,
第一类:验证case,

case 7:
	if ( v4[v8] != a1[v10 + 1] )
    {
      printf("what a shame...");
      exit(0);
    }
    ++v8;
    v10 += 2;
    break;

这里a1的值是写死的,说明是对v4的值的进行验证,也就是说输入的字符串经过一系列操作之后存到了v4

第二类:处理字符

case 2:
  v5 = a1[v10 + 1] + v3[v9];
  v10 += 2;
  break;
case 3:
  v5 = v3[v9] - LOBYTE(a1[v10 + 1]);
  v10 += 2;
  break;
case 4:
  v5 = a1[v10 + 1] ^ v3[v9];
  v10 += 2;
  break;
case 5:
  v5 = a1[v10 + 1] * v3[v9];
  v10 += 2;
  break;
case 11:
  v5 = v3[v9] - 1;
  ++v10;
  break;
case 12:
  v5 = v3[v9] + 1;
  ++v10;
  break;

第三类:其它, 通过之前分析可以知道那段写死的数据并不存在0x06,并且可以发现case1就是移动到下一个字符,那么就可以以1作为分隔符,对那段写死的数据进行整理。case8就是将运算后的值赋给v3,因为第一次运算后的值是以v5当中间变量

case 1:
  v4[v7] = v5;
  ++v10;
  ++v7;
  ++v9;  
  break;
case 6:
  ++v10;
  break;
case 8:
  v3[v6] = v5;
  ++v10;
  ++v6;
  break;

可以发现7出现了15次,并且是对数据进行验证,那么7后面跟着的就是加密后的字符,
再次整理后:

0Ah,  
4,10h,  8,  3,  5,  1,  
4,20h,  8,  5,  3,  1, 
3,  2,  8,0Bh,  1
,0Ch,  8,  4,  4,  1,  
5,  3,  8,  3,21h ,  1,
0Bh,  8,0Bh,  1, 
4,  9,  8,  3,20h,  1, 
2,51h ,  8,  4,24h ,  1,
0Ch,  8,0Bh,  1, 
5,  2,  8,  2,25h ,  1,
2,36h ,  8,  4,41h ,  1,
2,20h,  8,  5,  1,  1,
5,  3,  8,  2,25h ,  1,
4,  9,  8,  3,20h,  1, 
2,41h ,  8,0Ch,  1, 
7,22h ,  
7,3Fh , 
7,34h ,  
7,32h ,  
7,72h , 
7,33h , 
7,18h,  
7,A7h,FFh,FFh,FFh, 
7,31h , 
7,F1h,FFh,FFh,FFh,
7,28h , 
7,84h,FFh,FFh,FFh, 
7,C1h,FFh,FFh,FFh, 
7,1Eh,  
7,7Ah

刚好以1结尾的有15个,7开头的有15个

分析case发现,在加密的case中,v5是作为中间字符的存在,v9v3的下标,v6也是v3的下标,所以v9v6这里直接视为同一个,v7v4的下标,但是由于是顺序加密的所以v7v6v9的值是相同的

这里会存在0xFFFFFF开头的数据,这里只是自动填充,参与运算的只有低八位,而且v5的宽度也只是八位,所以不影响。
将加密后的数据提取出来得到:

0x22, 0x3F, 0x34, 0x32, 0x72, 0x33, 0x18, 0xA7, 0x31, 0xF1, 0x28, 0x84, 0xC1, 0x1E, 0x7A

将每一个字符要加密的casekey分开:

data = [[4, 0x10, 8, 3, 5, 1]
    , [4, 0x20, 8, 5, 3, 1]
    , [3, 2, 8, 0x0B, 1]
    , [0x0C, 8, 4, 4, 1]
    , [5, 3, 8, 3, 0x21, 1]
    , [0x0B, 8, 0x0B, 1]
    , [4, 9, 8, 3, 0x20, 1]
    , [2, 0x51, 8, 4, 0x24, 1]
    , [0x0C, 8, 0x0B, 1]
    , [5, 2, 8, 2, 0x25, 1]
    , [2, 0x36, 8, 4, 0x41, 1]
    , [2, 0x20, 8, 5, 1, 1]
    , [5, 3, 8, 2, 0x25, 1]
    , [4, 9, 8, 3, 0x20, 1]
    , [2, 0x41, 8, 0x0C, 1]]

尝试了一下,发现逆向写的话比较麻烦,所以这里直接遍历去试出flag

exp.py
encrypts = [0x22, 0x3F, 0x34, 0x32, 0x72, 0x33, 0x18, 0xA7, 0x31, 0xF1, 0x28, 0x84, 0xC1, 0x1E, 0x7A]

data = [[4, 0x10, 8, 3, 5, 1]
    , [4, 0x20, 8, 5, 3, 1]
    , [3, 2, 8, 0x0B, 1]
    , [0x0C, 8, 4, 4, 1]
    , [5, 3, 8, 3, 0x21, 1]
    , [0x0B, 8, 0x0B, 1]
    , [4, 9, 8, 3, 0x20, 1]
    , [2, 0x51, 8, 4, 0x24, 1]
    , [0x0C, 8, 0x0B, 1]
    , [5, 2, 8, 2, 0x25, 1]
    , [2, 0x36, 8, 4, 0x41, 1]
    , [2, 0x20, 8, 5, 1, 1]
    , [5, 3, 8, 2, 0x25, 1]
    , [4, 9, 8, 3, 0x20, 1]
    , [2, 0x41, 8, 0x0C, 1]]

for_each = ['a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u',
            'v', 'w', 'x', 'y', 'z', 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P',
            'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', '1', '2', '3', '4', '5', '6', '7', '8', '9', '0']


def encrypted(c, li):
    # print(li)
    x = 0
    while x < len(li):
        if li[x] == 2:
            c = c + li[x + 1]
            x += 2
        elif li[x] == 3:
            c = c - li[x + 1]
            x += 2
        elif li[x] == 4:
            c = c ^ li[x + 1]
            x += 2
        elif li[x] == 5:
            c = c * li[x + 1]
            x += 2
        elif li[x] == 11:
            c = c - 1
            x += 1
        elif li[x] == 12:
            c = c + 1
            x += 1
        elif li[x] == 8:
            x += 1
        elif li[x] == 1:
            break
    res = c
    return res


if __name__ == '__main__':
    flag = ''
    for x in range(len(encrypts)):
        for i in for_each:
            tmp = encrypted(ord(i), data[x])
            if tmp == encrypts[x]:
                flag += i
                break
            else:
                continue
    print('flag{%s}' % flag)

# flag{757515121f3d478}
ps:因为写代码比较菜,所以其实比赛的时候是手动算的,代码是比完赛才写的
这个题不难,最开始感觉难是因为它循环了一百多次,但仔细分析后发现是有规律的也就不难了。

End

顾殇の点
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[re]符号执行一把梭:2020网鼎杯青龙re_signal_wp
Breeze的博客
05-15 1万+
[re]符号执行一把梭:2020网鼎杯青龙re_signal_wp 这道题是2020网鼎杯青龙的一道逆向提signal,一道虚拟机逆向题目,题目本身不难,可以直接分析也可以符号执行秒掉。 题目分析 正常windows逆向,开局直接输flag,也不多bibi: 逆向分析程序: 程序开始将全局变量区的opcode作为参数给vm_operad函数,看名字也能看出是一个虚拟机分析的题目,先把opcode提取出来: \x0A \x04 \x10 \x08 \x03 \x05 \x01 \x04 \x20 \x
Kernel pwn 入门 (3)
CoLin的pwn小屋
07-08 1712
kernel pwn 入门之 ret2dir
memcpy函数详解 看这一篇就够了-C语言(函数讲解、 使用用法举例、作用)
kim的博客
07-21 14万+
memcpy()函数用于:复制内存块
内存函数(memcpy、memmove、memset、memcmp)
weixin_73450183的博客
01-17 2662
内存函数保姆级教程(memcpy、memmove、memcmp、memset)包理解哦
C函数之memcpy()函数用法
zou_albert的博客
03-06 1万+
目录1 基本介绍1.1 函数原型1.2 功能1.3头文件1.4 返回值2 说明3 使用例子3.1 作用:将s中的字符串复制到字符数d中。3.2 作用:将s中第14个字符开始的4个连续字符复制到d中。(从0开始)3.3 作用:复制后覆盖原有部分数据 1 基本介绍 1.1 函数原型 void *memcpy(void*dest, const void *src, size_t n); 函数原型 void *memcpy(void *dest, const void *src, int count) {
2020网鼎杯.zip
07-20
网鼎杯】是一项旨在提升网络安全能力的比赛,它涵盖了多种网络安全技术,如逆向工程(Reverse Engineering)、pwn(破解)以及密码学等。 【逆向工程】是一种技术,它涉及分析软件或硬件的功能,以了解其工作原理...
Reverse 2020网鼎杯 bang Writeup(安卓简单的加壳)
01-03
先拿 jadx 看了下,没有activity类,这里可以注意到 AndroidManifest.xml 无写权限(第3步会说明) 使用apktool回编译: java -jar apktool_2.4.1.jar b signed apk在 signed/dist 里,install 报错 INSTALL_...
网鼎杯-第三场-逆向-i like pack
08-28
2018年8月28日10:20:45--网鼎杯-第三场-逆向-i like pack
C语言内存函数(memcpy、memmove、memcmp)详解
cdnio的博客
07-21 9012
memove函数为内存移动函数,也就是将来源空间内容移动到目的地空间之中。相当于拷贝。其参数类型和返回值和memcpy完全相同,其含义为将source(来源)前num个字节数空间的内容移动到destination(目的地)空间之中,和拷贝含义几乎相同。这就过多介绍了。其用法也基本相同,只不过,memmove函数可以处理重叠内存空间的拷贝。直接看实例memcmp函数为内存比较函数,其与字符串比较函数strcmp函数相像,不同的是memcmp函数可以既可以比较整形、浮点型,也可以比较字符串。
memmove、memcpy和memccpy简介
merryken的专栏
06-24 788
memmove、memcpy和memccpy三个函数都是内存的拷贝,从一个缓冲区拷贝到另一个缓冲区。 memmove(void *dest,void*src,int count) memcpy(void *dest,void *src,int count) memccpy(void*dest,void*src,int ch,int count) 表头文件: #include 定义函
【C库函数】memcpy函数详解
威威的博客
03-23 8082
详解memcpy函数
memcpy的用法总结
热门推荐
lovemysea的专栏
02-01 18万+
1、memcpy 函数用于 把资源内存(src所指向的内存区域) 拷贝到目标内存(dest所指向的内存区域);拷贝多少个?有一个size变量控制拷贝的字节数;函数原型:void *memcpy(void *dest, void *src, unsigned int count);用法:(1)可以拷贝任何类型的对象,因为函数的参数类型是void*(未定义类型指针),也就是说传进去的实参可以是int*
2020网鼎杯 signal wp(buu复现)
苗_的博客
08-03 327
很久之前就想着要复现,结果忘记了...一直拖到现在... 找到关键函数:vm_operad() 点进去看看: int __cdecl vm_operad(int *a1, int a2) { int result; // eax char v3[100]; // [esp+13h] [ebp-E5h] char v4[100]; // [esp+77h] [ebp-81h] char v5; // [esp+DBh] [ebp-1Dh] int v6; // [esp+DCh
re -16 buuctf [网鼎杯 2020 青龙]singal(angr使用)
weixin_45847059的博客
11-23 510
[网鼎杯 2020 青龙]singal 前话:先记录下angr的使用。参考了大佬的文章:https://blog.csdn.net/Breeze_CAT/article/details/106139253 在cmd中使用,不能在pycharm中使用。 >>> import angr >>> p = angr.Project(r'C:\Users\ASUS\Desktop\signal.exe') #地址前必须加r >>> state = p.facto
BUUCTF-[网鼎杯 2020 青龙]singal 1(angr用法)
weixin_61154173的博客
02-10 418
angr用法这道题之前看了看,主要是个switch语句,但是没有看太懂,然后我发现有用angr解这道题的,那时候还没接触,也没安装angr库,基本操作也不会,浅学了一下,还是不太精通,但是这道题是最基本的angr解法,所以用angr做一做。发现vm_operad是主要函数,而puts("good,The answer format is:flag {}");是你想要得到的,看它的反汇编记住地址,写脚本要用到。即初始参数用变量代替,模拟程序执行过程,维护执行到各个位置时的状态(用各个变量之间的代数关系表示)。
2020网鼎杯wp
qq_40648358的博客
05-11 4141
2020网鼎杯wp_XJUSECMISC签到WEBfilejavaAreUSerialznotesCRYPTOboomyou raise me upPWNboom1REsignaljockerbang MISC 签到 点进去是选战队图标 全部通过后会让输入token 然后能在console看到flag WEB filejava 打开题目,查看基本的功能后发现有一个文件下载功能,尝试穿越目录发现web.xml 再次寻找这几个servlet的字节码在classes/cn/abc/servle
网鼎杯2020——Re
weixin_43781139的博客
05-11 1044
joker 当我看到这题的名叫joker的时候,我就知道,这题很美好,没好了。但是为了线下赛,我哭着下载了题目,然后,然后我就真哭了。 老规矩,拿到题目先查壳: 拿到有用信息,32位,无壳,gcc编译。 用ida看一下程序大体结构: 这里你会发现,按下f5会报错 这里是堆栈的问题,解决连接如下: https://blog.csdn.net/xiangshangbashaonian/article/details/81950110 反编译主函数: 发现整体思路很清晰吖,输入长度为24,接下来就是一堆
2020第二届网鼎杯 青龙部分writeup
weixin_44145820的博客
05-11 1965
jocker 前面是一个假的flag,直接跳过omg函数 下面这段代码把0x401500-0x4015ba都亦或了0x41(也就是说在运行时修改了text段的encrypt函数),从而得到真正的encrypt函数 这段代码会把输入与字符串hahahaha_do_you_find_me?亦或,如果等于0x403040的那一串值,就通过 这串是0x403040:[0x0e, 0x0d, 9, 6, 0x13, 5, 0x58, 0x56, 0x3e, 6, 0x0c, 0x3c, 0x1f, 0x57, 0
14届蓝桥杯python模拟赛第二期真题
最新发布
09-18
14届蓝桥杯python模拟赛第二期真题是该竞赛的一个示例题目,以下是对该题目的回答。 题目要求参赛选手编写一个程序,实现以下功能:输入一个字符串,判断该字符串是否是回文串。回文串是指正读和反读都一样的字符串...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值