2020网鼎杯 signal wp(buu复现)

最新推荐文章于 2024-04-09 21:03:32 发布
最新推荐文章于 2024-04-09 21:03:32 发布
阅读量353 收藏 1
点赞数 2
分类专栏: # RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43876357/article/details/107761701
版权

很久之前就想着要复现,结果忘记了...一直拖到现在...

找到关键函数:vm_operad()

点进去看看:

int __cdecl vm_operad(int *a1, int a2)
{
  int result; // eax
  char v3[100]; // [esp+13h] [ebp-E5h]
  char v4[100]; // [esp+77h] [ebp-81h]
  char v5; // [esp+DBh] [ebp-1Dh]
  int v6; // [esp+DCh] [ebp-1Ch]
  int v7; // [esp+E0h] [ebp-18h]
  int v8; // [esp+E4h] [ebp-14h]
  int v9; // [esp+E8h] [ebp-10h]
  int v10; // [esp+ECh] [ebp-Ch]

  v10 = 0;
  v9 = 0;
  v8 = 0;
  v7 = 0;
  v6 = 0;
  while ( 1 )
  {
    result = v10;
    if ( v10 >= a2 )
      return result;
    switch ( a1[v10] )
    {
      case 1:
        v4[v7] = v5;
        ++v10;
        ++v7;
        ++v9;
        break;
      case 2:
        v5 = a1[v10 + 1] + v3[v9];
        v10 += 2;
        break;
      case 3:
        v5 = v3[v9] - LOBYTE(a1[v10 + 1]);
        v10 += 2;
        break;
      case 4:
        v5 = a1[v10 + 1] ^ v3[v9];
        v10 += 2;
        break;
      case 5:
        v5 = a1[v10 + 1] * v3[v9];
        v10 += 2;
        break;
      case 6:
        ++v10;
        break;
      case 7:
        if ( v4[v8] != a1[v10 + 1] )
        {
          printf("what a shame...");
          exit(0);
        }
        ++v8;
        v10 += 2;
        break;
      case 8:
        v3[v6] = v5;
        ++v10;
        ++v6;
        break;
      case 10:
        read(v3);
        ++v10;
        break;
      case 11:
        v5 = v3[v9] - 1;
        ++v10;
        break;
      case 12:
        v5 = v3[v9] + 1;
        ++v10;
        break;
      default:
        continue;
    }
  }
}

a1:


然后就主要分析一下这几个case都是做什么的:

  • 第一类:判断验证

(这里的a1是固定的值,与v4进行比较的数据可以理解为由上图内存中每个0x07后的数据构成的数组,v4是我们输入的字符串经过一系列操作存放的位置,v3为我们输入的字符串)

case 7:
    if ( v4[v8] != a1[v10 + 1] )
    {
      printf("what a shame...");
      exit(0);
    }
    ++v8;
    v10 += 2;
    break;
  • 第二类:基本处理字符操作
case 2:
  v5 = a1[v10 + 1] + v3[v9];
  v10 += 2;
  break;
case 3:
  v5 = v3[v9] - LOBYTE(a1[v10 + 1]);
  v10 += 2;
  break;
case 4:
  v5 = a1[v10 + 1] ^ v3[v9];
  v10 += 2;
  break;
case 5:
  v5 = a1[v10 + 1] * v3[v9];
  v10 += 2;
  break;
case 11:
  v5 = v3[v9] - 1;
  ++v10;
  break;
case 12:
  v5 = v3[v9] + 1;
  ++v10;
  break;
  • 第三类:中转赋值

这里v5其实就是一个中间值,把我们输入的字符串在第二类case经过一系列操作存在v5中,然后遇到case1就把v5赋值给v4,最后用v4去和a1比较,都相同就get flag!

case 1:
  v4[v7] = v5;
  ++v10;
  ++v7;
  ++v9;  
  break;
case 6:
  ++v10;
  break;
case 8:
  v3[v6] = v5;
  ++v10;
  ++v6;
  break;

逻辑就挺清楚的了,具体这些case是做什么的就不多说了(一些加减异或基本操作,自行理解),直接上脚本吧:

exp

这里用的是爆破的方法,也可以直接写出其逆过程+逆运算,从结果直接推出flag

encrypts = [0x22, 0x3F, 0x34, 0x32, 0x72, 0x33, 0x18, 0xA7, 0x31, 0xF1, 0x28, 0x84, 0xC1, 0x1E, 0x7A]

data = [[4, 0x10, 8, 3, 5, 1]
    , [4, 0x20, 8, 5, 3, 1]
    , [3, 2, 8, 0x0B, 1]
    , [0x0C, 8, 4, 4, 1]
    , [5, 3, 8, 3, 0x21, 1]
    , [0x0B, 8, 0x0B, 1]
    , [4, 9, 8, 3, 0x20, 1]
    , [2, 0x51, 8, 4, 0x24, 1]
    , [0x0C, 8, 0x0B, 1]
    , [5, 2, 8, 2, 0x25, 1]
    , [2, 0x36, 8, 4, 0x41, 1]
    , [2, 0x20, 8, 5, 1, 1]
    , [5, 3, 8, 2, 0x25, 1]
    , [4, 9, 8, 3, 0x20, 1]
    , [2, 0x41, 8, 0x0C, 1]]

for_each = ['a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u',
            'v', 'w', 'x', 'y', 'z', 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P',
            'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', '1', '2', '3', '4', '5', '6', '7', '8', '9', '0']


def encrypted(c, li):
    # print(li)
    x = 0
    while x < len(li):
        if li[x] == 2:
            c = c + li[x + 1]
            x += 2
        elif li[x] == 3:
            c = c - li[x + 1]
            x += 2
        elif li[x] == 4:
            c = c ^ li[x + 1]
            x += 2
        elif li[x] == 5:
            c = c * li[x + 1]
            x += 2
        elif li[x] == 11:
            c = c - 1
            x += 1
        elif li[x] == 12:
            c = c + 1
            x += 1
        elif li[x] == 8:
            x += 1
        elif li[x] == 1:
            break
    res = c
    return res


if __name__ == '__main__':
    flag = ''
    for x in range(len(encrypts)):
        for i in for_each:
            tmp = encrypted(ord(i), data[x])
            if tmp == encrypts[x]:
                flag += i
                break
            else:
                continue
    print('flag{%s}' % flag)

# flag{757515121f3d478}

 

43v3rY0unG
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020网鼎杯wp
qq_40648358的博客
05-11 4178
2020网鼎杯wp_XJUSECMISC签到WEBfilejavaAreUSerialznotesCRYPTOboomyou raise me upPWNboom1REsignaljockerbang MISC 签到 点进去是选战队图标 全部通过后会让输入token 然后能在console看到flag WEB filejava 打开题目,查看基本的功能后发现有一个文件下载功能,尝试穿越目录发现web.xml 再次寻找这几个servlet的字节码在classes/cn/abc/servle
2020网鼎杯青龙组Boom
05-12
【标题】"2020网鼎杯青龙组Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙组"可能是比赛中的一个分组或者阶段,可能...
BUUCTF-[网鼎杯 2020 青龙组]singal 1(angr用法)
weixin_61154173的博客
02-10 453
angr用法这道题之前看了看,主要是个switch语句,但是没有看太懂,然后我发现有用angr解这道题的,那时候还没接触,也没安装angr库,基本操作也不会,浅学了一下,还是不太精通,但是这道题是最基本的angr解法,所以用angr做一做。发现vm_operad是主要函数,而puts("good,The answer format is:flag {}");是你想要得到的,看它的反汇编记住地址,写脚本要用到。即初始参数用变量代替,模拟程序执行过程,维护执行到各个位置时的状态(用各个变量之间的代数关系表示)。
2020第二届网鼎杯青龙组Reverse signal
YuSec
05-10 1293
signal Start 无壳,直接拖进IDA,F5 qmemcpy()内存复制,将unk_403040的内容复制到v4的地址下 跟进unk_403040看到一堆数据,整理后得到 [0Ah, 4,10h, 8, 3, 5, 1, 4,20h, 8, 5, 3, 1, 3, 2, 8,0Bh, 1,0Ch, 8, 4, 4, 1, 5, 3, 8, 3,21h , 1,0Bh, 8,0Bh, 1, 4, 9, 8, 3,20h, 1, 2,5
2020——网鼎杯 (青龙组)signal
寻梦&之璐
03-30 9797
文章目录vm_operad函数功能read函数功能简介流程验证数据(逆向重点)逆向思维 vm_operad int __cdecl vm_operad(int *a1, int a2) { int result; // eax@2 char v3[100]; // [sp+13h] [bp-E5h]@4 char v4[100]; // [sp+77h] [bp-81h]@5 char v5; // [sp+DBh] [bp-1Dh]@5 int v6; // [sp+DCh] [bp-
2020网鼎杯 青龙组 逆向signal
lhk124的博客
11-25 631
signin 虚拟机题目 1.用angr解决 In [1]: import angr In [2]: p = angr.Project("./signal.exe") In [3]: init_state = p.factory.entry_state()
网鼎杯2020-reverse---signal
YANG12345_6的博客
05-17 1039
reverse signal 第一次接触虚拟机逆向,还不太清楚虚拟机逆向的原理等等,如有错误,请指正。 拖进ida查看伪代码: main函数: qmemcpy 给v4赋值,赋值内容是unk_403040函数,再看这个函数的内容: 是这一大段数据 再看vm_operad函数:这个函数里用到了403040函数,为了方便,将这个函数称作a1函数。 vm_operad函数里都是witch-case函数 因为v10,v9.。。太难辨认了,把它们分别改成了i、j、k、m、n 看case语句: case1: 赋值,
2020网鼎杯青龙组赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
apachecn#apachecn-ctf-wiki#[WPBUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
[re]符号执行一把梭:2020网鼎杯青龙组re_signal_wp
热门推荐
Breeze的博客
05-15 1万+
[re]符号执行一把梭:2020网鼎杯青龙组re_signal_wp 这道题是2020网鼎杯青龙组的一道逆向提signal,一道虚拟机逆向题目,题目本身不难,可以直接分析也可以符号执行秒掉。 题目分析 正常windows逆向,开局直接输flag,也不多bibi: 逆向分析程序: 程序开始将全局变量区的opcode作为参数给vm_operad函数,看名字也能看出是一个虚拟机分析的题目,先把opcode提取出来: \x0A \x04 \x10 \x08 \x03 \x05 \x01 \x04 \x20 \x
网鼎杯jocker&signal(angr)
最新发布
2301_81223471的博客
04-09 818
看了这个函数我们可以知道是这个函数出现了问题,它retf的数据为 0x4904 正常函数执行之后要返回调用这个函数的下一条指令,这样我们就知道了这里为什么会出现错误。它可以使指定的虚拟内存区域变为可读,可写,可执行,也可设置为不可访问,从而保护该区域。angr是一个支持多处理架构用于二进制分析的工具,它提供了动态符号执行的能力和多种静态分析的能力。符号执行,初始参数用变量替换,模拟程序的执行流程,维护执行到各个位置时的状态。第四个为指向变量的指针,这个变量接受指定区域的第一页的先前访问保护值。
网鼎杯 隐写WP
ZKCQM23的博客
08-21 1846
别人告诉了怎么做,原理不怎么明白。怎么操作都查了半天。。。贴出来分享一下。 图片打开后是这样的,用Stegsolve打开,以前只会打开点点点,也不知道是什么意思        这边左右点转换的是颜色通道,alpha,RGB(red,green,blue)。具体是什么也不明白。。。(这只是一个说操作的WP 把A0和G0通道保存(file-&gt;save as,随便换个文件名和图...
IDA插件Ponce(符号执行) 解决网鼎杯Re-signal
Hotspurs的博客
05-11 1950
这题很简单,最终的做题人数也体现了这一点。。 不过前段时间刚接触了Ponce这一IDA插件神器,就试一试比赛里好不好使。(主要就是懒,不想逆向分析算法了) main: 打印第8行puts,似乎就是success的意思; 看一下前面的vm_operad: 一个大while(1)循环,但对于Ponce来说,只需关心哪里输入,哪里success,哪里wrong。 这里的26行read函数就是要求输入长度为15 OK,开始下断点调试 首先,在scanf函数后一行下个断点,方便在栈中找
网鼎杯-青龙组-Web-Wp
XunanSec的博客
05-26 1191
0x01 开局一张图 一看就知道让我们代码审计 对于这种一长串的源码,还是逐步来解把 首先的解题思路就是查看CTF题目的命名和代码函数 CTF题目这里命名为AreUSerialz,我反正一眼看不出什么端详,打的CTF比较少,直接看函数名字 在下面可以看到有一个unserialize()函数,那这一题基本上就是考反序列化的知识了。 我们整体的浏览一边代码,来看一下程序的大概走向。 <?php include("flag.php"); highlight_file(__FILE__); cl
网鼎杯第一场wp
weixin_30482181的博客
08-21 368
网鼎杯第一场WriteUP—-china H.L.B 团队 文章地址:https://www.o2oxy.cn/1661.html 1、签到题 回复1f5f2e进入下一关 2、Clip 下载题目是Disk 文件。第一反应是linux虚拟硬盘。 用winhex 打开如图: 在winhex中第196280 发现了png的头文件如图: ...
复盘网鼎杯Re-Signal Writeup
Tigger.run 独立开发者 热爱逆向工程
05-17 536
0x0 引言 比赛时没能做出来这道题,当时我使用OD进行动态调试,分析出启动程序时初始化了数组,并且含有一个12分支的switch被嵌套在循环中,最终没能搞定,今天就复盘这道题。 0x1 查壳 无壳,并且编译时未启用ASLR技术,挺友好哈。 0x2 分析 main 这次学聪明了,先打开反汇编辅助插件查看伪代码(这对理解汇编逻辑有极大的帮助)。 可以看到在 main 函数中先调用了 __main() 随后复制内存到变量v4,随后v4被传入vm_operad() 容易想到,&unk_403040 是
buu练题记录7-[网鼎杯 2020 青龙组]singal
Asteri5m
04-17 212
0x00 查壳 首先拿到的是一个exe文件,所以先查壳,然后看看是32位还是64位的程序 32位的程序,无壳。进入IDA分析: 0x01 IDA分析 很容易就找到mian函数,逻辑简单,就一个函数。直接进入函数分析: int __cdecl vm_operad(int *a1, int a2) { int result; // eax char v3[100]; // [esp+13h] [ebp-E5h] char v4[100]; // [esp+77h] [ebp-81h] cha
buu cipher
10-23
Buu Cipher 是一种对称加密算法,也被称为布式密码。它是一种较为简单的加密算法,基于置换和替代的原理进行加密和解密。Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中的不同位置,增加了密文的复杂性。 其次,扩散步骤通过将每个字符替换为另一个字符来进一步混淆数据。此替换过程可以由算法中的扩散函数完成,该函数使用密钥和置换表来生成相应的替代字符。这样,明文中的每个字符都将被替换为不同的字符。 解密过程与加密过程相反。先使用相同的密钥和置换表进行扩散的逆向操作,将密文中的每个字符恢复为替代字符。然后使用相同的密钥和置换表进行混淆的逆向操作,恢复密文中字符的顺序,即可得到原始的明文。 尽管 Buu Cipher 是一种较为简单的加密算法,但它仍可以提供基本的保密性,以防止未授权者对加密数据的解读。然而,它的加密强度相对较低,可能容易受到密码分析方法的攻击。因此,在实际应用中,我们可能需要结合其他更为复杂和安全的加密算法来提高数据的保密性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值