2020网鼎杯 jocker wp(buu复现)

最新推荐文章于 2022-05-27 21:58:07 发布
最新推荐文章于 2022-05-27 21:58:07 发布
阅读量404 收藏
点赞数
分类专栏: # RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43876357/article/details/107869778
版权

f5之后发现,程序堆栈不平衡,不能直接反编译

options——general:

在0x401833这里改栈指针偏移,改成0,改成功之后就可以f5反编译了

可以看到主函数的逻辑还是比较简单的:

关键函数:wrong()  omg()  encrypt()

首先点进去wrong()函数,就是做一个加密,i 是偶数的时候进行异或操作,i 是奇数的时候进行减法操作
其次omg()函数,与所给字符串进行比较,这里直接上个小脚本:

s=[102, 107, 99, 100, 127, 97, 103, 100, 59, 86, 107, 97, 123, 38, 59, 80, 99, 95, 77, 90, 113, 12, 55, 102]
out=[]
for i in range(0,24):
    if i&1 :
        s[i]+=i
        out.append(s[i])
    else:
        s[i]^=i
        out.append(s[i])
for i in out:
    print(chr(i),end='')

得到结果明显是个假flag......flag{fak3_alw35_sp_me!!}

行吧,然后就再看看这个encrypt()函数,关键应该就在这里了,f5发现无法反编译
那就拖进od动态调试一下,在0x401833这里下个断点,执行到这里步入,然后ollydump一下程序形成新的exe

ida反编译一下新的exe,看下函数内部结构:

逻辑比较清晰,首先是把输入的内容和hahahaha_do_you_find_me?这个字符串进行异或19个字节,然后和v2全局变量进行比较,上脚本:

ans=[]
v2=[14, 13, 9, 6, 19, 5, 88, 86, 62, 6, 12, 60, 31, 87, 20, 107, 87, 89, 13]
str1='hahahaha_do_you_find_me?'
for i in range(0,19):
    ans.append(ord(str1[i])^v2[i])
for i in ans:
    print(chr(i),end='')

得到:flag{d07abccf8a410c
发现不全,找到主函数点进去看其他函数,找到sub_40159A()点进去查看:

这个v9是随机的,就觉得这个函数挺奇怪的,那这个就靠猜了....
因为flag最后一位肯定是" } ",是固定的,然后就写个异或脚本吧:

a = [0x25,0x74,0x70,0x26,0x3a]

b = ''
for i in a:
    b += chr(i ^ 71)

print(b)

得到:b37a}
完整拼接后得到flag{d07abccf8a410cb37a}

总结:
整个程序其实逻辑上不算特别难懂;
自己看汇编的能力还是有点差的;
其实这题最开始可以选择不改堆栈指针,直接去看汇编确定函数结构
后面也可以选择不选择ollydump,步入看函数逻辑,改假的flag内存使得整个程序走到finally函数然后再继续调试
传送门
还翻到了其他大佬的博客,前面分析函数差不多,后面用了ida动态调试,可以仔细去看看
还是要再多练一练看汇编的能力呀....

43v3rY0unG
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JOKER.ONE.pptx
04-27
JOKER.ONE生态白皮书 详情英文版+ffgsbb
Joker
10-25
Joker》在IT领域中,尤其是设计与排版行业,常常被提及,因为它与一种特定的字体或者设计风格有关。"Joker"这个名称可能指的是一个艺术化的、个性鲜明的字体,通常用于吸引眼球或者在创意设计中创造独特的效果。 ...
[网鼎杯 2020 青龙组]jocker
yidalipao1的博客
05-27 572
[网鼎杯 2020 青龙组]jocker SMC(self-Modifying Code): 自修改代码,程序在执行某段代码的过程中会对程序的代码进行修改,只有在修改后的代码才是可汇编,可执行的。在程序未对该段代码进行修改之前,在静态分析状态下,均是不可读的字节码。 查壳:32位无壳程序,直接拖ida 首先shift+f12搜索字符串,但是除了main函数中的一句请输入flag提示之外在没有什么有用的。 main函数 // positive sp value has been detecte
re学习笔记(61)2020网鼎杯-青龙组-Re部分WP
逆向随笔
05-10 2744
新手一枚,如有错误(不足)请指正,谢谢!! bang 找个软件一键脱壳,jeb打开就是flag,, signal 虚拟机指令,看了一下貌似不能逆,,就直接用angr跑了 import angr p = angr.Project('/home/cx330/Desktop/Debugging/signal.exe') state = p.factory.entry_state() sm = p.factory.simulation_manager(state) def good(state): retu
网鼎杯2020——Re
weixin_43781139的博客
05-11 1048
joker 当我看到这题的名叫joker的时候,我就知道,这题很美好,没好了。但是为了线下赛,我哭着下载了题目,然后,然后我就真哭了。 老规矩,拿到题目先查壳: 拿到有用信息,32位,无壳,gcc编译。 用ida看一下程序大体结构: 这里你会发现,按下f5会报错 这里是堆栈的问题,解决连接如下: https://blog.csdn.net/xiangshangbashaonian/article/details/81950110 反编译主函数: 发现整体思路很清晰吖,输入长度为24,接下来就是一堆
buu练题记录12-[网鼎杯 2020 青龙组]jocker
Asteri5m
04-28 241
0x00 IDA分析 IDA打开,发现不能F5 看提示知道是堆栈不平衡,所以先打开堆栈指针提示 发现这里有两个地方堆栈有突变 在这两个call的地方,ALT+K收到调节堆栈为0x0 成功F5,得到伪代码 通过这里的wrong和omg函数可以逆出来一个flag 0x01 exp1 假flag enc = [0x66,0x6B,0x63,0x64,0x7F,0x61,0x67,0x64,0x3B,0x56,0x6B,0x61,0x7B,0x26,0x3B,0x50,0x63,0x5F,0x4D,0x
网鼎杯2020 -----部分web--writeup
SopRomeo的博客
05-10 2044
AreUSerialz <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $co
PyPI 官网下载 | joker-0.0.5.tar.gz
01-28
标题中的"PyPI 官网下载 | joker-0.0.5.tar.gz"表明这是一个在Python Package Index(PyPI)官方源上发布的软件包,名为"joker",版本号为0.0.5,且以tar.gz格式提供。PyPI是Python开发者发布和分享自己编写的Python...
JOKER
10-24
标题“JOKER”可能指的是一个特定的字体或者与字体设计相关的项目,因为标签明确指出是“字体”。在IT行业中,字体设计是一个重要的领域,它涉及到用户界面、网站设计、图形设计等多个方面。设计师们经常使用各种...
joker:小丑可以将进程变成守护程序。 零配置
03-16
小丑 小丑可以将进程变成守护程序。通过安装$ nami install github.com/txthinking/joker或从源代码构建$ make用法joker: run ... 所有日志文件都基于PID存储在$ HOME / .joker中为什么有很多工具,例如systemd,supe
2020网鼎杯白虎组赛题.zip
05-15
比赛试题附件,其中包括misc,re,crypto,pwn,web只有题目,没有环境,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
2020网鼎杯.zip
07-20
2020网鼎杯 逆向 pwn 密码 隐写赛题,除web外均有
2020 第二届网鼎杯 boom wp
weixin_44533592的博客
05-10 729
2020 第二届网鼎杯 boom wp ​ ​ 卑微新手在线答题。。。。。 第二届网鼎杯-boom 下载附件得到一个boom.exe程序 打开是这样 根据提示继续 得到一串md5 加密的数据,使用在线解密 https://www.somd5.com/ 得到第一个答案 en5oy 继续下一个 解方程组,就直接硬着头皮的解答把 答案为: x=74 y=68 z=31 输入答案之后下一题 又是方程。。。。解一个 二元一次方程 x*x+x-7943722218936282=0 自己写了一个python脚
buuctf刷题记录21 [网鼎杯 2020 青龙组]jocker
ytj00的博客
08-01 889
今天挑战一下,结果最后还是看了别人的wp才写出来的 无壳,ida查看发现不能f5,原因堆栈不平衡 进行栈指针修改 修改出错的地方的栈指针偏移,快捷键alt+k,值改为0 然后就能f5了, 逻辑也不难,首先输入长度是24位,然后有三个关键函数 wrong(),omg(),encrypt() 先看wrong和omg,wrong函数,对输入的前24个进行加密 omg函数比较wrong加密结果和unk_4030C0地址的值是否相同 把unk_4030C0地址的值考出来,写个脚本 s=[102, 1
2020网鼎杯(青龙组)--WEB--AreUSerialz(反序列化)
a965527596的博客
05-17 2319
AreUSerialz 1.题目直接给出源码,分析源码发现是反序列漏洞,读代码发现通过get传入参数str,然后会利用is_valid()函数进行检测是否合法,函数限制只能出现ascii值在32-125之间的字符,而protected类型序列化出现的%00标识被url解码后ascii值为0,会被检测到,但是因为php7.1+对类属性的检测不严格,所以可以直接用public来进行序列化。 <?php include("flag.php"); highlight_file(__FILE__);
[pwn]星号格式化串:2020网鼎杯白虎组pwn quantum_entanglement wp
热门推荐
Breeze的博客
05-16 1万+
[pwn]星号格式化串:2020网鼎杯白虎组pwn quantum_entanglement wp 文章目录[pwn]星号格式化串:2020网鼎杯白虎组pwn quantum_entanglement wp题目分析利用方法1利用方法2 还是一个比较有意思的个格式化串题目,限制了输入长度,需要使用星号的格式化串完成利用。 题目分析 题目名字:量子纠缠,实际没啥关系,强行起名,首先查看安全策略: 没有PIE,程序的逻辑就让你输入first name和last name,然后就输出了: 然后逆向分析题目: 没
2020网鼎杯青龙组 部分wp
sanqin_的博客
05-18 598
2020网鼎杯青龙组部分题目解析
网鼎杯第四场wp
weixin_30247307的博客
08-29 224
网鼎杯第四场,完全被虐着打,根本就打不过, 已经更新了:https://www.o2oxy.cn/1817.html 转载于:https://www.cnblogs.com/liang2580/p/9556457.html
EIS2019-EzPOP
ro4lsc的博客
05-14 1397
做了这个题目,我收回我之前的话,我又懵逼了,不知道如何下手,还是自己的基础不够扎实,没关系,奥利给,淦!
linux matlab2020a
最新发布
07-29
- *1* *2* [Linux上安装Matlab2020a](https://blog.csdn.net/Joker00007/article/details/112338703)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值