GACTF复现 Easyre wp

最新推荐文章于 2021-01-27 20:19:33 发布
最新推荐文章于 2021-01-27 20:19:33 发布
阅读量171 收藏
点赞数
分类专栏: # RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43876357/article/details/108392144
版权

这也是一道虚拟机逆向题目:

首先改栈指针(alt+k),f5反编译主函数:

sub_8048DE2()可以看出这是一个虚拟机:

&unk_804B080找到opcode:

从主函数可以看到,在执行sub_8048838前,调用了前一个函数,对它进行动态patch
(直接点进去sub_8048838会发现是无意义代码)

反编译后的sub_8048838():

int __cdecl sub_8048838(_DWORD *a1)
{
  int v1; // ecx
  _BYTE *v2; // ST28_4
  int result; // eax
  unsigned int v4; // et1
  unsigned int v5; // [esp+2Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  while ( 1 )
  {
    if ( *(_BYTE *)a1[8] == 113 )                   // 没用到
    {
      a1[6] -= 4;
      *(_DWORD *)a1[6] = *(_DWORD *)(a1[8] + 1);
      a1[8] += 5;
    }
    if ( *(_BYTE *)a1[8] == 65 )                    // a1[1] += a1[2]
    {
      a1[1] += a1[2];
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 66 )                    // a1[1] -= a1[4]
    {
      a1[1] -= a1[4];
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 67 )                    // a1[1] *= a1[3]
    {
      a1[1] *= a1[3];
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 68 )                    // a1[1] /= a1[5]
    {
      a1[1] /= a1[5];
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 128 )                   // op ? (int)num            a1[9] = num             opn += 6
    {
      a1[return_a1_add_32_add_1((int)a1, 1u)] = *(_DWORD *)(a1[8] + 2);
      a1[8] += 6;
    }
    if ( *(_BYTE *)a1[8] == 119 )                   // a1[1] ^= a1[9]
    {
      a1[1] ^= a1[9];
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 83 )                    // 没用到
    {
      sub_80485F0(*(char *)a1[3]);
      a1[8] += 2;
    }
    if ( *(_BYTE *)a1[8] == 34 )                    // a1[1] >>= a1[2]
    {
      v1 = a1[2];
      a1[1] >>= v1;
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 35 )                    // a1[1] <<= a1[2]
    {
      v1 = a1[2];
      a1[1] <<= v1;
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 153 )                   // 跳出循环
      break;
    if ( *(_BYTE *)a1[8] == 118 )                   // 没用到
    {
      a1[3] = *(_DWORD *)a1[6];
      *(_DWORD *)a1[6] = 0;
      a1[6] += 4;
      a1[8] += 5;
    }
    if ( *(_BYTE *)a1[8] == 84 )                    // 没用到
    {
      v2 = (_BYTE *)a1[3];
      *v2 = sub_8048580();
      a1[8] += 2;
    }
    if ( *(_BYTE *)a1[8] == 48 )                    // a1[1] |= a1[2]
    {
      a1[1] |= a1[2];
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 49 )                    // a1[1] &= a1[2]
    {
      a1[1] &= a1[2];
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 9 )                     //a1[1] = 输入int64
    {
      a1[1] = dword_804B28C;
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 16 )                    // a1[9] = a1[1]
    {
      a1[9] = a1[1];
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 17 )                    // printf("%p\n", a1[1])
    {
      printf((const char *)&unk_804920C, a1[1]);
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 160 )                   // if (a1[1] == 0x26F8D100) opn++ else exit()
    {
      if ( a1[1] == 653840640 )
        ++a1[8];
      else
        exit();
    }
    if ( *(_BYTE *)a1[8] == 161 )                   // 输入flag, flag = byte_804B2E0
    {
      printf("flag:");
      sub_8048560(0, (int)byte_804B2E0, 40);
      if ( strlen((int)byte_804B2E0) != 33 )
        exit();
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 177 )                   // a1[9] = dword_804B2A0[0]
    {
      a1[9] = dword_804B2A0[0];
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 178 )                   // a1[9] = dword_804B2A4
    {
      a1[9] = dword_804B2A4;
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 164 )                   // op byte(num) ? ?         dword_804B2A0[num] = a1[1]             opn += 4(后两字节无效)
    {
      dword_804B2A0[*(unsigned __int8 *)(a1[8] + 1)] = a1[1];
      a1[8] += 4;
    }
    if ( *(_BYTE *)a1[8] == 179 )                   // a1[9] = dword_804B2A8
    {
      a1[9] = dword_804B2A8;
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 180 )                   // a1[9] = dword_804B2AC
    {
      a1[9] = dword_804B2AC;
      ++a1[8];
    }
    if ( *(_BYTE *)a1[8] == 193 )                   // op byte(num)         a1[1] = byte_804B2E0[num]               opn += 2
    {
      a1[1] = byte_804B2E0[*(unsigned __int8 *)(a1[8] + 1)];
      a1[8] += 2;
    }
    if ( *(_BYTE *)a1[8] == 194 )                   // op (int)num           if (a1[1] == num)                      opn += 5
    {
      if ( a1[1] != *(_DWORD *)(a1[8] + 1) )
        exit();
      a1[8] += 5;
    }
  }
  v4 = __readgsdword(0x14u);
  result = v4 ^ v5;
  if ( v4 != v5 )
    result = sub_8048590(v1);
  return result;

用下面的脚本来分析opcode:

dic = [
    (65, 'a1[1] += a1[2]', 1),
    (66, 'a1[1] -= a1[4]', 1),
    (67, 'a1[1] *= a1[3]', 1),
    (68, 'a1[1] /= a1[5]', 1),
    (128, 'a1[?] = %d', 6),
    (119, 'a1[1] ^= a1[9]', 1),
    (34, 'a1[1] >>= a1[2]', 1),
    (35, 'a1[1] <<= a1[2]', 1),
    (153, '跳出循环', 1),
    (48, 'a1[1] |= a1[2]', 1),
    (49, 'a1[1] &= a1[2]', 1),
    (9, 'a1[1] = 输入int', 1),
    (16, 'a1[9] = a1[1]', 1),
    (17, 'printf("%p\n", a1[1])', 1),
    (160, 'if (a1[1] == 0x26F8D100) opn++ else exit()', 1),
    (161, '输入flag, flag = byte_804B2E0', 1),
    (177, 'a1[9] = dword_804B2A0[0]', 1),
    (178, 'a1[9] = dword_804B2A4', 1),
    (164, 'dword_804B2A0[%d] = a1[1]', 4),
    (179, 'a1[9] = dword_804B2A8', 1),
    (180, 'a1[9] = dword_804B2AC', 1),
    (193, 'a1[1] = byte_804B2E0[%d]', 2),
    (194, 'if (a1[1] == %d)', 5)
]

def get_int(b):
    import struct
    return struct.unpack('I', b)[0]

with open('dump', 'rb')as f:
    b = f.read()

opn = 0
while (True):
    op = b[opn]
    for i in range(len(dic)):
        if op == dic[i][0]:
            code = dic[i][1]

            if op == 128:
                num = get_int(b[opn+2:opn+2+4])
                print(code % num)
            elif op == 164 or op == 193:
                num = b[opn+1]
                print(code % num)
            elif op == 194:
                num = get_int(b[opn+1:opn+1+4])
                print(code % num)
            else:
                print(code)

            opn += dic[i][2]
            break

输出伪代码:

a1[1] = 输入int

a1[9] = a1[1]     
a1[2] = 13        
a1[1] >>= a1[2]   
a1[1] ^= a1[9]              //a1[1] = a1[1] ^ (a1[1] >> 13)
a1[9] = a1[1]               //a1[9] = a1[1]

a1[2] = 9
a1[1] <<= a1[2]
a1[2] = 2029229568
a1[1] &= a1[2]
a1[1] ^= a1[9]              //a1[1] = ((a1[1] << 9) & 0x78f39600) ^ a1[1]
a1[9] = a1[1]               //a1[9] = a1[1]

a1[2] = 17        
a1[1] <<= a1[2]   
a1[2] = 2245263360
a1[1] &= a1[2]    
a1[1] ^= a1[9]              //a1[1] = ((a1[1] << 17) & 0x85d40000) ^ a1[1]
a1[9] = a1[1]               //a1[9] = a1[1]

a1[2] = 19
a1[1] >>= a1[2]
a1[1] ^= a1[9]              //a1[1] = (a1[1] >> 19) ^ a1[1]

if (a1[1] == 0x26F8D100) opn++ else exit()

a1[1] = 输入int
a1[?] = 255
a1[1] &= a1[2]
a1[?] = 2
a1[1] *= a1[3]
a1[?] = 24
a1[1] += a1[2]
dword_804B2A0[0] = a1[1]    // (a1[1] & 255) * 2 + 24

a1[1] = 输入int
a1[?] = 8
a1[1] >>= a1[2]
a1[?] = 255
a1[1] &= a1[2]
a1[?] = 7
a1[1] /= a1[5]
a1[?] = 33
a1[1] += a1[2]
dword_804B2A0[1] = a1[1]    // ((a1[1] >> 8) & 255) / 7 + 33

a1[1] = 输入int
a1[?] = 16
a1[1] >>= a1[2]
a1[?] = 255
a1[1] &= a1[2]
a1[?] = 187
a1[1] ^= a1[9]
a1[?] = 255
a1[1] += a1[2]
dword_804B2A0[2] = a1[1]    // (((a1[1] >> 16) & 255) ^ 187) + 255

a1[1] = 输入int
a1[?] = 24
a1[1] >>= a1[2]
a1[?] = 255
a1[1] &= a1[2]
a1[?] = 160
a1[1] -= a1[4]
a1[?] = 119
a1[1] += a1[2]  
dword_804B2A0[3] = a1[1]    // ((a1[1] >> 24) & 255) - 160 + 119

输入flag, flag = byte_804B2E0

a1[1] = byte_804B2E0[0]
a1[9] = dword_804B2A0[0]
a1[1] ^= a1[9]
if (a1[1] == 267)           // if (flag[i] ^ dword_804B2A0[0] == 267)

a1[1] = byte_804B2E0[1]
a1[9] = dword_804B2A4
a1[1] ^= a1[9]
if (a1[1] == 122)           // if (flag[i] ^ dword_804B2A0[1] == 122)

a1[1] = byte_804B2E0[2]
a1[9] = dword_804B2AC
a1[1] ^= a1[9]
if (a1[1] == 149)           // if (flag[i] ^ dword_804B2A0[3] == 149)

a1[1] = byte_804B2E0[3]
a1[9] = dword_804B2A8
a1[1] ^= a1[9]
if (a1[1] == 262)           // if (flag[i] ^ dword_804B2A0[2] == 262)

a1[1] = byte_804B2E0[4]
a1[9] = dword_804B2A4
a1[1] ^= a1[9]
if (a1[1] == 125)           // if (flag[i] ^ dword_804B2A0[1] == 125)

a1[1] = byte_804B2E0[5]
a1[9] = dword_804B2AC
a1[1] ^= a1[9]
if (a1[1] == 173)

a1[1] = byte_804B2E0[6]
a1[9] = dword_804B2A0[0]
a1[1] ^= a1[9]
if (a1[1] == 303)

a1[1] = byte_804B2E0[7]
a1[9] = dword_804B2A8
a1[1] ^= a1[9]
if (a1[1] == 357)

a1[1] = byte_804B2E0[8]
a1[9] = dword_804B2A0[0]
a1[1] ^= a1[9]
if (a1[1] == 301)

a1[1] = byte_804B2E0[9]
a1[9] = dword_804B2A0[0]
a1[1] ^= a1[9]
if (a1[1] == 303)

a1[1] = byte_804B2E0[10]
a1[9] = dword_804B2A8
a1[1] ^= a1[9]
if (a1[1] == 313)

a1[1] = byte_804B2E0[11]
a1[9] = dword_804B2A8
a1[1] ^= a1[9]
if (a1[1] == 269)

a1[1] = byte_804B2E0[12]
a1[9] = dword_804B2AC
a1[1] ^= a1[9]
if (a1[1] == 187)

a1[1] = byte_804B2E0[13]
a1[9] = dword_804B2A4
a1[1] ^= a1[9]
if (a1[1] == 8)

a1[1] = byte_804B2E0[14]
a1[9] = dword_804B2A8
a1[1] ^= a1[9]
if (a1[1] == 269)

a1[1] = byte_804B2E0[15]
a1[9] = dword_804B2A0[0]
a1[1] ^= a1[9]
if (a1[1] == 319)

a1[1] = byte_804B2E0[16]
a1[9] = dword_804B2A8
a1[1] ^= a1[9]
if (a1[1] == 314)

a1[1] = byte_804B2E0[17]
a1[9] = dword_804B2A8
a1[1] ^= a1[9]
if (a1[1] == 353)

a1[1] = byte_804B2E0[18]
a1[9] = dword_804B2A4
a1[1] ^= a1[9]
if (a1[1] == 87)

a1[1] = byte_804B2E0[19]
a1[9] = dword_804B2A0[0]
a1[1] ^= a1[9]
if (a1[1] == 288)

a1[1] = byte_804B2E0[20]
a1[9] = dword_804B2A8
a1[1] ^= a1[9]
if (a1[1] == 269)

a1[1] = byte_804B2E0[21]
a1[9] = dword_804B2A0[0]
a1[1] ^= a1[9]
if (a1[1] == 319)

a1[1] = byte_804B2E0[22]
a1[9] = dword_804B2A8
a1[1] ^= a1[9]
if (a1[1] == 319)

a1[1] = byte_804B2E0[23]
a1[9] = dword_804B2AC
a1[1] ^= a1[9]
if (a1[1] == 181)

a1[1] = byte_804B2E0[24]
a1[9] = dword_804B2A0[0]
a1[1] ^= a1[9]
if (a1[1] == 275)

a1[1] = byte_804B2E0[25]
a1[9] = dword_804B2AC
a1[1] ^= a1[9]
if (a1[1] == 160)

a1[1] = byte_804B2E0[26]
a1[9] = dword_804B2A0[0]
a1[1] ^= a1[9]
if (a1[1] == 289)

a1[1] = byte_804B2E0[27]
a1[9] = dword_804B2A8
a1[1] ^= a1[9]
if (a1[1] == 269)

a1[1] = byte_804B2E0[28]
a1[9] = dword_804B2A4
a1[1] ^= a1[9]
if (a1[1] == 11)

a1[1] = byte_804B2E0[29]
a1[9] = dword_804B2A8
a1[1] ^= a1[9]
if (a1[1] == 313)

a1[1] = byte_804B2E0[30]
a1[9] = dword_804B2A0[0]
a1[1] ^= a1[9]
if (a1[1] == 371)

a1[1] = byte_804B2E0[31]
a1[9] = dword_804B2A4
a1[1] ^= a1[9]
if (a1[1] == 70)

跳出循环

(其实知道flag格式为GACTF{XXXXX},所以其实前四个数可以不用去逆出来,直接试就好了...不过因为是赛后复现学习,还是尽量详细了qaq)

最终exp(c++版本):

int main()
{
	cout << char(11 + 256 ^ 332);
	cout << char(122 ^ 59);
	cout << char(149 ^ 214);
	cout << char(6 + 256 ^ 338);
	cout << char(125 ^ 59);
	cout << char(173 ^ 214);
	cout << char(47 + 256 ^ 332);
	cout << char(101 + 256 ^ 338);
	cout << char(45 + 256 ^ 332);
	cout << char(47 + 256 ^ 332);
	cout << char(57 + 256 ^ 338);
	cout << char(13 + 256 ^ 338);
	cout << char(187 ^ 214);
	cout << char(8 ^ 59);
	cout << char(13 + 256 ^ 338);
	cout << char(63 + 256 ^ 332);
	cout << char(58 + 256 ^ 338);
	cout << char(97 + 256 ^ 338);
	cout << char(87 ^ 59);
	cout << char(32 + 256 ^ 332);
	cout << char(13 + 256 ^ 338);
	cout << char(63 + 256 ^ 332);
	cout << char(63 + 256 ^ 338);
	cout << char(181 ^ 214);
	cout << char(19 + 256 ^ 332);
	cout << char(160 ^ 214);
	cout << char(33 + 256 ^ 332);
	cout << char(13 + 256 ^ 338);
	cout << char(11 ^ 59);
	cout << char(57 + 256 ^ 338);
	cout << char(115 + 256 ^ 332);
	cout << char(70 ^ 59);
}

最终exp(python版本):

a = 4293442714
a = 0xffe8bc9a

l = [0] * 4
l[0] = (a & 255) * 2 + 24
l[1] = ((a >> 8) & 255) // 7 + 33
l[2] = (((a >> 16) & 255) ^ 187) + 255
l[3] = ((a >> 24) & 255) - 160 + 119

print(l)

flag = [0] * 32

flag[0] = l[0] ^ 267
flag[1] = l[1] ^ 122
flag[2] = l[3] ^ 149
flag[3] = l[2] ^ 262
flag[4] = l[1] ^ 125
flag[5] = l[3] ^ 173
flag[6] = l[0] ^ 303
flag[7] = l[2] ^ 357
flag[8] = l[0] ^ 301
flag[9] = l[0] ^ 303
flag[10] = l[2] ^ 313
flag[11] = l[2] ^ 269
flag[12] = l[3] ^ 187
flag[13] = l[1] ^ 8
flag[14] = l[2] ^ 269
flag[15] = l[0] ^ 319
flag[16] = l[2] ^ 314
flag[17] = l[2] ^ 353
flag[18] = l[1] ^ 87
flag[19] = l[0] ^ 288
flag[20] = l[2] ^ 269
flag[21] = l[0] ^ 319
flag[22] = l[2] ^ 319
flag[23] = l[3] ^ 181
flag[24] = l[0] ^ 275
flag[25] = l[3] ^ 160
flag[26] = l[0] ^ 289
flag[27] = l[2] ^ 269
flag[28] = l[1] ^ 11
flag[29] = l[2] ^ 313
flag[30] = l[0] ^ 371
flag[31] = l[1] ^ 70

print(flag)
print(''.join(map(chr, flag)))

参考链接:
https://blog.csdn.net/tqydyqt/article/details/108312602
https://www.52pojie.cn/thread-1258424-1-1.html#33922724_re

43v3rY0unG
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GACTFEasyRe WriteUp
古月浪子的博客
08-31 623
IDA打开直接能看到main函数 可以看到,在执行sub_8048838前,调用了前一个函数,对它进行动态patch(直接点进去sub_8048838会发现是无意义代码) 这个动态patch代码的算法有点复杂,直接gdb下断点然后dump memory ./dmp 0x8048838 0x8048de0,然后用WinHex把dump出来的替换掉原本的,IDA重新打开patch后的,就可以了 可以看出来,这是一个虚拟机,main函数里有对其进行初始化的函数 同样在main函数中我们可以找到opcod
GACTF oldmodem writeup
汗的博客
09-01 1537
题目描述 old modem (bell 202) China: https://pan.baidu.com/s/184Trg9M94uVSekGycaAR_w (密码:5mp2) Overseas: https://drive.google.com/drive/folders/1T94OrcveHAZTmTCwaVCojLXYlJc3lL3f?usp=sharing Writeup 首先,modem是调制解调器(猫)的意思,Google发现bell 202是一种标准,完成这些信息收集后,正式开始 下载文件
GACTF easyre复现
苗_的博客
09-17 169
简单说一下函数逻辑: 首先输入38位char型数据过后进行三层加密encode_one, encode_two, encode_three,然后对比在程序里面存放的数据,如果相同则通过,否则就不通过 encode_one:base64编码(啊...这里源码看了好久...算是看到第二层输出并且看了个源码大概然后蒙出来的,换个表就容易懵...base64源码之前看的有点囫囵吞枣,单看源码还有点懵,主要是移位感觉没太学好的样子,最近再仔细学一下写篇博客) encode_two:每13个一...
GACTF复现 Checkin wp
苗_的博客
09-03 230
拿到附件,发现输入flag的时候,不输入,直接回车,会有下面的报错: 所以直接来到报错中出现的目录下,找到ruby脚本。 注意程序运行完之后会删除上面解压出来的那个目录,所以运行程序后,停在输入flag的那一步,接着去找上面的目录中的ruby脚本。 AES的ecb模式,有密文和密钥,然后直接在线解密: 这个报错有一部分是碰巧碰出来的,正常我们可以用process monitor来监测进程,找到ruby文件,具体见该师傅题解。 ...
GACTF2020 —— EasyRe Writeup
qq_43547885的博客
01-27 304
一道挺好的虚拟机加密+ SMC 的题 SMC 自解密部分 没有反调,因此分别在解密后把代码 dump 出来即可,这里使用 IDAPython 来读取内存数据def get_data(start_addr, end_addr): data = [] for ea in range(start_addr, end_addr): c = idc.Byte(ea) data.append(c) return data def unpack(): .
re学习笔记(69)WMCTF2020 - easy_re
逆向随笔
08-03 2210
IDA打开搜索字符串搜索不到, 有个perl,,搜了搜 这是又考验快速学习能力了,, 搜了半天的百度谷歌。(搜了半天没搜到啥有用的,, 最后在看雪论坛找到了这篇帖子https://bbs.pediy.com/thread-67651.htm 既然说会解压,,那我就x64dbg单步调试了,, 一直F8单步走,,跑飞就F7,,,, 然后一直单步到这里,瞅见代码了。 $flag = "WMCTF{I_WAnt_dynam1c_F1ag}"; print "please input the flag:"; $
GACTF easyRe
lhk124的博客
11-02 524
1111111111
GACTF】Checkin WriteUp
古月浪子的博客
08-31 404
运行程序后隔了半秒才出现输入flag的提示,且用IDA搜索字符串搜索不到出现过的字符串。 用OD附加后F9,直接退出,索性慢慢F8跟,一直到跟入sub_404920函数中 发现与文件读写有关,继续OD跟踪,一直到标黄处 可以在栈窗口中看到被写入的文件的路径 程序被断在了这里,文件应该不可能被清理,资源管理器打开看看 直接在src目录里有一个Checkin.rb源代码 require 'openssl' require 'base64' def aes_encrypt(key,encry
GACTF2020 checkin
lhk124的博客
09-08 261
题目虽然是签到题。但是我刚开始不知道该如何入手。 查看字符串,没有发现有用的内容。 有人会习惯性查看import table 应该学习。 除了有详细的地方需要动态调试之外,当静态看不出什么时,应该先动态调试起来。 动态调试时f8开始走,跑飞时f7进入。抽丝剥茧。不是无脑f8 f7。要注意使用的api 函数等等。 GetCommandLineA :检索当前进程的命令行字符串(即获取内容的api) CreateProcessA:创建新进程 在我OD载入并运行时出现了这情况。在ocr88A.tmp\s
GACTF crymisc writeup
汗的博客
09-02 698
题目描述 8.25 is Chinese Valentine’s Day.Yesterday my brother told me he was refused by a beautiful girl.He was sooooooooooooo sad and bursted into tears. 链接:https://pan.baidu.com/s/1EZzhnAa5Q4OD8y-YEAcjzQ 提取码:866h https://drive.google.com/drive/folders/1gDfMB
GACTF2020 WannaUp
lhk124的博客
09-08 330
要点:任何求余的操作都指明了一个点:限制了一个范围,从而限制了用到它的地方的范围 这道题的计算由 某一处的异或爆破+循环移位操作+异或运算 组成。 定位关键代码的几种方法 1.ida查找字符串,发现flag.bin和flag.txt。再使用x查找到了函数sub_402280 2.ida查看import表 发现如CryptDecryptGetWindowTextA 这类API,同样能定位到函数sub_402280 3.运行程序,一个gui界面,动态调试软件下断获取信息的api(r如GetDl..
GACTF trihistory writeup
汗的博客
09-01 512
知识点 docker各种命令使用&git使用、回滚&vim的.swp文件 题目描述 triple history docker pull impakho/trihistory:latest Write up 预备知识 在开始正式解题前,最好能知道docker各种命令使用&git使用 信息收集&正式解题 首先拉取镜像 docker pull impakho/trihistory:latest docker run impakho/trihistory:latest docke
GACTF2020 misc_crymisc
PushSafe
09-01 1067
GACTF2020 misc_crymisc 本人刚开始打ctf不久,希望各位师傅能对此文章提出宝贵的建议。 题目地址. 题目文件下载。866h 下载好的文件为:crymisc.docx 打开后显示报错,考虑将docx转换为zip文件查看docx文件里面的内容: 发现题目要求的文件打开3.jpg报错并提示密码错误,这时考虑zip伪加密 找到加密位置 改为00即可。 奇怪的知识又增加了: zip文件头信息 标准开头:50 4B 03 04 解压pkware版本:14 00 全局方式位标记: 00 00
BUUCTF_[ACTF新生赛2020]easyre
weixin_46009088的博客
11-05 2170
[ACTF新生赛2020]easyre 给IDA坑了,学到了学到了! 用IDA打开,有壳: 是exe文件,直接脱壳: 找到main函数: int __cdecl main(int argc, const char **argv, const char **envp) { char v4; // [esp+12h] [ebp-2Eh] char v5; // [esp+13h] [ebp-2Dh] char v6; // [esp+14h] [ebp-2Ch] char v7; // .
[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
mcmuyanga的博客
12-18 2241
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的堆块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N) add edit free show 这道题通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改__realloc_hook地址处的内容为one gadget地址,修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申
CTF-安全杂项(八)
→_→
08-31 1443
声明:以下CTF题均来自网上收集,在这里主要是给新手们涨涨见识,仅供参考而已。需要题目数据包的请私信或在下方留言。 15.Snake(来源:实验吧) 1.关卡描述 2.解题步骤 分析: 点击解题链接发现是一张蛇的图片,将其下载下来 发现是jpg格式的图片,如果是一张正常的jpg图片,那么它的结尾应该是FF D9...
MRCTF web部分复现wp
xlcvv的博客
04-05 696
一、ez_bypass 换个界面- 这个有点丑: GET两个参数:gg 和 id,md5值相同但本值不同,md5碰撞,之前有做过:,但是试了一些值都不行? 那就传入的为数组,md5()函数无法处理数组,如果传入数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。 显示出了You got the first steponly one way to get the fl...
GACTF2020 simpleflask& EZFLASK
汗的博客
09-03 1367
信息收集 直接访问,提示方法不允许 使用burpsuite,右键-change request method 提示了个name,猜测是参数 因为题目是flask,容易想到ssti,直接试name={{2*2}} 再试,因为可能是有过滤、waf之类的name={{2-2}},可以看到2-2有了结果 可以确定是存在ssti的,接下来就是具体的bypass和get flag了 bypass&利用 用burp进行一次fuzz,还做不到颅内ctf,以下是一个简单的fuzz字符list [ ] ( \
GJCTF官方WP 隐写+逆向
热门推荐
单核CPU的小朋友的博客
11-27 3万+
先分享一波题目链接:http://www.czlgjbbq.top/GJCTF/index.php 由于最近一直有人问我要GJCTF的WP,所以我就写了一份,以供参考,但是本WP只提供参考之用,不是唯一答案。 当前本平台共有 隐写题:3题 逆向:3题 WEB:13题 一、隐写题: ①题目链接:http://www.czlgjbbq.top/GJCTF/yx1.exe 成功下载文件后,使用winh...
"OPINIONDIGEST模型复现与性能评估:关键观点提取和意见归纳
在本次复现实验中,我们尝试复现了OPINIONDIGEST模型,并对其性能进行了评估。尽管在实验过程中发现与原论文中报告的计算指标存在一定的差异,但通过分析差异并进行适当的调整,我们成功获得了有价值的见解。通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值