湖湘杯2020 easyre wp

最新推荐文章于 2022-02-08 01:35:57 发布
最新推荐文章于 2022-02-08 01:35:57 发布
阅读量478 收藏 1
点赞数
分类专栏: # RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43876357/article/details/109590119
版权

很久没有写题解博客了,最近忙着学习深度学习= =,湖湘杯这道题还是不错的,可以锻炼一下自己动态调试的能力,所以刚好在练习的过程中记录一下,方便以后回顾:

首先拿到文件,查壳发现无壳,运行一下大概就是先判断长度,再判断是否是正确flag:

长度错误就输出wrong length并退出。

拿到ida里看一下,发现没有很明显的入口函数,查找字符串找到input your flag:,找到主函数位置

f5看一下,发现没办法反编译,所以我们就直接上动态调试吧:

在0x40DA40下断点(f2),f8单步调试,发现到0x40DA72停住,进行输入:

先随便输入点东西,如’111‘,然后继续调试,到下图这一步,发现将eax的值和0x18进行比对,可以推断出0x40D920函数的作用就是获取输入的flag的长度,然后和24进行比较:

发现下面是je跳转,为了能够实现无条件跳转,我们对这条汇编进行一些修改

方法有两个:一、修改寄存器中的标志寄存器值,由于是je汇编指令,判断z标志位,双击就可以修改;二、修改汇编代码,将je汇编代码改为jmp实现无条件跳转。

这里我使用的是第二种方法,直接修改汇编指令:

继续调试发现函数返回到0x4048DA处,

这里就是整个程序的主要加密处:

(图中地址404919处的判断就是对于循环轮数的判断,如果循环了24次了就进行跳转出循环。)

最后一位数据操作如图:

将加密写成代码的话其实就是这样:

tmp = a[0] &0xe0
for i in range(len(a)-1):
    a[i] = ((a[i]<<3)|(a[i+1]>>5))&0xff
    a[i] = a[i] ^i
a[23] = (a[23]<<3)|(tmp>>5)

执行24次后继续调试,程序来到了这一代码段,因为上面已经对数据进行了一些操作,所以初步猜测这里很有可能是对比flag阶段:

可以看到是将操作后的数据与0x411000处的字符进行比较,那我们就去把0x411000处的字符dump出来:

基本的逻辑清楚之后,就可以进行暴力破解了:

(由于每两个字符之间都有联系,暴力破解的时候会比较麻烦,看了其他师傅博客,使用的是z3进行解决,指路

exp

from z3 import *

s = Solver()
flag = [BitVec('x%d'%i,8) for i in range(0x18)]

b = [0x2B, 0x08, 0xA9, 0xC8, 0x97, 0x2F, 0xFF, 0x8C, 0x92, 0xF0, 
  0xA3, 0x89, 0xF7, 0x26, 0x07, 0xA4, 0xDA, 0xEA, 0xB3, 0x91, 
  0xEF, 0xDC, 0x95, 0xAB]

for i in range(23):
    s.add(((flag[i]<<3|flag[i+1]>>5)&0xff) ^i == b[i])
s.add((flag[23]<<3|flag[0]>>5)&0xff == b[23])

if s.check() == sat:
    m = s.model()
    Str = [chr(m[flag[i]].as_long().real) for i in range(24)]
    print("".join(Str))

再将结果md5一下就是flag了:

看了wp之后感觉这题其实逻辑挺清晰的(但是我当时并没做出来= =,tcl)可以作为学习动态调试的例题。

 

43v3rY0unG
关注
专栏目录
2020湖湘-CRYPTO-LFSRXOR
zippo1234的博客
11-05 1119
2020HXB-CRYPTO-LFSRXORLFSRXOR题目分析开始1.题目2.数学理论3.回到题目(1)源代码(2)LFSR分析(3)content原文分析4.破解5.get flag结语参考 每天一题,只能多不能少 LFSRXOR 题目分析 可以说是被LFSR给骗了,其实跟LFSR根本没关系。 异或逆向 同原文不同密钥循环异或加密逆向 开始 1.题目 给了一个加密算法,两个enc在算法末端注释部分。 import numpy as np from pylfsr import LFSR from C
2020太湖 | Wp及复现
Lemon's blog
11-08 2691
Web 0x01:checkInGame 直接抓包拦截着,然后就玩游戏就可以了 0x02:easyWeb 抓包发现是python,而且有输入框,第一反应想到的便是ssti模板注入,但是过滤了{ },之前遇到的都是过滤了{{,这种还好绕过,但是没有接触过也没查到相关资料就回归到题目上去,发现了 字符规范器,是不是找一些特殊字符可以恢复成{这种形式,就找一下跟{类似的特殊符号试一下 果然可以替换成功 ︷︷config︸︸ 在测试过程中发现单引号也被过滤掉,单引号比较容易绕过,只需 ...
2020湖湘 wp
weixin_46330722的博客
11-02 1978
2020湖湘 wpweb题目名字不重要反正题挺简单的NewWebsite 今天打了下湖湘,签到选手上线。 web 题目名字不重要反正题挺简单的 题目源码 <?php error_reporting(0); //I heard you are good at PHPINFO+LFI, flag is in flag.php, find it my dear noob vegetable hacker. if ( isset($_GET['file']) ) { $file = $_GET
re菜鸡笔记【1】-2020湖湘easyre
Return的博客
12-05 139
1.IDA打开寻找字符串 2.跟进函数f5查看伪代码,发现无法查看 3.容易解决,找到该地址f5分析 4.成功进入函数但是作用不大,只是判断输入字符串长度,开始od动态调试 看见关键字符串跟进下断点,继续单步向下,运行输入密码 5.找到关键加密段,进行分析 6.分析加密过程为主要是移位运算 7.继续单步跟踪到对比段 8.转到查看对比的原有密文数据 9.写出脚本运行得到flag 10.输入得到答案 11.将ea5yre_1s_50_ea5y_t0_y0u进行MD5加密 12.最终答案为C
2020湖湘CTF选拔赛部分wp
../../../../../../../
11-02 1961
Misc Misc1 颜文字之谜 提示说颜文字夺走了flag,Wireshark打开流量包,发现了一串base64隐写编码 导出转换 (。・∀・)ノ゙嗨Hi~ (@_@;)(@_@;)(@_@;) (+_+)?(。>︿<)_θ(。>︿<)_θ o(* ̄▽ ̄*)ブ゜ <(^-^)>(╯▽╰ )好香~~ ヽ(✿゚▽゚)ノ(@^0^) (^^ゞΨ( ̄∀ ̄)Ψ*★,°*:.☆( ̄▽ ̄)/$:*.°★* 。 ~\(≧▽≦)/~o(^▽^)o(¬‿¬)(*≧︶≦))( ̄▽ ̄* )ゞ┳━┳(╯‵
湖湘-re
qq_37439229的博客
11-02 1184
re1 ibm s/390 看逻辑就是个解方程,z3试一下,原本用bitvec,发现看上去就不怎么对,用int 就好了,真奇怪 from z3 import * table = [0x00, 0x00, 0xB2, 0xB0, 0x00, 0x00, 0x6E, 0x72, 0x00, 0x00, 0x60, 0x61, 0x00, 0x00, 0x56, 0x5D, 0x00, 0x00, 0x94, 0x2D, 0x00, 0x00, 0xAC, 0x79, 0x00, 0x00, 0x39, 0x1
BUUCTF Reverse/[ACTF新生赛2020]easyre
ookami6497的博客
07-19 5809
BUUCTF Reverse/[ACTF新生赛2020]easyre 发现UPX壳 进行脱壳 用IDA32位打开,找到main函数进行分析 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[12]; // [esp+12h] [ebp-2Eh] BYREF _DWORD v5[3]; // [esp+1Eh] [ebp-22h] _BYTE v6[5]; // [esp+2A
buu-[ACTF新生赛2020]easyre
qaq517384的博客
02-08 2450
查看文件信息 32位,UPX脱壳 查看main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char v4; // [esp+12h] [ebp-2Eh] char v5; // [esp+13h] [ebp-2Dh] char v6; // [esp+14h] [ebp-2Ch] char v7; // [esp+15h] [ebp-2Bh] char v8; // [esp+16h] [e
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5)
01-20
自己走过的路加wp辅助 信息收集加思路推理 点击一下/welcome.txt 回显 render 而且url处有异常 同理测试其他选项 通过猜测可知filehash的值就是/hint.txt中的算法得到的 从而 我们只要得到cookie_secret的值即可通过...
2019安恒一月月赛Re部分wp
siphre
01-29 1510
Re:1 来玩蛇吧   题目给了两个文件AnhengRe.exe和AnhengRe.pyc。 Notepad++打开发现是python3.6编译的 直接走python逆向的流程   .exe反编译成.pyc。使用的工具是pyinstxtractor或archive_viewer(官方),得到的文件缺少了12字节文件头,下载一个python3.6,用010editor扒一个python...
2020年第六届“湖湘”网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛.zip
11-01
2020年第六届“湖湘”网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛 真题。包含web,misc,pwn,reverse,crypto等20道题目。仅供学习交流。
2020年第六届“湖湘”网络安全技能大赛洞庭决赛第一场-理论答题赛
11-11
第六届“湖湘”网络安全技能大赛洞庭决赛第一场-理论答题赛200道原题,答题的时候保存的,跟大家分享一下,希望有需要的小伙伴可以自行学习一下。
2021湖湘web部分wp
fmyyy1的博客
11-14 1881
前言 快期末了这学期准备退役了,下学期继续努力(大二课怎么这么多啊!!!期末考怎么办啊!!!一节课没听啊!!!) 今天上线看看题 easywill 这题没啥好说,跟tp3的rce差不多 直接 ?name=cfile&value=/etc/passwd 就能文件包含,之后找不到flag,用拟态的的那个包含pearcmd.php就能getshell Pentest in Autumn 下个pom.xml附件 看到shiro <?xml version="1.0" encoding="UTF-8"
2018.11.18湖湘wp
uiop_uiop_uiop的博客
11-19 1505
1、签到 关注公众号,略。 2、HighwayHash64 根据题目名称以及里面的口算hash,结合着题目反汇编了解到这是一个hash算法,搜索得到哈希的源代码。 拖进ida里面,分析程序逻辑发现程序首先对输入的flag长度进行了一次hash验证需要等于一个16位hash,之后又对花括号当中的数字进行了hash验证,不成功就return 1。既然是一个hash算法,应该只有爆破了吧。先把长...
湖湘 | Misc Wp
Lemon's blog
11-09 2413
前言 全程卡死在验证码处,体验感爆棚 MISC
逆向ctf_2020湖湘Re_02
11-05 704
一、基础分析 把拿到的题目解压,将easyre.exe文件放入exeinfope(PEID也行)中进行查壳识别: 清楚明了,没壳。首先,运行下easyre.exe文件看看什么效果: 从查壳过程可以看到是32为程序。接下来进行静态分析,放入IDA32位中看看: 发现没有明显的入口函数(main()),结合上一步在IDA中搜索Input your flag:字符串,得到: 找到关键地方后,尝试对代码进行F5反汇编操作,发现: 目前为止,就可以结合IDA静态调试配合上OD动态.
湖湘re
Trick的博客
11-14 213
easy_c++ 长度32 关键字符串 v11是一个个字符 下面异或 写脚本 over python_exp: str = "7d21e<e3<:3;9;ji t r#w\"$*{*+*$|," v13 = '' for i in range(32): v11 = ord(str[i:i+1]) v13 += chr(i ^ v11) v11 ^= i print(v13) java_exp: public class Test { public stat
pwn-湖湘2020
doudoudedi
11-04 528
from pwn import * p=process('./bh') elf=ELF('./bh') libc=elf.libc context.terminal=['tmux','splitw','-h'] def menu(idx): p.sendlineafter(">>",str(idx)) def add(): menu(1) def show(idx): menu(2) p.sendlineafter("index?\n",str(idx)) de
湖湘2019两个密码题wp
s1054436218的博客
11-10 965
湖湘2019两个密码题wp   还是自己太菜的原因,这次湖湘只做出来4道题,然后5点的时候就放弃了去跟同学出去玩了,当时感觉进前50无望(这次湖湘py情况也很严重啊,可惜烽火台只报不封,挺恶心的)。不过无论如何,这次比赛还是有收获的,总结沉淀一下这两道密码学题目吧: Oracle padding attack   忘了这个题目是啥了,但是攻击原理就是针对CBC模式的特殊攻击方式,Oracl...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值