VN2020公开赛-re1

最新推荐文章于 2023-10-29 19:50:02 发布
最新推荐文章于 2023-10-29 19:50:02 发布
阅读量189 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43990313/article/details/115253716
版权

很有意思的一道题,拿到程序尝试运行,发现缺少dll文件尝试下了几个文件也没什么用。打算直接ida分析。
拖入ida观察程序的逻辑,定位到main函数

__int64 __fastcall sub_140013AA0(__int64 a1, __int64 a2, __int64 *a3)
{
  char *v3; // rdi
  signed __int64 i; // rcx
  __int64 v5; // rax
  __int64 v6; // rax
  __int64 v7; // rax
  __int64 v8; // rax
  char v10; // [rsp+0h] [rbp-20h]
  struct _SYSTEM_INFO SystemInfo; // [rsp+28h] [rbp+8h]
  __int64 *j; // [rsp+78h] [rbp+58h]
  __int64 v13; // [rsp+98h] [rbp+78h]
  __int64 *v14; // [rsp+1A0h] [rbp+180h]

  v14 = a3;
  v3 = &v10;
  for ( i = 94i64; i; --i )
  {
    *(_DWORD *)v3 = -858993460;
    v3 += 4;
  }
  sub_1400110AA((__int64)&unk_140027033);
  GetSystemInfo(&SystemInfo);
  putchar(byte_140021004);
  putchar(byte_140021005);
  putchar(byte_140021006);
  putchar(byte_140021007);
  putchar(byte_140021019);
  putchar(byte_14002101A);
  putchar(byte_140021005);
  putchar(10);
  puts("Let me have a look at your computer...");
  for ( j = v14; *j; ++j )
  {
    v13 = *j;
    sub_140011226("%s\n", v13);
  }
  std::basic_ostream<char,std::char_traits<char>>::operator<<(std::cout, sub_140011127);
  dword_140021190 = SystemInfo.dwNumberOfProcessors;// 交叉引用定位到关键函数
  sub_140011226("now system cpu num is %d\n", SystemInfo.dwNumberOfProcessors);
  if ( dword_140021190 < 8 )
  {
    puts("Are you in VM?");
    _exit(0);
  }
  if ( GetUserNameA(Str1, &pcbBuffer) )
  {
    v5 = sub_140011172(std::cout, "this is useful");// 提示语句
    std::basic_ostream<char,std::char_traits<char>>::operator<<(v5, sub_140011127);
  }
  v6 = std::basic_ostream<char,std::char_traits<char>>::operator<<(std::cout, sub_140011127);
  v7 = sub_140011172(v6, "ok,I am checking...");
  std::basic_ostream<char,std::char_traits<char>>::operator<<(v7, sub_140011127);
  if ( !j_strcmp(Str1, "cxx") )
  {
    v8 = sub_140011172(std::cout, "flag{where_is_my_true_flag?}");
    std::basic_ostream<char,std::char_traits<char>>::operator<<(v8, sub_140011127);
    _exit(0);
  }
  system("pause");
  sub_1400113E3(&v10, &unk_14001DE50);
  return 0i64;
}

发现提示语句,提醒上面的system cpu num是有用的。使用交叉引用可以定位到关键代码。分析逻辑

__int64 sub_140013580()
{
  __int64 *v0; // rdi
  signed __int64 i; // rcx
  __int64 result; // rax
  __int64 v3; // [rsp+0h] [rbp-20h]
  int v4; // [rsp+24h] [rbp+4h]
  int j; // [rsp+44h] [rbp+24h]
  __int64 v6; // [rsp+128h] [rbp+108h]

  v0 = &v3;
  for ( i = 82i64; i; --i )
  {
    *(_DWORD *)v0 = 0xCCCCCCCC;
    v0 = (__int64 *)((char *)v0 + 4);
  }
  v6 = -2i64;
  sub_1400110AA((__int64)&unk_140027033);
  result = sub_140011384((unsigned int)dword_140021190);// 处理函数
  v4 = result;
  if ( (_DWORD)result == 607052314 && dword_140021190 <= 14549743 )// ('dword_140021190 = :', 123456)
  {
    for ( j = 0; j < 17; ++j )
    {
      putchar((unsigned __int8)(dword_140021190 ^ byte_140021008[j]));
      result = (unsigned int)(j + 1);
    }
  }
  return result;
}

找到用到dword_140021190的位置

result = sub_140011384((unsigned int)dword_140021190);// 处理函数
  v4 = result;
  if ( (_DWORD)result == 607052314 && dword_140021190 <= 14549743 )// ('dword_140021190 = :', 1083896751264)

这段限制了dword_140021190的大小,sub_140011384函数对数据进行处理,返回的结果为result == 607052314。当然下面还有对已知的byte_140021008和dword_140021190抑或运算输出结果。进入函数之后

signed __int64 __fastcall sub_140013890(int a1)
{
  __int64 *v1; // rdi
  signed __int64 i; // rcx
  signed __int64 result; // rax
  __int64 v4; // [rsp+0h] [rbp-20h]
  int v5; // [rsp+24h] [rbp+4h]
  int v6; // [rsp+44h] [rbp+24h]
  unsigned int v7; // [rsp+64h] [rbp+44h]
  int v8; // [rsp+160h] [rbp+140h]

  v8 = a1;
  v1 = &v4;
  for ( i = 82i64; i; --i )
  {
    *(_DWORD *)v1 = 0xCCCCCCCC;
    v1 = (__int64 *)((char *)v1 + 4);
  }
  sub_1400110AA((__int64)&unk_140027033);
  v5 = v8 >> 12;
  v6 = v8 << 8;
  v7 = (v8 << 8) ^ (v8 >> 12);
  v7 *= 291;
  if ( v7 )
    result = v7;
  else
    result = 987i64;
  return result;
}

分析出处理得到result的逻辑:

  v7 = (v8 << 8) ^ (v8 >> 12);
  v7 *= 291;

根据以上可以分析出整体的逻辑:
未知的dword_140021190(限制长度)---->(位移乘法操作)result == 607052314
dword_140021190---->(抑或操作)最终结果。
根据逻辑写脚本

import hashlib
opcode =[ 
  0x26, 0x2C, 0x21, 0x27, 0x3B, 0x0D, 0x04, 0x75, 0x68, 0x34, 
  0x28, 0x25, 0x0E, 0x35, 0x2D, 0x69, 0x3D
]
result = ""
for i in range(0,14549744):
	v7 = ((i << 8) ^ (i >> 12))*291
	#print(v7)
	v7 =v7 & 0xffffffff#avoid overflow
	if v7  == 607052314:
		print(i)
		m = i
		break
print("dword_140021190= ",i)
#dword_140021190 = 123456
for j in range(0, len(opcode)):
	result += chr((opcode[j] ^ i) & 0xff)# char should be less than 256
#print(result)
print('flag{'+ hashlib.md5('123456'.encode('utf-8')).hexdigest() + '}')
#flag{e10adc3949ba59abbe56e057f20f883e}

解释一下脚本中的

v7 =v7 & 0xffffffff

python对于负数的显示为源码加上负号(Python没有位数这一概念)
python中,对于负数,无论是右移操作,还是n&(n-1)操作,都会陷入死循环。产生混乱。因此需要对结果进行&0xffffffff运算。
下面的&0xff显示0-256对应的字符。

TD.Jia
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【XCTF-RE】新手练习区-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
ctf逆向解题——re1-附件资源
03-05
ctf逆向解题——re1-附件资源
[V&N2020 公开赛]simpleHeap-记录一次gef调试过程
qq_40712959的博客
10-24 853
[V&N2020 公开赛]simpleHeap 安全机制: IDA反汇编 main: Add: Edit: 可以看到get_input_content函数包含一个off_by_one漏洞。 Show: Delete 可以看到free函数之后,将chunkptr置为0,所以不存在UAF 思路: 利用off-by-one漏洞,篡改chunk的size大小,使被篡改大小的chunk覆盖其后已申请的chunk大小,从而导致chunk overlapping
攻防世界-re1
qq_70851535的博客
10-24 312
逆向分析
HITCTF2020 -- re1 HelloReverse wp
Air_cat的博客
12-11 387
程序分析 打开,没什么用的input flag: ida 打开,定位到main函数: 作为一道基础re,前面的内容都没什么好说的,输入,长度校验。 但后面的内容就开始诡异了起来。 首先是给v8赋值的那个变量嗷,不对劲啊不对劲: 想来应该是在入口点进行初始化了,一看果然是。 打开看看 完事一半嗷 在比赛的时候想的是先不管他,看看底下的程序 一个逻辑我好像看懂了,但其实没看懂的变换。 简单的来说是输入串异或来以获去,然后还要和上面那个很迷幻的玩意进行一个比较。这个很迷幻的玩意进行了左移操作,但这个左移菜菜
攻防世界-reverse-re1
qqqwww_sssd的博客
05-24 1041
工具:ExeinfoPe(查壳用) 链接:https://pan.baidu.com/s/1dtYl1Cjx0DLB38kTF8GaPw?pwd=renw 提取码:renw 工具:IDA_Pro_v7.0_Portable 链接:https://pan.baidu.com/s/1CS7xjshF8IoDURz7lCB4jg?pwd=renw 提取码:renw 跟着大佬做:逆向分析全过程分享——攻防世界——re1_哔哩哔哩_bilibili 1.首先下载附件之后,拖入exeinfo中查看它...
(祥云杯)reverse-re1
qq_44370676的博客
11-25 415
大纲一.解题过程二.解题脚本 一.解题过程 Exeinfo查壳: Linux 64位elf,未加壳,复制到虚拟机里运行一下: 随便输入一串字符串,直接退出,猜测应该是输入flag然后加密后比对的套路,开始ida分析: 输入字符串存储到v4中,不过这里注意的是v4,v5到v10全都用来存储输入字符串了,v10应该是最后一个字符,if条件的意思是保证输入是flag{xxxx},(f的ascii码是102, l的ascii码是108,以此类推 )即flag{xxx}中间的类容就是v9,长度为32。Sub_5
BUUCTF Reverse/[UTCTF2020]basic-re
ookami6497的博客
07-28 375
BUUCTF Reverse/[UTCTF2020]basic-re 先看文件信息 IDA64位打开,主函数是一个计算器,没什么有用的信息 打开string窗口,找到flag flag{str1ngs_1s_y0ur_fr13nd}
攻防世界--re1
weixin_30876945的博客
08-16 309
练习文件下载:https://www.lanzous.com/i5lufub 1.使用IDA打开,进入main函数。 2.转为C代码 可以看到,输入v9之后,与v5比较,判断我们输入的flag是否正确。分别进入if...else判断之后的输出 正确输出flag get.. 错误输出flag不太对呦... 没办法,只能回到main看看v5 ...
XCTF-re1-100
TA不懒,但还没有添加简介
02-01 459
XCTF-re1-100
XCTF-re1
hanpiao_的博客
10-29 50
虽然是查不太到 printf 到底打印了什么。因为是小端储存,所以倒过来就是flag了。但还是能判断打印的是这三行文字的。可以直接用快捷键 R 改成字符串。在去点点看函数里存了啥。
攻防世界Reverse进阶区-re1-100-writeup
y4ung
09-24 767
1. 介绍 本题是xctf攻防世界中Reverse的进阶区的题re1-100 2. 分析 $ file RE100 RE100: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=94dd59e952c54304bd14f282695ae62c4f6c
云计算-稀土RE1RE2Fe合金体系的热力学计算及其凝固组织研究.pdf
07-06
云计算-稀土RE1RE2Fe合金体系的热力学计算及其凝固组织研究 本文研究了稀土RE1RE2Fe合金体系的热力学计算及其凝固组织研究,旨在降低材料成本,缓解稀土资源供求问题。研究发现,高丰度稀土Nd-Fe-B合金的磁性能随...
re1-e7e4ad1a.rar
07-28
"re1-e7e4ad1a.rar"这个压缩包文件名可能代表了一个逆向工程项目或者是一个安全研究的实例,其中包含的"re1-e7e4ad1a.apk"是安卓应用程序的文件,我们可以从这个APK文件中挖掘出许多知识点。 首先,安卓应用的APK...
html css js网页设计
07-12
HTML、CSS和JavaScript是构建网页和网站的基本技术,它们共同工作来创建和设计用户界面。下面是关于这三种技术的详细介绍: ### HTML (HyperText Markup Language) - **定义**:HTML是构建网页内容的标准标记语言。 - **作用**:用于创建网页的结构和内容,如段落、链接、图片、表格等。 - **语法**:使用标签(如 `<p>`, `<div>`, `<a>`, `<img>` 等)来定义网页元素。 ### CSS (Cascading Style Sheets) - **定义**:CSS是一种样式表语言,用于描述HTML文档的呈现方式。 - **作用**:用于设置网页的布局、颜色、字体和其他视觉元素。 - **语法**:通过选择器(如 `p`, `.myclass`, `#myid` 等)应用样式规则。 ### JavaScript - **定义**:JavaScript是一种脚本语言,通常用于网页上实现交互功能。 - **作用**:允许网页与用户进行交互,如响应用户操作、动态更新内容、动画效果等。 - **语法**:Java
2023年数字乡村建设解决方案PPT(34页).pptx
最新发布
07-12
数字乡村建设解决方案旨在通过数字化转型促进乡村振兴和农业农村现代化。该方案强调了数字乡村建设的战略机遇,以"1+3+5"工程为总体框架,即一个大数据中心、三大服务平台和五类主题应用。方案着重于乡村治理、产业发展和公共服务三大问题,通过完善治理体系、升级治理能力、强化产业链条和改善资源配置来推动乡村全面振兴。 方案中提出的数字乡村大数据中心是信息资源的集散地,依托大数据、AI、物联网等新技术,实现数据驱动的决策支持。三大服务平台包括产业服务、民生服务和治理服务,旨在提升农业生产智能化、经营网络化,同时优化乡村治理结构和提升服务效能。五类主题应用覆盖生产管理、流通营销、行业监管、公共服务和乡村治理,通过具体业务应用体系,实现农业全产业链的数字化管理和服务。 预期建设效益包括通过信息技术促进乡村优势产业发展,形成城郊融合型数字乡村治理新模式,以及创新服务方式,提升服务能力,保障农民权益。整体而言,该方案以数字化为手段,推动乡村经济、治理、文化等多方面的全面升级和发展。
脉冲强光技术在灭菌烧结固化应用解决方案
07-12
脉冲强光技术在灭菌烧结固化应用解决方案,已经得到厂家授权,可以对外公示。
2024年欧洲辣椒素市场主要企业市场占有率及排名.docx
07-12
2024年欧洲辣椒素市场主要企业市场占有率及排名.docx
1ewqeqweqweqweq
07-12
1ewqeqweqweqweq

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值