攻防世界 Reverse高手进阶区 3分题 secret-string-400

最新推荐文章于 2021-11-06 10:53:06 发布
最新推荐文章于 2021-11-06 10:53:06 发布
阅读量306 收藏
点赞数
分类专栏: ctf 文章标签: ctf 攻防世界 reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44604541/article/details/113568838
版权

前言

继续ctf的旅程
攻防世界Reverse高手进阶区的3分题
本篇是secret-string-400的writeup

发现攻防世界的题目分数是动态的
就仅以做题时的分数为准了

解题过程

得到一个无后缀文件
winhex看了眼是个压缩文件

解压得到html和js文件

task.html

<html>
	<head>
		<title>JSMachine</title>
		<meta charset="UTF-8">
		<script type='text/javascript' src='Machine.js'></script>
	</head>
	<body>
		<h1>Secret key</h1><br/>
		<h2>Test your luck! Enter valid string and you will know flag!</h2><br/>
		<input type='text'></input><br/>
		<br/>
		<input type='button' onclick="check()" value='Проверить'></button>
	</body>
</html>

Machine.js

function createRegisters(obj){
	obj.registers = [];
	for(i=0; i < 256; ++i){
		obj.registers.push(0);
	}
};

function Machine() {
	createRegisters(this);
	this.code = [0]
	this.PC = 0;
	this.callstack = [];
	this.pow = Math.pow(2,32)
};

Machine.prototype = {
	opcodesCount: 16,
	run: run,
	loadcode: function(code){this.code = code},
	end: function(){this.code=[]}
};


function run(){
	while(this.PC < this.code.length){
		var command = parseCommand.call(this)
		command.execute(this);
	}
	//this.end()
}

function getOpcodeObject(){
	var opNum = (this.code[this.PC] % this.opcodesCount);
	this.PC += 1;
	return eval('new Opcode'+opNum);
}

function parseCommand(){
	var opcode = getOpcodeObject.call(this);
	opcode.consumeArgs(this);
	return opcode;
}

var opcCreate = "";
for(i=0;i<16;++i){
	opcCreate += "function Opcode"+i+"(){this.args=[]}\n";
}


eval(opcCreate);


function makeFromImm(obj) {
	var res = obj.code[obj.PC + 2];
	res <<=8;
	res += obj.code[obj.PC + 1];
	res <<=8;
	res += obj.code[obj.PC];
	res <<=8;
	res += obj.code[obj.PC+3];
	res = res >>> 0;
	return res;
}

function getRegImm(obj){
	this.args[0] = obj.code[obj.PC];
	obj.PC += 1;
	this.args[1] = makeFromImm(obj);
	obj.PC += 4;
}

function getImm(obj){
	this.args[0] = makeFromImm(obj);
	obj.PC += 4;	
}

function getTwoRegs(obj){
	this.args[0] = obj.code[obj.PC];
	obj.PC += 1;
	this.args[1] = obj.code[obj.PC];
	obj.PC += 1;
}

function getThreeRegs(obj){
	this.args[0] = obj.code[obj.PC];
	obj.PC += 1;
	this.args[1] = obj.code[obj.PC];
	obj.PC += 1;
	this.args[2] = obj.code[obj.PC];
	obj.PC += 1;
}

function getRegString(obj){
	this.args[0] = obj.code[obj.PC];
	obj.PC += 1;
	this.args[1] = getString(obj);
}

function getRegRegString(obj){
	this.args[0] = obj.code[obj.PC];
	obj.PC += 1;
	this.args[1] = obj.code[obj.PC];
	obj.PC += 1;
	this.args[2] = getString(obj);
}

function getRegTwoString(obj){
	this.args[0] = obj.code[obj.PC];
	obj.PC += 1;
	this.args[1] = getString(obj);
	this.args[2] = getString(obj);
}

function getString(obj){
	var res = "";
	while(obj.code[obj.PC] != 0) {
		res += String.fromCharCode(obj.code[obj.PC]);
		obj.PC += 1;
	}
	obj.PC += 1;
	return res;
}

Opcode0.prototype = {
	consumeArgs : function(obj){},
	execute: function(){}
};

Opcode1.prototype = {
	consumeArgs: getRegImm,
	execute: function(obj){
		obj.registers[this.args[0]] = (obj.registers[this.args[0]] +  this.args[1]) % 0x100000000;
	}
}


Opcode2.prototype = {
	consumeArgs: getTwoRegs,	
	execute: function(obj){
		obj.registers[this.args[0]] = (obj.registers[this.args[0]] + obj.registers[this.args[1]]) % 0x100000000;
	}
}

Opcode3.prototype = {
	consumeArgs: getRegImm,
	execute: function(obj){
		obj.registers[this.args[0]] = ((obj.registers[this.args[0]] -  this.args[1]) % 0x100000000) >>> 0;
	}
}

Opcode4.prototype = {
	consumeArgs: getTwoRegs,
	execute: function(obj){
		obj.regsiters[this.args[0]] = ((obj.registers[this.args[0]] - this.registers[this.args[1]])%100000000) >>> 0
	}
}

Opcode5.prototype = {
	consumeArgs: getThreeRegs,
	execute: function(obj){
		var mult = obj.registers[this.args[0]] * obj.registers[this.args[1]];
		console.log(mult.toString(16));
		obj.registers[this.args[2]] = (mult / obj.pow) >>> 0;
		obj.registers[this.args[2]+1] = (mult & 0xffffffff) >>> 0;
	}
}

Opcode6.prototype = {
	consumeArgs: getThreeRegs,
	execute: function(obj){
		var divs = obj.registers[this.args[0]] * obj.pow + obj.registers[this.args[0]+1];
		obj.registers[this.args[2]]  = (divs / obj.registers[this.args[1]]) >>> 0;
		obj.registers[this.args[2]+1]= (divs % obj.registers[this.args[1]]) >>> 0;
	}
}

Opcode7.prototype = {
	consumeArgs: getRegImm,
	execute: function(obj) {
		obj.registers[this.args[0]] = this.args[1];
	}	
}

Opcode8.prototype = {
	consumeArgs: getImm,
	execute: function(obj){
		obj.callstack.push(obj.PC);
		obj.PC = this.args[0];
	}
}

Opcode9.prototype = {
	consumeArgs: getImm,
	execute: function(obj){
		obj.PC = (obj.PC +  this.args[0]) % obj.code.length;
	}
}

Opcode10.prototype = {
	consumeArgs: function(){},
	execute: function(obj){
		obj.PC = obj.callstack.pop();
	}
}

Opcode11.prototype = {
	consumeArgs: getRegString,
	execute: function(obj){
		obj.registers[this.args[0]] = eval('new '+this.args[1]);
	}
}

Opcode12.prototype = {
	consumeArgs: getRegTwoString,
	execute: function(obj){
		obj.registers[this.args[0]][this.args[1]] = Function(this.args[2]);
	}
}

Opcode13.prototype = {
	consumeArgs: getRegRegString,
	execute: function(obj){
		obj.registers[this.args[0]] = obj.registers[this.args[1]][this.args[2]];
	}
}

Opcode14.prototype = {
	consumeArgs: getRegRegString,
	execute: function(obj){
		obj.registers[this.args[1]][this.args[2]] = obj.registers[this.args[0]];
	}
}

Opcode15.prototype = {
	consumeArgs: getRegRegString,
	execute: function(obj){
		obj.registers[this.args[0]] = obj.registers[this.args[1]][this.args[2]]();
	}
}
function check(){
machine = new Machine;
machine.loadcode([11, 1, 79, 98, 106, 101, 99, 116, 0, 12, 1, 120, 0, 114, 101, 116, 117, 114, 110, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 39, 105, 110, 112, 117, 116, 39, 41, 91, 48, 93, 46, 118, 97, 108, 117, 101, 47, 47, 0, 15, 3, 1, 120, 0, 14, 3, 1, 117, 115, 101, 114, 105, 110, 112, 117, 116, 0, 12, 1, 121, 0, 119, 105, 110, 100, 111, 119, 46, 109, 97, 99, 104, 105, 110, 101, 46, 101, 110, 100, 32, 61, 32, 102, 117, 110, 99, 116, 105, 111, 110, 40, 41, 123, 116, 104, 105, 115, 46, 99, 111, 100, 101, 61, 91, 93, 59, 116, 104, 105, 115, 46, 80, 67, 61, 49, 55, 51, 125, 47, 47, 0, 15, 3, 1, 121, 0, 12, 1, 122, 0, 97, 108, 101, 114, 116, 40, 49, 41, 59, 47, 47, 11, 234, 79, 98, 106, 101, 99, 116, 255, 9, 255, 255, 255, 12, 10, 97, 108, 101, 114, 116, 40, 50, 41, 59, 47, 47, 12, 234, 120, 255, 118, 97, 114, 32, 102, 61, 119, 105, 110, 100, 111, 119, 46, 109, 97, 99, 104, 105, 110, 101, 46, 114, 101, 103, 105, 115, 116, 101, 114, 115, 91, 49, 93, 46, 117, 115, 101, 114, 105, 110, 112, 117, 116, 47, 47, 10, 118, 97, 114, 32, 105, 32, 61, 32, 102, 46, 108, 101, 110, 103, 116, 104, 47, 47, 10, 118, 97, 114, 32, 110, 111, 110, 99, 101, 32, 61, 32, 39, 103, 114, 111, 107, 101, 39, 59, 47, 47, 10, 118, 97, 114, 32, 106, 32, 61, 32, 48, 59, 47, 47, 10, 118, 97, 114, 32, 111, 117, 116, 32, 61, 32, 91, 93, 59, 47, 47, 10, 118, 97, 114, 32, 101, 113, 32, 61, 32, 116, 114, 117, 101, 59, 47, 47, 10, 119, 104, 105, 108, 101, 40, 106, 32, 60, 32, 105, 41, 123, 47, 47, 10, 111, 117, 116, 46, 112, 117, 115, 104, 40, 102, 46, 99, 104, 97, 114, 67, 111, 100, 101, 65, 116, 40, 106, 41, 32, 94, 32, 110, 111, 110, 99, 101, 46, 99, 104, 97, 114, 67, 111, 100, 101, 65, 116, 40, 106, 37, 53, 41, 41, 47, 47, 10, 106, 43, 43, 59, 47, 47, 10, 125, 47, 47, 10, 118, 97, 114, 32, 101, 120, 32, 61, 32, 32, 91, 49, 44, 32, 51, 48, 44, 32, 49, 52, 44, 32, 49, 50, 44, 32, 54, 57, 44, 32, 49, 52, 44, 32, 49, 44, 32, 56, 53, 44, 32, 55, 53, 44, 32, 53, 48, 44, 32, 52, 48, 44, 32, 51, 55, 44, 32, 52, 56, 44, 32, 50, 52, 44, 32, 49, 48, 44, 32, 53, 54, 44, 32, 53, 53, 44, 32, 52, 54, 44, 32, 53, 54, 44, 32, 54, 48, 93, 59, 47, 47, 10, 105, 102, 32, 40, 101, 120, 46, 108, 101, 110, 103, 116, 104, 32, 61, 61, 32, 111, 117, 116, 46, 108, 101, 110, 103, 116, 104, 41, 32, 123, 47, 47, 10, 106, 32, 61, 32, 48, 59, 47, 47, 10, 119, 104, 105, 108, 101, 40, 106, 32, 60, 32, 101, 120, 46, 108, 101, 110, 103, 116, 104, 41, 123, 47, 47, 10, 105, 102, 40, 101, 120, 91, 106, 93, 32, 33, 61, 32, 111, 117, 116, 91, 106, 93, 41, 47, 47, 10, 101, 113, 32, 61, 32, 102, 97, 108, 115, 101, 59, 47, 47, 10, 106, 32, 43, 61, 32, 49, 59, 47, 47, 10, 125, 47, 47, 10, 105, 102, 40, 101, 113, 41, 123, 47, 47, 10, 97, 108, 101, 114, 116, 40, 39, 89, 79, 85, 32, 87, 73, 78, 33, 39, 41, 59, 47, 47, 10, 125, 101, 108, 115, 101, 123, 10, 97, 108, 101, 114, 116, 40, 39, 78, 79, 80, 69, 33, 39, 41, 59, 10, 125, 125, 101, 108, 115, 101, 123, 97, 108, 101, 114, 116, 40, 39, 78, 79, 80, 69, 33, 39, 41, 59, 125, 47, 47, 255, 9, 255, 255, 255, 12, 10, 97, 108, 101, 114, 116, 40, 51, 41, 59, 47, 47, 15, 1, 234, 120, 255, 9, 255, 255, 255, 12, 10, 97, 108, 101, 114, 116, 40, 52, 41, 59, 47, 47, 10, 97, 108, 101, 114, 116, 40, 53, 41, 59, 47, 47, 10, 97, 108, 101, 114, 116, 40, 54, 41, 59, 47, 47, 10, 97, 108, 101, 114, 116, 40, 55, 41, 59, 47, 47, 0, 12, 1, 103, 0, 118, 97, 114, 32, 105, 32, 61, 48, 59, 119, 104, 105, 108, 101, 40, 105, 60, 119, 105, 110, 100, 111, 119, 46, 109, 97, 99, 104, 105, 110, 101, 46, 99, 111, 100, 101, 46, 108, 101, 110, 103, 116, 104, 41, 123, 105, 102, 40, 119, 105, 110, 100, 111, 119, 46, 109, 97, 99, 104, 105, 110, 101, 46, 99, 111, 100, 101, 91, 105, 93, 32, 61, 61, 32, 50, 53, 53, 32, 41, 32, 119, 105, 110, 100, 111, 119, 46, 109, 97, 99, 104, 105, 110, 101, 46, 99, 111, 100, 101, 91, 105, 93, 32, 61, 32, 48, 59, 105, 43, 43, 125, 47, 47, 0, 12, 1, 104, 0, 119, 105, 110, 100, 111, 119, 46, 109, 97, 99, 104, 105, 110, 101, 46, 80, 67, 61, 49, 55, 50, 47, 47, 0, 15, 0, 1, 103, 0, 15, 0, 1, 104, 0])
machine.run();
}

打开html

在这里插入图片描述
可以看到关键在于check函数

在run里面打印出来
在这里插入图片描述
在这里插入图片描述
整理下

f = window.machine.registers[1].userinput//
var i = f.length
var nonce = 'groke';
var j = 0;
var out = [];
var eq = true;
while (j < i) {
	out.push(f.charCodeAt(j) ^ nonce.charCodeAt(j % 5))
	j++;
}
var ex = [1, 30, 14, 12, 69, 14, 1, 85, 75, 50, 40, 37, 48, 24, 10, 56, 55, 46, 56, 60];
if (ex.length == out.length) {
	j = 0;
	while (j < ex.length) {
		if (ex[j] != out[j])
			eq = false;
		j += 1;
	}
	if (eq) {
		alert('YOU WIN!');
	} else {
		alert('NOPE!');
	}
} else {
	alert('NOPE!');
}

写脚本

nonce = 'groke'
ex = [1, 30, 14, 12, 69, 14, 1, 85, 75, 50, 40, 37, 48, 24, 10, 56, 55, 46, 56, 60]
flag = [0] * 20
for i in range(20):
	flag[i] = ex[i] ^ ord(nonce[(i%5)])
print(''.join(map(chr,flag)))

得到flag
在这里插入图片描述

结语

关键是得到源码

思源湖的鱼
关注
专栏目录
攻防世界 Misc高手进阶 2分题 Reverse-it
闵行小鱼塘
10-30 811
继续ctf的旅程,攻防世界Misc高手进阶的2分题,本篇是Reverse-it的writeup
攻防世界misc高手进阶篇教程(1)
玄道的网安博客
05-24 2438
János-the-Ripper 用winhex打开发现flag.txt和PK头,也就是压缩包嘛,直接保存为zip打开 发现需要密码 用ARCHPR爆破密码 密码为fish 打开既有flag Test-flag-please-ignore 用winhex打开里面有misc10文件,打开misc10发现疑似十六进制的文本 转换即可 Banmabanma https://online-barcode-reader.inliteresearch.com/ 用在线工
攻防世界 secret-string-400
liuxiaohuai_的博客
04-27 228
这个题目是关于Javascript的,第一次遇见。有必要写一篇wp记录一下。 解题步骤 1、解压下载好的文件 解压后会出现一个html文件,和一个js文件。我们直接打开html文件。在浏览器中直接F12 可以看到html文件与js文件是配套使用的。 2.调试Javascript 再js文件中我们先大概阅读一下,了解程序是怎么运行的。 大概就是先运行check()函数,然后再运行run()函数。 我们加一句console.log('new 0pcode'+command.args),调试JavaScript。
攻防世界逆向高手题的secret-string-400
沐一 · 林 的博客
09-01 664
攻防世界逆向高手题之secret-string-400 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的secret-string-400 下载附件,照例扔入exeinfope中查看信息: 一开始愣了一下,后来发现是压缩包啊,然后继续进一步解压: 一个html和配套js,看起来想我前面做的密码学,毕竟密码学和逆向是相通的嘛。 可以看出html调用了js的check函数,而check函数好像有一个machine类和一堆预定义参数,然后就执行run了。 . . 在继续跟踪途中,如第一个红框所示
secret-string-400 攻防世界
re1wn
04-11 1194
secret-string-400 攻防世界
secret-string-400
Tiany的博客
08-27 169
攻防世界secret-string-400(js一点不懂,一脸懵)
SECRET
weixin_30361753的博客
03-21 138
7877708574708274728174838A78707C70717470848378758 47B7678817B8A857481888574818871747084837875847B8A 1 package junit_test; 2 3 import java.util.Scanner; 4 5 //字母--暗文转换 ...
攻防世界———MISC 高手题解
热门推荐
小锤队长的博客
10-14 1万+
目录 1,base64stego 2,easycap 3,Avatar 4,What-is-this 5,签到题 6,Training-Stegano-1 7,Excaliflag 8,Get-the-key.txt 9,glance-50 10,4-2 11,misc1 12,embarrass 13,肥宅快乐题 14,小小的PDF 至此 我在攻防世界中已经 遇到...
[编程语言]《由浅入深学C++-基础、进阶与必做300题》作者:胡超.pdf
01-14
- **进阶题**:模板应用、智能指针管理等。 - **综合题**:结合面向对象编程、异常处理等多个知识点的综合题目。 通过这样的学习路径,读者可以从C++的基础知识入手,逐步过渡到高级应用,最终通过实践题目的练习...
攻防世界 REVERSE 新手/re1
ookami6497的博客
04-03 3031
攻防世界 REVERSE 新手/re1 先看题,题目描述没啥有用信息,直接下附件 打开 先随便输个数 估计是个字符串匹配的题,接下来用IDA32位打开 看到有个strcmp函数,比较v5和v9,然后判断v3,根据v3给出相应的结果。这时我看到了个printf(aFLAG),满怀欣喜地点进去看了 啊?这么快就得到答案了么?(并没有。。) 看下描述,和运行的那个程序一样结果,看来是假的 那么那个else后输出的就应该是代表正确的答案了,跟进unk_413E90
攻防世界—刷题(5)
yhfgs的博客
11-06 173
一.secret-string-400 1.得到文件html和js文件。 2.分析:关键在Machine.js中的check: Machine.js:找到check,开始分析。 看了半天没找到到关键。 3.找到放放大佬的wp学习了一下。 发现要在run函数中加一句:console.log("new 0pcode"+command.args); 运行在控制台得到加密源码: 4.exp 5.get flag WOW_so_EASY 二.testre 1....
攻防世界Reverse(5)
njh18790816639的博客
04-05 384
secret-string-400 后缀为gz,第一次见这种压缩包! 当然我们也可以直接就去用ida看看,是可以发现无法进行逆向的,所以我们解压它! 有点像web题型,不过它是给了代码的! 我们打开看看! 这是用火狐打开所显示的内容,用IE打开是没有办法完整显示的,此时我们再来看看另一个html页面! 有意思!没想到是个这样子的逆向! 然后源代码是没有相关内容的,但是再js里面有,所以我们可以找到js,用记事本打开即可! 然后我们在调试器中进行一系列调试! 不过调试结果在console显示必须在r
Secret的三种形式
weixin_34088838的博客
05-30 2764
Secret ConfigMap这个资源对象是Kubernetes当中非常重要的一个对象,一般情况下ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了,因为ConfigMap是名为存储的,我们说这个时候我们就需要用到另外一个资源对象了:Secret,Secret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等,将这...
K8s 安全抽象:Secret
码代码的陈同学
03-14 894
欢迎访问博客原文 Secret 是对敏感信息的抽象,例如:密码、token、SSH key,其他对象可引用Secret。 Pod 使用 Secret 有两种场景: 作为 volume 中的文件被挂载到 Pod 中一个或多个容器中 拉取镜像时需要使用 secret 作为安全凭证 Secret 分类 Secret 可分为三类: docker-registry: 创建一个给 Docker R...
基于C语言的分布式id生成器idCreator设计源码
09-25
该项目是一款基于C语言开发的分布式ID生成器,名为idCreator。该系统由120个文件组成,包括52个头文件、50个C语言源文件、1个Git忽略文件、1个LICENSE文件、1个Markdown描述文件以及客户端相关的配置和脚本文件。该项目旨在提供一个高效、可靠的分布式ID生成解决方案,支持多种语言和平台的集成使用。
200号资源-源程序:(SCI论文+程序)使用多描述编码的状态估计外包传输网络-本人博客有解读
09-25
该资源详细解读可关注博主免费专栏《论文与完整程序》200号博文 对于通信网络上的状态估计,网络的效率和可靠性是关键问题。他的存在数据包丢弃和通信延迟会极大地削弱我们测量和预测动态pi状态的能力塞斯。多描述(MD)码是网络源代码的一种,用来补偿这种影响。卡尔曼滤波。我们考虑了两种分组丢弃模型:在一种模型中,分组丢弃是根据独立的和同分布(I.I.D.)Bernoulli随机过程,而在另一种模型中,分组丢弃是突发的,并且根据马尔可夫过程发生链条。结果表明,MD码极大地提高了卡尔曼滤波在大范围丢包情况下的统计稳定性和性能两种情况下的情况都是如此。仿真结果验证了我们的结论。
windows部署NuGet服务
09-25
基于C#实现windows部署NuGet服务 文档详细记录了C#工程的创建,NuGet服务部署及测试
基于java的房地产销售管理系统的开题报告.docx
最新发布
09-25
基于java的房地产销售管理系统的开题报告.docx
攻防世界reverse
07-27
攻防世界(reverse)是一个CTF(Capture The Flag)比赛平台,旨在提供一个实践和学习网络安全攻防技术的环境。参赛者需要通过解决一系列的安全难题来获取Flag(标志),Flag是一个特定字符串,代表着成功攻击或者防御...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值