catch-me 攻防世界

最新推荐文章于 2023-03-16 14:53:25 发布
最新推荐文章于 2023-03-16 14:53:25 发布
阅读量896 收藏 1
点赞数
分类专栏: 逆向与保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45055269/article/details/105824528
版权
工具

IDA动态调试+环境变量设置

思路展开
0x01.xz压缩,windows两次后缀改为.zip,解压得elf文件

xz压缩第一次见,两次解压得到最终文件
两次zip
尝试运行,没有参数输入,直接出flag(假的),推测要动态调试解决。在这里插入图片描述

0x02.IDA启动

果真没有输入,使用动调调试解决

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  int v3; // ebx
  __int64 v4; // rax
  __m128i v5; // xmm0
  __m128i v6; // xmm1
  __m128i v7; // xmm0
  __m128i v8; // xmm0
  __m128i v9; // xmm1
  __m128i v10; // xmm3
  __m128i v11; // xmm1
  __m128i v12; // xmm3
  __m128i v13; // xmm0
  __m128i v14; // xmm0

  v3 = sub_400820(dword_6012B4);
  byte_6012A8[0] = HIBYTE(v3);
  byte_6012A9 = BYTE2(v3) & 0xFD;
  byte_6012AA = BYTE1(v3) & 0xDF;
  byte_6012AB = v3 & 0xBF;
  if ( getenv("ASIS") && (*(_DWORD *)getenv("CTF") ^ v3) == 0xFEEBFEEB )
    dword_6012AC = *(_DWORD *)getenv("ASIS");
  v4 = 0LL;
  do
  {
    haystack[v4] ^= byte_6012A8[v4 & 7];
    ++v4;
  }
  while ( v4 != 33 );
  v5 = _mm_load_si128((const __m128i *)haystack);
  v6 = _mm_unpacklo_epi8(v5, (__m128i)0LL);
  v7 = _mm_unpackhi_epi8(v5, (__m128i)0LL);
  v8 = _mm_add_epi32(
         _mm_unpackhi_epi16(v7, (__m128i)0LL),
         _mm_add_epi32(
           _mm_add_epi32(_mm_unpackhi_epi16(v6, (__m128i)0LL), _mm_unpacklo_epi16(v6, (__m128i)0LL)),
           _mm_unpacklo_epi16(v7, (__m128i)0LL)));
  v9 = _mm_load_si128((const __m128i *)&xmmword_601290);
  v10 = v9;
  v11 = _mm_unpackhi_epi8(v9, (__m128i)0LL);
  v12 = _mm_unpacklo_epi8(v10, (__m128i)0LL);
  v13 = _mm_add_epi32(
          _mm_add_epi32(
            _mm_add_epi32(
              _mm_add_epi32(v8, _mm_unpacklo_epi16(v12, (__m128i)0LL)),
              _mm_unpackhi_epi16(v12, (__m128i)0LL)),
            _mm_unpacklo_epi16(v11, (__m128i)0LL)),
          _mm_unpackhi_epi16(v11, (__m128i)0LL));
  v14 = _mm_add_epi32(v13, _mm_srli_si128(v13, 8));
  if ( _mm_cvtsi128_si32(_mm_add_epi32(v14, _mm_srli_si128(v14, 4))) != 2388 )
  {
    *(_DWORD *)haystack = 1600414050;
    *(_DWORD *)&haystack[4] = 1600414050;
    *(_DWORD *)&haystack[8] = 1600414050;
    *(_DWORD *)&haystack[12] = 1600414050;
    *(_QWORD *)&xmmword_601290 = 6873726006409322850LL;
    BYTE7(xmmword_601290) = 0;
  }
  printf("Flag: ASIS{%s}\n", haystack);
  if ( strstr(haystack, "bad_") )
    puts("this flag is absolutely fake ");
  return 0LL;
}

整体逻辑明朗,haystack是flag,向上找,haystack是和byte_6012A8异或得出,byte_6012A8由v3得出,v3经过sub_400820函数得出。

纵览代码最奇怪的一句话
if ( getenv("ASIS") && (*(_DWORD *)getenv("CTF") ^ v3) == 0xFEEBFEEB ) dword_6012AC = *(_DWORD *)getenv("ASIS");

getenv C 库函数 char *getenv(const char *name) 搜索 name 所指向的环境字符串,并返回相关的值给字符串。

dword_6012AC与byte_6012A8之间差4,而在下面关键函数(下面的代码)

  do
  {
    haystack[v4] ^= byte_6012A8[v4 & 7];
    ++v4;
  }
  while ( v4 != 33 );

v4&7是0到7的循环,这样看来与haystack异或的一定有dword_6012AC。所以就让if ( getenv("ASIS") && (*(_DWORD *)getenv("CTF") ^ v3) == 0xFEEBFEEB )满足,v3动调可出0xB11924E1,0xB11924E1 ^ 0xFEEBFEEB = 0x4ff2da0a
linux里面用export对环境变量进行设置,创建这两个变量。然后设置环境变量,运行,flag就出来了。参数小端存储

export ASIS="$(printf "\x0a\xda\xf2\x4f")"
export CTF="$(printf "\x0a\xda\xf2\x4f")"

在这里插入图片描述
ASIS{600d_j0b_y0u_4r3_63771n6_574r73d}

北风~
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 四(进阶篇)catch-me
sjt670994562的博客
06-13 1436
后来做题速度完全掉了下去,主要是因为基础太差,不管是c、python语言基础,还是汇编基础,还是linux使用,shell脚本的编写,都差太多,所以经过这几天的冲刺,我打算从基础开始,不急于求成,题会做,但不会那么着急了,太急了学的东西也是没用的,这是这几天卡在这道题上,以及同学对我的一些批评总结出来的一些观点。 catch-me 分析,不是elf不是exe,扔到C32Asm,看到头文件 FD 3...
catch-me:捕获、显示和验证电子邮件
06-06
抓住我 CatchMe 运行一个简单的 SMTP 服务器,它捕获... npm install catch-me -g 运行catchme catchme 如果您需要一些特定的端口,只需在此处传递它们 catchme --mailPort 1234 --appPort 4321 如果您喜欢在 forem
攻防世界逆向高手题之catch-me
沐一 · 林 的博客
09-28 639
攻防世界逆向高手题之catch-me 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的catch-me . . 照例下载附件,结果两次都提示是用7z打开(解压),所以要解压两次才能得到真正文件: . . 最后得到的文件是一个64位的ELF文件: . . 照例运行一下程序查看主要回显信息: . . 啥也没输入就直接程序结束了,回顾一下前面做的不用输入的类型,那时检查文件中flag的,而且没有对应文件就闪退的。 . . 那么这题也是不用输入的,这种不用输入的程序都是直接利用程序外部的一些东西来
攻防世界-catch-me
weixin_61154173的博客
03-16 383
sse对v3进行操作,然后分别放到byte_6012A8,byte_6012A9,byte_6012AA,byte_6012AB,在.bss区可以知道他们和后面的dword_6012AC是占连续的空间的,可以看成一个数组。1._mm_load_si128(_m128i * p):返回一个_m128i的寄存器,将p指向的数据读到寄存器中,加载128位的值,p一般是通过类型转换得到的;2._mm_unpacklo_epi8(_m128i S0,_m128i S1):将S0和S1的低64位数以8位为单位进行交错;
攻防世界 resver catch-me
09-05 307
catch-me asis-ctf-quals-2016 附件给了个压缩包文件,重命名,解压,获取到elf文件 程序有两处关键比较 第一处: 这里进行动态调试,得到v3=0xB11924E1,byte_6012AB[]= B1 19 04 A1 第二处关键比较: 关键处理: 程序开始先生成了一个数v3,---> n...
0520 babyunic(z3解法) HCTF-2015:RE-Crc-300 攻防世界
re1wn
05-20 5989
babyunic(z3解法) HCTF-2015:RE-Crc-300
Catch-Me-If-You-Can
05-31
在本项目" Catch-Me-If-You-Can "中,我们主要关注的是JavaScript的应用,这是一个以游戏形式展示JavaScript技术的实例。JavaScript是一种广泛用于网页和互联网应用的编程语言,它允许开发者创建交互式和动态的网页...
cat-catch-master.zip
05-03
在"cat-catch-master.zip"的压缩包中,很可能是包含了实现"猫抓"理念的一个项目源代码或者相关教程。解压后,你可以找到关于如何设置种子URL、编写链接解析规则、实现内容提取等功能的代码示例。通过学习和实践,你...
Catch-me-if-you-can:健身追踪网络应用
05-01
如果可以记录我,赶上我内置 经过概括如果可以的话,赶上我,这是一个有趣且具有竞争力的应用程序,可让您创建和跟踪您走路,骑自行车或跑步的路线。 添加朋友(“竞争对手”),他们可以在您的路线上跟踪自己的时间...
catch-them-all
03-28
如何运行docker pull ghcr.io/azanin/catch-them-all/catch-them-all:latest镜像: docker pull ghcr.io/azanin/catch-them-all/catch-them-all:latest 运行它: docker run -d -e TRANSLATE_HOST='...
H264编码器
04-09
利用opencv打开已经存在的视频文件(或者摄像头)读取视频流,然后利用H264进行压缩
C#,SOCKET技术,仿TIM聊天室
08-02
仿TIM聊天室, 使用C#winform进行开发,实现了多人聊天以及私人聊天,同时不仅可以进行消息发送还可以进行文件传输功能。实现了随机注册账号,添加好友等基本功能。使用SqlServer作为数据库。
攻防世界-re-rev300
底层社会中的弱智
10-09 335
查看文件为ELF 32位文件 查看在ubuntu中运行的状态,运行后提示拒绝访问 使用ida查看程序源码 进入main函数查看 Main函数中判断条件满足时,提示访问通过,首先看判断条件,a1 > 1 a1提示后面的参数不为空,运行程序的时候需要携带一个参数。 sub_8048414函数是判断参数是否正确的函数,验证函数 这个函数是递归调用 首先带有两个形参,a1和a2 a1应该是我们输入的key a2参数带入的时候为0 进入验证函数中,先判断a2(a2
流浪者 攻防世界
re1wn
04-01 1190
攻防世界 流浪者
[XCTF-Reverse] 50 asis-ctf-quals-2016_catch-me
weixin_52640415的博客
03-22 235
下来的附件不能运行,用010打开看有7z开头应该是个压缩包,改扩展名解压后还不行,再看一上来是文件名,应该是tar打包的。其实就是用带压缩的tar打的包。 无壳,直接在ida打开,第1个v3的函数比较麻烦,看不懂放到gdb里运行断到这得到v3=0xbg11924e1 v3 = sub_400820(dword_6012B4); // 0xb11924e1 byte_6012A8[0] = HIBYTE(v3); byte_6012A9 = BYTE2(v3)
xnuca2020 final ezwp题解
CODER的博客
12-10 1194
比赛的时候都没做出来 赛后问了一些思路 回来复现 希望不会鸽掉 1. ezwp 1.1 题目很直白,给了一个附件,第一步当然是确定版本,然后diff源码了 利用插件确定版本,也可直接在网页源代码里看 为5.5.3 <meta name="generator" content="WordPress 5.5.3" /> 下面默认左侧是源码,右侧是题目 第一处 第二处 第三处 第四处 第五处 这里一个经验是diff不要只看不一致的,上下文也要读一读 1.2 搜索相关漏洞 学到利用方式、.
学习记录--Day24
veinard_F的博客
10-30 187
抱着学习的态度看了一下今天的xnuca,不出所料,打开后果然就是我看不懂的题目,,,只能说是知识学的太少了,然后题目又越来越难,哭泣!!! 脑子接受知识的速度赶不上知识更新的速度。。。要了我老命了。。。 好吧,我只配去做有wp的题目了 [GYCTF2020]FlaskApp flask debug模式 在解密界面随便输入一串字符导致报错会出现代码,根据报错读到了文件的名字说明开启了debug模式,关键代码如下: @app.route('/decode',methods=['POST','GET']) de
mfc逆向-200 攻防世界
re1wn
05-15 1341
mfc逆向-200 攻防世界
minidump详细介绍
chentao1206的专栏
03-31 3185
Effective minidump  简介 在过去几年里,崩溃转储(crash dump)成为了调试工作的一个重要部分。如果软件在客户现场或者测试实验室发生故障,最有价值的解决方式是能够创建一个故障瞬间的应用程序状态镜像,然后可以在开发者的机器上通过调试器进行分析。第一代的crash dump通常被称为“全用户转储(full user dump)”,它包含了进程的虚拟内存的全
try-catch-finally执行顺序
最新发布
08-12
回答: 在try-catch-finally结构中,无论try代码块是否发生异常,finally代码块都会被执行。如果try代码块没有发生异常,那么catch代码块将不会执行,而是直接跳转到finally代码块。如果try代码块发生了异常,那么...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值