安恒6月赛逆向WP

最新推荐文章于 2023-12-04 19:20:47 发布
最新推荐文章于 2023-12-04 19:20:47 发布
阅读量5.9k 收藏 1
点赞数
分类专栏: CTF 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45055269/article/details/107696354
版权

0X01.T0p_Gear

签到,upx的壳,linux环境下脱壳,再换回windows环境,IDA打开,三个函数,判断输入是否正确,三个函数看似有内容,其实与咱们的输入无关,核心在最下面的比较,下断动调,即可得出三段flag。
T0p_Gear
c92bb6a5a6c3009124566d882d4bc7ee

0X02.pyCharm

pyc文件恢复
方法:https://www.52pojie.cn/thread-912103-1-1.html
1
方法相同,找64000000,之前的删掉,修改co_code大小为0x8f就可以反编译了,网站反编译pyc得到Python代码。

import base64
a = 'YamaNalaZaTacaxaZaDahajaYamaIa0aNaDaUa3aYajaUawaNaWaNajaMajaUawaNWI3M2NhMGM='
flag = raw_input('Are u ready?')
c = base64.b64encode(flag)
d = list(c)
for i in range(0, 32):
    d[i] += 'a'
 
ohh = ('').join(d)
if ohh == a:
    print 'great!waht u input is the flag u wanna get.'
else:
    print 'pity!'

YmNlZTcxZDhjYmI0NDU3YjUwNWNjMjUwNWI3M2NhMGM=,base64解码就OK。

0X03.Magia

1
三条限制,可写脚本爆破。

import string
guess_range = string.printable
rule1=[51,0,21,9,11,54,6,12,2,58,44,8,49,11,55,12]
rule2=[76,101,96,114,100,73,112,99,108,69,83,97,78,100,72,97]
rule3=[14,5,0,11,13,9,2,3,12,5,15,1,14,4,15,13,1,8,15,15,9,3,15,14,15,4,15,6,2,5,5,13]
def guess_pos(i):
	for i in range(i, i+1):
		for chr1 in guess_range:
			for chr2 in guess_range:
				num1 = ord(chr1)
				num2 = ord(chr2)
				if (num1^num2==rule1[i]) and (num1&num2==rule2[i]) and (num1&0xF==rule3[i]) and (num2&0xF==rule3[31-i]):
					print (i, chr1,31-i, chr2)
for i in range(0, 16):
	guess_pos(i)

结合题目提示,爆破出来Nep{mircle_and_maho_is_not_free},输入之后是正确的,但It_is_that_true?\n灵魂拷问,接着往下走sub_403000里面全是数据,推测动调起来会改变,于是上x64dbg(Inc ebp–>push ebp),直接flag就跑出了。

0x04.BrainBreaker

IDA 打开,找不到有用的和真正函数,找到right和wrong但是是数据段的,所以动调开始入手。1
到达main函数,div0(程序异常执行会抛出“除0”这种异常信号),直接找SEH链中最先捕获异常的函数就是真正的函数。F8单步往下走。2
这里是反调试技术,比较跳转,如果让它跳转则程序退出,所以nop掉。接着往下走,走到一开始找到的真正的函数那。在这里插入图片描述
这里看对应IDA的地址位置,但IDA里是数据,按C转代码,很明显的switch case模型,vm结构,找三点:要执行的字符,opcode,最终结果。z3可以解决,不用再逆,本身的逻辑用IDA里的创建函数,反编译就可。
膜Baymax.师傅的z3脚本

from z3 import *

a1 = [BitVec('flag%d' % i,9) for i in range(100)]
s = Solver()
a1.reverse()

result = [0xFA,0x2B,0x94,0xEA,0x63,0xA8,0xC4,0x13,0x84,0xE7,0xA7,0xDA,0xD4,0x2D,0xAE,0xBE]

opcode = "****--:~+******^.~+*****:*+++++^.-:///--*^.:///---^.,:~-----^>,:~-/++++++++++++^>,:~+****--^>+*******://++++++++++^:,^>-:///^:,^>+******://-^:,^>-/+://+++++++^:,^>-/----:,^>-/+:/+++++^:,^>-:++****+^:,^>-/+:~+**++^:,^>+****:*^:,^>-:++****++++^:,^>-/---:,^>+*****://+^:,^>-/+:///+^:,^>,"
ax = 0
bx = 0
fin=[0 for i in range(100)]
fin[0] = 1
for i in opcode:
    o = ord(i)
    if o == 60:
        ax -= 1
        # print "dec ax","ax = ",ax
    if o == 62:
        ax += 1
        # print "inc ax","ax = ",ax
    if o == 46:
        continue
        # print "put %c fin[{}]".format(ax)
        # print chr(fin[ax])
    if o == 44:
        fin[ax] = a1.pop()
        # print "get %2x fin[{}]".format(ax)
        # break
    if o == 43:
        # print "inc fin[{}]".format(ax)
        fin[ax] += 1
    if o == 45:
        # print "dec fin[{}]".format(ax)
        fin[ax] -= 1
    if o == 42:
        # print "double fin[{}]".format(ax)
        fin[ax] *= 2
    if o == 47:
        # print "shr fin[{}]".format(ax)
        fin[ax] >>= 1
    if o == 94:
        # print "xor fin[{}],bx".format(ax)
        fin[ax] ^= bx
    if o == 58:
        # print "mov bx,fin[{}]".format(ax)
        bx = fin[ax]
    if o == 126:
        # print "check ax == 32;mov fin[{}],0".format(ax)
        if ax == 32:
            break
        fin[ax] = 0
    fin[ax] &= 0xff
    ax &= 0xff
    bx &= 0xff
        
for i in range(len(result)):
    s.add(result[i] == fin[i])

print (s.check())
answer = s.model()
# flag = "".join([hex(answer[i].as_long())[2:] for i in a1])
# print flag
print (answer)

PS1: 注意python里的符号问题,vm里寄存器操作是无符号的,python直接加减是有符号的,需要&0xff来转换成无符号。
PS2: 由于只有BitVec支持位操作,而BitVec是无符号的,请时刻注意这点。当你发现计算的结果和你预期不符时,可以试着把BitVec扩大一位来解决问题。这个题没碰到这个情况。
PS3:

 if o == 46:  #输出
        continue
        # print "put %c fin[{}]".format(ax)
        # print chr(fin[ax])
    if o == 44:  #输入
        fin[ax] = a1.pop()
        # print "get %2x fin[{}]".format(ax)
        # break

PS4:

a1.reverse()
fin[ax] = a1.pop()

得出的字符按顺序16进制就是flag。

0x05.521

搜字符串,找逻辑,点进去函数1
1是对目标字符串的赋值
2是对输入的处理(2函数点进去,与固定字符串异或,动调下断,固定字符串可以试出来)
1
3是1和2的比较

result=[0x80,0x59,0x23,0x35,0x2a,0x6,0x8c,0x6f,0x27,0x55,0x32,0xe9,0x52,0x54,0x85,0xf,0xc2,0x93,0x2d,0xad,0xf6,0x1a,0x2,0x93,0x22,0x7c,0x16,0x8a,0x29,0x4a,0x1e,0x34,0x72,0x80,0x9f,0x9b,0x22]
tmp=[0x80,0x59,0x23,0x35,0x22,0x73,0x8d,0x1a,0x51,0x5d,0x30,0xe8,0x57,0x26,0xf6,0x7,0xc6,0x92,0x5e,0xdc,0x83,0x1f,0x76,0x92,0x25,0xf,0x65,0xfb,0x2e,0x4d,0x6b,0x45,0x3,0x87,0xe9,0x9f,0x22]
input=['N', 'e', 'p', '{', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '}']
flag=[0 for i in range(37)]
for i in range(37):
	flag[i]=result[i]^(ord(input[i])^tmp[i])
print(''.join(map(chr,flag)))
#Nep{8E1EF8215BC841CAE5D17CCA77EAA7F4}

0x06.DDoll

反调试多,IDA是找不到中文字符的,直接上X64dbg(X64dbg需要安装插件识别中文字符),接下来就是逐步往里跟,搜到中文字符串,这就明了。
1
红框内函数EE1122,IDA反编译,是明文比较,因此找到目标字符而且24位,接着从后往前看,EE12AD生成目标字符串,没啥用,EEA694找不到,EE1055将输入字符与某字符串异或。至此逻辑清楚。模拟输入24位(也没有对前几个字符和最后字符以及字符长度的条件判断,你输100位都没事,有点奇怪,哈哈哈)。

enc = [0xC6,0xA5,0x04,0x53,
0x33,0xC3,0xC8,0x9E,
0x2F,0x8F,0x44,0xE0,
0x9D,0x24,0x2F,0x28,
0xE4,0xDC,0xDB,0x34,
0x78,0xB8,0x4C,0x38]
flag=[0xC6,0xA5,0x04,0x53,
0x17,0xF6,0xCF,0xAA,
0x21,0xAF,0x5C,0xE0,
0x9F,0x17,0x2F,0x74,
0x88,0xA6,0x8B,0x72,
0x3F,0xE5,0x1B,0x38]

dec = "Nep{fuckyouall123456789}"
result=[0 for i in range(24)]
for i in range(24):
	result[i]=enc[i]^(flag[i]^ord(dec[i]))
print(''.join(map(chr,result)))
#Nep{B@d_wOman_1n_Neppen}

感谢Tony Smith师傅的知识补充
补充: ida里的rebase还是挺好用的。od里的地址有时候跟ida里的不一样,直接rebase。
ida edit->segments->rebase program,之后打开od的memory map(alt+m),找pe文件头,ida的base地址直接设成文件头的地址两边地址就能一块用了。
2
在这里插入图片描述

0x07.easy_maze

简单的迷宫题,地图没有变换,ujkh,上下左右清晰,#,终点清晰。

北风~
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安恒战略发布资料合集.zip
05-28
战略安全产品发布会全套资料
安恒月赛题目参赛源码+项目说明.zip
最新发布
01-23
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 安恒月赛题目参赛源码+项目说明.zip
2018-10月安恒逆向题目
10-29
2018年10月安恒月赛逆向题目。
安恒ctf misc crypto 培训资料合集
10-06
安恒ctf misc crypto合集 加解密rsa 隐写 图片隐写 现代密码 古典密码 ppt
安恒堡垒机配置说明.zip
03-16
明御堡垒机、安恒堡垒机配置使用说明
攻防世界逆向WP,easy_Maze
Darclindy的博客
07-19 452
迷宫问题参考:https://ctf-wiki.github.io/ctf-wiki/reverse/maze/maze/ 下载下来后发现是64位ELF文件,没有加壳。由文件名easy_Maze知道这是一个迷宫问题,我们需要求出迷宫所存数组,以及在迷宫中行走对应的输入。拖入IDA,查找字符串交叉应用找到主函数,F5反编译发现主界面定义了51个连续变量,猜想这些变量极有可能就是迷宫的构成要素。除去变量,函数操作如下: 可以看到这里有三个函数,Step_0,Step_1,Step_2,应该就是对已.
2023 nb-ctf 逆向 wp(未写完)
keine_beihai的博客
12-04 1206
(脚本里输出的n和w有些问题,分别多了一项和少了一项,笔者懒得去修正了然后手动修改了一下得到正确的n和w,然后这个_n和_w也是有些问题的,当时看题时把main.py里的下标是奇数时,n和w替换,看成了偶数时才替换,所以这里得到的_n其实是实际的w,_w是实际上的n,搞反了,不过万幸的是不影响后面的爆破,只要换一下就好了)代码有点乱,大概思路就是先把70个字符分成两部分,然后分别从左到右分离出下标奇数部分的n和w,下标偶数部分的w和n,然后把这些n和w排好顺序,分别交替输出得到n和w 的数组。
Newstarctf week5逆向wp
weixin_66718841的博客
10-24 956
NewStarCTF的week5逆向wp
2021虎符CTF逆向wp
FIshy000的博客
04-10 556
红明谷-g0 看名字就是go语言题目,用IDA-golang-helper还原符号表之后,看到只有几个函数,其中main_Encode就是加密函数 函数逻辑比较简单,输入长度等于20,打乱位置,进入main_Encode加密,最后进入main_fun1进行比较,直接看main_Encode中的加密算法 动态调试后发现一张表,表的长度为58位,判断为换表base58加密 进入main_fun1函数中找到加密后的字符串,注意 runtime_memequal这个比较的函数需要在汇编中寻找比较的字符串首地址
2021虎符CTF逆向WP
Whitebird的博客
04-06 1008
周六打了2021虎符的比赛,由于刚入门逆向,也就写出来了一题,赛后复现了一波,可能会有写错的地方,欢迎大佬指出。 一、redemption_code二、CrackMe三、GoEncrypt 一、redemption_code 首先,拿到这道题,我们查一下壳,并没有加壳。然后拉入ida32查看一下 看了下大概的流程,写了点注释,接下来我们的重点就是pre(v11);和server_check_redemption_code 两个函数 对pre函数写了点注释,我们看到pre的函数和main函数都有ser
2018上海CTF“骇极杯”逆向WP
11-12
2018上海CTF“骇极杯”逆向WP2018上海CTF“骇极杯”逆向WP
HGAME2021部分逆向WP
re1wn
03-04 1047
HGAME2021_RE_WP
180125 逆向-安恒杯18-01-Re
whklhhhh的博客
01-27 1526
1625-5 王子昂 总结《2018年1月25日》 【连续第482天总结】 A. 安恒杯18年1月逆向WP B. 比赛的时候在冬令营,当天比较忙所以没来得及做。。 现在复现一下-0-可惜只有这一题是逆向拖入64位IDA反编译,main函数倒是摆在面前,然而有一千多行的伪代码。。。OTZ在linux中运行,发现有一句提示输入Show me the right key and I will g
ctf——逆向新手题目1 (insanity) WP
qq_52842965的博客
07-16 502
第一步下载好所提供的的文件 按照正常做法先用ExeinfoPE去查看此文件的基本信息 从图中圈出的部分看出此文件非windows EXE文件,而是一个Linux的ELF的32位文件,接着用我们的ida32去打开这个文件 打开后进入点击左边的main函数,一般新手题目不会很难,直接进入即可 然后按F5变为伪代码 通过分析这些代码,发现其中的关键字符串str,我们点击str去进入这个字符串的具体内容 这时我我们看到了红线所圈住的地方发现本题的flag为 9447{This_is_a_flag} ..
2021大吉杯逆向wp
re1wn
01-26 2334
2021大吉杯逆向wp
Bugku 逆向WP(1)
John_lain的博客
11-10 1919
文章目录Bugku 逆向入门逆向Easy_vbEasy_Re游戏过关Timer(阿里CTF)逆向入门loveLoopAndLoop(阿里CTF)easy-100(LCTF) Bugku 逆向 2018-11-7 19:05:10 今天开始刷题了. 入门逆向 题目非常简单.用IDA直接看汇编代码,会发现printf函数后面有很多mov指令,这里就是flag. 建议不要直接F5,因为F5后看不到mov...
WP-南邮CTF逆向第五题 maze
z4ky的博客
11-08 1384
WP-南邮CTF逆向第五题 maze 用记事本打开maze,发现是elf文件 将maze载入idaPro,找到main函数,按下F5查看其伪代码。分析伪代码 根据分析,可知0X601060处是一个迷宫(maze),我们对sub_400690这个函数进行分析 然后观察0X601060处的数据, 是保存了64个数据,再根据sub_400690这个函数中的 可以判断出,这是一个8 * 8的迷...
BugkuCTF 逆向工程 部分WP
qq_42192672的博客
09-14 6764
1. Easy_vb 下载下来是一个exe 直接拖进OD看字符串就好 2. Easy_Re 打开了随便输一下,直接拖进IDA 直接可以在hex里找到flag 3. 游戏过关 打开之后是一个游戏,我也是有点醉,说实话这个游戏还蛮好玩的 拖进IDA,emmmm,看不懂,都没找到main函数,拖进OD,搜字符串,开始分析 在上图设置断点,发现只要在程序中输入一个...
CSICTF 部分逆向wp
苗_的博客
07-29 363
RicknMorty 整个看下来逻辑就是,随机出现两个数,找到他们的最小公因数,然后+3求阶乘。(在30s内算完所有即可) (当时没有用脚本,直接计算器走一波就出来了) 附上脚本: from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64' context.log_level='debug' sd=lambda x:io.send(x) s
安恒堡垒机 root密码
09-08
安恒堡垒机是一款网络安全产品,用于管理和控制企业的网络设备,保障网络的安全。其中的root密码是用于登录和操作安恒堡垒机的超级管理员账户。 root密码在安恒堡垒机中具有最高的权限,只有拥有root密码的用户才能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值