BUUCTF刷题记录 [Reverse]

已于 2023-01-11 12:13:57 修改
阅读量334 收藏 1
点赞数
分类专栏: CTF 文章标签: 网络安全
于 2023-01-02 19:19:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45225566/article/details/128523788
版权

BUUCTF刷题记录[Reverse]

SimpleRev

64位无壳程序,重点函数为Decry函数。

0x01 小端序存储

*(_QWORD *)src = 0x534C43444ELL;
v9 = 0x776F646168LL;

IDA直接转字符串的结果是

*(_QWORD *)src = 'SLCDN';
v9 = 'wodah';

Intel的CPU是小端序存储,因此程序载入内存后,字符串顺序应该反过来,也就是

*(_QWORD *)src = 'NDCLS';
v9 = 'hadow';

0x02 大写字母转小写字母

v3 = 0;
getchar();
v5 = strlen(key);
for ( i = 0; i < v5; ++i )
{
  if ( key[v3 % v5] > 64 && key[v3 % v5] <= 90 )
    key[i] = key[v3 % v5] + 32;
  ++v3;
}

大写字母和小写字母的ASCII码相差32,所以该段程序是将key中的大写字母转成小写字母。

0x03 混淆算法

while ( 1 )
{
  v1 = getchar();
  if ( v1 == 10 )
    break;
  if ( v1 == 32 )
  {
    ++v2;
  }
  else
  {
    if ( v1 <= 96 || v1 > 122 )
    {
      if ( v1 > 64 && v1 <= 90 )
        str2[v2] = (v1 - 39 - key[v3++ % v5] + 97) % 26 + 97;
    }
    else
    {
      str2[v2] = (v1 - 39 - key[v3++ % v5] + 97) % 26 + 97;
    }
    if ( !(v3 % v5) )
      putchar(32);
    ++v2;
  }
}
if ( !strcmp(text, str2) )
  puts("Congratulation!\n");
else
  puts("Try again!\n");

如果对ASCII码熟悉的话,很容易可以看出几个判断条件的目的是确保输入的v1是26的英文字母之一,大小写皆可,因此遍历26个英文字母,依次输出符合条件的字符即可。

0x04 EXP

src = "ADSFKNDCLS"
v3 = 0
v5 = len(src)
key = ""
for i in range(v5):
    if (src[i] > "@" and src[i] <= "Z"):
        key += (chr(ord(src[i]) + 32))
    else:
        key + (src[i])
#print("%s" %key)

text = "killshadow"
flag = ""
while (v3 < 10):
    for i in range(65, 91):
        if (ord(text[v3]) == ((i - 39 - ord(key[v3]) + 97) % 26 + 97)):
            flag += chr(i)
            v3 += 1
            break
        else:
            if (i == 90):
                for j in range(97, 122):
                    if (ord(text[v3]) == ((j - 39 - ord(key[v3]) + 97) % 26 + 97)):
                        flag += chr(j)
                        v3 += 1
                        break
print("flag{%s}" %flag)

flag{KLDQCUDFZO}

0x05 反思

  1. 大小端存储知识点不熟悉,变量赋值和载入内存时的字符串顺序转换不够熟悉。
  2. ASCII码不熟悉,不清楚函数的意图。

luck_guy

EXP

f1 = "GXY{do_not_"
s = [0x7F, 0x66, 0x6F, 0x60, 0x67, 0x75, 0x63, 0x69][::-1]
f2 = ""
for i in range(8):
    if (i % 2 == 1):
        f2 += chr(int(s[i]) - 2)
    else:
        f2 += chr(int(s[i]) - 1)
flag = f1 + f2
print("%s" %flag)
print("flag%s" %flag[3:])

flag{do_not_hate_me}

[BJDCTF2020]JustRE

比较直接,需要用户点击19999次弹出的框后,打印flag。

INT_PTR __stdcall DialogFunc(HWND hWnd, UINT a2, WPARAM a3, LPARAM a4)
{
  CHAR String; // [esp+0h] [ebp-64h]

  if ( a2 != 272 )
  {
    if ( a2 != 273 )
      return 0;
    if ( (_WORD)a3 != 1 && (_WORD)a3 != 2 )
    {
      sprintf(&String, Format, ++dword_4099F0);
      if ( dword_4099F0 == 19999 )
      {
        sprintf(&String, aBjdDD2069a4579, 19999, 0);// 打印flag
        SetWindowTextA(hWnd, &String);
        return 0;
      }
      SetWindowTextA(hWnd, &String);
      return 0;
    }
    EndDialog(hWnd, (unsigned __int16)a3);
  }
  return 1;
}

直接使用ipython将19999和0填入进去即可。

flag{1999902069a45792d233ac}

刮开有奖

0x01 总体分析

32位无壳,main函数比较简单,它的参数DialogFunc比较有问题。

int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd)
{
  DialogBoxParamA(hInstance, (LPCSTR)0x67, 0, DialogFunc, 0);
  return 0;
}

DialogBoxParamA函数(winuser.h)

从对话框模板资源创建模式对话框。 在显示对话框之前,函数会将应用程序定义的值作为WM_INITDIALOG消息的 lParam 参数传递给对话框过程。 应用程序可以使用此值初始化对话框控件。

https://learn.microsoft.com/zh-CN/windows/win32/api/winuser/nf-winuser-dialogboxparama

DialogFunc函数中重点代码如下:

  if ( (_WORD)a3 == 1001 )
  {
    memset(&String, 0, 0xFFFFu);
    GetDlgItemTextA(hDlg, 1000, &String, 0xFFFF);
    if ( strlen(&String) == 8 )
    {
      v7 = 'Z';
      v8 = 'J';
      v9 = 'S';
      v10 = 'E';
      v11 = 'C';
      v12 = 'a';
      v13 = 'N';
      v14 = 'H';
      v15 = '3';
      v16 = 'n';
      v17 = 'g';
      sub_4010F0((int)&v7, 0, 10);
      memset(&v26, 0, 0xFFFFu);
      v26 = v23;
      v28 = v25;
      v27 = v24;
      v4 = sub_401000((int)&v26, strlen(&v26));
      memset(&v26, 0, 0xFFFFu);
      v27 = v21;
      v26 = v20;
      v28 = v22;
      v5 = sub_401
最低0.47元/天 解锁文章
是周周不是粥粥
关注
专栏目录
buuctf 逆向刷题01——reverse1
qq_42642222的博客
11-03 1900
仅作学习ctf逆向的buu刷题记录,不定期更新,大佬轻拍。
buuctf刷题记录(6)
weixin_53409153的博客
08-03 329
[MRCTF2020]Xor 查壳: 拖入IDA中: 跟进,但是我们无法对关键函数sub_401090查看伪代码: 然后我们就直接看: 再函数中可以看到v0和byte_4212c0按位异或,最后得到byte_41EA08就会输出right,然后再查看: 最后再写脚本: a="MSAWB~FXZ:J:`tQJ\"N@ bpdd}8g" s="" for i in range(len(a)): s+=chr(i^ord(a[i])) print (s) 运行得到: MRCTF{@_R3@
REVERSE-PRACTICE-BUUCTF-11
P1umH0的博客
02-26 304
REVERSE-PRACTICE-BUUCTF-11[FlareOn4]IgniteMe[MRCTF2020]Xor[GKCTF2020]BabyDriver[MRCTF2020]hello_world_go [FlareOn4]IgniteMe exe程序,运行后提示输入flag,无壳,ida分析 主逻辑在start函数中,读取输入后check,验证输入成功则输出“G00d j0b!” 分析sub_401050函数,input和v4异或后放入byte_403180,v4有一个初始值,且在循环中不断变化,
BUUCTF reverse wp 11 - 20
fa1c4的blog
01-08 1186
Java逆向解密 java逆向, 用java-decompile逆 import java.util.ArrayList; import java.util.Scanner; public class Reverse { public static void main(String[] args) { Scanner s = new Scanner(System.in); System.out.println("Please input the flag ); String s
[BUUCTF]REVERSE——[ACTF新生赛2020]Oruga
mcmuyanga的博客
01-09 424
[ACTF新生赛2020]Oruga 附件 步骤: 例行检查,64位程序,无壳 64位ida载入,检索字符串,根据提示来到关键函数 14行~18行就是让字符串的前5位是 actf{ ,sub_78A()是关键函数,分析可知应该是迷宫 byte_201020(推荐在16进制界面查看),查看迷宫图形 这个移动方法有点意思,从左上角去往!,点代表路,其他符号是障碍物,点的时候会一直走,遇到障碍物才会停下,手动走一下 flag{MEWEMEWJMEWJM} ...
BUUCTF Reverse刷题笔记01(easyre、reverse1、reverse2、内涵的软件、新年快乐、helloword)
Taikx的博客
05-29 1984
文章目录一、easyre二、reverse1三、reverse2 一、easyre 拉入ExeinfoPe分析 程序为64位,所以我们用64位IDA分析 进入mian函数,F5查看伪代码 二、reverse1 拉入ExeinfoPe分析 程序为64位,所以我们用64位IDA分析,找到main函数,F5查看伪代码 看不出来什么东西 shift+F12查看程序字符串 发现可以字符串“{hello_world}”上交发现不对 再看程序字符串还有一处可疑之处 跟进字符串,找到关键字符串 跟进sub_1400118
[BUUCTF]REVERSE——[ACTF新生赛2020]easyre
mcmuyanga的博客
11-18 1146
[ACTF新生赛2020]easyre 附件 步骤 查壳,32位程序,upx壳儿 脱完壳儿,扔进ida 分析 一开始给我们定义了一个数组, v4=[42,70,39,34,78,44,34,40,73, 63, 43, 64] 之后让我们输入一个字符串,根据43行的if判断可以知道我们输入的字符串的开头是ACT{},就是flag 根据48行的if判断可知。ACT{}括号里的值长度为12,v4=byte_402000[输入的数组的每一位值-1] 在ida里可以看到byte_402000数组的值
[BUUCTF]REVERSE解题记录 reverse3
weixin_44192213的博客
02-26 284
1.查壳 32位 2.放入ida 找到代码 3.可以看到中间进行了sub_4110BE运算,再找到数字 可以看出是base64位加密 4.编写脚本,可以看到结果: 所以结果为:b'{i_l0ve_you}'
[BUUCTF]REVERSE解题记录 rsa
weixin_44192213的博客
02-28 438
1.根据题目提示可以看到本题运用了rsa算法。理论知识可以看[BUUCTF]REVERSE——rsa_mcmuyanga的博客-CSDN博客大佬的这篇文章。 根据大佬的解题记录,可以在http://tool.chacuo.net/cryptrsakeyparse这个在线平台中,将题目里的.key文件直接分解为 其中N转换为10进制之后是86934482296048119190666062003494800588905656017203025617216654058378322103517 E是6.
[BUUCTF]REVERSE解题记录 SimpleRev
weixin_44192213的博客
02-26 432
1.ida打开找到main函数 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax@7 char v4; // [sp+Fh] [bp-1h]@1 while ( 1 ) { while ( 1 ) { printf("Welcome to CTF game!\nPlease input d/D to start or inp
REVERSE-PRACTICE-BUUCTF-13
P1umH0的博客
02-26 423
REVERSE-PRACTICE-BUUCTF-13firmware[ACTF新生赛2020]Oruga[Zer0pts2020]easy strcmp[GXYCTF2019]simple CPP firmware .bin(二进制)文件,由题目提示可知是路由器固件逆向 参考:逆向路由器固件之解包 Part1 linux安装好binwalk和firmware-mod-kit binwalk会分析二进制文件中可能的固件头或者文件系统,然后输出识别出的每个部分以及对应的偏移量 binwalk该二进制文件,发现包
[buuctf.reverse] 11-32
weixin_52640415的博客
05-06 1865
目录 11java逆向解密 012_[GXYCTF2019]luck_guy 013_刮开有奖 014_[BJDCTF2020]JustRE 015_findit 016_简单注册器 017_[GWCTF 2019]pyre 018_[ACTF新生赛2020]easyre 019_rsa 020_[ACTF新生赛2020]rome 021_CrackRTF 022_[FlareOn4]login 023_[2019红帽杯]easyRE 024_[GUET-CTF2019]r.
BUUCTF--Reverse(21~30)
m0_59022585的博客
07-08 173
分析代码:byte_6CC0A0第一个字符与v1(前8位,v4[0])异或为f,byte_6CC0A3与v4[3]异或为g,对应flag第一和第四个字符。分析代码:伪代码中关键函数是sub_401080,只有v5=byte_40E0E4时,进入下面if时才提示flag正确。IDA查看脱壳后文件发现花指令,将花指令nop,即将call改为nop(E8改为90),再将相关txt编成函数(P键)。分析代码:sub_40100A()和sub_401019()代码分析推测是哈希算法。即(a1-16)为flag。
buuctf刷题(2)【13题 - 】
像初雪一样自由洒落
05-16 412
not_the_same_3dsctf_2016 一开始看到这两个函数,直接栈溢出,跳过来不就行了,,,没注意看,get_secret,是指将flag读入了f14g,并没有打印出来呢,所以我们还需要自己打印一下 搜了一下,有write函数,那就调用它 #coding=utf-8 from pwn import * connect = 1#连接本地 fileName=''#文件名 port='node3.buuoj.cn'#端口 ip='29206'#IP地址 main_addr = 0x
buuctf13-17题
XDiku的博客
01-29 170
ok
[BUUCTF]REVERSE解题记录 刮开有奖
weixin_44192213的博客
02-27 300
1.拖入ida32位中 直接查看主函数。可以找到其中的dialogfunc函数 if ( a2 == 272 ) { result = 1; } else { if ( a2 != 273 ) return 0; if ( (_WORD)a3 == 1001 ) { memset(&String, 0, 0xFFFFu); GetDlgItemTextA(hDlg, 1000, &String, 0.
[BUUCTF] simpleRev (涉及大小端序存储)
rabbit_dance的博客
01-05 1490
小端模式:低位字节排放在内存的低地址端,高位字节排放在内存的高地址端(即与大端模式相反(给计算机读的))。大端模式:高位字节排放在内存的低地址端,低位字节排放在内存的高地址端。其中 v1 是我们要求的 flag,经过中间处理后与 text 相等,所以我们可以爆破,让 j 在大小写字母里面遍历,如果处理后的字符与text[i]相等,则输出。malloc():C 库函数 void *malloc(size_t size) 分配所需的内存空间,并返回一个指向它的指针。
BUUCTF Reverse解题记录(三)
欢迎光临失去理智(sxhthreo)的博客~
03-03 4771
第九题:不一样的flag 这道题说实话我是看了题解才恍然大悟的。 1、2、3、4分别代表往上下左右四个方向走,由下语句: if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == 49 ) exit(1); if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == 35 ) { puts("\nok, the order you enter is the flag!"); exit(0);
2021-07-13 CTF Re buuoj day17
LiNa_lInA_741的博客
07-14 313
CTF Reverse buu oj day17SimpleRev题目分析解题 SimpleRev 题目分析 下载题目附件是64位elf文件 加载到IDA后,F5查看伪代码,Congratulation!的条件是if(!strcmp(text,str2)),即text和str2相等。 text是两个字符串join,, key3=‘kills’ v9=0x776F646168LL,Shift+e提取存储数据,v9='hadow’0,小端存储。 所以,text='killshadow’0,0应该是字符串
buuctf reverse reverse3
最新发布
09-27
BUUCTF Reverse Reverse3是一个题目,通过对给定的字符串进行逆运算,解密出一个flag。首先,给出的字符串经过了base64加密和按位加的操作,得到了"e3nifIH9b_C@n@dH"这个结果。要得到flag,我们需要进行逆运算。通过按位减和base64解密,可以得到flag {i_l0ve_you}。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值