REVERSE-PRACTICE-BUUCTF-17

最新推荐文章于 2022-10-29 19:51:28 发布
最新推荐文章于 2022-10-29 19:51:28 发布
阅读量448 收藏
点赞数
分类专栏: Reverse-BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/114155871
版权

REVERSE-PRACTICE-BUUCTF-17

[网鼎杯 2020 青龙组]jocker

exe程序,运行后提示输入flag,无壳,用ida分析
main函数平衡栈后,F5反汇编
主要逻辑为
读取输入,检验输入长度是否为24,对输入进行变换,与已知数组比较,执行一段从encrypt函数起始地址开始的SMC,分析可知,finally函数也会完全被SMC,未经变换的输入作为参数,调用encrypt函数和finally函数
jocker-main
先写input经过wrong变换和omg验证的逆运算脚本,得到的是假flag
jocker-fakeflag
往下走,在ida中使用idapython脚本完成SMC自修改代码

from idaapi import *
from idautils import *
start_addr = 0x401500
key = 0x41
for i in range(start_addr,start_addr+187):
    PatchByte(i,Byte(i)^key)

SMC前,encrypt函数和finally函数各自包含了一大段数据
jocker-presmc
SMC后,encrypt函数和finally函数的指令间都有一些db指令,实际上为花指令
encrypt函数:
jocker-pastsmc
finally函数:
jocker-pastsmc
手动nop掉多余的db指令,让ida能够自动分析成代码
完成nop后,发现encrypt函数,在两端黑色代码中间插有一段红色代码
jocker-nop
这时的处理方法是,在encrypt函数起始地址0x401500处,右键->undefine,变成黄色的数据,再按c转成代码,这时,encrypt函数起始地址与finally函数起始地址之间的代码全部为红色,再在encrypt函数起始地址0x401500处,右键->create function,平衡栈后,F5反汇编
这里encrypt函数反汇编后,好像没有用到未经变换的input,可能是patch代码的时候出错了,不过可以猜测为input和字符串“hahahaha_do_you_find_me?”异或,再与已知的unk_403040数组比较
jocker-encrypt
写encrypt函数的逆运算脚本,得到部分flag,之所以是部分flag,是因为长度为24的unk_403040的最后5个元素为0,“d_me?”与0异或不变,或者v6=19说明了只异或了19次,而且提交失败
jocker-partflag
同encrypt函数的解析步骤,对finally函数,先nop掉多余的db指令,undefine掉黑色代码,转成数据,按c再转成代码,右键->create function,F5反汇编
没看懂这个函数,看了其他师傅的wp,说这里也是异或,能看到的5个值[37,116,112,38,58]是异或后要比较的值,由于input的最后一位一定是“}”,它异或一个值(“71”)后与58相等,而且它之前的四位也是和这个值(“71”)异或,结果是58之前的四个值
jocker-finally
写finally函数的逆运算脚本得到后半部分的flag,替换掉“flag{d07abccf8a410cd_me?”的后5位,flag即为“flag{d07abccf8a410cb37a}”
jocker-partflag

[2019红帽杯]childRE

exe程序,运行后直接输入,无壳,ida分析
交叉引用字符串“flag{MD5(your input)}”来到sub_140001610函数
sub_140001610函数主要的逻辑为
读取输入,验证输入的长度是否为31,对输入进行位置变换处理,位置变换的结果放到v2(name),经调试可知,输入为abcdefghijklmnopqrstuvwxyz12345时,v2(name)的内容为pqhrsidtujvwkebxylz1mf23n45ogca
对v2(name)调用UnDecorateSymbolName函数处理,结果放到outputstring,验证outputstring的长度62及其内容

signed __int64 sub_7FF6DC281610()
{
  signed __int64 input_len; // rax
  _QWORD *v1; // rax
  const CHAR *v2; // r11
  __int64 v3; // r10
  __int64 v4; // r9
  const CHAR *v5; // r10
  signed __int64 outputstring_len; // rcx
  __int64 v7; // rax
  signed __int64 result; // rax
  unsigned int v9; // ecx
  __int64 v10; // r9
  int v11; // er10
  __int64 v12; // r8
  __int128 input; // [rsp+20h] [rbp-38h]
  __int128 v14; // [rsp+30h] [rbp-28h]

  input = 0i64;
  v14 = 0i64;
  sub_7FF6DC281080((__int64)"%s", &input);      // 读取输入
  input_len = -1i64;
  do
    ++input_len;
  while ( *((_BYTE *)&input + input_len) );
  if ( input_len != 31 )                        // 输入的长度为31
  {
    while ( 1 )
      Sleep(0x3E8u);
  }
  v1 = sub_7FF6DC281280(&input);                // 对input的处理,通过调试可知,从31行到41行,是对input的位置变换,变换后的结果放入v2,也就是name
                                                // 例如,输入abcdefghijklmnopqrstuvwxyz12345,name=“pqhrsidtujvwkebxylz1mf23n45ogca”
  v2 = name;                                    // v2==name
  if ( v1 )
  {
    sub_7FF6DC2815C0((unsigned __int8 *)v1[1]);
    sub_7FF6DC2815C0(*(unsigned __int8 **)(v3 + 16));
    v4 = dword_7FF6DC2857E0;
    v2[v4] = *v5;
    dword_7FF6DC2857E0 = v4 + 1;
  }
  UnDecorateSymbolName(v2, outputString, 0x100u, 0);// v2,也就是name,经过UnDecorateSymbolName函数处理,结果放到outputstring中
  outputstring_len = -1i64;
  do
    ++outputstring_len;
  while ( outputString[outputstring_len] );
  if ( outputstring_len == 62 )                 // outputstring的长度为62
  {
    v9 = 0;
    v10 = 0i64;
    do                                          // do循环体在验证outputstring的内容
    {
      v11 = outputString[v10];
      v12 = v11 % 23;
      if ( table[v12] != *(_BYTE *)(v10 + 0x7FF6DC283478i64) )// (_@4620!08!6_0*0442!@186%%0@3=66!!974*3234=&0^3&1@=&0908!6_0*&
        _exit(v9);
      if ( table[v11 / 23] != *(_BYTE *)(v10 + 0x7FF6DC283438i64) )// 55565653255552225565565555243466334653663544426565555525555222
        _exit(v9 * v9);
      ++v9;
      ++v10;
    }
    while ( v9 < 0x3E );
    sub_7FF6DC281020("flag{MD5(your input)}\n", v11 / 23, v12, v10);
    result = 0i64;
  }
  else
  {
    v7 = sub_7FF6DC2818A0(std::cout);
    std::basic_ostream<char,std::char_traits<char>>::operator<<(v7, sub_7FF6DC281A60);
    result = 0xFFFFFFFFi64;
  }
  return result;
}

先写验证outputstring的长度62及其内容的逆运算脚本,得到outputstring,为一个未修饰的C++符号名
childre-outputstring
UnDecorateSymbolName函数反修饰指定已修饰的 C++ 符号名,参考:UnDecorateSymbolName
第1个参数为已修饰的 C++ 符号名,此名称能以始终为问号 (?) 的首字符鉴别,本题中为v2(name),第2个参数指向字符串缓冲区的指针,该缓冲区接收未修饰的名字,本题中为outputstring
可知需要对outputstring符号名修饰才能得到v2(name),参考:c/c++函数名修饰规则
或者通过写C++代码,调用__FUNCDNAME__宏(FUNCDNAME:只有在函数内部才有效,返回该函数经编译器修饰后的名字。如果编译器选项中设定了/EP或/P,则__FUNCDNAME__是未定义。)直接得到函数经编译器修饰后的符号名,需要注意的是函数所在的类,域,返回类型,函数名,参数类型都必须和已知完全相同

#include<iostream>
using namespace std;
class R0Pxx {//函数所在的类
public:
	R0Pxx() {//该类的构造函数
		unsigned char a;
		My_Aut0_PWN(&a);
	}

private://函数属于私有域
	//函数的返回类型 函数名 以及参数类型
	char * My_Aut0_PWN(unsigned char*) {
		char * ret = NULL;
		//调用宏 输出该函数经编译器修饰后的符号名
		printf("%s", __FUNCDNAME__);
		return ret;
	}
};
int main() {
	new R0Pxx();
	getchar();
	return 0;
}

运行结果即为v2(name),注意是在x86架构下运行的结果
childre-name
写逆位置变换脚本即可得到输入,对输入进行md5散列即可得到flag
childre-script

[MRCTF2020]PixelShooter

apk文件,jadx-gui打开,什么都没发现
用Apktool Box反编译apk后,在PixelShooter->lib->armeabi-v7a目录下发现3个.so文件,依次分析,同样什么都没发现
突然想到这是个安卓unity游戏,而安卓unity游戏的核心逻辑一般位于assets\bin\Data\Managed\Assembly-CSharp.dll
用dnSpy打开,在类UIController的GameOver方法中找到flag
pixelshooter-flag

[ACTF新生赛2020]SoulLike

elf文件,无壳,ida分析
main函数,读取输入,验证输入的前5个字符是否为“actf{”,将输入{}内的字符放入v8,可知输入{}内的长度为12,调用sub_83A函数验证v8,且输入的最后一个字符为“}”
soullike
分析sub_83A函数,可以看到是对input{}内12个字符的超多异或运算
solulike-sub_83A
在sub_83A函数的最后,是input{}内的12个字符经过超多异或运算后的值与已知的v4到v15比较,因为会有类似input[3]^=input[2]的情况,所以不能通过调试得到每个字符最后等效的异或值是什么
不过当比较为不相同时,程序会打印输入是哪个位置的字符错了,于是可以写脚本爆破出flag
sloulike-sub_83A
爆破脚本

#coding:utf-8
from itertools import *
import subprocess

flag=""
t=""
for i in range(12):
    for j in range(32,126):
        flag ="actf{"+t+chr(j)+"}" 
        p = subprocess.Popen(["./SoulLike"], stdin=subprocess.PIPE, stdout=subprocess.PIPE, stderr=subprocess.PIPE)
        p.stdin.write(flag)
        p.stdin.close()
        out=p.stdout.read()
        p.stdout.close()

        if "#"+str(i) not in out:
            t+=chr(j)
            break

print(flag)

运行结果
soullike-flag

P1umH0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BugkuCTF Take the maze
weixin_43225801的博客
12-07 778
BugkuCTF Take the maze 挺好的一题,一个box加上vm的题目 首先,查壳,无壳。 首先,先拖进ida,解析,看见 if ( sub_45E593((int)input) ) { puts(“done!!!The flag is your input\n”); sub_45D9C7(4); sub_45E1B5(); } 输出flag的函数,追进去,发现 v1 = j__fop...
171210 逆向-Take the maze
whklhhhh的博客
12-12 568
1625-5 王子昂 总结《2017年12月10日》 【连续第436天总结】 A. CTF训练平台bugku-Take the maze B. 首先运行,提示输入key 查壳显示无,拖入IDA 根据字符串定位到main函数 这里可以看出基本格式:24位十六机制另外在字符串里可以看到很多print ticket的字样 (这个操作有点像今年国赛的“欢迎来到加基森”呢,吓了我一跳
攻防世界-reverse_re3
qq_70851535的博客
10-29 2340
逆向题目分析
[BUUCTF]REVERSE——[GKCTF2020]BabyDriver
mcmuyanga的博客
12-14 264
[GKCTF2020]BabyDriver 附件 步骤: 例行检查,64位程序,无壳 64位ida载入,检索程序里的字符串,看到提示flag是md5(input),下方还看到了类似迷宫的字符串 找到关键函数 从o出发到#结束,碰到*失败,只能走‘.’,但是这个上下左右md5加密出来的东西不对 看了别人的wp才知道这里由于是sys文件,是由键盘过滤驱动获取键盘扫描码来控制上下左右,而不是ascll码 所以刚刚的上下左右对应的是IKJL 画出迷宫,走一下顺序是LKKKLLKLKKKLLLKKKLLL
2021年“莲城杯”网络安全大赛-Reverse-RE
qq_43264813的博客
10-12 1164
2021年“莲城杯”网络安全大赛-Reverse-RE 题目名称:RE 题目内容:小心API;提交的flag为flag{md5(your_input)} 题目分值:300.0 题目难度:困难 相关附件:Readme的附件.exe 解题思路: 1.读取了文件本身的前16个字节,并用输入的前4字节换掉MZ文件头,MD5后用来AES解密,并要求解密后的文本与输入的前16字节一致,直接爆破: 2.拿到前半部分flag输入的后16个字节是魔改的TEA: 获得后半部分Rever5e_Send__1t flag{d
[ctf.show.reverse] 卷王杯 简单的re,sigin_keys,逆向签到
weixin_52640415的博客
04-29 1222
简单的re 一道rc4题,没有复杂的操作,每次处理两个字符 unsigned __int64 __fastcall sub_400C9D(unsigned int *a1) { unsigned __int64 result; // rax int v2; // [rsp+18h] [rbp-38h] unsigned int v3; // [rsp+1Ch] [rbp-34h] unsigned int v4; // [rsp+20h] [rbp-30h] int i; // [
GKCTF2020 BabyDriver
__ys的博客
04-01 201
BabyDriver(.sys驱动程序) 拿到文件先丢入IDA 由于初次做驱动的逆向,对调用的API含义完全不懂,只知道驱动的入口是DriverEntry(跟main函数差不多) 我们直接查询字符串,找到关键部分,发现是个maze问题 __int64 __fastcall sub_140001380(__int64 a1, __int64 a2) { __int64 v3; // rdi __int64 v4; // rax int v5; // ecx __int16 *v6; //
realkana-reverse-practice
07-05
"realkana-reverse-practice"项目是利用JavaScript技术为日语学习者设计的一个实用工具,旨在帮助用户提高对日语平假名(hiragana)的认知和记忆能力。 首先,我们来看项目的名称"realkana-reverse-practice"。...
react-native-reverse-geo
06-05
从你的项目内部运行npm install react-native-reverse-geo --save 在 XCode 中,在项目导航器中,右键单击Libraries ➜ Add Files to [your project's name] 转到node_modules ➜ react-native-reverse-geo并添加...
reverse-im.el
05-06
安装手动的M-x package-install RET reverse-im RET使用使用包改用提供的次要模式(有关详细信息,请参阅 ): ( use-package reverse-im :ensure t :custom (reverse-im-input-methods '( " russian-computer " )) ...
perl-reverse-shell
06-03
perl-reverse-shell
simple-reverse-proxy
06-10
例子 var SimpleReverseProxy = require('simple-reverse-proxy');new SimpleReverseProxy(['http://localhost:10001','http://localhost:10002','http://localhost:10003'], {agent: false}).listen(10000);[10001,...
2021-11-07
m0_51684866的博客
11-07 684
线上结业赛部分WP及总结 1.Web签到题 进入场景查看源码 得到一串base64编码。 (2)解码得到flag flag{6178264d-83f2-9e23-4972-81ce1650cbab} 2.小明的密码 打开记事本得到几行编码,先整到一行中得到646f6e745f6861636b5f6d65 进行解码,在尝试多种解码后得到是hex解码 Hex解码得到dont_hack_me即为flag。 3.爬坡道 打开压缩包得到一张图片,显示密文,刚开始没有头绪,问度娘发现是希尔密码。 在线工具进行解密
简单逆向26(c++函数修饰名,md5,动态调试,算法逆向)
m0_49936845的博客
08-08 258
诺莫26 开始: 放入IDA,找到字符串: 找到main函数: signed __int64 main()//重命名 { signed __int64 v0; // rax __int64 v1; // rax const CHAR *v2; // r11 __int64 v3; // r10 __int64 v4; // r9 const CHAR *v5; // r10 signed __int64 v6; // rcx __int64 v7; // rax sig
MD5加密入门
温故而知新
11-13 1247
MD5加密:将二进制数据映射成为一个独立的128位的二进制数据,也就是32位十六进制数据; 数据库中将表单中密码加密: update user set password=MD5(password); java中将某个字符串加密: 代码为:
红帽杯——childRE
寻梦&之璐
04-05 1357
查壳 拖进ida main函数 signed __int64 main() { signed __int64 v0; // rax __int64 v1; // rax const CHAR *v2; // r11 __int64 v3; // r10 __int64 v4; // r9 const CHAR *v5; // r10 signed __int64 v6; // rcx __int64 v7; // rax signed __int64 result; /
WUST_2021校赛re-AskforU
Todog的博客
05-03 574
进入程序,刚刚做出来,先按照我做出的顺序来把 发现无法f5直接看汇编 花指令,我们直接nop掉。为了平衡栈 箭头指向的地方全部nop 同样,还有另外2处,全部nop掉,然后创建函数可以f5看逻辑了 int __cdecl main(int argc, const char **argv, const char **envp) { const char *Str1; // eax const char *Str2; // [esp+14h] [ebp-E4h] int i.
2022第二届网刃杯网络安全大赛部分wp
3tefanie丶zhou的博客
04-25 3652
【世间痴情男儿,不论地位高低,大抵都是喜欢女子便是错了,而且希望能一辈子知错不改】
BUUCTF逆向刷题——[GKCTF2020]BabyDriver
CYP11112的博客
10-14 518
IDA打开 在sub_140001380发现主函数 然后在字符串里发现有东西 双击跟进 发现a0有东西,估计是个迷宫题。 看代码 ` char v9; // dl CHAR *v10; // rcx v2 = a2; if ( *(_DWORD *)(a2 + ‘0’) >= 0 ) { v3 = *(_QWORD *)(a2 + 24); v4 = *(_QWORD *)(a2 + 56) >> 3; if ( (_DWORD)v4 ) { v5 = dword_1400030E4;
reverse-i-search
最新发布
07-27
反向搜索(reverse-i-search)是一个命令行工具中常用的功能,用于搜索并显示之前输入的命令历史记录中最后一个与指定关键词匹配的命令。通过按下Ctrl+R键,你可以启动反向搜索模式,然后开始输入关键词,命令行会自动显示最后一个匹配的命令。你可以继续按下Ctrl+R键来显示更早的匹配命令。如果找到了想要执行的命令,可以按下Enter键来执行它,或者按下右箭头键来编辑它。 请注意,反向搜索功能是特定于使用的命令行工具和操作系统的。不同的终端程序和操作系统可能有不同的实现方式和快捷键。以上是一般情况下的说明,具体使用方法可能会因环境而异。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值