REVERSE-PRACTICE-BUUCTF-18

最新推荐文章于 2024-05-14 11:04:56 发布
最新推荐文章于 2024-05-14 11:04:56 发布
阅读量656 收藏 1
点赞数
分类专栏: Reverse-BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/114155876
版权

REVERSE-PRACTICE-BUUCTF-18

[SWPU2019]ReverseMe

exe程序,运行后提示输入flag,输入错误打印“Try again”,无壳,ida分析
交叉引用字符串“Please input your flag:”来到sub_C22810函数
主要的逻辑为
获取输入,输入的长度为32,输入与字符串"SWPU_2019_CTF"循环异或,sub_C225C0函数对异或后的input进行处理,结果放在v27和v28,最后v27和v28与v36~v43比较,验证输入

int __thiscall sub_C22810(void *this)
{
  int v1; // eax
  int v2; // ecx
  int v3; // eax
  int v4; // esi
  signed int v5; // edi
  unsigned int v6; // kr00_4
  int *v7; // ecx
  int *input_copy; // ecx
  int *v9; // ecx
  __int128 *v10; // edx
  unsigned int v11; // edi
  int v12; // eax
  int v13; // eax
  bool v14; // cf
  unsigned __int8 v15; // al
  unsigned __int8 v16; // al
  unsigned __int8 v17; // al
  const char *v18; // edx
  int v19; // eax
  int v20; // eax
  int v22; // [esp-14h] [ebp-D8h]
  int v23; // [esp-10h] [ebp-D4h]
  int *input; // [esp+24h] [ebp-A0h]
  int v25; // [esp+34h] [ebp-90h]
  unsigned int v26; // [esp+38h] [ebp-8Ch]
  __int128 v27; // [esp+3Ch] [ebp-88h]
  __int128 v28; // [esp+4Ch] [ebp-78h]
  int v29; // [esp+5Ch] [ebp-68h]
  __int128 v30; // [esp+60h] [ebp-64h]
  __int128 v31; // [esp+70h] [ebp-54h]
  int v32; // [esp+80h] [ebp-44h]
  __int64 v33; // [esp+84h] [ebp-40h]
  int v34; // [esp+8Ch] [ebp-38h]
  __int16 v35; // [esp+90h] [ebp-34h]
  int v36; // [esp+94h] [ebp-30h]
  int v37; // [esp+98h] [ebp-2Ch]
  int v38; // [esp+9Ch] [ebp-28h]
  int v39; // [esp+A0h] [ebp-24h]
  int v40; // [esp+A4h] [ebp-20h]
  int v41; // [esp+A8h] [ebp-1Ch]
  int v42; // [esp+ACh] [ebp-18h]
  int v43; // [esp+B0h] [ebp-14h]
  int v44; // [esp+C0h] [ebp-4h]

  v25 = 0;
  v26 = 15;
  LOBYTE(input) = 0;
  v44 = 0;
  LOBYTE(v44) = 1;
  v1 = printf(this, "Please input your flag: ");
  printf_(v1);
  sub_C237B0(&dword_C50068, &input);            // 获取输入input
  v34 = 'TC_9';                                 // v33~v35:"SWPU_2019_CTF"
  v33 = qword_C4B9A0;
  v35 = 'F';
  if ( v25 == 32 )                              // 输入的长度为32
  {
    v40 = 0xBA143D17;
    v41 = 0x1D730350;
    v42 = 0x9404607A;
    v43 = 0x290AF070;
    v5 = 0;
    v30 = 0i64;
    v32 = 0;
    v31 = 0i64;
    v6 = strlen((const char *)&v33);
    do                                          // do循环体是input和"SWPU_2019_CTF"循环异或
    {
      v7 = (int *)&input;
      if ( v26 >= 16 )
        v7 = input;
      *((_BYTE *)v7 + v5) ^= *((_BYTE *)&v33 + v5 % v6);
      ++v5;
    }
    while ( v5 < 32 );
    input_copy = (int *)&input;
    v4 = (int)input;
    if ( v26 >= 0x10 )
      input_copy = input;
    v29 = 0;
    v27 = 0i64;
    v28 = 0i64;
    *(_QWORD *)&v30 = *(_QWORD *)input_copy;
    *((_QWORD *)&v30 + 1) = *((_QWORD *)input_copy + 1);
    *(_QWORD *)&v31 = *((_QWORD *)input_copy + 2);
    *((_QWORD *)&v31 + 1) = *((_QWORD *)input_copy + 3);
    sub_C225C0(v22, v23, 256, (unsigned int)&v30, (unsigned int)&v27);// 对异或后的input进行处理,结果放在v27和v28
    v36 = 0xF80F37B3;
    v37 = 0x5DAEBCBC;
    v9 = &v36;
    v38 = 0x864D5ABA;
    v10 = &v27;
    v39 = 0xD3629744;
    v11 = 28;
    v40 = 0x1624BA4F;
    v41 = 0x1A729F0B;
    v42 = 0x266D6865;
    v43 = 0x67C86BBA;
    while ( 1 )                                 // while循环体是sub_C225C0函数对异或后input的处理结果与v36~v43比较
    {
      v12 = *v9;
      if ( *v9 != *(_DWORD *)v10 )
        break;
      ++v9;
      v10 = (__int128 *)((char *)v10 + 4);
      v14 = v11 < 4;
      v11 -= 4;
      if ( v14 )                                // v14为1,即v11<4时,验证正确
      {
        v13 = 0;
        goto LABEL_19;
      }
    }
    v14 = (unsigned __int8)v12 < *(_BYTE *)v10;
    if ( (_BYTE)v12 != *(_BYTE *)v10
      || (v15 = *((_BYTE *)v9 + 1), v14 = v15 < *((_BYTE *)v10 + 1), v15 != *((_BYTE *)v10 + 1))
      || (v16 = *((_BYTE *)v9 + 2), v14 = v16 < *((_BYTE *)v10 + 2), v16 != *((_BYTE *)v10 + 2))
      || (v17 = *((_BYTE *)v9 + 3), v14 = v17 < *((_BYTE *)v10 + 3), v17 != *((_BYTE *)v10 + 3)) )
    {
      v13 = -v14 | 1;
    }
    else
    {
      v13 = 0;
    }
LABEL_19:
    if ( v13 )                                  // v13为0时,验证正确
      v18 = "Try again!\r\n";
    else
      v18 = "Congratulations! I always knew you could do it.";
    v19 = printf(v9, v18);
    printf_(v19);
    sub_C2ADBE("pause");
  }
  else
  {
    v3 = printf(v2, "Try again!\r\n");
    printf_(v3);
    sub_C2ADBE("pause");
    v4 = (int)input;
  }
  if ( v26 >= 0x10 )
  {
    v20 = v4;
    if ( v26 + 1 >= 0x1000 )
    {
      v4 = *(_DWORD *)(v4 - 4);
      if ( (unsigned int)(v20 - v4 - 4) > 0x1F )
        sub_C2AFF7(v26 + 36);
    }
    sub_C264DE(v4);
  }
  return 0;
}

sub_C225C0函数对异或后的input进行处理,可通过下内存断点得知具体情况
首先在调用sub_C225C0函数前下断点,开始调试
reverseme-breakpoint
输入为abcdefghijklmnopqrstuvwxyz123456,经过与"SWPU_2019_CTF"的循环异或及变量赋值后,v30即为input循环异或后的结果
reverseme-v30
在0x4FF858处按F2下内存断点
reverseme-breakpoint
按F9执行,来到一个v30(下图中为v25)与v28异或的地方
reverseme-F9
可知sub_C225C0函数是对循环异或后的input的结果的再一次异或,但是不知道异或的是哪些值
由于我们输入是“abcdefghijklmnopqrstuvwxyz123456”,与"SWPU_2019_CTF"异或后的结果v30是确定的,可以通过调试得到sub_C225C0函数调用完后,结果v27和v28的值,再用v30异或v27和v28得到sub_C225C0函数中参与异或运算的另一些值
调试得到v27和v28为
reverseme-v27v28
写逆运算脚本即可得到flag

#coding:utf-8
#a是两次异或后,v27和v28的数据
a=[0xB4, 0x39, 0x0D, 0xFB, 0xA2, 0x83, 0xF9, 0x40, 0xB2, 0x42,
  0x43, 0x9E, 0x41, 0x9C, 0x4F, 0x90, 0x4D, 0xBC, 0x76, 0x41,
  0x3E, 0xB6, 0x53, 0x0B, 0x6E, 0x66, 0x29, 0x75, 0xE5, 0x1C,
  0xBE, 0x2C]
#b是input第一次异或后,v30的数据
b=[0x32, 0x35, 0x33, 0x31, 0x3A, 0x54, 0x57, 0x59, 0x50, 0x35,
  0x28, 0x38, 0x2B, 0x3D, 0x38, 0x20, 0x24, 0x2D, 0x41, 0x44,
  0x44, 0x4F, 0x28, 0x3B, 0x2D, 0x3C, 0x62, 0x65, 0x63, 0x61,
  0x6A, 0x04]
#a^b即可得到sub_C225C0函数中参与异或运算的另一些值
#cipher是最后要比较的数据
cipher=[0xB3, 0x37, 0x0F, 0xF8, 0xBC, 0xBC, 0xAE, 0x5D, 0xBA, 0x5A,
  0x4D, 0x86, 0x44, 0x97, 0x62, 0xD3, 0x4F, 0xBA, 0x24, 0x16,
  0x0B, 0x9F, 0x72, 0x1A, 0x65, 0x68, 0x6D, 0x26, 0xBA, 0x6B,
  0xC8, 0x67]
s="SWPU_2019_CTF"
flag=""
for i in range(len(cipher)):
    flag+=chr(a[i]^b[i]^cipher[i]^ord(s[i%len(s)]))
print(flag)
#flag{Y0uaretheB3st!#@_VirtualCC}

[FlareOn1]Bob Doge

exe程序,运行后点击“DECODE”,看到一段不明白意义的字符串
bobdoge-runexe
查壳,发现是.Net程序,用dnSpy打开
找到“DECODE”按钮的响应函数,看到该函数会得到三个字符串text,text2和text3,调试看看这三个字符串分别是什么
bobdoge-onclick
可以看到,字符串text即为flag
bogdoge-flag

[FlareOn5]Ultimate Minesweeper

exe程序,运行后是个扫雷游戏,一共30x30=900个格子,897个雷,只有3个不是雷,提示说找到那3个不是雷的格子就能得到flag
查壳,发现是.Net程序,用dnSpy打开
先找到决定弹出失败(FailurePopup)或成功(SuccessPopup)对话框(ShowDialog)的SquareRevealedCallback函数
um-logic
选中SquareRevealedCallback函数名,右键->分析->被使用,来到MainForm函数
um-mainform
挨着点进去分析,发现在AllocateMemory函数会对900个格子,每个格子赋一个bool值,雷的格子赋为true,非雷的格子赋为false
um-AllocateMemory
在this.VALLOC_TYPES数组中就保存着非零格子的信息,但是不知道具体下标
um-VALLOC_TYPES
调试,在执行完“this.mineFieldControl.DataSource = this.MineField;”后,在GarbageCollect数组中可以看到,雷的格子为true,非雷为false
um-garbagecollect
找到3个非雷格子的位置分别为[7,20],[24,28],[28,7]
um-nonbomb
um-nonbomb
um-nonbomb
运行exe程序,点出3个非雷的格子(注意[]中第一个坐标为列,第二个坐标为行,且均从0开始),即可得到flag
um-flag

[GKCTF2020]Chelly’s identity

exe程序,运行后输入,无壳,ida分析
交叉引用字符串“flag is flag{(your answer)}!”来到sub_41C290函数
主要逻辑为,获取输入,验证输入长度是否为16,对输入进行处理(实际上为对输入进行异或运算),验证处理后的输入
chelly-logic
sub_411721->sub_41B3B0
首先获取2~128之间的素数,存到v12
然后进入while循环体,while里面有个小的for循环,for循环中的i小于输入字符的ascii码,且i每次的取值是2~128之间的素数,for循环中v9从0开始累加i,当i的取值大于等于输入字符的ascii码时,退出for循环,输入和累加好的v9异或,再进入下一次while循环,直到输入的每个字符都完成异或运算
chelly-sub_41B3B0
从sub_411852函数中取出最后要比较的数据,写逆脚本即可得到flag

#coding:utf-8
import gmpy2
res=[438,1176,1089,377,377,1600,924,377,1610,924,637,639,
     376,566,836,830]
sushu=[]
#获取2~128之间的素数
for i in range(2,128):
  if gmpy2.is_prime(i):
    sushu.append(i)
flag=""
for i in range(len(res)):
  for j in range(32,128):#爆破input的字符
    tmp=0
    for k in range(len(sushu)):
      if sushu[k]<j:    #sushu[k]相当于i,小于input字符的ascii码且为2~128之间的素数
        tmp+=sushu[k]   #v9累加
      else:
        break
    if j^tmp==res[i]:   #异或后比较相等
      flag+=chr(j)      
print(flag)
#Che11y_1s_EG0IST
P1umH0
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
实验吧(逆向):分道扬镳
s0il的博客
09-04 300
题目: 注意进入正确的流程,用最短的步骤走完迷宫。 解题链接:http://ctf5.shiyanbar.com/423/re/rev2.exe 过程 IDA打开: 顺着去找main函数: int main_0() { size_t v0; // eax size_t v1; // ...
BUUCTF】web 之 [极客大挑战 2019]BuyFlag
weixin_44164784的博客
04-13 665
简单分析 打开链接 随便翻翻 发现菜单中的 PAYFLAG 进去康康。 很明显 ,得到flag 需要 钱 & cuiter & password 具体操作: 抓包分析: 发现cookie user=0; 0可能说明否认,所以改成1重发得到 you are Cuiter Please input your password!! 接下来觉得密码问题 贴点网页源代码 404 但是不能...
BUUCTF逆向前八题
Knozya的博客
01-26 1096
经分析发现若要成功得到flag的值,需得到b数组里的值,但这其中包含了一个异或运算,需要明确异或两遍等于其本身,且b数组是33位(第11行),接着我们对global进行分析,双击global进行跳转。为方便说明,我把destination重命名为Str1(选中按n重命名),自下而上分析,发现第25行把v4复制到Str1中了,找v4的值,即第24行,双击此行sub开头的字符串。用IDA64位打开文件,再用shift+f12打开字符串窗口,发现flag字符串。Str2里面的HappyNewYear!
BUUCTF 逆向工程(reverse)之新年快乐
weixin_44632787的博客
08-19 728
用IDA打开,发现就只有两个函数。所以猜测加了壳 这里我用的是kali自带的upx进行脱壳 再重新用IDA打开,进入到主函数 int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax char Str2; // [esp+12h] [ebp-3Ah] char Str1[2]; // [esp+20h] [ebp-2Ch] char v6; // [esp+22h] [ebp
[FlareOn1]Bob Doge
最新发布
2302_79135465的博客
05-14 154
没什么思路,原exe文件运行又install了一个challenge1.exe文件。不太会用dnspy,不知道dat_secret里的值哪里来的就直接动调看里面的值了。得到的 flag 请包上 flag{} 提交。也可以使用.net re 工具去反编译。c#写的,没找到什么关键信息。搜索一下“decode”先把三个text打印出来看看。试一下,text1对了。密码:malware。
CTF reverse】逆向入门题解集合+逆向相关软件安装
hans774882968的博客
02-15 7189
下载安徽理工大学的ctf软件包:传送门。里面包含了不少软件,IDA、AndroidKiller、jd-gui等。 除此以外,还需要: PETools:查看exe基本信息,在GitHub上开源。 UPX.exeexe加壳工具,也可以用来去UPX壳(但连变种的UPX壳都没法去~),在GitHub上开源。 JEB:参考h鶸的文章安装即可???? uncompyle6:把pyc转为python。pip install uncompyle6 Linux的file命令可以帮助我们分析一个未知文件的基本信息。 作者
REVERSE-PRACTICE-CTFSHOW-4
P1umH0的博客
07-08 795
REVERSE-PRACTICE-CTFSHOW-4encodeEasyBJD hamburger competitionJustRE encode elf文件,upx脱壳,ida分析 交叉引用字符串"Please input your flag:",来到sub_804887C函数 输入经过三次变换,先是变表base64,然后是与"Flag{This_a_Flag}"循环异或,最后以"Flag{This_a_Flag}"为密钥进行RC4加密,与已知的明文字符串比较验证 这题思路挺清晰的,不过逆的过程感觉有
realkana-reverse-practice
07-05
"realkana-reverse-practice"项目是利用JavaScript技术为日语学习者设计的一个实用工具,旨在帮助用户提高对日语平假名(hiragana)的认知和记忆能力。 首先,我们来看项目的名称"realkana-reverse-practice"。...
react-native-reverse-geo
06-05
从你的项目内部运行npm install react-native-reverse-geo --save 在 XCode 中,在项目导航器中,右键单击Libraries ➜ Add Files to [your project's name] 转到node_modules ➜ react-native-reverse-geo并添加...
reverse-im.el
05-06
安装手动的M-x package-install RET reverse-im RET使用使用包改用提供的次要模式(有关详细信息,请参阅 ): ( use-package reverse-im :ensure t :custom (reverse-im-input-methods '( " russian-computer " )) ...
perl-reverse-shell
06-03
perl-reverse-shell
simple-reverse-proxy
06-10
例子 var SimpleReverseProxy = require('simple-reverse-proxy');new SimpleReverseProxy(['http://localhost:10001','http://localhost:10002','http://localhost:10003'], {agent: false}).listen(10000);[10001,...
暑期CTF练习——第六周
AlienEowynWan的博客
08-12 341
攻防世界reverse进阶区EASYHOOK 参考了攻防世界的wp。 查壳 ida打开,关键字符定位 查交叉引用后看伪代码 发现程序首先打印please input the flag,当输入完成后对输入进行审查,如果输入的字符串长度没有13h(19),就会puts wrong,如果长度符合要求就进入下一个流程。之后的流程在输入长度正确和puts success之间有四个函数调用,推测,这四个函数调用中很可能有一个或两个是关键的加密函数。 上OD: 研究这四个函数对输入进行的加密操作,直接运行发现程序停
[WMCTF2020]easy_re
m0_46296905的博客
04-22 801
题目:[WMCTF2020]easy_re 64位无壳程序。 先在ida64里打开,发现找不到“please input the flag:”字符串,别的提示字符串也找不到, 再看文件名perl,选择网上搜索这个名词,但只了解到perl是个脚本语言, 推测是在程序运行过程中这些字符串才会显现出来,我目前所见过的能实现这样操作的也就SMC,但这题应该不是,可能是新的反静态分析的技术。 本能想到用X64dbg动态调试。 一键F9看它跑到哪里。 它停在了entrypoint处,看不出什么。为了找到那个字符串但
BUUCTF Java逆向解密 1
OrientalGlass的博客
10-27 1284
【代码】BUUCTF Java逆向解密 1。
Writeup of CTFxNuist (逆向部分
MozhuCY的博客
02-02 674
两个月前,偶然发现了南信大的CTF平台,大师傅们对我们小萌新还是比较友好的.....这个平台上的题目有难有易,逆向部分非常推荐做一做的✧(๑•̀ㅂ•́)و✧, 0x00:签到题  一个1kb的文件,经检查可知为pyc文件,哇。。。直接反编译啊ԅ(¯﹃¯ԅ)。可见输入的flag每位经过特殊运算后和数组key进行比较,由于没有多解的情况,爆破好了(依旧懒得想逆运算hhhhhhhh, import
逆向学习(二)
qq_46540840的博客
03-31 503
目录 不对的地方还请大佬多多指出– 文章目录目录xorreverse3不一样的flagSimpleRev xor 首先用exeinfope查看为64位 用IDA打开 f5得到源码 printf("Input your flag:\n", 0LL); get_line(v6, 256LL); if ( strlen(v6) != 33 )//这里也就是flag的长度了 goto LABEL_12; for ( i = 1; i < 33; ++i ) v6[i] ^
CTFSHOW re2
coolmarket的博客
04-04 323
ctf秀wp
REVERSE-PRACTICE-BUUCTF-7
P1umH0的博客
02-26 311
REVERSE-PRACTICE-BUUCTF-7Youngter-drive[ACTF新生赛2020]rome[FlareOn4]login[SUCTF2019]SignIn Youngter-drive exe程序,运行后提示输入flag,有upx壳,脱壳后ida分析 main函数中获取输入并拷贝,开启了两个线程分别运行StartAddress和sub_41119F两个函数,sub_411190函数验证输入,输入即为flag 分析StartAddress函数,input_index的初始值为29,当i
reverse-i-search
07-27
反向搜索(reverse-i-search)是一个命令行工具中常用的功能,用于搜索并显示之前输入的命令历史记录中最后一个与指定关键词匹配的命令。通过按下Ctrl+R键,你可以启动反向搜索模式,然后开始输入关键词,命令行会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值