REVERSE-PRACTICE-BUUCTF-20

最新推荐文章于 2023-12-04 17:28:53 发布
最新推荐文章于 2023-12-04 17:28:53 发布
阅读量359 收藏
点赞数
分类专栏: Reverse-BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/114155885
版权

REVERSE-PRACTICE-BUUCTF-20

[SCTF2019]creakme

exe程序,运行后提示输入ticket,无壳,用ida分析
交叉引用字符串“please input your ticket:”来到sub_402540函数
creakme-logic
分析sub_402320函数,在DebugBreak和return之间有一段代码引用
creakme-sub_402320
修改EIP从地址0x402412处开始执行,调试可知sub_402450函数是对.SCTF段数据的SMC
creakme-402412
回到sub_402540函数,往下走
分析sub_4024A0函数,过掉两个反调试,执行SMC好的.SCTF段的代码,发现是将静态可见的字符串">pvfqYc,4tTc2UxRmlJ,sB{Fh4Ck2:CFOb4ErhtIcoLo"变成了动态可见的字符串"nKnbHsgqD3aNEB91jB3gEzAr+IklQwT1bSs3+bXpeuo="
creakme-sub_4024A0
回到sub_402540函数,往下走
获取输入input,拷贝input到Dst,sub_4020D0函数对Dst进行AES的CBC模式加密,密文存储在v2,令v4=v2,那段动态可见的字符串赋给v6,最后就是比较v4和v6
sub_4020D0->sub_401690
在sub_401690函数中发现两个字符串"sctfsctfsctfsctf"和"sycloversyclover",由于AES的CBC模式加密需要一个偏移量iv与第0块明文异或,于是可以确定iv=“sctfsctfsctfsctf”,key=“sycloversyclover”,参考:AES五种加密模式(CBC、ECB、CTR、OCF、CFB)
creakme-sub_401690
creakme-sub_401690
已知key,iv,cipher,写解AES.CBC脚本即可得到flag

from Crypto.Cipher import AES
import base64
key="sycloversyclover"
iv="sctfsctfsctfsctf"
cipher=base64.b64decode("nKnbHsgqD3aNEB91jB3gEzAr+IklQwT1bSs3+bXpeuo=")
aes=AES.new(key,AES.MODE_CBC,iv)
print(aes.decrypt(cipher))
#sctf{Ae3_C8c_I28_pKcs79ad4}

[网鼎杯 2020 青龙组]bang

apk文件,jadx-gui打开什么都没有,SecShell提示是加了壳
果然,这个apk加了梆梆的壳
bang-shell
使用frida脚本脱壳
bang-frida
脱壳后的dex文件再用jadx-gui分析,在com.example.how_debug.MainActivity类中找到flag
bang-flag

[WUSTCTF2020]funnyre

elf文件,运行后没有输入,无壳,ida分析
main函数没有被ida识别成函数,是因为有花指令
jz和jnz指令都会跳转到同一条(下一条)指令,把jz和jnz都nop掉
call后面的地址不存在,是因为在原本正确的指令字节基础上加了多余的字节,把call那条指令按d转成数据后,顺序地一个一个nop掉多余的字节,直到ida能够正确识别出指令
jz指令跳过了从地址0x400621开始的两个字节,也是直接nop掉jz
funnyre-fakeorder
总共有4处类似这样的花指令,去除完全后,选中main函数的全部红色代码,按p创建函数,F5反汇编
main函数中,验证输入的长度是否为38,且有flag{}包住,对花括号内的32个字符做300多次运算,最后与已知的unk_4025C0比较,验证输入
funnyre-main
angr参考:angr学习【一】
脚本参考:buuctf刷题记录25 [WUSTCTF2020]funnyre
调用angr框架写脚本即可得到flag

import angr
import claripy

p=angr.Project('./attachment',load_options={"auto_load_libs": False})
f=p.factory
state = f.entry_state(addr=0x400605)#设置state开始运行时的地址
flag = claripy.BVS('flag',8*32)#要求的内容有32个,用BVS转成二进制给flag变量
state.memory.store(0x603055+0x300+5,flag)#因为程序没有输入,所以直接把字符串设置到内存
state.regs.rdx=0x603055+0x300
state.regs.rdi=0x603055+0x300+5#然后设置两个寄存器

sm = p.factory.simulation_manager(state)#准备从state开始遍历路径


print("ready")

sm.explore(find=0x401DAE)#遍历到成功的地址

if sm.found:
    print("sucess")
    x=sm.found[0].solver.eval(flag,cast_to=bytes)
    print(x)
else:
    print('error')
#ready
#sucess
#b'1dc20f6e3d497d15cef47d9a66d6f1af'

Dig the way

exe程序,运行后直接闪退,无壳,ida分析
栈溢出的题目
main函数的主要逻辑为
读取data文件到v7,执行func0,func1和func2函数,返回值分别赋给v9,v10和v11,如果v11为0,则调用get_key函数获得flag。但是对于func2函数,无论传入的参数为何值,其返回值永远为正,v11不可能为0,而对于func1函数,如果传入的参数合适,其返回值可以为0,于是便需要通过func0函数交换v15和v16所存储的函数指针,使得执行func1函数时,其返回值可以赋给v11

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  int v4; // ebx
  size_t v5; // eax
  int v6; // ebx
  char v7[20]; // [esp+1Ch] [ebp-48h]
  int v8; // [esp+30h] [ebp-34h]
  int v9; // [esp+34h] [ebp-30h]
  int v10; // [esp+38h] [ebp-2Ch]
  int v11; // [esp+3Ch] [ebp-28h]
  int v12; // [esp+40h] [ebp-24h]
  int v13; // [esp+44h] [ebp-20h]
  signed int (__cdecl *v14)(int, int, int); // [esp+48h] [ebp-1Ch]
  int (__cdecl *v15)(int, int, int); // [esp+4Ch] [ebp-18h]
  int (__cdecl *v16)(int, int, int); // [esp+50h] [ebp-14h]
  int v17; // [esp+54h] [ebp-10h]
  int v18; // [esp+58h] [ebp-Ch]
  FILE *v19; // [esp+5Ch] [ebp-8h]

  __main();
  v14 = func0;                                  // 交换值
  v15 = func1;                                  // 含abs的运算,返回值可正可负可零
  v16 = func2;                                  // 含abs的运算,返回值永正
  v8 = 0;
  v9 = 1;
  v10 = 2;
  v11 = 3;
  v12 = 3;
  v13 = 4;
  v19 = fopen("data", "rb");                    // 打开data文件流
  if ( !v19 )
    return -1;
  fseek(v19, 0, 2);                             // 指针指到文件流末尾
  v18 = ftell(v19);                             // 获取文件大小
  fseek(v19, 0, 0);                             // 指针指回文件开始
  v17 = ftell(v19);
  if ( v17 )
  {
    puts("something wrong");
    result = 0;
  }
  else
  {
    for ( i = 0; i < v18; ++i )
    {
      v4 = i;
      v7[v4] = fgetc(v19);                      // data文件的字节读到v7
                                                // 由于v7只是个20字节大小的数组,如果data文件中的字节数大于20,则会把v8~v13的值覆盖掉,即栈溢出
    }
    v5 = strlen(v7);
    if ( v5 <= v18 )
    {
      v18 = v11;                                // v18=v11,且v18在获取flag的函数get_key中用到
      i = 0;
      v17 = v13;
      while ( i <= 2 )
      {
        v6 = i + 1;
        *(&v8 + v6) = (*(&v14 + i))((int)&v8, v12, v13);// 执行func0,func1和func2,返回值分别赋给v9,v10,v11
        v12 = ++i;                              // v12和v13用i赋值
        v13 = i + 1;
      }
      if ( v11 )
      {
        result = -1;
      }
      else                                      // v11为0时,执行get_key获得flag
      {
        get_key(v18, v17);
        system("PAUSE");
        result = 0;
      }
    }
    else
    {
      result = -1;
    }
  }
  return result;
}

由于程序读取data文件是从头到尾全部读取,而v7只有20个字节大小,如果data文件的字节数大于20,多出来的字节就会将v8,v9,v10等等这些变量覆盖
v12和v13被程序赋值为3和4,进入func0函数后并不能达到交换v15和v16的目的,因为此时func0函数中参与运算的变量为v11和v12,而不是v15和v16。于是便利用程序读data文件有可能覆盖v12和v13的漏洞,将v12和v13覆盖为7和8
v7有20个字节,v8~v11是4个int,也就是4x4=16个字节,于是data文件需要从第36个字节开始,将v12和v13覆盖为7和8,data为
digtheway-data
发现exe程序还是运行后闪退,调试发现func1函数的返回值v11还是为正
仔细看调用func0~func2这部分代码,在v12和v13分别为7和8作为参数传入func0函数交换v15和v16后,v15执行func2函数,v16执行func1函数,而在循环中v12和v13由i赋值,当执行v16(func1)函数时,v12和v13的值分别为2和3
digtheway-logic
也就是说,func1函数执行时,实际上是abs(v10+v11)-abs(v11)-abs(v10)+2,v10等于2,要使返回的值为0,则需v11为-1,于是同样利用程序data读文件的漏洞将v11覆盖为-1,data为
digtheway-data
再次运行exe程序,得到flag
digtheway-flag

P1umH0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
BUUCTF reverse wp 11 - 20
fa1c4的blog
01-08 1132
Java逆向解密 java逆向, 用java-decompile逆 import java.util.ArrayList; import java.util.Scanner; public class Reverse { public static void main(String[] args) { Scanner s = new Scanner(System.in); System.out.println("Please input the flag ); String s
BUUCTF reverse16-20 WP
mumuzi的博客
03-30 1191
写脚本技术很菜,所以和其他wp相比看起来比较麻烦 笔记是按照当时的题目排序写的,顺序可能有出入 做题是从0开始做起,所以前面部分也会尽可能写的详细一点 只要能记录并且了解到怎么做即可,所以就没有去在意排版 遇到不会的函数尽可能去百度了解 因为前面的题难度不大,所以前面的每道题都没有去查壳,除非有特殊:) 题目:[GWCTF 2019]pyre、[BJDCTF2020]JustRE、rsa、CrackRTF、[ACTF新生赛2020]easyre 16.[GWCTF 2019]pyre 得到的 flag 请包
BUUCTF Dig the way
寻梦&之璐
04-07 2503
文章目录题目类型查壳拖进ida整体逻辑文件读取函数fseek函数ftell函数fread函数(补充)分析三个funcfunc0func1func2解决方法分析 题目类型 这道题是一道栈溢出的题目,有点意思。 查壳 无壳 拖进ida int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax@2 int v4; // ebx@6 size_t v5; // eax@8 int v6
BUUCTF-Dig the way
Power Security的博客
07-10 176
这里写目录标题算法分析解题思路 算法分析 查看整个程序流, v14 = func0; //交换两个变量的值 v15 = func1; //结果可为正可为负,当第三个参数的指向的值为 //0xffffffff时,返回结果为0 v16 = func2; //恒为正数 v8 = 0; v9 = 1; v10 = 2; v11 = 3; v12 = 3; v13 = 4; v19 = fopen("data", "rb"); if ( !v19 )
buuctf reverse2 【angr解法】
amber_o0k的博客
12-14 618
import angr p= angr.Project('./reverse_2',auto_load_libs=False) state=p.factory.entry_state() simgr=p.factory.simgr(state) simgr.explore(find=0x400854,avoid=0x400848) if simgr.found: print(simgr.found[0].posix.dumps(0)) #{hacking_for_fun}儋 python2结果.
realkana-reverse-practice
07-05
"realkana-reverse-practice"项目是利用JavaScript技术为日语学习者设计的一个实用工具,旨在帮助用户提高对日语平假名(hiragana)的认知和记忆能力。 首先,我们来看项目的名称"realkana-reverse-practice"。...
react-native-reverse-geo
06-05
从你的项目内部运行npm install react-native-reverse-geo --save 在 XCode 中,在项目导航器中,右键单击Libraries ➜ Add Files to [your project's name] 转到node_modules ➜ react-native-reverse-geo并添加...
reverse-im.el
05-06
安装手动的M-x package-install RET reverse-im RET使用使用包改用提供的次要模式(有关详细信息,请参阅 ): ( use-package reverse-im :ensure t :custom (reverse-im-input-methods '( " russian-computer " )) ...
perl-reverse-shell
06-03
perl-reverse-shell
simple-reverse-proxy
06-10
例子 var SimpleReverseProxy = require('simple-reverse-proxy');new SimpleReverseProxy(['http://localhost:10001','http://localhost:10002','http://localhost:10003'], {agent: false}).listen(10000);[10001,...
Flash8help_cn.part4
01-13
Flash8help_cn.part4.共有6卷,须全部下载才能解压缩。flash 教程 帮助文档 动漫 计算机
[BUUCTF]PWN——ciscn_2019_s_9
BangSen1的博客
04-26 525
ciscn_2019_s_9 参考 例行检查 ,32位,未开启任何保护 运行一下。 32位ida载入,,第10行的fgets,能够溢出0x32-0x20-0x4个字节 没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode 生成的shellcode的长度过长,参数 s0x20(32) 写不下。 shellcode =''' xor eax,eax #eax置0 xor edx,edx #edx置0 push edx #将0入栈,标
[BUUCTF]PWN------warmup_csaw_2016
BangSen1的博客
01-14 534
warmup_csaw_2016 例行检查 ,64位,无保护 运行一下,没什么信息。 用64位IDA打开,查看字符串,看到了cat flag,进去瞧瞧 可以看到这个函数的功能就是输出flag,记录下他的地址 flag_addr=0x40060D 再回到主函数瞧瞧,可以看到最后是输出了v5,gets函数并没有限制长度,因此存在溢出漏洞。v5的大小是0x40,因此只要我们输入的字符串长度=0x40+8(64位ebp的长度)即可溢出到返回地址,再将返回地址覆盖输出flag的那个函数地址即可 得到fla
[BUUCTF]REVERSE-------简单注册器
BangSen1的博客
01-30 328
简单注册器 apk文件,直接用apkide打开 找到它的注入点,将它反编译好的.class文件再用jd.gui打开。 对“dd2940c04462b4dd7c450528835cca15”进行下面的一系列算法后,得到flag。 我们写出来运行一下即可 ...
[BUUCTF]REVERSE——SimpleRev
BangSen1的博客
01-22 1395
SimpleRev 查壳,无壳,64bit。 用64IDA打开,直接进入主函数 ,输入d/D进入,Q/q退出。 主要是在Decry()里面进行处理,进去瞧瞧 对函数进行了部分注释。 函数对text,key进行了一系列的赋值,再把key中的大写字母变成小写字母,再把key中的字母进行一系列的变换后写入str2,最后str2和text进行比较,如果相同则 Congratulation! 我们已经知道了text里的值,可以逆向算法,推出输入的flag 比较懵逼的是对于key内的字符进行变换,实在不懂是什么意
[buuctf.reverse] 069_[WUSTCTF2020]funnyre
weixin_52640415的博客
05-11 345
去花指令 重写
[WUSTCTF2020] funnyre wp
liuxiaohuai_的博客
04-03 571
下载附件。无壳,直接ida64打开。发现没有main()函数。感觉应该是用了混淆。 从上往下查看汇编代码发现了main()函数的位置。 继续向下看。 上图红圈里的jz和jnz一看就有毛病!红框中没有标红的地方也是一样。 这里的代码应该都是像这样的格式。先声明地址,然后一个xor语句,一个add语句,一个cmp语句,一个jnz语句,最后再来一个xor语句。 把上面红框中的语句改成这种格式,直接nop掉这些多余的语句。下面大概还有4,5处这样的地方。 弄完这么的清爽! 到最后这里有个判断语句。对比v7和unk_
[BUUCTF]Reverse——[WUSTCTF2020]funnyre
mcmuyanga的博客
07-13 1312
[WUSTCTF2020]funnyre ELF文件,无壳,用ida64打开,程序没法f5,从程序入口点找到main函数的汇编部分 因为这边没有创建函数,所以无法f5 在选取汇编部分打算创建函数的过程中发现了不对劲的地方 jz和jnz跳转到同一地址,花指令,nop掉,然后那个call看着也不太对的样子,先也nop掉,call下面的那条jz也nop掉。经过多次测试,要从第一条jz指令nop到xor eax,eax之前 一共有4处需要修改nop掉,修改完后,发现一共有两端函数没有创建,拿一处说一
BUUCTF [SCTF2019]creakme 题解
最新发布
sirrior的博客
12-04 450
这个函数是void类型,但是在反调试函数后有一个return,这会导致程序异常。有aes加密,追踪一下,发现是sub_4020d0内进行加密,base64在aes里。没法反编译,看汇编吧。v3+=40后变成了.sctf,继续在数据段往下看看,+=40后是.data 可见是数据段的名字。异或在取反,这里笔者本来想patch掉反调试函数后自动解密,不知为何patch后一片飘红。GetModuleHandleW函数返回指定模块的句柄,进入402320看看。这段代码是设置函数的栈帧和设置数据,为异常调试做准备。
reverse-i-search
07-27
反向搜索(reverse-i-search)是一个命令行工具中常用的功能,用于搜索并显示之前输入的命令历史记录中最后一个与指定关键词匹配的命令。通过按下Ctrl+R键,你可以启动反向搜索模式,然后开始输入关键词,命令行会自动显示最后一个匹配的命令。你可以继续按下Ctrl+R键来显示更早的匹配命令。如果找到了想要执行的命令,可以按下Enter键来执行它,或者按下右箭头键来编辑它。 请注意,反向搜索功能是特定于使用的命令行工具和操作系统的。不同的终端程序和操作系统可能有不同的实现方式和快捷键。以上是一般情况下的说明,具体使用方法可能会因环境而异。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值