REVERSE-PRACTICE-BUUCTF-22

最新推荐文章于 2023-09-18 20:32:33 发布
最新推荐文章于 2023-09-18 20:32:33 发布
阅读量501 收藏
点赞数
分类专栏: Reverse-BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/114155911
版权

REVERSE-PRACTICE-BUUCTF-22

[SCTF2019]Who is he

unity游戏,运行后输入,点击按钮检验输入
dnSpy打开Who is he\Who is he_Data\Managed\Assembly-CSharp.dll
在TestClick类中找到OnClick方法,将输入与Decrypt方法返回的字符串比较
whoishe-logic
Decrypt方法,标准的DES.CBC解密,iv=key
whoishe-decrypt
已知密钥"1234",密文"1Tsy0ZGotyMinSpxqYzVBWnfMdUcqCMLu0MA+22Jnp+MNwLHvYuFToxRQr0c+ONZc6Q7L0EAmzbycqobZHh4H23U4WDTNmmXwusW4E+SZjygsntGkO2sGA==",解DES.CBC,注意,在C#中,字符串转成字节数组,在每个字符字节后都要加一个"\x00",然而提交明文失败

from Crypto.Cipher import DES
import base64
key=''.join(['1','\x00','2','\x00','3','\x00','4','\x00'])
cipher=base64.b64decode("1Tsy0ZGotyMinSpxqYzVBWnfMdUcqCMLu0MA+22Jnp+MNwLHvYuFToxRQr0c+ONZc6Q7L0EAmzbycqobZHh4H23U4WDTNmmXwusW4E+SZjygsntGkO2sGA==")
iv=key
des=DES.new(key,DES.MODE_CBC,iv)
plaintext=des.decrypt(cipher)
print(plaintext.decode('utf-16'))
#He_P1ay_Basketball_Very_We11!Hahahahaha!

看了别的师傅的wp,使用ce,搜索字符串"Emmmmm",在内存中发现完全不同的密文和密钥
whoishe-ce
解DES.CBC得到flag,提交成功

from Crypto.Cipher import DES
import base64
key=''.join(['t','\x00','e','\x00','s','\x00','t','\x00'])
data="78 00 5A 00 57 00 44 00 5A 00 61 00 4B 00 45 00 68 00 57 00 4E 00 4D 00 43 00 62 00 69 00 47 00 59 00 50 00 42 00 49 00 6C 00 59 00 33 00 2B 00 61 00 72 00 6F 00 7A 00 4F 00 39 00 7A 00 6F 00 6E 00 77 00 72 00 59 00 4C 00 69 00 56 00 4C 00 34 00 6E 00 6A 00 53 00 65 00 7A 00 32 00 52 00 59 00 4D 00 32 00 57 00 77 00 73 00 47 00 6E 00 73 00 6E 00 6A 00 43 00 44 00 6E 00 48 00 73 00 37 00 4E 00 34 00 33 00 61 00 46 00 76 00 4E 00 45 00 35 00 34 00 6E 00 6F 00 53 00 61 00 64 00 50 00 39 00 46 00 38 00 65 00 45 00 70 00 76 00 54 00 73 00 35 00 51 00 50 00 47 00 2B 00 4B 00 4C 00 30 00 54 00 44 00 45 00 2F 00 34 00 30 00 6E 00 62 00 55 00 3D"
cipher=[]
for i in range(0,len(data),6):
    cipher.append(int('0x'+data[i:i+2],16))
iv=key
des=DES.new(key,DES.MODE_CBC,iv)
plaintext=des.decrypt(base64.b64decode(''.join(chr(i) for i in cipher)))
print(plaintext.decode('utf-16'))
#She_P1ay_Black_Hole_Very_Wel1!LOL!XD!

[FlareOn2]very_success

exe程序,运行后输入password,无壳,ida分析
sub_401000函数修改栈指针平衡栈后,F5反编译
读取输入,进入sub_401084函数进行验证,返回非0验证成功
verysuccess-logic
进入sub_401084函数,检验输入的长度是否大于等于37,输入input参与的只是8位的异或运算,v14为0xc7,v10在运算过程中始终为1,v4初始为0,每次都要加一个字节参与运算后的结果
verysuccess-sub_401084
v7可通过动调得到,只有32个字节可见,不过影响不大,写逆脚本即可得到flag,缺的5个字符按照Description文本文件提示补齐

v7=[0xAA, 0xEC, 0xA4, 0xBA, 0xAF, 0xAE, 0xAA, 0x8A, 0xC0, 0xA7,
  0xB0, 0xBC, 0x9A, 0xBA, 0xA5, 0xA5, 0xBA, 0xAF, 0xB8, 0x9D,
  0xB8, 0xF9, 0xAE, 0x9D, 0xAB, 0xB4, 0xBC, 0xB6, 0xB3, 0x90,
  0x9A, 0xA8]
v7=v7[::-1]
flag=""
v4=0
for i in range(len(v7)):
    tmp=(1<<(v4&0x3))
    flag+=chr((v7[i]-tmp-1)^0xc7)
    v4+=v7[i]
print(flag)
#a_Little_b1t_harder_plez@flare-o(n.com})

[NPUCTF2020]Baby Obfuscation

exe程序,运行后输入,无壳,ida分析
main函数,输入后紧接的for循环,有4个if语句,其中第1和第3个if语句永真,第2和第4个if语句永假,于是,与输入相关的运算有两处,"v33[j]=input[j-1]-v39[(j-1)%len(v39)]"给v33赋值,"v33[j]^=v39[(j-1)%len(v39)]"是v33的变换,v33的元素乘10后再与已知比较

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  int v4; // ebx
  int v5; // esi
  int v6; // ebx
  int v7; // ebx
  int v8; // esi
  int v9; // edi
  int v10; // ebx
  int v11; // ebx
  int v12; // ebx
  int v13; // esi
  int v14; // eax
  int v15; // ebx
  int v16; // esi
  int v17; // ebx
  int v18; // eax
  bool v19; // bl
  int v20; // eax
  int v21; // esi
  int v22; // ebx
  int v23; // ebx
  int v24; // eax
  int v25; // eax
  int v26; // eax
  int v27; // eax
  int v28; // ebx
  int a[64]; // [rsp+20h] [rbp-60h]
  int v31; // [rsp+120h] [rbp+A0h]
  char input[1008]; // [rsp+130h] [rbp+B0h]
  int v33[1000]; // [rsp+520h] [rbp+4A0h]
  int v34; // [rsp+14C0h] [rbp+1440h]
  int v35; // [rsp+14D0h] [rbp+1450h]
  int v36; // [rsp+14D4h] [rbp+1454h]
  int v37; // [rsp+14D8h] [rbp+1458h]
  int v38; // [rsp+14DCh] [rbp+145Ch]
  int v39; // [rsp+14E0h] [rbp+1460h]
  int v40; // [rsp+14E4h] [rbp+1464h]
  int v41; // [rsp+14E8h] [rbp+1468h]
  int v42; // [rsp+14ECh] [rbp+146Ch]
  int input_len; // [rsp+14F0h] [rbp+1470h]
  int k; // [rsp+14F4h] [rbp+1474h]
  int j; // [rsp+14F8h] [rbp+1478h]
  int i; // [rsp+14FCh] [rbp+147Ch]

  _main();
  memset(v33, 0, sizeof(v33));
  v34 = 0;
  memset(a, 0, sizeof(a));
  v31 = 0;
  for ( i = 0; i <= 64; ++i )                   // a的元素都是固定的值,a[0]==1,a[1]==2
    a[i] = i + 1;
  v39 = 2;
  v40 = 3;
  v41 = 4;
  v42 = 5;
  v35 = 2;
  v36 = 3;
  v37 = 4;
  v38 = 5;
  puts("WHERE IS MY KEY!?");
  scanf("%32s", input);
  input_len = strlen(input);
  v3 = gcd(a[j], a[j]);                         // v3==a[0]==1
  for ( j = v3 / a[j]; j <= input_len; ++j )    // j从1开始,到input_len,双闭合
  {
    v4 = (a[j] + a[j + 1]) * (a[j] + a[j + 1]); // v4==(a[j]+a[j+1])**2
    if ( v4 >= axxb(2, 2) * a[j] * a[j + 1] )   // axxb函数指a**b,a的b次方,(a+b)**2>=4ab,永真
    {
      v5 = ~input[a_sub_b(j, 1)];
      v6 = a_sub_b(j, 1);
      v33[j] = ~(v5 + *(&v39 + v6 % axxb(2, 2)));// v33[j]=input[j-1]-v39[(j-1)%len(v39)]
    }
    v7 = gcd(a[j], a[j + 1]);                   // 永为1
    if ( v7 > gcd(a[j + 1], ~(~a[j + 1] + a[j])) )// gcd(a[j+1],a[j+1]-a[j])==1,永假
    {
      v8 = v33[j];
      v9 = ~v33[j];
      v10 = a_sub_b(j, 1);
      v33[j] = ~(v9 + a[v10 % axxb(2, 2)]) * v8;
    }
    v11 = a[j + 1];
    v12 = axxb(2, 1) * v11;                     // 2*a[j+1]
    v13 = a[j];
    v14 = axxb(2, 1);
    v15 = gcd(v13 * v14, v12);                  // gcd(2*a[j],2*a[j+1])
    v16 = axxb(2, 1);
    if ( v15 == v16 * gcd(a[j], a[j + 1]) )     // 永真
    {
      v17 = a_sub_b(j, 1);                      // j-1
      v33[j] ^= *(&v39 + v17 % axxb(2, 2));     // v33[j]^=v39[(j-1)%len(v39)]
    }
    v18 = axxb(V0X3, a[j]);
    v19 = v18 < a[j] + 1;                       // 3**a[j]<a[j]+1
    v20 = axxb(2, 4);                           // 16
    if ( aeqbeq1(v20 >= j, v19) )               // 永假
    {
      v21 = ~input[a_sub_b(j, 1)];
      v22 = a_sub_b(j, 1);
      v33[j] ^= ~(v21 + *(&v39 + v22 % axxb(2, 2)));
    }
    v23 = axxb(2, 3);                           // 8
    v24 = gcd(a[j], a[j]);                      // a[j]
    v33[j] *= v23 + axxb(2, v24 / a[j]);        // v33[j]*=10
  }
  v25 = axxb(2, 4);                             // 16
  v26 = a_sub_b(v25, 1);                        // 15
  if ( v26 == input_len )                       // input_len==15
  {
    v27 = gcd(a[k], a[k]);                      // 1
    for ( k = v27 / a[k]; k <= input_len; ++k ) // k从1开始,到input_len,双闭合
    {
      v28 = v33[k];                             // 从v33取值
      if ( v28 == a_sub_b(A0X6[k], 1) / 10 )    // 比较
        ++V0X2;
    }
    if ( V0X2 == input_len )
      puts("\nPASS");
    else
      puts("\nDENIED");
  }
  else
  {
    puts("\nDENIED");
  }
  return 0;
}

写逆运算脚本即可得到flag

A0X6=[0,7801,7801,8501, 5901, 8001, 6401, 11501,4601, 9801,  9601,
      11701, 5301,  9701,  10801,  12501]
v39=[2,3,4,5]
for i in range(1,len(A0X6)):
    A0X6[i]=(A0X6[i]-1)//10//10
    A0X6[i]^=v39[(i-1)%len(v39)]
    A0X6[i]+=v39[(i-1)%len(v39)]
print(''.join(chr(i) for i in A0X6))
# NPUCTF{0bfu5er}

[HDCTF2019]MFC

MFC程序,加了vmp壳,用xspy扫一下
发现一个没有系统库名的OnMsg:0464
MFC-xspy
写C代码发送一条有关0x0464的信息

#include <stdio.h>
#include <stdlib.h>
#include <Windows.h>
int main()
{
	HWND handler = ::FindWindowA(NULL, "Flag就在控件里");
	if (handler)
	{
		SendMessage(handler, 0x0464, NULL, NULL);
	}
	else {
		printf("no window");
	}

	system("pause");
	return 0;
}

看到一个DES的密钥
MFC-deskey
在这个地方看到密文
MFC-cipher
用一个飘云阁的加解密工具解des即可得到flag
MFC-flag

P1umH0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
[SCTF2019]Who is he
m0_46296905的博客
04-21 710
题目:[SCTF2019]Who is he 解压之后发现是unity,但这不是最主要的,主要是。。。 预感到最后的flag肯定很有意思,以至于差点忘记了自己相对不擅长unity逆向这个事实。 我们进入正题: 正题 第一步当然是Reflector查看Assembly-CSharp.dll动态链接库文件。 我们现在定位加密函数的位置,查找一下字符串“Emmmm” 双击进入 public class TestClick : MonoBehaviour { // Fields private
[FlareOn2]very_success
m0_46296905的博客
04-21 972
题目来源:[FlareOn2]very_success 确定是32位无壳程序 放入静态分析工具ida32里查看: 发现栈指针不平衡,"alt + k"手动调节一下,加个负号即可: 调节好之后查看伪代码: BOOL __usercall sub_401000@<eax>(int a1@<ebp>) { BOOL result; // eax HANDLE v2; // [esp-14h] [ebp-14h] HANDLE v3; // [esp-10h] [ebp-1
BUU[SCTF2019]Who is he
weixin_52369224的博客
01-19 284
unity 用dnspy打开Assembly-CSharp.dll,分析主要加密 分析加密函数,DES加密(key和vi一样),和Base64 根据已知数据解密 ,但是在C#中,字符串默认是Unicode字符串,所以转成字节数组,在每个字符字节后都要加一个"\x00" from Crypto.Cipher import DES import base64 d_flag = b'1Tsy0ZGotyMinSpxqYzVBWnfMdUcqCMLu0MA+22Jnp+MNwLHvYuFT.
CTF逆向-[FlareOn2]very_success-WP_rol循环位移加密
serfend's blog
04-09 1270
CTF逆向-[FlareOn2]very_success-WP_rol循环位移加密 来源:https://buuoj.cn/ 内容:无 附件:链接:https://pan.baidu.com/s/1CUciO9EYSKTbLpHn3lCyAw?pwd=q6wu 提取码:q6wu 答案:flag{a_Little_b1t_harder_plez@flare-on.com} 总体思路 平衡栈解决sp-analyse fail 问题 找到加密位置逆向其加密流程 动调以找到密文和一些固定值,反向编写exp 详细
[buuctf.reverse] 082_[FlareOn2]very_success
weixin_52640415的博客
05-12 343
32位系统传参 __rol1__(1,x)的cf位
[FlareOn2]very_success [FlareOn3]Challenge1
寻梦&之璐
06-01 455
文章目录[FlareOn2]very_success拖入ida分析sub_401084脚本 [FlareOn2]very_success 拖入ida 一开始我以为加壳了,就俩函数,后来仔细看了看,没有。。 这里和输入相关v4,v4的值是输入字符串的长度+2,v5是一个地址值。unk_402159是输入字符串的地址,作为参数传入了判断函数,retaddr是和输入字符串相对于判断的字符串。 分析sub_401084 v8参与运算,结果放入了v12,v11每次都是1 v8和v15异或,看汇编就知道只运算了低
BUUCTF[SCTF2019]Who is he题解
a5555678744的博客
07-01 587
简介 一道unity逆向题,这个unity本身嘛。。虽然不是重点,但是各位师傅看的时候千万别喝水。 话说回来,虽然是unity逆向,但是这道题有点特例独行,一般unity的关键信息都会放在assembly-Csharp.dll里面,这道题看似也不例外,但是得到的却是假答案。真正的答案需要依靠动态调试来慢慢找。 题解 先运行下程序 啊这。。 随便输入点什么,发现会发一个info:emmmm。。。。这样的提示 把exe拖进x64debug 由于是unity的程序,直接查字符串不一定管
BUUCTF题目Reverse & Pwn部分wp(持续更新)
最新发布
苦行僧的妖孽日常
09-18 1357
BUUCTF题目Rverse & Pwn部分的writeup(持续更新)
ha1cyon-ctf re
qq_37439229的博客
04-21 742
第一题 asm 不解释,看汇编,很容易发现偶数不加密,奇数xor0x42 第二题 BYBY_OBFUS 看代码(说实话,我感觉这题考我数学。。。) 看源码 经调试发现循环里值进行了以下步骤 然后 看函数,易得fox5(a,b)是a的b方,fox4(a,b)是a-b,fox1(a,b)是求a和b的最大公约数(辗转相除法) 那么看懂后就非常容易逆了 `#include<stdio.h&g...
SCTF 2019 re部分题解(持续更新中)
qq_41071646的博客
06-24 1071
一个月都很颓废 导致 比赛没有打的很好 而且 浪费了很多时光 说起来这还是 我第250篇原创博客 23333 暑假有了一些计划 搞搞密码学 编译原理 等等其它东西 然后呢 收拾好心情后 看了一眼SCTF 说实话 SCTF比上次的那个分站赛对我胃口 是 *CTF还是什么来着 并非说 *CTF不好 而是我密码学太烂了(所以暑假准备补补) 然后看一下 第一题吧 s...
SCTF-2019 Misc wp
热门推荐
Nius
06-23 2万+
SCTF-2019 MISC 签到题 题目中说’cat \flag ’ in data:image/jpeg;base64,/9j/4QBkRXhpZgAATU0AKgAAAAgABYdpAAQAAAABAAAASgESAAQAAAABAAAAAAEBAAMAAAABAa4AAAEyAAIAAAABAAAAAAEAAAMAAAABAa4AAAAAAAAAAZIIAAQAAAABAAAAAAAA...
re学习笔记(57)BUUCTF-re-[FlareOn4]login
逆向随笔
04-02 1527
新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:BUUCTF-re-[FlareOn4]login 下载下来是个html文件,F12查看源代码 大概意思就是匹配字符大小写字母,将前十三位与后十三位对换 写脚本 #include <stdio.h> char data[37] = "PyvragFvqrYbtvafNerRnfl@syner-ba.pbz"; int main(...
CTF逆向-[NPUCTF2020]Baby Obfuscation-逆向思维编写脚本以及函数含义的逻辑理解
serfend's blog
04-27 762
CTF逆向-[NPUCTF2020]Baby Obfuscation-逆向思维编写脚本以及函数含义的逻辑理解 来源:https://buuoj.cn/ 内容: 附件: https://pan.baidu.com/s/1jjjo11izhnEUQaLx00993w?pwd=pxdj 提取码:pxdj 答案:NPUCTF{0bfu5er} 总体思路 根据执行逻辑分析每个函数的含义 逻辑思维简化题目的代码,将其理解成较为简短的句子 逆向思维去编写脚本 详细步骤 查看文件内容 打开以后发现主函数里
bugku ctf 多种方法解决 (在做题过程中你会得到一个二维码图片)
qq_42777804的博客
05-19 7143
下载后发现是 .exe文件 (EXE File英文全名executable file ,译作可执行文件,可移植可执行 (PE) 文件格式的文件,它可以加载到内存中,并由操作系统加载程序执行,是可在操作系统存储空间中浮动定位的可执行程序。) 然后这个可执行文件我们却打不开 之后用 notepad 打开 发现 data:image/jpg;base64,iVBORw...
BUUCTF刷题笔记
追求卓越,技术流~
03-24 6887
BUUCTF刷题笔记 [极客大挑战 2019]BabySQL 从这句话我们可以看出,这个网站的后台是做了过滤处理的 这个时候我们先用万能密码实验一下看看,是什么类型的SQL注入 输入1‘,看看返回的结果 返回结果说明这个是字符型的SQL注入 下面我们来进行一下注释 发现是这个结果,所以肯定了我们的猜测 下面要进行的是对其中的列进行爆破 输入: 1' order by 3 # 可以看到再其中没有or 我们采取的是对其进行重复的拼写进行绕过后台过滤 输入: 1’ oorrder by 3#`
reverse-i-search
07-27
反向搜索(reverse-i-search)是一个命令行工具中常用的功能,用于搜索并显示之前输入的命令历史记录中最后一个与指定关键词匹配的命令。通过按下Ctrl+R键,你可以启动反向搜索模式,然后开始输入关键词,命令行会自动显示最后一个匹配的命令。你可以继续按下Ctrl+R键来显示更早的匹配命令。如果找到了想要执行的命令,可以按下Enter键来执行它,或者按下右箭头键来编辑它。 请注意,反向搜索功能是特定于使用的命令行工具和操作系统的。不同的终端程序和操作系统可能有不同的实现方式和快捷键。以上是一般情况下的说明,具体使用方法可能会因环境而异。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值