REVERSE-PRACTICE-BUUCTF-26

最新推荐文章于 2023-12-19 17:21:09 发布
最新推荐文章于 2023-12-19 17:21:09 发布
阅读量423 收藏
点赞数 1
分类专栏: Reverse-BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/114155964
版权

REVERSE-PRACTICE-BUUCTF-26

[FlareOn6]FlareBear

apk文件,模拟器上运行,创建一个小熊,有三种方式交互,分别为“吃饭”,“篮球”以及“清理”
jadx-gui打开该apk,在com.fireeye.flarebear.FlareBearActivity中搜索flag,有个"danceWithFlag"
fb-dancewithflag
调用danceWithFlag的条件是isEcstatic返回真,去到isEcstatic,要判断三个变量的值
fb-isecstatic
有get(State),对应的就有set(State),来到set的地方,都是在原有的基础上加上传入的参数
fb-setstate
看看谁调用了change方法,有三个地方调用,分别是feed,play,clean,正好对应了那三种交互方式
不同的交互方式对三个State的影响不同,由传入的参数决定
fb-feed
fb-play
fb-clean
使用python的z3库解方程组,知道8次feed,4次play,2次clean

from z3 import *
feed=Int('feed')
play=Int('play')
clean=Int('clean')
s=Solver()
s.add(10*feed+(-2)*play+0*clean==72)
s.add(2*feed+4*play+(-1)*clean==30)
s.add(-1*feed+(-1)*play+6*clean==0)
if s.check():
    print(s.model())
# [clean = 2, play = 4, feed = 8]

8次feed,4次play,2次clean,顺序不用管,交互完即可得到flag
fb-flag

[SUCTF2018]babyre

exe程序,运行后提示了flag的格式,要求输入key,无壳,ida分析
交叉引用字符串“Please Input Key:”来到sub_7FF739422460函数
主要的逻辑为,读取输入的key,key对0x10000取模,然后进入循环给v6赋值,最后打印v6
babyre-logic
由于知道了flag的格式为"SUCTF{xxxxxxxxxxxxxxx}",写脚本爆破key,key正确时的输出即为flag

#include<stdio.h>
char v4_v5[]= {0x02, 0x03, 0x02, 0x01, 0x04, 0x07, 0x04, 0x05, 0x0A, 0x0B,
0x0A, 0x09, 0x0E, 0x0F, 0x0C, 0x0D, 0x10, 0x13, 0x10, 0x11,
0x14, 0x17, 0x16, 0x13, 0x1C, 0x19, 0x1E, 0x1F, 0x1C, 0x19,
0x1A, 0x1F, 0x24, 0x21, 0x22, 0x27, 0x24, 0x21, 0x22, 0x23,
0x28, 0x29, 0x2E, 0x2B, 0x24, 0x2D, 0x26, 0x2F, 0x38, 0x31,
0x3A, 0x3B, 0x34, 0x3D, 0x3E, 0x37, 0x30, 0x39, 0x32, 0x3B,
0x3C, 0x35, 0x36, 0x37, 0x48, 0x49, 0x42, 0x42, 0x44, 0x44,
0x46, 0x47, 0x48, 0x49, 0x4A, 0x4A, 0x4D, 0x4D, 0x4F, 0x4E,
0x50, 0x50, 0x52, 0x53, 0x55, 0x54, 0x56, 0x57, 0x59, 0x59,
0x5A, 0x5B, 0x5C, 0x5D, 0x5E, 0x5E, 0x60, 0x60, 0x63, 0x63,
0x64, 0x65, 0x67, 0x67, 0x69, 0x69, 0x6B, 0x6B, 0x6C, 0x6D,
0x6E, 0x6E, 0x70, 0x70, 0x72, 0x73, 0x74, 0x75, 0x77, 0x77,
0x78, 0x79, 0x7B, 0x7B, 0x7D, 0x7D, 0x7F, 0x7F, 0x81, 0x81,
0x83, 0x83, 0x8C, 0x8D, 0x8E, 0x8F, 0x88, 0x89, 0x8A, 0x8B,
0x8C, 0x8D, 0x8E, 0x87, 0x98, 0x91, 0x92, 0x93, 0x94, 0x95,
0x96, 0x97, 0x98, 0x99, 0x9A, 0x9A, 0x9C, 0x9C, 0x9E, 0x9E,
0xA0, 0xA0, 0xA2, 0xA2, 0xA4, 0xA4, 0xA6, 0xA6, 0xA8, 0xA8,
0xAA, 0xAA, 0xAC, 0xAC, 0xAE, 0xAE, 0xB0, 0xB1, 0xB2, 0xB3};
void main()
{
	int key = 0;
	for (; key < 0x10000; key++)
	{
		char v6[31] = {0};
		v6[30] = 8;
		while (v6[30])
		{
			--v6[30];
			int v9;
			int v10;
			for (int j = 22; j; v6[j] |= v10 << v6[30])
			{
				v9 = v4_v5[22 * v6[30] + --j];
				v10 = (v9 >> ((key>> (2 * v6[30])) & 3)) & 1;
			}
		}
		if (v6[0] == 'S'&&v6[1] == 'U'&&v6[2] == 'C'&&v6[3] == 'T'&&v6[4] == 'F'
			&&v6[5]=='{'&&v6[21]=='}')
		{
			printf("key=%d\n", key);
			for (int j = 0; j < 22; j++)
			{
				printf("%c", v6[j]);
			}
			printf("\n");
		}
	}
}
/*
key=12345
SUCTF{Flag_8i7244980f}
*/

[GKCTF2020]WannaReverse

勒索病毒程序,压缩包里有四个文件
WR-files
无论运行哪个exe,由提示点击"Decrypt"按钮,都会得到RSA私钥
ida分析WannaReverse.exe,交叉引用字符串"encrypto success!“来到sub_543220函数
启动clickme.exe,用0~9的十位数字生成一个32位的动态的AES密钥,然后进入sub_542D00函数进行加密
WR-sub_543220
分析sub_542D00函数,首先打开flag.txt文件流,获取文件大小,读取文件内容
WR-sub_542D00
从第147行到第174行,完成了对动态AES密钥的RSA加密
WR-sub_542D00
RSA加密的公钥在rdata段可以找到
WR-rsapubkey
往下走,这个for循环完成了对flag.txt文件内容的AES加密
WR-AESencrypt
继续向下走,将WannaReverse、经过RSA加密的32位AES密钥、经过AES加密的flag.txt文件内容写入flag.txt.Encry文件,也就是压缩包里的那个文件
WR-writefile
已知RSA的私钥和公钥,从flag.txt.Encry文件中取出经RSA加密的AES密钥,使用在线工具(https://oktools.net/rsa)解出程序使用的动态AES密钥,为"30776159143604297789676442413079”
WR-deRSA
使用010 editor抠出经AES加密的flag的密文,写脚本解AES即可得到flag
WR-cipher

from Crypto.Cipher import AES
from Crypto.Util.number import long_to_bytes
key="30776159143604297789676442413079"
cipher_data=\
"5C BC EA 89 BA 2B 18 27 79 3F 13 0A 8A 97 B4 9B\
CD 78 9B D8 35 92 05 45 4C 22 A5 69 37 EB 6E 2B\
0E BD 84 0F 91 61 38 F6 F1 BA 99 19 41 72 07 91\
F0 26 68 06 61 26 5C 20 35 DD CF FC 77 57 54 81\
F2 F2 E4 AF BF A2 1D 29 AE 6C 08 3B 76 1B 66 B8\
FE 72 CB D6 94 C3 D5 6A E7 0C 7A 28 DC BC AC 80"
cipher_str="0x"
for c in cipher_data:
    if c!=' ':
        cipher_str+=c
cipher=long_to_bytes(int(cipher_str,16))
aes=AES.new(key)
print(aes.decrypt(cipher).decode('utf-16'))
#flag{385fa869-3046-44ee-9d30-c03551273867}

[FlareOn4]greek_to_me

exe程序,运行后不能直接输入,无壳,ida分析
start->sub_401008,sub_401121函数监听本机的2222端口,接收信息存到buf,do循环做SMC,要用到接收到的buf,if语句决定发回的内容
greek-sub_401008
sub_401121函数,监听2222端口,接收一个char类型的数据
greek-sub_401121
不知道应发送的正确的char类型数据是多少,爆破,可知应发送的数据为0xa2

import os
import socket
ip = '127.0.0.1'
port = 2222
for i in range(255):
    os.startfile("D:\\ctfdownloadfiles\\greek_to_me.exe")
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((ip, port))
    s.send(chr(i))
    data = s.recv(1024)
    s.close()
    if 'Congratulations' in data:
        print(data)
        print ("%x" % i)
        break
"""
Congratulations! But wait, where's my flag?
a2
"""

在sub_sub_401008的if语句处下断点,先让exe程序跑起来,发送0xa2给程序

import sys
import os
import socket
ip = '127.0.0.1'
port = 2222
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((ip, port))
s.send(chr(0xa2))
s.close()

停下后,F8单步向下,来到这个地方,填入的字符即为flag
greek-debug
greek-flag

P1umH0
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
BUUCTF reverse题解汇总
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-31 7443
BUUCTF平台刷题过程中做的一些逆向题解的总结归类
[FlareOn6]FlareBear
qq_41853048的博客
08-06 927
apk的逆向,没有壳,但可能做的不是太多,没能想到整个算法的运作原理。
[buuctf.reverse] 107_[FlareOn4]greek_to_me
weixin_52640415的博客
06-07 332
爆破1位字符
[buuctf.reverse] 109_[FlareOn6]FlareBear,110_[INSHack2018]Tricky-Part1
weixin_52640415的博客
06-07 318
两个简单小题
[FlareOn4]greek_to_me 题解
最新发布
sirrior的博客
12-19 360
注意:python3无法发送字符类型信息,而转成byte类型又无法大于128。所以必须使用python2。下面是一段混乱的代码,上面v2取了40107c的地址,在下面异或加密,判断为smc。监听本地127.0.0.1 2222端口,接受一个char类型的参数buf。程序直接执行结束,显示失败字样。参数为v3,查看参数来源。循环后下断点,手动c分析。32位无壳,ida打开。试着打开程序发送一下。更改脚本遍历所有情况。
realkana-reverse-practice
07-05
realkana-反向练习 向添加第二个“练习”选项卡。 除了现有的练习 (か - ka),您还可以通过给定的音节 (ka - か) 猜测假名字符。
react-native-reverse-geo
06-05
从你的项目内部运行npm install react-native-reverse-geo --save 在 XCode 中,在项目导航器中,右键单击Libraries ➜ Add Files to [your project's name] 转到node_modules ➜ react-native-reverse-geo并添加...
reverse-im.el
05-06
安装手动的M-x package-install RET reverse-im RET使用使用包改用提供的次要模式(有关详细信息,请参阅 ): ( use-package reverse-im :ensure t :custom (reverse-im-input-methods '( " russian-computer " )) ...
simple-reverse-proxy
06-10
例子 var SimpleReverseProxy = require('simple-reverse-proxy');new SimpleReverseProxy(['http://localhost:10001','http://localhost:10002','http://localhost:10003'], {agent: false}).listen(10000);[10001,...
local-reverse-geocoder:基于GeoNames数据的Node.js本地反向地址解析器
05-04
安装$ npm install local-reverse-geocoder 或者,使用Yarn: $ yarn add local-reverse-geocoder码头工人为了与配合使用,该项目中提供了一个Dockerfile。 它从GeoNames缓存所有必需的文件。 要使用它: $ docker ...
Python-angr一个强大平台无关的二进制分析框架
08-12
angr 一个强大平台无关的二进制分析框架
网鼎杯-第三场-逆向-babyre
08-27
2018年8月27日网鼎杯第三场逆向题-babyre
用angr解 Flare-on 2017第3题 - greek_to_me
Time Limit Exceeded on test 99
01-22 835
用angr解 Flare-on 2017第3题 - greek_to_me 0x00 说在前面 笔者angr入门,一开始目的是用通过angr复现原作者用Angr解决Flareon4题目3的exp来学习angr的,但是现在angr已经更新与到python3兼容(windows下在python2下面angr我没装成功,爆了一堆错),因此笔者想根据原作者代码改出python3下angr的exp,进而学习angr的使用情景及使用方法,因此除特殊说明,本文的python代码是python3的 0x01 题解 一、题目
[SUCTF2018]babyre
m0_46296905的博客
05-05 775
题目:[SUCTF2018]babyre C++写的64位bin文件 查找字符串定位到主函数 __int64 sub_140012460() { char *v0; // rdi __int64 i; // rcx char v3[48]; // [rsp+0h] [rbp-20h] BYREF char v4[32]; // [rsp+30h] [rbp+10h] char v5[184]; // [rsp+50h] [rbp+30h] BYREF char v6[60]; //
CTF逆向-[SUCTF2018]babyre-WP-cpp简单迭代并按表输出值的爆破
serfend's blog
04-13 2002
CTF逆向-[SUCTF2018]babyre-WP-cpp简单迭代并按表输出值的爆破 来源:https://buuoj.cn/ 内容:https://github.com/hebtuerror404/CTF_competition_warehouse_2018 附件:链接:https://pan.baidu.com/s/1j-DBK5eELYR3c1L6hhB1qg?pwd=2kxh 提取码:2kxh 答案:SUCTF{Flag_8i7244980f} 总体思路 去除反调试,动调 发现没有逻辑分支,发现
[SUCTF2018]babyre [ACTF新生赛2020]fungame
寻梦&之璐
06-02 797
文章目录[SUCTF2018]babyre惯用思维常人思维GAMEOVER[ACTF新生赛2020]fungame [SUCTF2018]babyre 惯用思维 首先呢,是个bin文件,需要用binwalk把文件提取出来。 binwalk -e [SUCTF2018\]babyre.bin 是一个xml文件,我打开后除了正常结构就是乱码。。。 然后就没法分析了。。。xml不能放在ida里面分析。。 常人思维 查看一下文件类型,居然是64位的exe程序,任何东西都保持怀疑的态度。。笑死人。。。。
2020-GKCTF-Reverse
m0_51713041的博客
05-24 444
2020-GKCTF Check_1n 思路一: 查找字符串之后,点击"密码错误"发现了关键,上方的一个strcmp函数,发现了密码: ‘HelloWorld’ 我们直接运行一下,然后输入密码开机,之后移动到"flag",结果给了base64编码的Why don’t you try the magic brick game 然后我们玩打砖块游戏,死了之后就出flag 思路二: 查找字符串的时候发现: 2i9Q8AtFJTfL3ahU2XGuemEqZJ2ensozjg1EjPJwCHy4RY1Nyvn
bugku-writeup-web-文件包含
热门推荐
dark的博客
06-14 1万+
“bugku-web13解题思路记录。” 题目:click me? no
MIPS架构的CTF逆向题--SUCTFbabyre题目writeup
iqiqiya的博客
10-18 3110
一,这道题刚拿到的时候我是直接载入IDA    结果分析的一团糟 比赛结束之后  看了好多师傅wp  才知道mips架构的专用工具怎么用,比如retdec,jeb-mips 开始是打算用retdec的,结果在线版的https://retdec.com/decompilation/不能用了     感觉windows下不好装 有时间补坑 就选择了jeb-mips(试用版)  扯一点怎样下载...
reverse-i-search
07-27
反向搜索(reverse-i-search)是一个命令行工具中常用的功能,用于搜索并显示之前输入的命令历史记录中最后一个与指定关键词匹配的命令。通过按下Ctrl+R键,你可以启动反向搜索模式,然后开始输入关键词,命令行会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值