REVERSE-PRACTICE-BUUCTF-28

最新推荐文章于 2023-06-01 22:50:20 发布
最新推荐文章于 2023-06-01 22:50:20 发布
阅读量492 收藏
点赞数 1
分类专栏: Reverse-BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/114182438
版权

REVERSE-PRACTICE-BUUCTF-28

[FlareOn6]Memecat Battlestation

.Net程序,运行后输入weapon code,用dnSpy打开
在Stage1Form直接找到第一个weapon code,“RAINBOW”
memecat-code1
Stage2Form同样的地方,第二个weapon code要进入isValidWeaponCode进行验证
memecat-stage2
isValidWeaponCode方法,第二个weapon code异或字符’A’,然后和已知比较
memecat-code2
写异或脚本即可得到第二个weapon code

#RAINBOW
data=[0x03,ord(' '),ord('&'),ord('$'),ord('-'),0x1e,0x02,
      ord(' '),ord('/'),ord('/'),ord('.'),ord('/')]
s=""
for i in data:
    s+=chr(i^ord('A'))
print(s)
#Bagel_Cannon

输入两个weapon code即可得到flag
memecat-flag

[b01lers2020]chugga_chugga

elf文件,无壳,ida分析
main_main函数,读取输入,对输入的内容进行验证

    fmt_Fscan(
      a1,
      (__int64)&go_itab__os_File_io_Writer,
      (__int64)&v43,
      (__int64)input,
      v15,
      v16,
      (__int64)&go_itab__os_File_io_Reader,
      os_Stdin);
    v19 = input[1];
    input_ = (_BYTE *)*input;
    if ( v19 <= 2 )
      break;
    if ( input_[2] != 116 )                     // input[2]==116
      goto LABEL_39;
    if ( v19 <= 9 )
      break;
    a2 = (unsigned __int8)input_[9];
    if ( (_BYTE)a2 != 99 )                      // input[9]==99
      goto LABEL_39;
    if ( v19 <= 0x10 )
      break;
    a1 = (unsigned __int8)input_[16];
    if ( (_BYTE)a1 != 110 )                     // input[16]==110
      goto LABEL_39;
    if ( v19 <= 0x15 )
      break;
    v17 = (unsigned __int8)input_[21];
    if ( (_BYTE)v17 != 122 )                    // input[21]==122
      goto LABEL_39;
    if ( v19 <= 0x16 )
      break;
    if ( input_[22] != 125 )                    // input[22]==125
      goto LABEL_39;
    v18 = (unsigned __int8)input_[5];
    if ( 115 != (_BYTE)v18 )                    // input[5]==115
      goto LABEL_39;
    if ( (input_[3] ^ 116) != 18 )              // input[3]^116==18
      goto LABEL_39;
    v22 = (unsigned __int8)input_[1];
    if ( (_BYTE)v22 != 99 )                     // input[1]==99
      goto LABEL_39;
    a2 = (unsigned __int8)input_[7];
    if ( (_BYTE)a2 != 100 )                     // input[7]==100
      goto LABEL_39;
    v23 = input_[13];
    if ( input_[12] != v23 )                    // input[12]==input[13]
      goto LABEL_39;
    if ( 122 != input_[19] )                    // input[19]==122
      goto LABEL_39;
    v17 = (unsigned __int8)input_[14];
    v24 = (unsigned __int8)input_[6];
    if ( (_BYTE)v24 + (_BYTE)v17 != 104 )       // input[6]+input[14]==104
      goto LABEL_39;
    v25 = input_[4];
    if ( 123 != v25 )                           // input[4]==123
      goto LABEL_39;
    v26 = input_[8];
    if ( input_[15] != v26 )                    // input[8]==input[15]==95
      goto LABEL_39;
    if ( v26 + 4 != (_BYTE)v22 )                // input[8]+4==v22==99,input[8]==95
      goto LABEL_39;
    v27 = (unsigned __int8)input_[17];
    v28 = (unsigned __int8)input_[11];
    if ( 125 - (_BYTE)v27 + 40 != (_BYTE)v28 )  // input[11]+input[17]==165
      goto LABEL_39;
    v29 = (unsigned __int8)input_[18];
    v30 = v27 + v28 - v18 - v29;
    v31 = v29 - v27;
    if ( (_BYTE)v30 != (_BYTE)v31 )             // 2*input[17]+input[11]==2*input[18]+115
      goto LABEL_39;
    v32 = input_[6];
    v33 = v24 - v27;
    if ( *input_ != (_BYTE)v31 * ((unsigned __int8)v33 >> 1) + 110// input[0]=(input[18]-input[17])*((52-input[17])>>1)+110
      || (v34 = input_[10], v23 + 1 != v34)     // input[10]-input[13]==1
      || (v35 = v25 - a2, a2 = v33, (_BYTE)v33 + 2 * (_BYTE)v33 + 4 * v35 != v34)// input[10]==3*(52-input[17])+4*23
      || (v36 = (unsigned int)(unsigned __int8)input_[20] - v22,
          v37 = v31,
          v38 = (unsigned int)(2 * v31),
          (_BYTE)v36 != (_BYTE)v38)             // input[20]-99==2*(input[18]-input[17])
      || (v18 = (unsigned int)a1 ^ (unsigned int)v18, (_BYTE)v18 != 29)
      || (_BYTE)v33 != 4 * v37                  // 52-input[17]==4*(input[18]-input[17])
      || v32 != (_BYTE)v17 )                    // input[6]==input[14]==52

手算或者z3都可以,解出来即为flag

data=[0]*23
data[2]=116
data[9]=99
data[16]=110
data[21]=122
data[22]=125
data[5]=115
data[3]=116^18
data[1]=99
data[7]=100
data[6]=52
data[14]=52
data[4]=123
data[8]=95
data[15]=95
data[17]=2*165-282
data[11]=282-165
data[18]=(52+3*data[17])//4
data[10]=3*(52-data[17])+4*23
data[13]=data[10]-1
data[12]=data[13]
data[0]=(data[18]-data[17])*((52-data[17])>>1)+110
data[20]=2*(data[18]-data[17])+99
data[19]=122
print(''.join(chr(i) for i in data))
#pctf{s4d_chugg4_n01zez}

[INSHack2018]Tricky-Part1

elf文件,无壳,ida分析
main函数,获取输入,比较输入和经stack_check处理过的v8,相同说明输入正确
TP1-main
进入stack_check函数,对v8的处理为,v8=base,而base[i]^=“GDB”[i%len(“GDB”)]
TP1-stackcheck
对base交叉引用,来到__static_initialization_and_destruction_0,对base赋值,unk_401278已知
TP1-init
写脚本即可得到flag

s="GDB"
base=[0x0E, 0x0A, 0x11, 0x06, 0x3F, 0x01, 0x1F, 0x1C, 0x1D, 0x76,
  0x37, 0x1D, 0x2F, 0x70, 0x30, 0x23, 0x77, 0x30, 0x18, 0x22,
  0x72, 0x35, 0x1B, 0x31, 0x33, 0x70, 0x36, 0x76, 0x27, 0x1D,
  0x73, 0x2A, 0x76, 0x2B, 0x75, 0x31, 0x3E, 0x37, 0x1D, 0x30,
  0x2C, 0x71, 0x29, 0x1B, 0x26, 0x74, 0x26, 0x37, 0x20, 0x23,
  0x71, 0x35, 0x1B, 0x24, 0x73, 0x75, 0x2E, 0x34, 0x39]
for i in range(len(base)):
    base[i]^=ord(s[i%len(s)])
print(''.join(chr(i) for i in base))
#INSA{CXX_1s_h4rd3r_f0r_st4t1c_4n4l1sys_wh3n_d3bugg3r_f41ls}

[watevrCTF 2019]esreveR

elf文件,无壳,ida分析
main函数,获取输入,输入传入sub_55F41EAEE2D8函数进行验证
reverse-main
进入sub_55F41EAEE2D8函数,上面是一些异或运算,input作为最后一个参数传入sub_55F41EAEDBA0函数
reverse-sub_55F41EAEE2D8
reverse-sub_55F41EAEE2D8
进入sub_55F41EAEDBA0函数,直接对input的内容进行验证
reverse-sub_55F41EAEDBA0
调试,取出a1到a56的数据,转成字符串即为flag

data=[0x77,0x61,0x74,0x65,0x76,0x72,0x7b,0x65,0x73,
      0x72,0x65,0x76,0x65,0x72,0x5f,0x72,0x65,0x76,
      0x65,0x72,0x73,0x65,0x64,0x5f,0x79,0x6f,0x75,
      0x74,0x75,0x62,0x65,0x2e,0x63,0x6f,0x6d,0x2f,
      0x77,0x61,0x74,0x63,0x68,0x3f,0x76,0x3d,0x49,
      0x38,0x69,0x6a,0x62,0x34,0x5a,0x65,0x65,0x35,
      0x45,0x7d]
print(''.join(chr(i) for i in data))
#watevr{esrever_reversed_youtube.com/watch?v=I8ijb4Zee5E}
P1umH0
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PWN-PRACTICE-BUUCTF-28
P1umH0的博客
09-12 164
PWN-PRACTICE-BUUCTF-28wustctf2020_name_your_dogjudgement_mna_2016gyctf_2020_some_thing_interestingxman_2019_format wustctf2020_name_your_dog Partial RELRO,可修改got表 scanf_got距离Dogs56个字节,当index为-7时,即可改写scanf_got为shell的地址 from pwn import * #io = process("./wus
CTF 彩虹猫
Hoppinging的博客
03-22 932
简单的图片隐写-Rainbowcat 首先得到一张图片Rainbowcat.png 嗯,非常可爱 用txt打开,搜索flag,失败 打开kali虚拟机用binwalk分离文件,得到5B.zlib文件,受到嘲讽,失败 用010Editor打开图片,找到IHDR标志(十六进制的49 48 44 52),其十六进制后四位为宽度,再后四位为高度 大概修改一下高度 得到flag ...
[buuctf.reverse] 105_[FlareOn6]Memecat Battlestation
weixin_52640415的博客
06-06 240
dnSpy .NET程序
CTF逆向-[watevrCTF 2019]esreveR-看似复杂流程,发现核心逻辑,按64位架构导出栈中和寄存器中的值得到结果
serfend's blog
05-07 2145
CTF逆向-[watevrCTF 2019]esreveR-看似复杂流程,发现核心逻辑,按64位架构导出栈中和寄存器中的值得到结果 来源:https://buuoj.cn/ 内容: 附件:https://pan.baidu.com/s/1CL9SAiLOT6Y1aPuVq1tYOw?pwd=hsd5 提取码:hsd5 答案:watevr{esrever_reversed_youtube.com/watch?v=I8ijb4Zee5E} 总体思路 用ida打开发现默认是按com加载,但该文件是elf文件,故
[buuctf.reverse] 116_[watevrCTF 2019]esreveR
weixin_52640415的博客
06-13 335
动调的简单小题
realkana-reverse-practice
07-05
realkana-反向练习 向添加第二个“练习”选项卡。 除了现有的练习 (か - ka),您还可以通过给定的音节 (ka - か) 猜测假名字符。
react-native-reverse-geo
06-05
从你的项目内部运行npm install react-native-reverse-geo --save 在 XCode 中,在项目导航器中,右键单击Libraries ➜ Add Files to [your project's name] 转到node_modules ➜ react-native-reverse-geo并添加...
reverse-im.el
05-06
安装手动的M-x package-install RET reverse-im RET使用使用包改用提供的次要模式(有关详细信息,请参阅 ): ( use-package reverse-im :ensure t :custom (reverse-im-input-methods '( " russian-computer " )) ...
simple-reverse-proxy
06-10
例子 var SimpleReverseProxy = require('simple-reverse-proxy');new SimpleReverseProxy(['http://localhost:10001','http://localhost:10002','http://localhost:10003'], {agent: false}).listen(10000);[10001,...
local-reverse-geocoder:基于GeoNames数据的Node.js本地反向地址解析器
05-04
安装$ npm install local-reverse-geocoder 或者,使用Yarn: $ yarn add local-reverse-geocoder码头工人为了与配合使用,该项目中提供了一个Dockerfile。 它从GeoNames缓存所有必需的文件。 要使用它: $ docker ...
[INSHack2018]Tricky-Part1
寻梦&之璐
06-20 2971
文章目录[INSHack2018]Tricky-Part1主要利用交叉引用列表( Jump - Jump to xref 或快捷键X,将光标放在一个交叉引用的目标地址上,通过该快捷键可弹出交叉引用列表。)主要函数分析 [INSHack2018]Tricky-Part1 主要利用交叉引用列表( Jump - Jump to xref 或快捷键X,将光标放在一个交叉引用的目标地址上,通过该快捷键可弹出交叉引用列表。) 主要函数分析 std::string *__fastcall stack_check(std:
[watevrCTF 2019]Crypto over the intrawebs
qq_52193383的博客
08-13 230
因为每次发送的消息都有固定头部,所以可以利用这一特征求出 key。利用z3构造多个方程求解。由于^运算的参与,不能使用Int(‘x’),需使用比特流BitVec(‘x’,bit)。由key的生成过程可知 key 最多 76bits。......
[watevrCTF-2019]Supercalc
m0_64348326的博客
06-01 265
2.抓包查看cookie发现session,解密后该值是我们历史计算的表达式,我们每执行一遍,历史代码都会记录在session中,并计算后返回到页面。2.那段cookie毫无头绪,但是井字棋这方面还是很精通,试着下了两把,误打误撞赢了得到了flag。1.点击页面查看cookie以为又是伪造,但是查看源码发现了隐藏表单,然后执行/move,尝试发送一个,发现是三子棋。3.接下来就是查找密钥,爆破是没用的,那就只能用页面的功能看看是否能读取密钥。符,就能执行ssti,不过其他的依旧还是被过滤了,不过能访问。
[buuctf.reverse] 109_[FlareOn6]FlareBear,110_[INSHack2018]Tricky-Part1
weixin_52640415的博客
06-07 318
两个简单小题
CTF 简析
rainbowarc的博客
03-15 834
1.方向简析 PWN、Reverse对于汇编、逆向的理解 Crypto偏重对数学、算法的学习深入 Web偏重对技巧沉淀,快速搜索能力的挑战(发散思维)漏洞点的积累 Misc 则更为复杂,所有与计算机安全挑战有关的都算在其中 大体方向分类 A:PWN+Reverse+Crypto随机搭配  选择两个(IDA工具使用,f5插件,逆向工程,密码学,缓冲区溢出等)
[watevrCTF 2019]Repyc [NPUCTF2020]BasicASM
寻梦&之璐
06-04 844
[watevrCTF 2019]Repyc 佤 = 0 侰 = ~佤 * ~佤 俴 = 侰 + 侰 def 䯂(䵦): 굴 = 佤 굿 = 佤 괠 = [佤] * 俴 ** (俴 * 俴) 궓 = [佤] * 100 괣 = [] while 䵦[굴][佤] != '듃': 굸 = 䵦[굴][佤].lower() 亀 = 䵦[굴][侰:] if 굸 == '뉃': 괠[亀[佤]] = 괠
[buuctf.reverse] 111_[b01lers2020]chugga_chugga
weixin_52640415的博客
06-08 183
z3 变量赋值
[b01lers2020]chugga_chugga
qq_39642801的博客
08-02 461
先用GDB运行一下,运行到用户输入后用bt指令查看堆栈情况,得知main函数位置 用IDA打开main函数,从中可以大致得知变量所代表的含义 用个带行号的文本编辑器进行填充,发现flag中只有一部分是以明文形式给出(X,Y代表字符相同) pctf{s4d_cXXYY4_nXXzXz} 直接暴力求解 ...
【CSICTF】Esrever WriteUp
古月浪子的博客
07-23 511
这道题看起来不像是逆向,更像是密码学 =_= import random # TODO: Remember to remove real flag before deploying flag = 'csictf{fake_flag}' key = 'fake_key' def enc1(text): r = random.randint(1,25) return bytes.fromhex(''.join([hex(((ord(i) - ord('a') - r) % 26) + o.
reverse-i-search
最新发布
07-27
反向搜索(reverse-i-search)是一个命令行工具中常用的功能,用于搜索并显示之前输入的命令历史记录中最后一个与指定关键词匹配的命令。通过按下Ctrl+R键,你可以启动反向搜索模式,然后开始输入关键词,命令行会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值