REVERSE-PRACTICE-BUUCTF-30

最新推荐文章于 2023-08-08 23:41:53 发布
最新推荐文章于 2023-08-08 23:41:53 发布
阅读量753 收藏 2
点赞数 2
分类专栏: Reverse-BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/114289888
版权

REVERSE-PRACTICE-BUUCTF-30

[RCTF2019]DontEatMe

exe程序,运行后输入,无壳,用ida分析
交叉引用字符串来到sub_401260函数,读取输入,NtSetInformationThread的第二个参数为17(0x11),实现了反调试效果,调试的过程中修改EIP即可绕过反调试
随后byte_9457A8数组被赋予8个随机值,不过没什么用,下面又被赋了新值,而且新值固定不变,为[0x00, 0x0F, 0x1A, 0x01, 0x35, 0x3A, 0x3B, 0x20]
findcrypt插件查到sub_401090函数是blowfish算法
donteatme-logic
往下走,有一个将输入的字符两两一组,组成一个十六进制数的循环体
donteatme-logic
继续往下走,sub_401260函数的结束部分是一个16x16的迷宫
起点[x,y]在[5,10],x∈[0,15],y∈[1,16],a-左,d-右,s-下,w-上,终点[x,y]在[9,4]
donteatme-logic
走迷宫,起点设为s,终点设为e,路线为ddddwwwaaawwwddd

"""
map
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
1,0,0,0,0,0,0,0,0,0,1,1,1,1,1,1,
1,0,1,1,1,1,1,1,1,0,1,1,1,1,1,1,
1,0,1,1,1,1,1,1,1,0,1,1,1,1,1,1,
1,0,1,1,1,1,0,0,0,e,0,0,0,1,1,1,
1,0,1,1,1,1,0,1,1,1,1,1,0,1,1,1,
1,0,1,1,1,1,0,1,1,1,1,1,0,1,1,1,
1,0,1,1,1,1,0,0,0,0,1,1,0,1,1,1,
1,0,1,1,1,1,1,1,1,0,1,1,0,1,1,1,
1,0,1,1,1,1,1,1,1,0,1,1,0,1,1,1,
1,0,0,0,0,s,0,0,0,0,1,1,0,1,1,1,
1,1,1,1,1,0,1,1,1,1,1,1,0,1,1,1,
1,1,1,1,1,0,0,0,0,0,0,0,0,1,1,1,
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1

ddddwwwaaawwwddd
"""

联系上面插件查到的blowfish算法,该程序的逻辑应为,输入密文,经过程序解密出明文,而明文需要通过迷宫,密钥为那个固定不变的数组byte_9457A8==[0x00, 0x0F, 0x1A, 0x01, 0x35, 0x3A, 0x3B, 0x20]
现已知明文和密钥,写blowfish加密脚本即可得到正确的输入

from Crypto.Cipher import Blowfish
from Crypto.Util.number import bytes_to_long
key=b"\x00\x0F\x1A\x01\x35\x3A\x3B\x20"
plaintext="ddddwwwaaawwwddd"
blowfish=Blowfish.new(key,Blowfish.MODE_ECB)
print(hex(bytes_to_long(blowfish.encrypt(plaintext))).replace('0x','').replace('L',''))
#db824ef8605c5235b4bbacfa2ff8e087

验证成功
donteatme-flag

[b01lers2020]little_engine

elf文件,无壳,ida分析
main函数,sub_55B25B5476B0函数,程序打印“Are you ready?”后,输入一个ASCII码小于127的字符
sub_55B25B547830函数,程序打印“Give me your best tidbit:”后,输入flag
sub_55B25B547510函数对输入进行异或运算,规律可循
sub_55B25B5475A0函数将变换后的输入与已知比较,验证输入
littleengine-main
进入sub_55B25B547510函数,对输入的变换为input[i]^=v8,而v8初始为0x91,每次加下标,超过255后对255取余,保持在0~254范围内
littleengine-xor
进入sub_55B25B5475A0函数,变换后的input和已知的unk_55B25B548220比较,需要注意的是unk_55B25B548220的步长为4
littleengine-check
写脚本即可得到flag

unk_55B25B548220=[
  0xE1, 0xE6, 0xD0, 0x4A, 0xF2, 0xC3, 0x7E, 0xAA, 0xE6, 0xFC,
  0x42, 0xB2, 0xF2, 0xB5, 0x01, 0xB4, 0xEC, 0x7D, 0x39, 0x20,
  0xEF, 0xC0, 0x4E, 0x13, 0xC8, 0x2F, 0x67, 0xAA, 0x95, 0x79,
  0x6B, 0xF5, 0xF2, 0x06, 0x41, 0x79, 0xD8, 0x35, 0xF9, 0xC8,
  0x8E, 0xDE, 0x88, 0x51, 0xAC, 0x4C, 0xF0, 0x81, 0xE0, 0xF4,
  0xEE, 0x14, 0xAD, 0xF1, 0x25, 0xBD, 0x82, 0x7C, 0x62, 0x30,
  0xA5, 0xF8, 0x80, 0x2B, 0x79, 0x85, 0x2A, 0xF8, 0x6E, 0x5A,
  0xAE, 0xCB, 0x18, 0x3A, 0xA2, 0xD0, 0x09, 0xC5, 0x8C, 0x5D,
  0x3D, 0x34, 0x6B, 0xF9, 0x3B, 0x72, 0x4B, 0x0E, 0x4A, 0xC3,
  0x71, 0x53, 0xE1, 0xE9, 0x07, 0xBB, 0xC1, 0x1A, 0xE7, 0x07,
  0x8F, 0x1B, 0x75, 0x74, 0xB9, 0x8E, 0x5D, 0x2E, 0xC2, 0xF6,
  0x17, 0x3B, 0x52, 0xED, 0xD7, 0xBD, 0x5E, 0xE9, 0x76, 0x63,
  0x72, 0xE2, 0xEA, 0x89, 0x51, 0xD7, 0x4F, 0x34, 0xDC, 0x39,
  0xD5, 0x58, 0x92, 0xD9, 0xD2, 0xD2, 0xAA, 0x69, 0xF1, 0xBF,
  0x90, 0x76, 0xE1, 0x9C, 0x39, 0x0D, 0x0C, 0xB3, 0x40, 0x06,
  0x48, 0xDA, 0x27, 0xD5, 0x1E, 0xB8, 0x4A, 0x94, 0x4C, 0x98,
  0xC4, 0x8A, 0x68, 0xA8, 0x97, 0x5E, 0x64, 0xF9, 0xC0, 0x58,
  0xF7, 0x02, 0x72, 0x8D, 0x3B, 0x88, 0x18, 0x14, 0xEC, 0x8F,
  0x42, 0x70, 0x0C, 0x0B, 0x96, 0x66, 0x22, 0x8E, 0xF7, 0x58,
  0x01, 0x2E, 0xC5, 0xDC, 0x4B, 0xC0, 0x71, 0xF4, 0xDA, 0xE6,
  0x3D, 0x73, 0x88, 0x7D, 0xE4, 0x91, 0x1F, 0x75, 0x90, 0x70,
  0xD6, 0x0C, 0xA7, 0x09, 0x7C, 0xF2, 0x5A, 0x4E, 0xA1, 0x09,
  0x0C, 0x51, 0x3C, 0xBA, 0xA8, 0x64, 0x38, 0x2D, 0x8C, 0x00,
  0x88, 0xE3, 0x6F, 0xEA, 0x77, 0x90, 0x74, 0x39, 0xAA, 0x56,
  0xF1, 0xA8, 0x6E, 0x80, 0xCA, 0x3D, 0x9E, 0x69, 0xA4, 0x69,
  0x48, 0xF2, 0x0A, 0x2C, 0xF7, 0x33, 0x17, 0x0F, 0x5C, 0xF2,
  0x8A, 0xE5, 0x2F, 0x55, 0xA5, 0x9F, 0x8B, 0x65, 0x54, 0x76,
  0xE0, 0x64, 0xEE, 0x9D, 0x9B, 0x2D, 0x9B, 0x5F, 0x72, 0x7F,
  0x3B, 0xD9, 0xDF, 0x05, 0x69, 0xF0, 0x9F, 0xF0, 0xA3, 0x8C,
  0xE6, 0xCD, 0xEF, 0xB4, 0xBC, 0x44, 0x54, 0x3E, 0xE3, 0x44]
init=0x91
flag=[]
for i in range(0,len(unk_55B25B548220),4): # step : 4
    flag.append(unk_55B25B548220[i]^init)
    init=(init+i//4)%0xff
print(''.join(chr(i) for i in flag))
# pctf{th3_m0d3rn_st34m_3ng1n3_w45_1nv3nt3d_1n_1698_buT_th3_b3st_0n3_in_1940}

[NPUCTF2020]你好sao啊

elf文件,无壳,ida分析
main函数,获取输入,输入的长度限为32,RxEncode函数对输入进行变换,变换的结果赋给s1,s1与已知的s2比较,验证输入
sao-main
进入RxEncode函数,4x6==>3x8,变表base64解码过程
sao-rxencode
用工具进行变表base64编码或者写脚本即可得到flag
sao-flag

res=[0x9E, 0x9B, 0x9C, 0xB5, 0xFE, 0x70, 0xD3, 0x0F,
     0xB2, 0xD1, 0x4F, 0x9C, 0x02, 0x7F, 0xAB, 0xDE,
     0x59, 0x65, 0x63, 0xE7, 0x40, 0x9D, 0xCD, 0xFA]
table="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz01234{}789+/="
flag=""
for i in range(0,len(res),3):
  tmp=bin(res[i]).replace('0b','').zfill(8)
  tmp+=bin(res[i+1]).replace('0b','').zfill(8)
  tmp+=bin(res[i+2]).replace('0b','').zfill(8)
  flag+=table[int('0b'+tmp[0:6],2)]
  flag += table[int('0b' + tmp[6:12], 2)]
  flag += table[int('0b' + tmp[12:18], 2)]
  flag += table[int('0b' + tmp[18:24], 2)]
print(flag)
# npuctf{w0w+y0U+cAn+r3lllY+dAnc3}

[MRCTF2020]Shit

exe程序,运行后输入,无壳,ida分析
交叉引用字符串来到sub_401640函数,获取输入,检验输入长度,进入loc_4012F0检验输入
shit-logic
来到loc_4012F0处,没有被ida识别为函数,加了花指令
shit-fakeorder
该种类型的花指令原型为

_asm
{
	call sub2
	_emit 0xEB
	jmp label2
	sub2:
		add dword ptr[esp],1
		retn
label2:
}

将call指令和相应的函数以及多出来的EB都nop掉,变成
shit-defake
另外还有一处类似的花指令,同样的nop去花,完成后创建函数,F5反编译
具体的运算写在了注释里面
shit-opration
调试得到xmmword_405034的值,写脚本即可得到flag

from Crypto.Util.number import long_to_bytes
res=[2351698746, 4148999158, 4276070130, 2871606843, 651135530, 2292314745]
for i in range(len(res)-1,0,-1):
  res[i]^=res[i-1]
xmmword_405034=[3,16,13,4,19,11]
for i in range(len(res)):
  res[i]^=(1<<xmmword_405034[i])
  res[i]=(((~(res[i]&0xffff))<<16)&0xffff0000)|(((res[i]&0xffff0000)>>16)&0x0000ffff)
  res[i]=((res[i]<<xmmword_405034[i])|(res[i]>>(32-xmmword_405034[i])))&0xffffffff
print(''.join(long_to_bytes(i) for i in res))
# flag{a_3a2y_re_for_test}
P1umH0
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Buuctf-Reverse(逆向) Crackme Write up
weixin_50166464的博客
09-24 366
突然发现最近的文章都是日更了,啊呀主要是最近的题都学到许多新知识。 0x00 日常查壳 无壳32位 0x01 分析主函数 这题函数很多不过慢慢分析也还好 关键是要有耐心 还有一个重要的知识点就是反调试技术 一开始不了解阅读感极差 动调也看不出来什么 所以在主函数这个界面除了关键判断函数1830不用先去看 可以看完其他所有函数 于是在这先推荐看wiki的文章 看完再去看1830函数 NtGlobalFlag - CTF Wiki 0x02 分析关键函数1830 模块一
CTF逆向-[b01lers2020]little_engine-cpp基本函数用法和byte类型要点
serfend's blog
05-08 1516
CTF逆向-[b01lers2020]little_engine-cpp基本函数用法和byte类型要点 来源:https://buuoj.cn/ 内容: 附件:https://pan.baidu.com/s/1g6wnqkuqydzHHlXInmRCNQ?pwd=mjlu 提取码:mjlu 答案:pctf{th3_m0d3rn_st34m_3ng1n3_w45_1nv3nt3d_1n_1698_buT_th3_b3st_0n3_in_1940} 总体思路 发现主要流程三个函数,分别是输出一个欢迎语、要求用
buuctf————[NPUCTF2020]你好sao啊
yhfgs的博客
10-03 922
1.查壳。 无壳,64位。 2.IDA分析。 查看字符串。(有疑似base64加密方式。) 跟进关键字符串:Congratulations! 反编译 可以看出关键函数是RxEncode,跟进查看。 分析代码。 (刚才看到base64的特点,以为会是base64换表加密。但看到关键代码,才发现不是。但可能与base64加密有关。) 百度了一下base64的加解密原理:C语言实现Base64编码/解码_开挂的熊猫-CSDN博客 发现这是一个base64解密函数(我屮,离谱,...
[RCTF2019]DontEatMe
最新发布
qq_41853048的博客
08-08 891
一道迷宫题,但是输入被加密后使用,迷宫也需要在程序中找出并没有直接输出。
[BUUCTF]REVERSE解题记录 [MRCTF2020]Shit
weixin_44192213的博客
03-05 3862
经过大佬的教育 我意识到了与其做那么多水题,不如认认真真好好研究几道题。所以这次挑战一下我肉眼可见比较难的这道题。 首先这个题打开文件后就会发现是自带c++源代码的,逻辑也很清晰。 在这道题中出现了花指令 ...
realkana-reverse-practice
07-05
"realkana-reverse-practice"项目是利用JavaScript技术为日语学习者设计的一个实用工具,旨在帮助用户提高对日语平假名(hiragana)的认知和记忆能力。 首先,我们来看项目的名称"realkana-reverse-practice"。...
react-native-reverse-geo
06-05
从你的项目内部运行npm install react-native-reverse-geo --save 在 XCode 中,在项目导航器中,右键单击Libraries ➜ Add Files to [your project's name] 转到node_modules ➜ react-native-reverse-geo并添加...
reverse-im.el
05-06
安装手动的M-x package-install RET reverse-im RET使用使用包改用提供的次要模式(有关详细信息,请参阅 ): ( use-package reverse-im :ensure t :custom (reverse-im-input-methods '( " russian-computer " )) ...
simple-reverse-proxy
06-10
例子 var SimpleReverseProxy = require('simple-reverse-proxy');new SimpleReverseProxy(['http://localhost:10001','http://localhost:10002','http://localhost:10003'], {agent: false}).listen(10000);[10001,...
php-reverse-shell
07-24
在`php-reverse-shell-master`这个项目中,我们可以找到一个简单的PHP反向Shell示例。它通常包含一个PHP文件,比如`reverse_shell.php`,其中包含了上述提到的连接设置、套接字通信和命令执行等功能。攻击者只需要...
BUUCTF MISC刷题笔记(七)
volcano的博客
08-27 3087
BUUOJMisc Misc
BUUCTF-刷题记录-10
qq_45628145的博客
10-07 1280
MISC [watevrCTF 2019]Unspaellablle 词频分析,没有什么结果,然后看文件前面很有规律的样子,看起来像个什么文章?直接谷歌搜索到一个差不多的,不过有一点区别,链接。 然后去linux下面使用vimdiff命令查看两个文件的差别,发现把差别字符提取出来也就是flag了。 vimdiff 1.txt 2.txt 也就是watevr{icantspeel_tiny.cc/2qtdez}。 [INSHack2018]Spreadshit 搜索空格,全部选中,发现flag:INSA{
[buuctf.reverse] 071_[UTCTF2020]babymips,072_[NPUCTF2020]你好sao啊,073_[GKCTF 2021]QQQQT
weixin_52640415的博客
05-11 274
简单小题 071_[UTCTF2020]babymips 这东西能F5,也就没有难度了,就是个异或 int __fastcall sub_401164(int a1, int a2) { int v2; // $v0 int v4; // $v0 unsigned int i; // [sp+1Ch] [+1Ch] if ( std::string::size(a2) != 0x4E ) { LABEL_2: v2 = std::operator<<<
BUUCTF:[b01lers2020]Life on Mars
末初的CSDN博客
08-01 2036
题目地址:https://buuoj.cn/challenges#[b01lers2020]Life%20on%20Mars 一个关于火星生命的科普站,目录扫描啥都没发现,用burp抓两个包分析一下,发现几个可疑传参 /query?search=如果地名输入正确,发现返回如下 order by判断字段,2字段时回显正确 union联合查询:/query?search=amazonis_planitia union select 111,222 回显点如图所示: 查库:/query?search=a
BUU NPUCTF2020
苗_的博客
10-05 322
f5发现主函数逻辑很简单,直接找到关键函数进入: void *__fastcall RxEncode(const char *a1, int a2) { void *result; // rax int v3; // [rsp+18h] [rbp-38h] signed int v4; // [rsp+1Ch] [rbp-34h] int v5; // [rsp+20h] [rbp-30h] signed int v6; // [rsp+24h] [rbp-2Ch] int
BUUCTF [SUCTF2019]Akira Homework
weixin_53349587的博客
01-02 703
程序中有多处反调试,还有两处check判断,如果两个check都通过的话,会生成一个dll文件,程序前面开启的新线程进入到这个dll文件中,最后一个aes得到flag。 主函数: 1.查壳: 64位,C++,无壳。 IDA64打开,发现程序有基址随机化,去除: 详细请参考:去除程序的基址随机化_皮皮蟹!的博客-CSDN博客 2. ...
BUUCTF:[RCTF2019]draw
末初的CSDN博客
04-07 2186
cs pu lt 90 fd 500 rt 90 pd fd 100 rt 90 repeat 18[fd 5 rt 10] lt 135 fd 50 lt 135 pu bk 100 pd setcolor pick [ red orange yellow green blue violet ] repeat 18[fd 5 rt 10] rt 90 fd 60 rt 90 bk 30 rt 9...
buuctf misc部分wp
热门推荐
a3uRa的一个窝
08-29 1万+
文章目录大白 | png图片改高度基础破解 | archpr爆破你竟然赶我走 | 打开ningen | easyLSB | ssrar | archpr爆破qr | 二维码扫描乌镇峰会种图 | 记事本打开wireshark | 导出http对象文件中的秘密 | 右键属性假如给我三天光明来首歌吧 | 摩尔斯密码镜子里面的世界 | ss爱因斯坦小明的保险箱FLAGeasycap被嗅探的流量梅花香之苦寒...
BUUCTF [GKCTF 2021]app-debug
weixin_53349587的博客
01-09 891
1.拿到文件,发现是一个app,直接ida查看有没有so文件,有so文件,打开: 找到主函数,通过分析,找到关键函数,打开: 里面是一个典型的tea加密,只不过delta的值变了,所以用findcrypto也查不出来是tea加密,其中的key值也是假的,程序通过TracerPid进行反调试,详情请参考:TracerPid反调试 - 简书,然后通过对key值的交叉引用,找到了TracerPid所在的函数: 对付这种反调试的方法是把TracerPid的值改为0,于是打开39行sub_3EF..
reverse-i-search
07-27
反向搜索(reverse-i-search)是一个命令行工具中常用的功能,用于搜索并显示之前输入的命令历史记录中最后一个与指定关键词匹配的命令。通过按下Ctrl+R键,你可以启动反向搜索模式,然后开始输入关键词,命令行会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值