BUUCTF Reverse reverse3 WriteUp

最新推荐文章于 2024-08-22 01:21:54 发布
最新推荐文章于 2024-08-22 01:21:54 发布
阅读量568 收藏
点赞数
分类专栏: BUUCTF 逆向题解 文章标签: 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45723661/article/details/120227888
版权

reverse3-WP

首先扔到IDA里面,解析出主函数如下

int __cdecl main_0(int argc, const char **argv, const char **envp)
{
  int v3; // ebx
  int v4; // edi
  int v5; // esi
  int v6; // eax
  const char *v7; // eax
  size_t v8; // eax
  char v10; // [esp+0h] [ebp-188h]
  char v11; // [esp+0h] [ebp-188h]
  signed int j; // [esp+DCh] [ebp-ACh]
  int i; // [esp+E8h] [ebp-A0h]
  signed int v14; // [esp+E8h] [ebp-A0h]
  char Destination[108]; // [esp+F4h] [ebp-94h] BYREF
  char Str[28]; // [esp+160h] [ebp-28h] BYREF
  char v17[8]; // [esp+17Ch] [ebp-Ch] BYREF

//初始化为0
  for ( i = 0; i < 100; ++i )
  {
    if ( (unsigned int)i >= 0x64 )
      j____report_rangecheckfailure(v3, v4, v5);
    Destination[i] = 0;
  }

  sub_41132F("please enter the flag:", v10);
  sub_411375("%20s", (char)Str);
  v6 = j_strlen(Str);
  v7 = (const char *)sub_4110BE((int)Str, v6, (int)v17);//关键点

  strncpy(Destination, v7, 0x28u);
  v14 = j_strlen(Destination);
  
  for ( j = 0; j < v14; ++j )
    Destination[j] += j;//每个成员向后移动j位
  v8 = j_strlen(Destination);
  if ( !strncmp(Destination, Str2, v8) )//与str2进行比较
    sub_41132F("rigth flag!\n", v11);
  else
    sub_41132F("wrong flag!\n", v11);
  return 0;
}

通过观察发现sub_4110BE是关键函数,转到函数查看

void *__cdecl sub_411AB0(char *a1, unsigned int a2, int *a3)
{
  int v4; // [esp+D4h] [ebp-38h]
  int v5; // [esp+D4h] [ebp-38h]
  int v6; // [esp+D4h] [ebp-38h]
  int v7; // [esp+D4h] [ebp-38h]
  int i; // [esp+E0h] [ebp-2Ch]
  unsigned int v9; // [esp+ECh] [ebp-20h]
  int v10; // [esp+ECh] [ebp-20h]
  int v11; // [esp+ECh] [ebp-20h]
  void *v12; // [esp+F8h] [ebp-14h]
  char *v13; // [esp+104h] [ebp-8h]

  if ( !a1 || !a2 )
    return 0;
  v9 = a2 / 3;
  if ( (int)(a2 / 3) % 3 )
    ++v9;
  v10 = 4 * v9;
  *a3 = v10;
  v12 = malloc(v10 + 1);
  if ( !v12 )
    return 0;
  j_memset(v12, 0, v10 + 1);
  v13 = a1;
  v11 = a2;
  v4 = 0;
  while ( v11 > 0 )
  {
    byte_41A144[2] = 0;
    byte_41A144[1] = 0;
    byte_41A144[0] = 0;
    for ( i = 0; i < 3 && v11 >= 1; ++i )
    {
      byte_41A144[i] = *v13;
      --v11;
      ++v13;
    }
    if ( !i )
      break;
    switch ( i )
    {
      case 1:
        *((_BYTE *)v12 + v4) = aAbcdefghijklmn[(int)(unsigned __int8)byte_41A144[0] >> 2];
        v5 = v4 + 1;
        *((_BYTE *)v12 + v5) = aAbcdefghijklmn[((byte_41A144[1] & 0xF0) >> 4) | (16 * (byte_41A144[0] & 3))];
        *((_BYTE *)v12 + ++v5) = aAbcdefghijklmn[64];
        *((_BYTE *)v12 + ++v5) = aAbcdefghijklmn[64];
        v4 = v5 + 1;
        break;
      case 2:
        *((_BYTE *)v12 + v4) = aAbcdefghijklmn[(int)(unsigned __int8)byte_41A144[0] >> 2];
        v6 = v4 + 1;
        *((_BYTE *)v12 + v6) = aAbcdefghijklmn[((byte_41A144[1] & 0xF0) >> 4) | (16 * (byte_41A144[0] & 3))];
        *((_BYTE *)v12 + ++v6) = aAbcdefghijklmn[((byte_41A144[2] & 0xC0) >> 6) | (4 * (byte_41A144[1] & 0xF))];
        *((_BYTE *)v12 + ++v6) = aAbcdefghijklmn[64];
        v4 = v6 + 1;
        break;
      case 3:
        *((_BYTE *)v12 + v4) = aAbcdefghijklmn[(int)(unsigned __int8)byte_41A144[0] >> 2];
        v7 = v4 + 1;
        *((_BYTE *)v12 + v7) = aAbcdefghijklmn[((byte_41A144[1] & 0xF0) >> 4) | (16 * (byte_41A144[0] & 3))];
        *((_BYTE *)v12 + ++v7) = aAbcdefghijklmn[((byte_41A144[2] & 0xC0) >> 6) | (4 * (byte_41A144[1] & 0xF))];
        *((_BYTE *)v12 + ++v7) = aAbcdefghijklmn[byte_41A144[2] & 0x3F];
        v4 = v7 + 1;
        break;
    }

通过观察发现,此处非常像base64加密,查看aAbcdefghijklmn处发现,

请添加图片描述

确定是base64加密,再查看str2的值发现是e3nifIH9b_C@n@dH

写出解密脚本

import base64
s = "e3nifIH9b_C@n@dH"
x = ""
for i in range(0, len(s)):
    x += chr(ord(s[i])-i)

print(base64.b64decode(x))

其中ord函数是将一个字符的ASCII值返回,chr函数是将0~255内的整数转换为对应的ASCII字符,这俩是配对函数。

得出最终flagflag{i_l0ve_you}

注:base64加密原理

base64是以每3个字节为一组,共24位,再以6位为一个单位组成新的数据。对于不足3字节的处理:1.不足三字节后面填充0;2.对于编码前的数据产生的6位,如果为0,则索引到的字符为‘A’;因不足3字节而填充的0,用’=’来替代。

请添加图片描述

请添加图片描述

如何分辨出base64加密:

1.base64加密过后的密文后面可能会存在=

2.通过查看字母表来确定

3.代码中含有0xF、0x3F、0x3等符号

PlumpBoy
关注
专栏目录
BUUCTF Reverse rsa WriteUp
PlumpBoy的博客
09-11 583
rsa-WP 打开文件,发现有有两个文件,拖入HxD发现一个是公钥一个是密文,那么本题的目标就是求解私钥进行解密。 先将公钥放入在线工具:http://ctf.ssleye.com/pub_asys.html 解析得到 e=65537 n=86934482296048119190666062003494800588905656017203025617216654058378322103517 然后打开RSA-Tool2,将n填入n处,点击Factor N即可分解,但是大数分解特别慢,建议使用在线工具:h
BUUCTF Reverse 简单注册器 WriteUp
PlumpBoy的博客
09-11 318
简单注册器-WP 一个apk文件,直接用jdax-gui打开 定位到核心加密部分,将其复制出来,写一个c的解密程序 #include <iostream> using namespace std; int main() { char x[] = "dd2940c04462b4dd7c450528835cca15"; x[2] = (char)((x[2] + x[3]) - 50); x[4] = (char)((x[2] + x[5]) - 48); x[
BUUCTF--reverse1
weixin_30876945的博客
09-04 883
测试文件:https://buuoj.cn/files/81c48295620d635f0c7e35b41efcc52d/b095c2d1-aa44-4e11-9ab5-137f66e1a48c.rar?token=eyJ0ZWFtX2lkIjpudWxsLCJ1c2VyX2lkIjoxOTAzLCJmaWxlX2lkIjoxOTh9.XW-UvA.lZSWlFegUBhf1vfDHms...
CTF的write-up总结
最新发布
m0_57836225的博客
08-22 499
总之,CTF write-up 应该清晰地记录解题过程,分享关键技术和经验教训,以便自己和他人在以后的比赛中能够更好地应对类似的题目。- 分析可能存在的漏洞,如 SQL 注入、XSS、文件上传漏洞等,并阐述如何利用这些漏洞获取关键信息或权限提升。2. 介绍使用的工具和技术,如特定的漏洞扫描工具、加密破解工具、逆向工程工具等,并说明它们的作用和使用方法。1. 通过这道题目,对 SQL 注入和文件上传漏洞有了更深入的理解,同时也熟悉了相关的工具使用。
BUUCTF Reverse reverse1 WriteUp
PlumpBoy的博客
09-10 270
reverse_1 先打开软件看一看,是一个要求输入flag的题目。 拖入x64dbg,先从dll执行到本身,然后查找字符串,flag拿到了,注意是0不是o!!
BUUCTF-Reverse Writeup【持续更新】
skysys的研究小屋
01-27 931
BUUCTF 二进制刷题
BUUCTF Reverse reverse2 WriteUp
PlumpBoy的博客
09-10 208
reverse_2 拖入HxD中看见ELF,linux平台的程序,但是懒得开虚拟机了,顺手搜索了一下,看见了一个很像flag的字符串,结果提交试了下,错误的,那么应该是程序对这个字符串做了一些操作。 拖入IDA v8 = __readfsqword(0x28u); pid = fork(); if ( pid ) { waitpid(pid, &stat_loc, 0); } else { for ( i = 0; i <= strlen(&f
BUUCTF Reverse xor WriteUp
PlumpBoy的博客
09-10 586
xor-WP 首先吧xor文件扔进IDA里面 int __cdecl main(int argc, const char **argv, const char **envp) { int i; // [rsp+2Ch] [rbp-124h] char __b[264]; // [rsp+40h] [rbp-110h] BYREF memset(__b, 0, 0x100uLL); printf("Input your flag:\n"); get_line(__b, 256LL);
BUUCTF Reverse [BJDCTF2020]JustRE WriteUp
PlumpBoy的博客
09-11 239
JustRE-WP 首先打开看看,发现有个getflag标签,点击会显示现在点了多少次。 拖入IDA中,按shift+F12查看字符串,发现一个很像flag的值 双击转到地点,再双击转到汇编窗口 再按F5显示反汇编代码 INT_PTR __stdcall DialogFunc(HWND hWnd, UINT a2, WPARAM a3, LPARAM a4) { CHAR String[100]; // [esp+0h] [ebp-64h] BYREF if ( a2 != 272 )
BUUCTF Reverse Java逆向解密 WriteUp
PlumpBoy的博客
09-11 268
java逆向解密-WP 扔进jd-gui中进行反编译,得到源代码 import java.io.PrintStream; import java.util.ArrayList; import java.util.Scanner; public class Reverse { public static void main(String[] args) { Scanner s = new Scanner(System.in); System.out.println("Please i
新人的reverse学习(3) BugkuCTF_逆向入门—— WriteUp
fayinq的博客
04-11 293
1.常规操作,用exeinfo打开下载的附件,发现他既不是exe,又不是ELF文件。但是后面有有一个png的提示,不知道是干什么用的,上网查呗,估计有类似的题目 2.然后查到一个新的知识: 先将.exe改为.png后用winhex(或是010editor打开)查看文本后,可将其复制进地址栏中进行查看。 3.出现一个二维码,扫描即可出现flag 后记:刚开始什么都没懂,然后就拿IDA对着这个exe一顿猛看,还以为是什么汇编分析,属实是学艺不精 ...
BUUCTF Reverse [GWCTF 2019]pyre WriteUp
PlumpBoy的博客
09-11 289
pyre-WP 首先发现是pyc文件,使用在线工具进行反编译,得到源码 #!/usr/bin/env python # visit http://tool.lu/pyc/ for more information print "Welcome to Re World!" print "Your input1 is your flag~" l = len(input1) for i in range(l): num = ((input1[i] + i) % 128 + 128) % 128 c
BUUCTF Reverse 新年快乐 WriteUp
PlumpBoy的博客
09-10 1053
新年快乐-WP 首先放入ExeinfoPE,查出来是UPX的壳 放入kali脱壳 upx -d 1.exe 脱壳后扔入IDA __main(); strcpy(Str2, "HappyNewYear!"); Str1 = 0; memset(v6, 0, sizeof(v6)); printf("please input the true flag:"); scanf("%s", &Str1); if ( !strncmp((const char *)&Str1,
BUUCTF Reverse [ACTF新生赛2020]easyre WriteUp
PlumpBoy的博客
09-11 523
easyre-WP 打开后先查查有无壳,发现是UPX加密 kali直接脱壳,命令为upx -d easyre.exe 脱完壳直接放入IDA查看反汇编代码 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[12]; // [esp+12h] [ebp-2Eh] BYREF _DWORD v5[3]; // [esp+1Eh] [ebp-22h] _BYTE v6[5]; // [esp+2Ah]
BUUCTF Reverse 内涵的软件 WriteUp
PlumpBoy的博客
09-10 181
内涵的软件 先打开看一看,发现不管输入啥都报错退出。拖到x32dbg中,执行到exe本体中,搜索字符串找到每次输出语句,向上看一看,发现flag
BUUCTF Reverse easyre WriteUp
PlumpBoy的博客
09-10 212
easyre 拿到题目先打开看看,输入两个值后会执行完毕,看不见信息,那么只能确定有两个输入。 拖IDA看看代码就出来了。
BUUCTF Reverse/reverse3
ookami6497的博客
07-15 272
BUUCTF Reverse/reverse3 查看文件属性,没有加壳,而且是32位程序 用IDA32位打开,找到main函数,然后分析代码 __int64 __usercall main_0@<edx:eax>(int a1@<ebx>, int a2@<edi>, int a3@<esi>) { int v3; // eax const char *v4; // eax size_t v5; // eax int v6; //
[BUUCTF]REVERSE——reverse3
mcmuyanga的博客
10-30 3595
reverse3 附件 步骤: 例行查壳儿,32位程序,无壳儿 32位ida载入,shift+f12检索程序里的字符串,得到了有关flag的提示,而且看到了ABCDE……78这种字符串,猜测存在base64位的加密 根据提示字符串,找到程序的关键函数 我们输入的字符串str首先经过了sub_4110BE(base64)的运算 明显的base64加密,3位变4位 之后进行了移位运算,得到了一个字符串e3nifIH9b_C@n@dH 我们将这个字符串逆运算一下,就能得到我们的flag了 impor
buu ctf之reverse3 wp
weixin_47158947的博客
07-17 1090
1.老方法ida打开,看字符串,看伪代码,找到主函数! 反编译后的主函数 中间加星号的是对我们输入的字符串进行了操作。一会再看。 2.思路:对我们输入的字符串,进行图中函数的变换,然后进行 for ( j = 0; j < v8; ++j ) Dest[j] += j; 然后和str2进行比较,相等就正确了! 点一下str2变量,发现是:e3nifIH9b_C@n@dH 3.中间函数是 void *__cdecl sub_411AB0(char *a1, unsigned int a2, int *a
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PlumpBoy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值