CrackRTF&[MRCTF2020]Transform

最新推荐文章于 2024-07-16 09:45:07 发布
最新推荐文章于 2024-07-16 09:45:07 发布
阅读量250 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46133275/article/details/132890738
版权

文章目录

前言

本文主要记录CrackRTF和[MRCTF2020]Transform的解题过程和相关思路

CrackRTF

首先使用exeinfope查看是否有加壳,发现是32位程序,且没有加壳

在这里插入图片描述

使用IDA打开,找到_main函数,再进入main_0函数,发现首先需要输入一个六位数的数字,并使用atoi将输入的字符串转为数字

在这里插入图片描述

接着调用了一个sub_40100A函数,点进去发现又调用了sub_401230函数,观察其代码,发现是进行了SHA-1 的哈希,并将结果由lpString1返回,即main_0函数中String1的值为SHA-1的结果

在这里插入图片描述

随后将String1与一段字符串进行不区分大小写的比较

在这里插入图片描述

由于知道是六位数的数字,所以可以考虑使用脚本来爆破,成功得到六位数字为123321

在这里插入图片描述

随后又需要输出六个字符,不过这次就没有用atoi函数来进行转换,所以可能不是纯数字的组合

在这里插入图片描述

发现随后执行了sub_401019函数,点进去发现执行了sub_401040函数,再点进去发现其实这个函数和上面的哈希函数类似,不过这里使用的是MD5

在这里插入图片描述

首先像上面一样,看看能不能爆破出纯数字,发现不行,那就只能接着往下看了(爆破字符加数字的组合会比较耗时 ),发现下面还有一个sub_40100F函数,其调用了sub_4014D0函数

在这里插入图片描述

注意到其中还调用了sub_401005函数,其又调用了sub_401420函数,点击查看函数具体代码,可以看出其具体的作用是使用字符串'xxxxxx123321@DBApp'与指定资源的全部字节进行循环亦或

在这里插入图片描述

而异或后的内容将会被写入dbapp.rtf文件中,那么既然是rtf文件,其部分字节数据(如文件头字节数据)应该要符合rtf的文件规范,那么查看下rtf的文件规范,发现了一个特点

在这里插入图片描述

那么就是当指定资源字节数据的前六个字节'xxxxxx123321@DBApp'前六个字节的数据进行异或的结果应该为{\rtf1,这里用Resource Hacker查看对应资源的字节数据,发现前六个字节为05 7D 41 15 26 01

在这里插入图片描述

那么就可以编写脚本来完成异或的逆运算(异或的逆运算为异或 ),得到第二个密码~!3a@0

在这里插入图片描述

那么这时运行程序,输入两个密码后,会生成一个dbapp.rtf,打开即可看到flag
{N0_M0re_Free_Bugs}

在这里插入图片描述

[MRCTF2020]Transform

首先查壳,发现没有壳,且为64位,直接用IDA打开

在这里插入图片描述

打开后找main函数,发现主要是对数据的字符串进行了重新排位和异或操作

在这里插入图片描述

点进dword_40F040byte_40F0E0查看数组元素
注意:这里的8 dup(0)代表8个0,并以逗号隔开,即0,0,0,0,0,0,0,0,加起来正好满40,另外一个3Fh dup(0)也是类似

在这里插入图片描述

那么可以直接写脚本来进行逆运算

dword_40F040 = [0x9, 0x0A, 0x0F, 0x17, 0x7, 0x18, 0x0C, 0x6, 0x1, 0x10, 0x3, 0x11, 0x20, 0x1D, 0x0B, 0x1E, 0x1B, 0x16,
                0x4, 0x0D, 0x13, 0x14, 0x15, 0x2, 0x19, 0x5, 0x1F, 0x8, 0x12, 0x1A, 0x1C, 0x0E, 0x00, 0x00, 0x00, 0x00,
                0x00, 0x00, 0x00, 0x00]

actual_dword_40F040 = [9, 10, 15, 23, 7, 24, 12, 6, 1, 16, 3, 17, 32, 29, 11, 30, 27, 22, 4, 13, 19, 20, 21, 2, 25, 5, 31,
                    8, 18, 26, 28, 14, 0, 0, 0, 0, 0, 0, 0, 0]

byte_40F0E0 = [0x67, 0x79, 0x7B, 0x7F, 0x75, 0x2B, 0x3C, 0x52, 0x53, 0x79, 0x57, 0x5E, 0x5D, 0x42, 0x7B, 0x2D, 0x2A,
               0x66, 0x42, 0x7E, 0x4C, 0x57, 0x79, 0x41, 0x6B, 0x7E, 0x65, 0x3C, 0x5C, 0x45, 0x6F, 0x62, 0x4D, 0x00,
               0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
               0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
               0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
               0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00]

E0_XOR_40 = []

for i in range(33):
    E0_XOR_40.append(hex(dword_40F040[i] ^ byte_40F0E0[i]))

result = []
for i in range(33):
    for j in range(33):
        if new_dword_40F040[j] == i:
            result.append(E0_XOR_40[j])

for c in result:
    print(chr(int(c, 16)), end="") #  MRCTF{Tr4nsp0sltiON_Clph3r_1s_3z}
Ba22ett
关注
buuctf--CrackRTF
Dicked的博客
11-18 764
buuctf–CrackRTF 无壳,32位 IDA F5 分析伪代 进入sub_40100A 搜索发现这是hash算法,即sub_40100A进行了hash加密。 6E32D0943418C2C33385BC35A1470250DD8923A9是加密后的字符串。 0x8004u是标识码,不同的标识码代表不同的加密方式,标识符代表加密方式。 通过查询知道了这是sh1加密,通过python的hashlib包可以进行爆破解密。 import hashlib flag = "@DBApp" fo
c如何通过偏移量取出文件中的字节_ELF文件分析指引2
weixin_27885845的博客
12-28 316
在工程师milter:ELF文件分析指引​zhuanlan.zhihu.com中,我们大概了解了ELF文件的结构,知道了ELF文件由文件头和段组成。今天我们继续学习ELF文件的链接。段的具体结构上篇文章中,我们知道段表中存储着每个段的基本信息,这些基本信息用一个叫段描述符的结构来组织。 想要查看段描述符的结构,可以在 /usr/include/elf.h中搜Elf32_Shdr,如下所示:typ...
[BUUCTF] CrackRTF (哈希SHA1的爆破解密)
rabbit_dance的博客
02-23 2110
里面就是异或,a3 的值是从SizeofResource中获取,大概是从文件AAA中取得0x65这个信息,复制到lpBuffer中,将文件中取得的信息进行异或,生成.RTF文件。第二部分与第一部分相似,输入六位后进行拼接,将长度的值赋给v4,我们进入对数据进行处理的函数进行查看分析,只不过标识码变成了 0x8003u ,查询知是。功能强大,很多的密文可以一把梭,例如此题,可以直接得到passwp1 和 passwp2。,用脚本爆破没出来结果,接着向下看,进入 sub_40100F函数。
CTF学习小记(二) [MRCTF2020]Transform
最新发布
weixin_43158997的博客
07-16 357
在python中,如果想要表示十六进制数,需要以字符串的方式进行存储,并使用int(a,16)的方式进行十进制转换。
BUUCTF Reverse CrackRTF
A_dmin的博客
07-20 3202
BUUCTF Reverse CrackRTF 一天一道CTF题目,能多不能少 题目描述: 下载文件,无壳直接ida打开,查看主函数: 可以看到,需要我们输入两次密码,而且每次输入密码都必须是6位数 否则退出,并且有两次判断~~ 先看第一次,第一次要求我们输入6位数,然后连接上@DBApp, 通过一个sub_40100A函数进行加密,然后与6E32D0943418C2C33385BC35A14...
BUU easyre CrackRTF
Nobug_的博客
09-06 266
[ACTF新生赛2020]easyre 简单的UPX脱壳 获得信息: 32位 upx加密 代码分析 ** int __cdecl main(int argc, const char **argv, const char **envp)** **{** ** char v4; // [esp+12h] [ebp-2Eh]** ** char v5; // [esp+13h] [ebp-2Dh]** ** char v6; // [esp+14h] [ebp-2Ch]** ** char v7; //
CrackRTF
yjh_fnu_ltn的博客
03-13 993
hash算法可根据其编号来选择。.rtf文件的开头必须为{\rtf1。使用工具可以查看文件内容。
buuctf——[MRCTF2020]Transform && buuctf——[GWCTF 2019]xxor &&buuctf—— [V&N2020 公开赛]CSRe
Dicked的博客
12-14 826
[MRCTF2020]Transform main函数 数组 model = [0x9, 0x0A, 0x0F, 0x17, 0x7, 0x18, 0x0C, 0x6, 0x1, 0x10, 0x3, 0x11, 0x20, 0x1D, 0x0B, 0x1E, 0x1B, 0x16, 0x4, 0x0D, 0x13, 0x14, 0x15, 0x2, 0x19, 0x5, 0x1F, 0x8, 0x12, 0x1A, 0x1C, 0x0E, 0] model1 = [0x67, 0x79, 0x7B
buu-[MRCTF2020]Transform
qaq517384的博客
03-01 458
64位 看一眼程序 没用,过了 64位ida打开 // local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rdx __int64 v4; // rdx char v6[104]; // [rsp+20h] [rbp-70h] int j; // [rs
[MRCTF2020]Transform-[WUSTCTF2020]level1-[WUSTCTF2020]level2-[GWCTF 2019]xxor
AlienEowynWan的博客
06-04 527
BUUCTF[MRCTF2020]Transform[WUSTCTF2020]level1[WUSTCTF2020]level2[GWCTF 2019]xxor [MRCTF2020]Transform ida64打开,找到main函数 dword_40F040: 注意: 所以上面dword_40f040最后那个 8 dup(0) 的数据不是8,而是0 byte_40F0E0: 倒回去就行了,写脚本: dword_40F040 = [0x9, 0x0A, 0x0F, 0x17, 0x7, 0x18,
CTF 逆向练习-Transform
06-10
该资源配合博客使用,博客我还没写。 有空我会在哔哩哔哩录制教程。
unity中Transform.Find&Transform.root.Find&GameObject.Find及激活未激活
m0_46737006的博客
06-03 1659
• 分析GameObject.Find列,可以得出结论,GameObject.Find可以找到所有已激活的物体(前提是其父物体也是激活状态),所有未激活的物体(及其子物体,无论子物体自身是否激活)都找不到。与辈分无关(即使挂载脚本的对象是孙子辈的,也可以找到爷爷辈的已激活的物体)。其余物体(即同辈的,父辈的,爷爷辈的,孙子辈的,重孙子辈的)都找不到,无论是否激活。从本人(挂载测试脚本的对象)的爷爷到本人的孙子,共4种情况(其中,本人未激活,本人父辈祖辈未激活,脚本无法运行,所以4种情况)。
BUUCTF - CrackRTF
qq_66455531的博客
06-09 126
这个记住函数的特征吧:有‘+’和‘-’ ,有 v5 = 10 *v5 + C - '0' 这类的出现(目前不确定)操作2的函数跟进。代码已经稍微修改过,不影响步骤差不多就是 密文1+@DBApp 加密后与密文比较,密文2与密文1拼接后加密并与另一段密文比较找出密文1和密文2后输入,然后系统会进行某种操作从开头的atio()函数开始分析。得知是windows的函数,并且第二个参数是选择hash类型,搜了一下第二个参数,发现是sha1加密,结合之前的程序分析,写脚本(别人的)结合之前的分析,得到密文2是~!
buu crackRTF
YenKoc的博客
04-02 505
一.无壳,拖入ida,静态编译一下 整体逻辑还是很清晰,这里我的盲区是那个加密函数,是md5,没看出来,内存地址看错了,之前用黑盒动调一下,发现猜不出来,看某位wp发现有的老哥,直接sha1爆破的,狠人,hash加密,其实容易去想到md5,所以拿字符串去解密一下,发现得到了第一个空的答案, 接下来分析出现了下一个md5爆破不出来,这应该是出题人设置的坑了,这时候继续看下来,有个关键函数,发现只...
CrackRTF WP
辰星的博客
10-06 238
一道有点心思的Re题目,我也被最后一步坑了。 程序总体流程: 获取第一次输入,并且输入只能是6位的数字,并拼接上"@DBApp"调用win32API进行加密,第一次选择的是sha1加密,加密完成后与一个hash值进行比较,注意这给是值比较不是字符串比较,因此写脚本的时候要注意一下大小写。 第二次,故技重施,不同的是这次的输入只是将长度限制位6个字符而不仅限于数字,并且拼接上sha1爆破出来的结果,随后再次调用WIN32 api进行加密,这次是进行md5加密。不过因为,这次由于第二次输入条件的宽松限制,md
buuctf——CrackRTF
yhfgs的博客
09-13 427
1.查壳。 wu'ke
BUUCTF----CrackRtf
qq_64558075的博客
12-05 925
1.拿到题目文件 2.进行查壳 发现基本信息,无壳,并且为32为程序 3.在cmd中对该程序进行运行 运行发现,大概意思是输入,密码,得到flag 4.拖入ida进行分析 发现要输入两次密码 对程序的整个过程进行分析 发现第一次输入的密码进入了sub_40100A函数,跟进函数 通过百度,发现是哈希加密算法,通过查询标识符,发现是sha加密 网上学习,python的hashlib模块的使用,编写脚本,得出前6位密码 ...
有意思的 CrackRTF
m0_62690279的博客
05-17 291
CrackRTF 最近刷题遇到的不会又不错的题,考了几个我没有见过的API,以及一种奇妙的给出flag的方式 题目描述 在互联网时代,兼容就是胜利,兼容就是王道。为了遏制微软一家独大的趋势,小明自诩民族斗士,向微软CEO挑战,CEO给了他一个文件,据说破解后能得到一个微软的多信息文本格式文件。只有得到了才能获得挑战CEO的机会。小明绞尽脑汁,最后不得不求助大家。。。兄弟们该出手时就出手! 注意:得到的 flag 请包上 flag{} 提交 main函数: int __cdecl main_0(int arg
buuctf crackrtf
weixin_45701079的博客
10-10 886
buuctf 逆向 crackrtf 首先查壳,没壳。ida打开,发现主函数 代码如下 int __cdecl main_0() { DWORD v0; // eax DWORD v1; // eax CHAR String; // [esp+4Ch] [ebp-310h] int v4; // [esp+150h] [ebp-20Ch] CHAR String1; // [esp+154h] [ebp-208h] BYTE pbData; // [esp+258h] [ebp-1
深度解析Node.js Transform
"深入探究Node.js中的Transform流技术" 在Node.js的世界里,Transform流是一种特殊类型的Duplex流,它允许开发者在数据从可读流流向可写流的过程中进行处理。Transform流的名字来源于它的核心功能——转换,就像...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值