巅峰极客2020 RE virus

最新推荐文章于 2024-08-17 20:04:41 发布
最新推荐文章于 2024-08-17 20:04:41 发布
阅读量312 收藏
点赞数 1
分类专栏: ctf 逆向 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46148324/article/details/108879993
版权
二进制 同时被 3 个专栏收录
10 篇文章 2 订阅
订阅专栏
逆向
9 篇文章 1 订阅
订阅专栏
ctf
6 篇文章 0 订阅
订阅专栏

附件是一个无壳的32位exe程序
在这里插入图片描述
先用ida静态分析,伪代码如下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  int v5; // [esp+14h] [ebp-4Ch]
  int v6; // [esp+3Ch] [ebp-24h]
  int v7; // [esp+40h] [ebp-20h]
  int v8; // [esp+44h] [ebp-1Ch]
  int v9; // [esp+48h] [ebp-18h]
  int v10; // [esp+4Ch] [ebp-14h]
  size_t v11; // [esp+50h] [ebp-10h]
  int v12; // [esp+54h] [ebp-Ch]
  int i; // [esp+58h] [ebp-8h]
  int v14; // [esp+5Ch] [ebp-4h]

  __main();
  puts("There is a long way to defeat it.");
  scanf("%s", flag);
  v12 = strlen(flag);
  v6 = 0;
  v7 = 0;
  v8 = 0;
  v9 = 0;
  v10 = 0;
  v14 = 0;
  v11 = 0;
  for ( i = 0; i < v12; ++i )                   // 循环flag的位数次
  {
    if ( flag[i] == 45 )
    {
      v3 = v14++;
      *(&v6 + v3) = i;                          // v6 为一个字符串 flag有四位为- 记录哪四位为-
    }
    if ( !v14 )                                 // 如果v14==0
    {
      *(&v5 + i) = flag[i] - 48;                // v5也是一个字符串 flag中不为_的字符(前四个)-48(0x30) v5记录变换之后的flag进行对比 不能大于9(0x39)和小于0(0x30)
                                                // 根据cheekflag的参数以及所做运算来看,这个字符串所要求的四个字符应该是控制哪个地图先做检验
      if ( *(&v5 + i) > 9 || *(&v5 + i) < 0 )
        return 0;
    }
  }
  if ( v14 != 4 )
    return 0;
  v10 = v12;
  for ( i = 1; i <= v14; ++i )                  // v14=4 按照-分割输入的flag
  {
    v11 = *(&v6 + i) - *(&v6 + i - 1) - 1;      // v11为v6字符串的前一位减去后一位减1 需要计算出flag中哪四位为-以求达到程序要求
    if ( step[i] != v11 )
      return 0;
    strncpy(&road[200 * i], &flag[*(&v6 + i - 1) + 1], v11);// 根据-把flag裁剪成几段之后再拼接
  }
  for ( i = 0; i <= 3; ++i )                    //4段cheekflag 先从最长的分割位开始
  {
    if ( check_flag(&global_map + 200 * *(&v5 + i), *(&v5 + i), &road[200 * (i + 1)]) )// cheekFLAG需要返回0
    {
      puts("How about try again?");
      return 0;
    }
    if ( i == 3 )
      printf("Great! We will defeat it!!! your flag is flag{%s}", flag);
  }
  return 0;
}

旁边的注释是学长写的,我比较菜,刚开始都没分析出程序,看着学长注释最后等得出flag的框架
一步一步开始分析:
得到v12等于字符串的长度
在这里插入图片描述
v6为一个数组,记录flag中 - 的位置
在这里插入图片描述
如果v14等于0,执行如下代码,v5为一个数组,和上面一段联系起来意思是第一个-之前执行有几位就执行几次下面代码几次,并且大于0次小于9次,48为ASCII码值,值为 0,所以v5[i]=flag[i]
在这里插入图片描述
再将前面代码和下面代码串起来,v14的只能等于4,也就是说-有4个
在这里插入图片描述
但是我们依旧不知道v5的值,也就是说不知道flag中第一个-前面的值有几位,是干什么用的,甚至都不知道还有用处,所以需要继续分析
v10等于flag的长度,v14=4,循环3次,v11等于flag中后一个-的位置减去前一个-的位置再减一,意思为后一个-与前一个-之间的距离,step[]记录v11的值也就是第一个-与第二个-之间的距离为step[0],将-之间的值分成4份储存到road数组中
在这里插入图片描述
循环4次下面的check_flag函数里面用到了v5数组和road数组,还有一个global_map函数,map函数里面有4份迷宫地图,经过一顿脑洞分析v5应该代表的是进入那个地图的顺序,最后需要check_flag函数返回0
在这里插入图片描述
迷宫(从s到d)按从上到下(1234)顺序为:
在这里插入图片描述
我只能在赛后的角度加上学长的注解进行静态分析,还是对动态分析有很大的困难,需要积累,最后知道flag大致格式为:前面四位为代表先进行哪个迷宫的顺序,后面加-将路径分开,正确做法应该进行动态分析了,我由于知道答案了就写个python3脚本试试碰撞flag玩玩,当然没有答案之前不知道具体格式肯定是不能这么玩的,脚本如下:

# 知道格式简单的碰撞flag
array=[1,2,3,4]
str1=''
def str01():
    str1=''
    for i in range(4):
        str1+=str(list1[i])
    return str1
def str02(w):
    s1=''
    if w==1:
        s1='d'*9+'s'*5+'a'*9+'w'*3
    elif w==2:
        s1='sd'*6+'sdd'+'wd'*6+'w'
    elif w==3:
        s1='a'*9+'s'*7+'d'*9
    elif w==4:
        s1='w'*5+'d'*9+'s'*5
    return s1
list1=[0,0,0,0]
for i in array:
    for j in array:
        for x in array:
            for d in array:
                if i!=j and j!=x and i!=x and i!=d and j!=d and x!=d:
                    list1[0]=i
                    list1[1]=j
                    list1[2]=x
                    list1[3]=d
                    str2=str01()
                    print(str2)
                    flag='flag{'+str2+'-'+str02(int(str2[0]))+'-'+str02(int(str2[1]))+'-'+str02(int(str2[2]))+'-'+str02(int(str2[3]))+'}'
                    print(flag)
                    if flag=='flag{4312-wwwwwdddddddddsssss-aaaaaaaaasssssssddddddddd-dddddddddsssssaaaaaaaaawww-sdsdsdsdsdsdsddwdwdwdwdwdwdw}':
                        print('\n真正的flag:'+flag+'\n')

run:

C:\Users\Dell\AppData\Local\Programs\Python\Python37\python.exe C:/Users/Dell/Desktop/Python脚本/text.py
1234
flag{1234-dddddddddsssssaaaaaaaaawww-sdsdsdsdsdsdsddwdwdwdwdwdwdw-aaaaaaaaasssssssddddddddd-wwwwwdddddddddsssss}
1243
flag{1243-dddddddddsssssaaaaaaaaawww-sdsdsdsdsdsdsddwdwdwdwdwdwdw-wwwwwdddddddddsssss-aaaaaaaaasssssssddddddddd}
1324
flag{1324-dddddddddsssssaaaaaaaaawww-aaaaaaaaasssssssddddddddd-sdsdsdsdsdsdsddwdwdwdwdwdwdw-wwwwwdddddddddsssss}
1342
flag{1342-dddddddddsssssaaaaaaaaawww-aaaaaaaaasssssssddddddddd-wwwwwdddddddddsssss-sdsdsdsdsdsdsddwdwdwdwdwdwdw}
1423
flag{1423-dddddddddsssssaaaaaaaaawww-wwwwwdddddddddsssss-sdsdsdsdsdsdsddwdwdwdwdwdwdw-aaaaaaaaasssssssddddddddd}
1432
flag{1432-dddddddddsssssaaaaaaaaawww-wwwwwdddddddddsssss-aaaaaaaaasssssssddddddddd-sdsdsdsdsdsdsddwdwdwdwdwdwdw}
2134
flag{2134-sdsdsdsdsdsdsddwdwdwdwdwdwdw-dddddddddsssssaaaaaaaaawww-aaaaaaaaasssssssddddddddd-wwwwwdddddddddsssss}
2143
flag{2143-sdsdsdsdsdsdsddwdwdwdwdwdwdw-dddddddddsssssaaaaaaaaawww-wwwwwdddddddddsssss-aaaaaaaaasssssssddddddddd}
2314
flag{2314-sdsdsdsdsdsdsddwdwdwdwdwdwdw-aaaaaaaaasssssssddddddddd-dddddddddsssssaaaaaaaaawww-wwwwwdddddddddsssss}
2341
flag{2341-sdsdsdsdsdsdsddwdwdwdwdwdwdw-aaaaaaaaasssssssddddddddd-wwwwwdddddddddsssss-dddddddddsssssaaaaaaaaawww}
2413
flag{2413-sdsdsdsdsdsdsddwdwdwdwdwdwdw-wwwwwdddddddddsssss-dddddddddsssssaaaaaaaaawww-aaaaaaaaasssssssddddddddd}
2431
flag{2431-sdsdsdsdsdsdsddwdwdwdwdwdwdw-wwwwwdddddddddsssss-aaaaaaaaasssssssddddddddd-dddddddddsssssaaaaaaaaawww}
3124
flag{3124-aaaaaaaaasssssssddddddddd-dddddddddsssssaaaaaaaaawww-sdsdsdsdsdsdsddwdwdwdwdwdwdw-wwwwwdddddddddsssss}
3142
flag{3142-aaaaaaaaasssssssddddddddd-dddddddddsssssaaaaaaaaawww-wwwwwdddddddddsssss-sdsdsdsdsdsdsddwdwdwdwdwdwdw}
3214
flag{3214-aaaaaaaaasssssssddddddddd-sdsdsdsdsdsdsddwdwdwdwdwdwdw-dddddddddsssssaaaaaaaaawww-wwwwwdddddddddsssss}
3241
flag{3241-aaaaaaaaasssssssddddddddd-sdsdsdsdsdsdsddwdwdwdwdwdwdw-wwwwwdddddddddsssss-dddddddddsssssaaaaaaaaawww}
3412
flag{3412-aaaaaaaaasssssssddddddddd-wwwwwdddddddddsssss-dddddddddsssssaaaaaaaaawww-sdsdsdsdsdsdsddwdwdwdwdwdwdw}
3421
flag{3421-aaaaaaaaasssssssddddddddd-wwwwwdddddddddsssss-sdsdsdsdsdsdsddwdwdwdwdwdwdw-dddddddddsssssaaaaaaaaawww}
4123
flag{4123-wwwwwdddddddddsssss-dddddddddsssssaaaaaaaaawww-sdsdsdsdsdsdsddwdwdwdwdwdwdw-aaaaaaaaasssssssddddddddd}
4132
flag{4132-wwwwwdddddddddsssss-dddddddddsssssaaaaaaaaawww-aaaaaaaaasssssssddddddddd-sdsdsdsdsdsdsddwdwdwdwdwdwdw}
4213
flag{4213-wwwwwdddddddddsssss-sdsdsdsdsdsdsddwdwdwdwdwdwdw-dddddddddsssssaaaaaaaaawww-aaaaaaaaasssssssddddddddd}
4231
flag{4231-wwwwwdddddddddsssss-sdsdsdsdsdsdsddwdwdwdwdwdwdw-aaaaaaaaasssssssddddddddd-dddddddddsssssaaaaaaaaawww}
4312
flag{4312-wwwwwdddddddddsssss-aaaaaaaaasssssssddddddddd-dddddddddsssssaaaaaaaaawww-sdsdsdsdsdsdsddwdwdwdwdwdwdw}

真正的flag:flag{4312-wwwwwdddddddddsssss-aaaaaaaaasssssssddddddddd-dddddddddsssssaaaaaaaaawww-sdsdsdsdsdsdsddwdwdwdwdwdwdw}

4321
flag{4321-wwwwwdddddddddsssss-aaaaaaaaasssssssddddddddd-sdsdsdsdsdsdsddwdwdwdwdwdwdw-dddddddddsssssaaaaaaaaawww}

Process finished with exit code 0
沉迷二进制
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020巅峰极客wp
BIAUTUMN的博客
10-16 875
2020巅峰极客 巅峰极客是给开封市信网办做护网的时候打的比赛,所以比赛体验感并不好,简单写一下wp virus-re 代码分为三部分 以’-‘为间隔,将flag的第一部分转换为整型数字,并且满足后项-前项分别为[0x13,0x19,0x1a,0x1c]。最后一项为len(flag)-lastpos(’-’) 以’-'为间隔,将中间的字符串分别存储到road中 checkflag,即走四个20x…的迷宫,从s->d。以第1点存储的顺序,决定迷宫的顺序。通过确定后面的字符串顺序,前面的数字也会被确定。
巅峰极客2020-tryrsa
luoluopeach
09-30 714
tryrsa 感谢CN! 题目: from secret import e1,e2,flag from Crypto.Util.number import * msg = bytes_to_long("=========Hint:e1="+str(e1)+"=============") p = getPrime(512) q = getPrime(512) N = p*q print N #92492770373119584460081987762423642921257844727187836762
极客巅峰2020 virus
lhk124的博客
01-16 264
迷宫题 题目逻辑: 1.以4个 - 分割了5段内容。xxx-xxx-xxx-xxx-xxx 第一段为进入迷宫的顺序,之后的段为迷宫的行走路线 2.根据题目的内容,可以判断出进入迷宫的顺序。直接确定顺序和flag 题目详情如下 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax _DWORD v5[10]; // [esp+14h] [ebp-4Ch] _DWORD v.
2020 巅峰极客 Re部分WriteUp
Hk_Mayfly的博客
09-29 933
virus 附件下载:https://wwa.lanzous.com/iZh5tgy9gbg 代码分为三部分 以'-'为间隔,将flag的第一部分转换为整型数字,并且满足后项-前项分别为[0x13,0x19,0x1a,0x1c]。最后一项为len(flag)-lastpos('-') 以'-'为间隔,将中间的字符串分别存储到road中 checkflag,即走四个20x...的迷宫,从...
2020巅峰极客Crypto:tryrsa
weixin_44795952的博客
10-03 1145
写在前面 化简c1、c2的想法以及最后一步求q感谢:来梦桃子 原博客 题目 from secret import e1,e2,flag from Crypto.Util.number import * msg = bytes_to_long("=========Hint:e1="+str(3)+"=============") p = getPrime(512) q = getPrime(512) N = p*q print (N) print (pow(msg,3,N)) msg = bytes_t
【Web】巅峰极客2024 部分题解
最新发布
uuzeray的博客
08-17 1295
运行sh脚本后再进入aaaaaaa2环境,随便传一个是为了避免rm *将/sandbox/aaaaaaa3/phpcode给瞬删,从而给定时任务运行充足的时间。再在aaaaaaa1环境里运行sh脚本条件竞争让init.py里import的恶意logging.py存在。init.py 中的logging会优先应用同目录下的logging.py,而非logging三方库。再起一个id为aaaaaaa2的沙箱,使得/sandbox/aaaaaaa2存在。最后在aaaaaaa3的沙箱传入phpcode。
巅峰极客2022wp
Pysnow's Blog
08-27 841
巅峰极客2022wp
2022巅峰极客WriteUp By EDISEC
qq_45603443的博客
08-29 2104
2022巅峰极客WriteUp By EDISEC
巅峰极客2022初赛 部分题解
weixin_51122085的博客
08-18 2505
巅峰极客2022初赛 部分题解
中国电信2023巅峰极客网络安全技能挑战赛的一道Misc题目
07-22
中国电信2023巅峰极客网络安全技能挑战赛的一道Misc题目
极客web前端
07-22
教程名称:极客web前端教程目录:【】1、走进前端工程师的世界【】2、HTML5【】3、CSS3【】4、Javascript【】5、常?的库之 jQuery【】6、常?的库之 jQuery UI【】7、常?的库之 jQuery Mobile【】8、常用的库之...
python极客项目编程pdf
03-31
python极客项目编程书籍,很好的一本深入学习python的书籍
Web3极客日报 #12
01-08
如何构建一个Dapp – 教程实例@Riverhttps://www.dappuniversity.com/articles/how-to-build-a-blockchain-app 基于Web3,Solidity,Truffle的一个完整的售卖和购买的简单Dapp demo。 ...基于Web3,Solidity,Truffle等...
Python极客项目编程
06-08
在本书中,你会看到14个令人兴奋的项目,旨在鼓励你探索Python编程的世界。这些项目涉及广泛的主题,如绘制类似万花尺的花纹、生成ASCII码艺术图、3D渲染,以及根据音乐同步投射激光图像。除了本身很有趣之外,这些...
b站滴水逆向课后练习(入伍停更中)
热门推荐
weixin_46148324的博客
04-13 1万+
B站滴水逆向,想学习逆向知识的一起学习吧! 第一集 列出0~100二进制值 0 1 10 11 100 101 110 111 1000 1001 1010 1011 1100 1101 1110 1111 10000 10001 10010 10011 10100 10101 10110 10111 11000 11001 11010 11011 11100 11101 11110 11111...
[GXYCTF2019]luck_guy
weixin_46148324的博客
09-22 2457
[GXYCTF2019]luck_guy 这道题是一个64位elf文件,分析起来不是很难,只是我没学switch函数,导致磨蹭了些时间 放入64位ida分析伪代码简单明了,输入幸运数字储存进v4执行patch_me函数 如果输入的幸运数字为偶数,则进入get_flag函数 伪代码如下: unsigned __int64 get_flag() { unsigned int v0; // eax char v1; // al signed int i; // [rsp+4h] [rbp-3Ch
2020unctf逆向做题总结
weixin_46148324的博客
11-16 637
re_checkin 这道题单纯考察是否能利用动态调试 直接快进到分析ida伪代码,通过搜索字符串确定主要代码位置 需要将输入的字符串Str1与Str2一样才算成功,但是Str2需要运行才能生成 这时候需要x64调试器打开程序,搜索字符串并下断点 运行后随意输入停到断点处发现flag 经过多次运行调试,发现在调用输入函数时,有时候会在函数内部跳过一部分指令导致程序无法运行,经过我打过补丁后完美运行,如图 unctf{WelcomeToUNCTF} ...
暑假记录写题篇
weixin_46148324的博客
07-07 600
攻防世界基础题(12道) 题目: 附件下载给出源码: #include <stdio.h> #include <string.h> int main(int argc, char *argv[]) { if (argc != 4) { printf("what?\n"); exit(1); } unsigned int first = atoi(argv[1]); if (first != 0xcafe) { pri
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值