【逆向 | CTF】BUUCTF SimpleRev

已于 2023-11-21 15:10:05 修改
阅读量647 收藏
点赞数 1
分类专栏: CTF - 逆向 文章标签: 安全
于 2023-10-26 22:58:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46301214/article/details/134065193
版权

完成这题就是一个全新的突破

目录

步骤1:找到flag的位置

步骤2:代码整理

步骤3:优化删减代码

步骤4:爆破解题

避坑指南:反过来翻译ascii码

步骤1:找到flag的位置

网上其他人直接怼函数,说那个函数是关键函数。。

我看的莫名其妙,一脸懵逼

正确的方式先是搜索flag,再进去

ctrl+x寻找出处,然后进去,就到了关键函数里

unsigned __int64 Decry()
{
  char v1; // [rsp+Fh] [rbp-51h]
  int v2; // [rsp+10h] [rbp-50h]
  int v3; // [rsp+14h] [rbp-4Ch]
  int i; // [rsp+18h] [rbp-48h]
  int v5; // [rsp+1Ch] [rbp-44h]
  char src[8]; // [rsp+20h] [rbp-40h] BYREF
  __int64 v7; // [rsp+28h] [rbp-38h]
  int v8; // [rsp+30h] [rbp-30h]
  __int64 v9[2]; // [rsp+40h] [rbp-20h] BYREF
  int v10; // [rsp+50h] [rbp-10h]
  unsigned __int64 v11; // [rsp+58h] [rbp-8h]

  v11 = __readfsqword(0x28u);
  *(_QWORD *)src = 0x534C43444ELL;
  v7 = 0LL;
  v8 = 0;
  v9[0] = 0x776F646168LL;
  v9[1] = 0LL;
  v10 = 0;
  text = (char *)join(key3, v9);
  strcpy(key, key1);
  strcat(key, src);
  v2 = 0;
  v3 = 0;
  getchar();
  v5 = strlen(key);
  for ( i = 0; i < v5; ++i )
  {
    if ( key[v3 % v5] > 64 && key[v3 % v5] <= 90 )
      key[i] = key[v3 % v5] + 32;
    ++v3;
  }
  printf("Please input your flag:");
  while ( 1 )
  {
    v1 = getchar();
    if ( v1 == 10 )
      break;
    if ( v1 == 32 )
    {
      ++v2;
    }
    else
    {
      if ( v1 <= 96 || v1 > 122 )
      {
        if ( v1 > 64 && v1 <= 90 )
        {
          str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;
          ++v3;
        }
      }
      else
      {
        str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;
        ++v3;
      }
      if ( !(v3 % v5) )
        putchar(32);
      ++v2;
    }
  }
  if ( !strcmp(text, str2) )
    puts("Congratulation!\n");
  else
    puts("Try again!\n");
  return __readfsqword(0x28u) ^ v11;
}

步骤2:代码整理

代码整理需要经验,我整理了一个下午,做得少,不熟悉,没办法

其实倒也不难

#include<stdio.h>

char * join(const char * key3,const char * v9){
   
   // 定义两个变量用来接收字符串长度
   size_t v2;  
   size_t v3;
   char * dest;  // 字符串指针,等一下用来拼接字符串

   v2 = strlen(key3);
   v3 = strlen(v9);
   dest = (char *)malloc(v2+v3+1);  // 动态分配内存,记得+1,给\0位置,不然就有可能出错
   strcpy(dest,key3); // 复制进去
   strcat(dest,v9);   // 拼接一下

   return dest;
}


int main(){
    
    char v9[] = "hadow";  // 16进制翻译成ascii码,踩坑1
    char key3[] = "kills";  // 双击进去就能看到
    char key1[] = "ADSFK";  // 双击进去就能看到
    char key[100];  // 等下用来放东西,先随便给一个容量
    char src[] = "NDCLS"; // 16进制翻译成ascii码,踩坑2
    int v2 = 0; 
    int v3 = 0;
    char str2[100]; // 等下用来放东西,先随便给一个容量

    // 拼接key3和v9,得到:killshadow
    char * text = (char *)join(key3,v9); 
    strcpy(key,key1); // 复制给key
    strcat(key,src);  // 拼接给key
    // 此时key的值:ADSFKNDCLS

    int v5 = strlen(key); // 10

    // 循环0-9,10次,因为是常量10,所以是固定的
    for(int i = 0;i < v5; ++i){

        // 0%10=0,1%10=1…… 所以就是key[0] - key[9]
        // 就是key里面每一个字符必定符合条件,必定转成小写
        if(key[v3%v5] > 64 && key[v3 % v5] <= 90){
        key[i] = key[v3 % v5] + 32;  // 转成小写
        }
        ++v3;
    }

    // 此时v3是10,key:adsfkndcls

    // 开启无限循环
    while(1){


        // 输入东西,都不是exe,跑不了,废的
        int v1 = getchar();

        // 好像是废话可以省略,进不到这个条件判断里面
        if (v1 == 10){
            break;
        }

        // 好像是废话可以省略,进不到这个条件判断里面
        if(v1 == 32 ){  // 对应是空格
            ++v2;
        }
        else{
            // 大写的情况下进入
            if( v1 <= 96 || v1 > 122){
                // 废话:确保是A-Z
                if( v1 > 64 || v1 <= 90){
                    // 关键算法 ,此时v3是10,所以 10 % 10=0,11 % 10=1
                    // 也就是key[0]-key[9]遍历
                    str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;
                    ++v3; 
                }
                else{
                    // 关键算法
                    str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;
                    ++v3;
                }

                // 没有意义
                if( !(v3 % v5)){
                    putchar(32);// 没有意义
                }
                ++v2;
            }
        }
    }

    // 此时,text:killshadow
    if (!strcmp(text,str2)){
        puts("成功啦");
    }
    else{
        puts("失败啦");
    }

    return 0;
}

步骤3:优化删减代码

还原了算法,之后

就整理一下代码,把废话代码删掉,自行优化一下

#include<stdio.h>

char * join(const char * key3,const char * v9){
   
   // 定义两个变量用来接收字符串长度
   size_t v2;  
   size_t v3;
   char * dest;  // 字符串指针,等一下用来拼接字符串

   v2 = strlen(key3);
   v3 = strlen(v9);
   dest = (char *)malloc(v2+v3+1);  // 动态分配内存,记得+1,给\0位置,不然就有可能出错
   strcpy(dest,key3); // 复制进去
   strcat(dest,v9);   // 拼接一下

   return dest;
}


int main(){
    
    char v9[] = "hadow";  // 16进制翻译成ascii码,踩坑1
    char key3[] = "kills";  // 双击进去就能看到
    char key1[] = "ADSFK";  // 双击进去就能看到
    char key[100];  // 等下用来放东西,先随便给一个容量
    char src[] = "NDCLS"; // 16进制翻译成ascii码,踩坑2
    int v2 = 0; 
    int v3 = 0;
    char str2[100]; // 等下用来放东西,先随便给一个容量

    // 拼接key3和v9,得到:killshadow
    char * text = (char *)join(key3,v9); 
    strcpy(key,key1); // 复制给key
    strcat(key,src);  // 拼接给key
    // 此时key的值:ADSFKNDCLS

    int v5 = strlen(key); // 10

    // 循环0-9,10次,因为是常量10,所以是固定的
    for(int i = 0;i < v5; ++i){
        // 0%10=0,1%10=1…… 所以就是key[0] - key[9]
        // 就是key里面每一个字符必定符合条件,必定转成小写
        key[i] = key[i] + 32;  // 转成小写
    }

    // 此时v3是10,key:adsfkndcls

    // 开启无限循环
    while(1){

        // 先随便给一个数值吧
        int v1 = 67;

        // 大写的情况下进入
        if( v1 <= 96 || v1 > 122){
            
            // 关键算法 ,此时v3是10,所以 10 % 10=0,11 % 10=1
            // 也就是key[0]-key[9]遍历
            // 字符数组str2也是遍历存进去
            str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;

            ++v3; 
            ++v2;
        }
        
    }

    // 此时,text:killshadow
    if (!strcmp(text,str2)){
        puts("成功啦");
    }
    else{
        puts("失败啦");
    }

    return 0;
}

需要str2等于text,那么就需要v1的配合,因为key的内容是固定的

只有v1是变量,就是我们输入的东西,就是flag

步骤4:爆破解题

那解题其实也很好解,范围都固定了是大写字母,就是65-90整数

那就固定公式,暴力破解,针对text的单个字符进行判断是否相等就可以了

#include <stdio.h>

int main(){
    // char key[] = "ADSFKSLCDN";  // 原始状态

    int flag ;
    char key[] = "adsfkndcls";  // 这里转成小写是因为源代码先有循环把大写转成小写了
    char text[] = "killshadow";  // text:killshadow
    

    int res = 0;
    // 循环常量key数组
    for(int i = 0; i<strlen(key); i++){
        // 循环变量
        for(flag=65; flag<=90; flag++){
            res = (flag - 39 - key[i] + 97) %26 +97;
            if(res==text[i]){
                printf("%c",flag);
            }
        }
    }
    return 0;
}

这里写法就是固定循环key,flag遍历 65 - 90,就是A-Z

避坑指南:反过来翻译ascii码

上面注释的踩坑点1和2都是同一个问题

这种东西一开始以为是存int进去,还以为弄这么大干嘛,后来才知道是字符串

那需要怎么翻译呢?

拉去AI翻译一下就可以了

好了,坑来了,目前不知道具体什么原因,需要反过来翻译才可以

就是:68 61 64 6F 77

就是hadow才是正确的,所以啊这个坑有点神奇,

根据我的知识了解,可能是跟CPU生产厂家有关

他们是规定要反着来的,但那是在OD在内存是要反过来

没想到这里也要反过来

觉得我写得好,记得点赞+评论一下噢

星盾网安
关注
专栏目录
【网络安全 | CTFBUUCTF Brute 1解题详析(BurpSuite爆破实战)
等风来
04-28 5997
4、Cluster bomb:每个变量对应一个字典,并且交集破解尝试每一个组合,每个用户和每个密码进行匹配,两个字典。找到返回长度异于其它payload的请求(在此实例中即为admin),响应页面回显。2、Battering ran:对变量进行同时破解,用户名和密码相同,仅一个字典。由上可知,发送到第6491个请求时才爆破出密码为6491,而这个过程是十分慢的。3、pitch fork:每个变量对应一个字典,用户名和密码一一对应,两个字典。单独抓包时回显仅用户名错误,考虑先爆破用户名。
buuctf simplerev 中的小头位序
weixin_51660080的博客
12-05 706
逆向buuctf;simple rev
Buuctf-Reverse(逆向) 网鼎杯 2020 青龙组-singal Write up
weixin_50166464的博客
10-14 447
逆向题太快乐了。--10.14 0x00 日常查壳 无壳64位 0x01 分析主函数 0x02 vm_operad 于是现在可以手解第一位flag 是可以发现如果只是改变加变减 乘变除是不能逆向回去 只是现在思路就是爆破出来 1. 我们现在拥有加密后的数据 2. 加密的算法 3. 就可以进行遍历每一个数和加密后的数据比对 0x03 GetFlag! #include <stdio.h> #include <string.h> i
BUUCTF--SimpleRev
weixin_30876945的博客
09-12 589
测试文件:https://buuoj.cn/files/7458c5c0ce999ac491df13cf7a7ed9f1/SimpleRev?token=eyJ0ZWFtX2lkIjpudWxsLCJ1c2VyX2lkIjoxOTAzLCJmaWxlX2lkIjoyNDN9.XXnIgg.L-8ifBkOTka-7o-QXZDkKNm77x4 1.准备 获取信息 64...
buuctfsimplerev
weixin_47158947的博客
07-20 3690
这个为64位文件 需要学到的知识:小端序存储 拖入ida打开 通过分析可知,最重要的部分是在Decry()函数 打开dercy函数 unsigned __int64 Decry() { char v1; // [rsp+Fh] [rbp-51h] int v2; // [rsp+10h] [rbp-50h] int v3; // [rsp+14h] [rbp-4Ch] int i; // [rsp+18h] [rbp-48h] int v5; // [rsp+1Ch] [rbp-44h
buuctf SimpleRev
qq_51271165的博客
07-23 429
1.用ida64位打开,发现一个input 2.F5反编译,输入d或D开始,否则结束,输出"Input fault format!",输入d或D时会进入Decry函数,所以解题关键应该在这个函数里 3.双击进入Decry函数,找到"Congratulation!\n",条件是text与str2相同,text是key3和v9通过一个join函数的返回值,双击join跟进 4.join函数是将两个字符串拼接并返回,所以text=key3+v9,X查看key3和key的交叉引用列表,发...
buuctf-SimpleRev
bygwys的博客
01-18 297
主要函数如下 unsigned __int64 Decry() { char v1; // [rsp+Fh] [rbp-51h] int v2; // [rsp+10h] [rbp-50h] int v3; // [rsp+14h] [rbp-4Ch] int i; // [rsp+18h] [rbp-48h] int v5; // [rsp+1Ch] [rbp-44h] char src[8]; // [rsp+20h] [rbp-40h] BYREF __int64 v7...
BUUCTF 逆向工程(reverse)之SimpleRev
weixin_44632787的博客
08-23 3220
用IDA打开,进入到Decry函数 unsigned __int64 Decry() { char v1; // [rsp+Fh] [rbp-51h] int v2; // [rsp+10h] [rbp-50h] int v3; // [rsp+14h] [rbp-4Ch] int i; // [rsp+18h] [rbp-48h] int v5; // [rsp+1Ch] [rbp-44h] char src[8]; // [rsp+20h] [rbp-40h] __int64
Android逆向CTF基础题汇总
06-11
附件是八道Android基础逆向题,基本都是CTF题。平时网上基础的CTF题目比较难找,全靠平时慢慢积累起来的,后面有其他做过的CTF题再贴出来分享给大家练手。
[BUUCTF]REVERSE解题记录 SimpleRev
weixin_44192213的博客
02-26 435
1.ida打开找到main函数 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax@7 char v4; // [sp+Fh] [bp-1h]@1 while ( 1 ) { while ( 1 ) { printf("Welcome to CTF game!\nPlease input d/D to start or inp
# buuctf--SimpleRev
weixin_52230368的博客
08-15 991
buuctfSimpleRev 做玩这道题感觉对与初学者还是有点小吃力的。所以今天写一篇题解帮助一些同学入门,做题时看不懂其他人的题解,这时我的题解尽可能详细一点。开始分析题目 拿到题目文件,Ubuntu终端file +文件名 这命令查看一下文件是什么类型的 发现时 ELF 64位文件放进IDA中进行静态分析。这要求要有代码分析的能力,刚开始学习肯定会有些吃力,但是还是要认真的读代码。 int __cdecl __noreturn main(int argc, const char **argv, c
[BUUCTF] simpleRev (涉及大小端序存储)
rabbit_dance的博客
01-05 1500
小端模式:低位字节排放在内存的低地址端,高位字节排放在内存的高地址端(即与大端模式相反(给计算机读的))。大端模式:高位字节排放在内存的低地址端,低位字节排放在内存的高地址端。其中 v1 是我们要求的 flag,经过中间处理后与 text 相等,所以我们可以爆破,让 j 在大小写字母里面遍历,如果处理后的字符与text[i]相等,则输出。malloc():C 库函数 void *malloc(size_t size) 分配所需的内存空间,并返回一个指向它的指针。
BUUCTFsimpleRev WP
designer545的博客
10-26 942
[BUUCTF] simpleRev WP
BUUCTF SimpleRev(涉及大小端序存储的问题)
太阳照耀我走四方
07-16 4298
** buuctf-SimpleRev ** 考点: 做这道题的时候遇到了一个新的知识点,大端序和小端序。 用Exeinfo PE打开 发现是64位的,无壳。然后用IDA pro64位打开 shift + F12 查看字符串窗口 ctrl + X 交叉引用 F5反汇编。 将100、68、113、83,R字符转换为ASCLL码。 看到有一个Decry()函数。 打开之后,代码如下: unsigned __int64 Decry() { char v1; // [rsp+Fh] [rbp-51
BUUCTF逆向第10题simpleRev1(小端序存储)
Knozya的博客
01-27 1009
首先说明一下,ELF文件是小端序存储,IDA会把内存中的数据转化为大端序存储,所以有的字符串需要倒序输出,那该如何判断哪些需要倒序输出呢?本小白发现一个规律,大端序(不需要做倒序处理的)存储地址在变量中或代码中(就是点两下会跳回到原文中的),而小端序则相反,点两下会单独出现一个窗口。看起来复杂其实伪代码后面v1的范围就是所有的大小写字母,因为它虽然有if,else来限制v1,但是if,else后面的输出结果是一样的,最后输出的值即为flag。首先用exeinfope查壳,发现为64位无壳。
BuuctfSimpleRev做法
最新发布
2303_80796023的博客
07-06 789
此处的str2为下方的text(已知),key也为已知,采取爆破遍历算法,得到v1,即为flag,上代码。进来之后,我们进入main函数,发现里面没什么东西,那就shift+f12搜索字符串,找到关键字符串,双击进入。然后再选中该字符串,ctrl+x进入应用该字符串的函数,如下图。首先,查个壳,64bit,那就丢进ida64中进行反编译。得到结果flag{KLDQCUDFZO},提交即可。
BUUCTF-逆向
weixin_52125240的博客
04-11 6005
BUUCTF-ReBUUCTF-逆向1.easyre2.reverse13.reverse2 BUUCTF-逆向 1.easyre 先用虚拟机看看是多少位的文件; 拖进IDA看看,一下子就出来了; 2.reverse1 先用虚拟机看看是多少位的文件; 打开IDA,查找字符串; 点击View->Open subviews->Strings 然后观察伪代码 所有的 ’ o ’全都变成 ’ 0 ‘ ; flag{hell0_w0rld} 3.reverse2 一样的看看文件是多少位的;
BUUCTF-SimpleRev
m0_64180167的博客
04-10 626
下载文件 查壳 没有加壳 并且是64放入ida64SHIFT+F12访问字符串得到关键字符串双击 然后CRTL+X查找交互F5反编译得到了代码 开始代码审计我们可以发现有两个十六进制的东西r对其转换为字符串然后继续往下看发现text=join函数 我们进入看看函数做什么双击进入我们发现join函数是对key3 和v9双击key3双击进入key1所以。
buuctf wireshark
09-12
根据您提供的引用内容,buuctf wireshark 是一个与buuctf比赛相关的题目。其中,Wireshark 是一个网络封包分析软件,可以用来捕获和分析网络数据包。根据[1]中提供的下载地址,可以下载 Wireshark 软件进行使用。 在buuctf wireshark题目中,黑客通过使用Wireshark抓到了管理员登陆网站时的一段流量包,并将其中的密码作为flag。解题思路是使用Wireshark打开下载的文件,然后根据题目提示,在流量包中找到管理员登陆网站时的请求,该请求方式为POST类型,可以通过过滤条件 `http.request.method==POST` 来筛选出该请求。在该请求中,可以找到管理员的密码,作为flag提交。 不过,需要注意的是,获取到的flag需要加上 `flag{}` 并进行提交。 此外,根据中的提到的方法,您也可以直接将下载的图片文件扔到WinHex中进行查看,以便寻找是否存在flag。但是,请注意在buuctf wireshark题目中的具体解题思路仍然是通过Wireshark分析流量包。 总结起来,对于buuctf wireshark题目,您需要下载Wireshark软件,打开下载的文件,并根据题目提示找到管理员登陆网站时的流量包,从中获取管理员的密码作为flag,最后在提交flag时记得加上 `flag{}`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星盾网安

能花钱买到的知识,都不贵

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值