[XCTF-Reverse] 7-12

最新推荐文章于 2023-03-18 10:59:16 发布
最新推荐文章于 2023-03-18 10:59:16 发布
阅读量1.2k 收藏
点赞数
分类专栏: CTF reverse 文章标签: reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123511010
版权

7,easyRE1

ida打开,看到flag

mov     edi, offset aFlagDb2f62a36a ; "FLAG:db2f62a36a018bce28e46d976e3f9864"

换壳

flag{db2f62a36a018bce28e46d976e3f9864}

8,Reversing-x64Elf-100

主逻辑

signed __int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  signed __int64 result; // rax
  char s; // [rsp+0h] [rbp-110h]
  unsigned __int64 v5; // [rsp+108h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  printf("Enter the password: ", a2, a3);
  if ( !fgets(&s, 255, stdin) )
    return 0LL;
  if ( (unsigned int)sub_4006FD((__int64)&s) )
  {
    puts("Incorrect password!");
    result = 1LL;
  }
  else
  {
    puts("Nice!");
    result = 0LL;
  }
  return result;
}
signed __int64 __fastcall sub_4006FD(__int64 a1)
{
  signed int i; // [rsp+14h] [rbp-24h]
  const char *v3; // [rsp+18h] [rbp-20h]
  const char *v4; // [rsp+20h] [rbp-18h]
  const char *v5; // [rsp+28h] [rbp-10h]

  v3 = "Dufhbmf";
  v4 = "pG`imos";
  v5 = "ewUglpt";
  for ( i = 0; i <= 11; ++i )
  {
    if ( (&v3)[i % 3][2 * (i / 3)] - *(char *)(i + a1) != 1 )
      return 1LL;
  }
  return 0LL;
}

竖着看,奇数列再减1

a=b'Dpef`Ubmlfst'
for i in a:
     print(chr(i-1), end='')
#Code_Talkers

9,su-ctf-quals-2014_Guess-the-Number

jar java的包,用jd打开,原码就是两上串异或

a = 0x4b64ca12ace755516c178f72d05d7061;
b = 0xecd44646cfe5994ebeb35bf922e25dba;
c = a^b
print(hex(c))
# a7b08c546302cc1fd2a4d48bf2bf2ddb

10,XCTF 4th-WHCTF-2017_babyre

主程序先把函数解密(就是异或)

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [rsp+0h] [rbp-20h]
  int v5; // [rsp+18h] [rbp-8h]
  int i; // [rsp+1Ch] [rbp-4h]

  for ( i = 0; i <= 181; ++i )
  {
    envp = (const char **)(*((unsigned __int8 *)judge + i) ^ 0xCu);
    *((_BYTE *)judge + i) ^= 0xCu;
  }
  printf("Please input flag:", argv, envp);
  __isoc99_scanf("%20s", &s);
  v5 = strlen(&s);
  if ( v5 == 14 && (unsigned int)judge(&s) )
    puts("Right!");
  else
    puts("Wrong!");
  return 0;
}

先把原程序patch一下(第一次用这个功能)

from pwn import *

e = ELF('babyre')

start_addr = 0x600b00
old = e.read(start_addr, 0xb6)
print(old)

new_file = bytes([i^0xc for i in old])
print(new_file)
e.write(start_addr, new_file)
e.save('babyre2')
#print(e.read(start_addr, 0xb6))

然后是个简单的解密

a =[102,109,99,100,127,107,55,100,59,86,96,59,110,112]
print(''.join([chr(i^v) for i,v in enumerate(a)]))
#flag{n1c3_j0b}

11,XCTF 4th-WHCTF-2017_easyhook

主程序先写入文件再与一个假的flag比较,名字叫hook也就是说在钩子里有逻辑

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  HANDLE v4; // eax
  DWORD NumberOfBytesWritten; // [esp+4h] [ebp-24h]
  char Buffer; // [esp+8h] [ebp-20h]

  puts((int)aPleaseInputFla);
  scanf(a31s, &Buffer);
  if ( strlen(&Buffer) == 19 )
  {
    sub_401220();                               // 调用钩子
    v4 = CreateFileA(FileName, 0x40000000u, 0, 0, 2u, 0x80u, 0);
    WriteFile(v4, &Buffer, 0x13u, &NumberOfBytesWritten, 0);
    sub_401240(&Buffer, &NumberOfBytesWritten);
    if ( NumberOfBytesWritten == 1 )
      puts((int)aRightFlagIsYou);
    else
      puts((int)aWrong);
    system(aPause);
    result = 0;
  }
  else
  {
    puts((int)aWrong);
    system(aPause);
    result = 0;
  }
  return result;
}
int sub_401220()
{
  HMODULE v0; // eax
  DWORD v2; // eax

  v2 = GetCurrentProcessId();
  hProcess = OpenProcess(0x1F0FFFu, 0, v2);
  v0 = LoadLibraryA(LibFileName);
  dword_40C9C4 = (int)GetProcAddress(v0, ProcName);
  lpAddress = (LPVOID)dword_40C9C4;
  if ( !dword_40C9C4 )
    return puts((int)aApi);
  unk_40C9B4 = *(_DWORD *)lpAddress;
  *((_BYTE *)&unk_40C9B4 + 4) = *((_BYTE *)lpAddress + 4);
  byte_40C9BC = -23;
  dword_40C9BD = (char *)sub_401080 - (char *)lpAddress - 5;
  return sub_4010D0();
}
int __stdcall sub_401080(HANDLE hFile, LPCVOID lpBuffer, DWORD nNumberOfBytesToWrite, LPDWORD lpNumberOfBytesWritten, LPOVERLAPPED lpOverlapped)
{
  signed int v5; // ebx

  v5 = sub_401000((int)lpBuffer, nNumberOfBytesToWrite);
  sub_401140();
  WriteFile(hFile, lpBuffer, nNumberOfBytesToWrite, lpNumberOfBytesWritten, lpOverlapped);
  if ( v5 )
    *lpNumberOfBytesWritten = 1;
  return 0;
}
signed int __cdecl sub_401000(int a1, signed int a2)
{
  char v2; // al
  char v3; // bl
  char v4; // cl
  int v5; // eax

  v2 = 0;
  if ( a2 > 0 )
  {
    do
    {
      if ( v2 == 18 )
      {
        *(_BYTE *)(a1 + 18) ^= 0x13u;
      }
      else
      {
        if ( v2 % 2 )
          v3 = *(_BYTE *)(v2 + a1) - v2;
        else
          v3 = *(_BYTE *)(v2 + a1 + 2);
        *(_BYTE *)(v2 + a1) = v2 ^ v3;
      }
      ++v2;
    }
    while ( v2 < a2 );
  }
  v4 = 0;
  if ( a2 <= 0 )
    return 1;
  v5 = 0;
  while ( byte_40A030[v5] == *(_BYTE *)(v5 + a1) )
  {
    v5 = ++v4;
    if ( v4 >= a2 )
      return 1;
  }
  return 0;
}

逆向401000编码部分

#hook,sub_401000将数据加密后与0x40A030比较检查
a = bytes.fromhex('616A79676B466D2E7F5F7E2D53567B386D4C6E')
b = [0]*len(a)
for i,v in enumerate(a):
    if i==18:
        b[i]=v^0x13
    else:
        c = v^i
        if i%2 == 1:
            b[i]= c+i
        else:
            b[i+2]= c

print(bytes(b))
#b'\x00lag{Ho0k_w1th_Fun}'
#flag{Ho0k_w1th_Fun}

12,easyre

主要处理在sub_401080,加1再异或6

int sub_401080()
{
  unsigned int v0; // kr00_4
  signed int v1; // edx
  char *v2; // esi
  char v3; // al
  unsigned int v4; // edx
  int v5; // eax
  __int128 v7; // [esp+2h] [ebp-24h]
  __int64 v8; // [esp+12h] [ebp-14h]
  int v9; // [esp+1Ah] [ebp-Ch]
  __int16 v10; // [esp+1Eh] [ebp-8h]

  sub_401020((int)&unk_402150);
  v9 = 0;
  v10 = 0;
  v7 = 0i64;
  v8 = 0i64;
  sub_401050((const char *)&unk_402158, &v7);
  v0 = strlen((const char *)&v7);
  if ( v0 >= 0x10 && v0 == 24 )
  {
    v1 = 0;
    v2 = (char *)&v8 + 7;
    do
    {
      v3 = *v2--;
      byte_40336C[v1++] = v3;
    }
    while ( v1 < 24 );
    v4 = 0;
    do
    {
      byte_40336C[v4] = (byte_40336C[v4] + 1) ^ 6;
      ++v4;
    }
    while ( v4 < 0x18 );
    v5 = strcmp(byte_40336C, (const char *)&unk_402124);
    if ( v5 )
      v5 = -(v5 < 0) | 1;
    if ( !v5 )
    {
      sub_401020((int)"right\n");
      system("pause");
    }
  }
  return 0;
}

逆向

unlink_402142 = bytes.fromhex('784972436A7E3C727C3274577376335074497F7A6E646B61')
a = [0]*0x18
for i in range(0x18):
    a[i]=(unlink_402142[i]^6)-1

print(bytes(a)[::-1])
#flag{xNqU4otPq3ys9wkDsN}

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
堆栈解题练习二
weixin_44222568的博客
04-22 1741
惶惶乎如遗世独立,羽化而登仙。。。。。
攻防世界逆向高手题之easyRE1
沐一 · 林 的博客
09-04 1504
攻防世界逆向高手题之easyRE1 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的easyRE1 下载附件,解压,一个32位和一个64位,把64位扔入exeinfope中查看信息: 无壳,照例扔入IDA64中查看伪代码,有main函数看main函数: 。。。我非常震惊,flag就这样出现了,我以为是假的,毕竟都高手进阶区了,不会这么简单吧,用db2f62a36a018bce28e46d976e3f9864提交一下,失败。 . . 呵,笑了一下,果然是假的,想了想,加个前缀flag{db2f6
Byte转成二进制字符串
guazi1020的专栏
09-06 874
<br /><br />string ByteToStr(byte b)<br />        {<br />            string result = "";<br />            byte a = b; ;<br />            for (int i = 0; i < 8; i++)<br />            {<br />                byte c = a;<br />                a = (byte)(a<<1);<
easyRE1 (攻防世界)
HackerYY的博客
12-05 353
攻防世界easyRE1 高手区水题 内附AC代码
攻防世界-EasyRE
qq_70851535的博客
11-13 632
逆向题目分析
暑期CTF练习——第三周
AlienEowynWan的博客
07-20 226
攻防世界reverse进阶区easyRE1 下载后发现有两个文件 似乎是一个32位一个64位 先查一下32位的壳 拖到ida 居然一眼就看到了flag,有点出乎意料,尝试输入 FLAG:db2f62a36a018bce28e46d976e3f9864 和 db2f62a36a018bce28e46d976e3f9864 都显示不正确,似乎也没有密码的样子啊…… 看一下另一个文件吧 查壳 显示的有关flag的字符串居然是一样 或许又是格式坑 试了好几种格式之后成功得到 flag是:flag{db2f
【XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
【XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
【XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
【XCTF-RE】新手练习区-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
【XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
ciscn_babydriver
z1r0的博客
03-03 3487
babydriver kernel题目 会给这些东西 这里题目给的是babydriver.tar,解压一下就会出现这三个绿色的东西。 具体是什么东西直接看笔者的个人博客即可。笔者个人博客详细写了一下kernel pwn的知识和利用手法,所以这里笔者不会写得很详细。z1r0’s blog 对rootfs.cpio解包放到file_system里面。 看一下init。4.4.72的kernel版本。这个版本的cred结构体的大小为0xa8。 对insmod这一行的ko进行逆向 这里存在一个条件竞争 都
BUUCTF pwn wp 11 - 15
fa1c4的blog
08-17 423
ciscn_2019_n_8 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] var[13] = 0; var[14] = 0; init(); puts("What's your name?"); __isoc99_scanf("%s", var, v4, v5);
2022CTF培训(六)逆向题目选讲
sky123博客
12-08 1214
分析可知,函数首先调用 sub_4017C0 初始化 v4 数组,之后根据 v4 数组中的内容依次调用 funcs_4018AB 数组中的函数对输入的 1 到 32 字节进行变换。通过改变断点位置可以判断出,该函数表中 sub_B232A0 函数的前一个函数 sub_AD1000 同样存在反调试。必然会触发除零异常,因此会执行 loc_4010BE 处的代码,将局部变量 a0 和 a1 分别异或 dword_41F038 和 dword_41F03C。并用魔改的 tea 对其进行加密。
RE入门题
qq_52964803的博客
03-26 744
RE入门题 题目 给了一个附件re 首先用Exeinfope看一下是多少位的 从图片中可以看出它是64位的,之后运行64位的ida 新建一个,将re文件拖进去,找到主函数main 按F5进行反编译,就可以看到该程序的伪代码: int __cdecl main(int argc, const char **argv, const char **envp) { char v4[32]; // [rsp+20h] [rbp-40h] BYREF _DWORD v5[6]; // [rsp+40h
Reversing-x64Elf-100
Tiany的博客
08-09 210
攻防世界Reversing-x64Elf-100
[XCTF] 逆向 Reversing-x64Elf-100
0of_blog
05-27 527
首先,下载附件.re后缀的文件?照常看一下文件格式 运行一下试试 IDA打开,直奔Main函数,F5看伪代码 __int64 __fastcall main(int a1, char **a2, char **a3) { __int64 result; // rax char s[264]; // [rsp+0h] [rbp-110h] BYREF unsigned __int64 v5; // [rsp+108h] [rbp-8h] v5 = __readfsqwo...
攻防世界-Reverse-Reversing-x64Elf-100
wuh2333的博客
03-18 346
攻防世界,逆向,Reversing-x64Elf-100
攻防世界逆向高手题之Reversing-x64Elf-100
沐一 · 林 的博客
08-22 2677
攻防世界逆向高手题之Reversing-x64Elf-100 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的Reversing-x64Elf-100 照例扔入exeinpefo中查看信息,然后扔入对应IDA中查看伪代码: 64位ELF文件,无壳,扔入64位IDA中,有主函数从主函数开始:(PS:这里犯下第一个错误,我一开始以为没有主函数,跳到start函数中去分析了,结果有个栈指针错误,但是我还不会调,迷惘了,后来一看才发现原来有主函数) 跟踪进入判断函数并分析代码: __int64 __f
guess-xsctf
最新发布
07-28
根据提供的引用内容,我无法确定问题"guess-xsctf"的具体含义。请提供更多的信息或者明确你的问题,我将尽力回答。 #### 引用[.reference_title] - *1* [xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number](https://blog.csdn.net/l8947943/article/details/124064262)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [攻防世界 xctf -Guess writeup](https://blog.csdn.net/haodeshua/article/details/96317161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值