[XCTF-Reverse] 37-39

已于 2022-03-21 20:05:13 修改
阅读量198 收藏
点赞数
分类专栏: CTF reverse 文章标签: reverse
于 2022-03-20 00:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123600457
版权

37,XCTF 4th-QCTF-2018_babymips

mips这个不好搞了,先用ida打开(不能反编译成c)大概能看到他把输入数据左右移

整了半天插件也没安上,然后下了Retdec然后运行

py retdec-decompliler.py babymips

他会在程序同目录生成.c文件,其实也没比汇编多看多少,而且那个比较的串在.c里没有,还得从ida里看,反复理解就是先跟0x20-i异或再根据奇偶分别把前2位后6位互换/前6后2 (除去头)

a = bytes.fromhex('52FD16A489BD9280134154A08D451881DEFC95F016791A155B751F')

flag = b"Q|j{g"
b = [0]*27                             #2,5位以后分奇偶前2后6/前6后2交换
for i,v in enumerate(a):
    if i%2 == 0:
        b[i] = v>>6 | v<<2 & 0xff
    else:
        b[i] = v>>2 | v<<6 & 0xff
flag +=bytes(b)
flag = ''.join([chr(v^(0x20-i)) for i,v in enumerate(flag)]) #1,输入值逐位与 0x20-i异或
print(flag)
#qctf{ReA11y_4_B@89_mlp5_4_XmAn_}

38,tu-ctf-2016_reverse-for-the-holy-grail-350

这个逆起来有点难度了。

主程序调用validstr和stringMod两个函数,第1个只是检查没啥用,第2个把18个字符每3个一组第1个给定,然后异或1,2得到3。

__int64 __fastcall stringMod(__int64 *a1)
{
  __int64 v1; // r9
  __int64 v2; // r10
  __int64 v3; // rcx
  signed int v4; // er8
  int *v5; // rdi
  int *v6; // rsi
  signed int v7; // ecx
  signed int v8; // er9
  int v9; // er10
  unsigned int v10; // eax
  int v11; // esi
  int v12; // esi
  int v14[24]; // [rsp+0h] [rbp-60h]

  memset(v14, 0, 0x48uLL);
  v1 = a1[1];
  if ( v1 )
  {
    v2 = *a1;
    v3 = 0LL;
    v4 = 0;
    do
    {
      v12 = *(char *)(v2 + v3);
      v14[v3] = v12;
      if ( 3 * ((unsigned int)v3 / 3) == (_DWORD)v3 && v12 != firstchar[(unsigned int)v3 / 3] )
        v4 = -1;                                // 能被3整除的要与firstchar相同
      ++v3;
    }
    while ( v3 != v1 );
  }
  else
  {
    v4 = 0;
  }
  v5 = v14;
  v6 = v14;
  v7 = 666;
  do
  {
    *v6 = v7 ^ *(unsigned __int8 *)v6;
    v7 += v7 % 5;
    ++v6;
  }
  while ( &v14[18] != v6 );
  v8 = 1;
  v9 = 0;
  v10 = 1;
  v11 = 0;
  do
  {
    if ( v11 == 2 )
    {
      if ( *v5 != thirdchar[v9] )
        v4 = -1;
      if ( v10 % *v5 != masterArray[v9] )
        v4 = -1;
      ++v9;
      v10 = 1;
      v11 = 0;
    }
    else
    {
      v10 *= *v5;
      if ( ++v11 == 3 )
        v11 = 0;
    }
    ++v8;
    ++v5;
  }
  while ( v8 != 19 );
  return (unsigned int)(v7 * v4);
}

这个逆着不好来,每组爆破的方式处理


first = [0x41, 0x69, 0x6e, 0x45, 0x6f, 0x61, 0x00]
third = [0x2ef, 0x2c4, 0x2dc, 0x2c7, 0x2de, 0x2fc, 0]
master= [0x1d7, 0xc, 0x244, 0x25e, 0x93, 0x6c]
v7 = [666]*24
for i in range(1,24):
    v7[i] = v7[i-1]+(v7[i-1]%5)
#print(v7)

def get3(i):
    c1 = first[i]
    c3 = third[i]^v7[i*3+2]
    c2 = 0
    #print(c1,c3,v10)
    for tc2 in range(30,255):
        tmp = (c1^v7[i*3])*(tc2^v7[i*3+1])
        #print(tmp,third[i], tmp%third[i],master[i])
        if (tmp%third[i]) == master[i]:
            c2 = tc2 
            print(chr(c1)+chr(c2)+chr(c3), end='')
            break 
    
for i in range(6):
    get3(i)

#AfricanOrEuropean?
#tuctf{AfricanOrEuropean?}

39,suctf-2016_android-app-100

这个比较坑,是个apk文件,先解包得到class.dex和libadnjni.so前边是flag的打包方法,后边是输入串校验方法。

dex有不会整,jeb安不上,先用dex2jar打成jar包再用jd-jui看,大概意思就是把一个数加上输入串被处理后的返回值加上个空格的md5

class a implements View.OnClickListener {
  a(MainActivity paramMainActivity) {}
  
  public void onClick(View paramView) {
    new String(" ");
    String str = this.a.b.getText().toString();
    Log.v("EditText", this.a.b.getText().toString());
    new String("");
    int i = this.a.processObjectArrayFromNative(str);
    int j = this.a.IsCorrect(str);
    str = String.valueOf(this.a.d + i) + " ";
    try {
      MessageDigest messageDigest = MessageDigest.getInstance("MD5");
      messageDigest.update(str.getBytes());
      byte[] arrayOfByte = messageDigest.digest();
      StringBuffer stringBuffer = new StringBuffer();
      for (i = 0;; i++) {
        if (i >= arrayOfByte.length) {
          if (j == 1 && this.a.e != "unknown")
            this.a.c.setText("Sharif_CTF(" + stringBuffer.toString() + ")"); 
          if (j == 1 && this.a.e == "unknown")
            this.a.c.setText("Just keep Trying :-)"); 
          if (j == 0) {
            this.a.c.setText("Just keep Trying :-)");
            return;
          } 
          break;
        } 
        stringBuffer.append(Integer.toString((arrayOfByte[i] & 0xFF) + 256, 16).substring(1));
      } 
    } catch (NoSuchAlgorithmException noSuchAlgorithmException) {
      noSuchAlgorithmException.printStackTrace();
    } 
  }
}

而这个函数是.so里边,这个函数很长长,是个一大循环,里边用一个大数字字作各个分支的入口,先与指定串比较,然后第3次将一个返回值赋值,然后第6次退出。这个如果有模拟器的话安上apk输入这个给定的值就应该能出结果。如果没有就手工走6次循环打到一个隐藏很深的返回值。

'''
onClick->processObjectArrayFromNative 
ret = processObjectArrayFromNative( 'ef57f3fe3cf603c03890ee588878c0ec' )
flag = 'Sharif_CTF(' + md5(str(d + ret) + ' ')  + ')'
'''


#v30 = bytes([101,102,53,55,102,51,102,101,51,99,102,54,48,51,99,48,51,56,57,48,101,101,53,56,56,56,55,56,99,48,101,99])
#print(v30)
m = str(114366+ 0x57cbbd2)+' '
from hashlib import md5
print('Sharif_CTF('+ md5(m.encode()).hexdigest() +')')
#Sharif_CTF(833489ef285e6fa80690099efc5d9c9d)

这个壳是圆的。

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu-[QCTF2018]Xman-babymips
qaq517384的博客
04-12 501
32位elf文件,MIPS指令集 在gayhub上下载有关ida的插件 根据ida-master/plugins的readme文件安装插件
攻防世界逆向高手题的babymips
沐一 · 林 的博客
09-07 694
攻防世界逆向高手题之babymips 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的babymips 下载附件,照例扔入exeinfope中查看信息: 32位无壳,照例扔入IDA32中查看伪代码,有main函数看main函数: (这里积累第一个经验) 第一个框是对用户输入惊醒每位的异或操作,因为i的地址和input_flag的地址在main函数栈中相差4而已。 第二个框就是取异或后的前五个字符与明文比较,如果相同就继续对剩下的27个字符继续操作。这里要注意的是sub_4007F0(input
[UTCTF2020]babymips 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
06-22 559
可以看出将输入字符串进行异或加密之后,判断前5位,就是“flag{”,然后进入 sub_4007F0(v5)进行移位加密后判断五位之后的字符。跟进,加密后的字符串。
babymips(下) 寒假逆向生涯(14/100)
寻梦&之璐
01-18 1874
主要核心代码 var_10= -0x10 var_8= -8 var_4= -4 arg_0= 0 addiu $sp, -0x28 sw $ra, 0x28+var_4($sp) sw $fp, 0x28+var_8($sp) move $fp, $sp sw $a0, 0x28+arg_0($fp) li $v0, 5 sw $v0, 0x28+var_10($fp) b loc_400910 nop loc_400910:
babymips(上) 寒假逆向生涯(14/100)
寻梦&之璐
01-18 2528
babymips 这题呢,看名字就知道,不出所料,还是mips指令,挺简单的,懒得找插件,直接分析吧,锻炼锻炼自己 开战 lui $v0, 0x40 addiu $a0, $v0, (aGiveMeYourFlag - 0x400000) # "Give me your flag:" jal printf nop addiu $v0, $fp, 0x48+var_2C move $a1, $v0 lui $v0, 0x40 addiu $a0, $v0, (a32
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习区-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
CTF babymips
zero
08-11 694
mips逆向,源码如下: #include <stdio.h> #include <string.h> char *check1="Q|j{g"; char *check2= "\x52\xfd\x16\xa4\x89\xbd\x92\x80\x13\x41\x54\xa0\x8d\x45\x18\x81\xde\xfc\x95\xf0\x16\x79\x1a\x15\...
攻防世界 reverse babymips
09-23 493
babymips XCTF 4th-QCTF-2018 mips,ida中想要反编译的化需要安装插件,这题并不复杂直接看mips汇编也没什么难度,这里我用了ghidra,直接可以查看反编译。 1 void FUN_004009a8(void) 2 3 { 4 int iVar1; 5 int i; 6 byte input [36]; ...
[转组第2天] | baby_mips和android xss的调研
weixin_30807779的博客
04-26 122
2018-04-25 DDCTF re1:(baby_MIPS) 参照夜影大佬和henryZhao的wp.   1. 利用qemu运行MIPS程序:     baby_mipsMIPS指令集上的程序,IDA只能静态分析,不能debug。采取的方法是在linux机上安装qemu模拟器,利用qemu来运行MIPS指令程序。经尝试,baby_mips是小字端程序,使用指令,运行程序。运...
babymips
Tiany的博客
08-14 194
攻防世界babymips
攻防世界 Reverse高手进阶区 3分题 babymips
闵行小鱼塘
01-20 457
继续ctf的旅程,攻防世界Reverse高手进阶区的3分题,本篇是babymips的writeup
[QCTF2018]Xman-babymips
m0_46296905的博客
04-13 751
exeinfope打开,为32位程序。 ida32打开后发现是MIPS指令集。 Ida7.5(ida7.0需要额外加插件)直接F5一键反编译。如下: 双击查看fdata,这里是判断输入格式的,重点还是看sub_4007F0函数。 直接双击进入sub_4007F0(v5)函数,加密过程很容易就能看出是循环移位操作: 查看关键字符串Off_410D04如下: 接下来就可以写exp了,注意要防止移位过程中的溢出: a=[0x52,0xfd,0x16,0xa4,0x89,0xbd,0x92,0x80,0x
攻防世界babymips
qq_48274326的博客
01-11 461
发现是MIPS,ida7.5支持直接反编译 进入主函数 int __fastcall main(int a1, char **a2, char **a3) { int result; // $v0 int i; // [sp+18h] [+18h] BYREF char v5[36]; // [sp+1Ch] [+1Ch] BYREF setbuf((FILE *)stdout, 0); setbuf((FILE *)stdin, 0); printf("Give me your
[羊城杯 2020]Bytecode [UTCTF2020]babymips
寻梦&之璐
05-30 1145
文章目录查看题目python代码Z3约束脚本 查看题目 python字节码,需要把它转为python代码,如下: python代码 import dis def main(): en=[3,37,72,9,6,132] output=[101,96,23,68,112,42,107,62,96,53,176,179,98,53,67,29,41,120,60,106,51,101,178,189,101,48] print("welcome to GWHT2020") f
guess-xsctf
最新发布
07-28
- *1* [xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number](https://blog.csdn.net/l8947943/article/details/124064262)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值