[XCTF-Reverse] 41-44

已于 2022-03-21 16:29:03 修改
阅读量318 收藏
点赞数
分类专栏: CTF reverse 文章标签: reverse
于 2022-03-21 16:22:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123633182
版权

41,SHCTF-2017_crackme

用北极星加的壳,去壳以后就一眼明白了,就是个异或

网上讲了些手工去壳的方法,没学会。直接用的工具。

  printf("Please Input Flag:");
  gets_s(&Buf, 0x2Cu);
  if ( strlen(&Buf) == 42 )
  {
    v4 = 0;
    while ( (*(&Buf + v4) ^ byte_402130[v4 % 16]) == dword_402150[v4] )
    {
      if ( ++v4 >= 42 )
      {
        printf("right!\n");
        goto LABEL_8;
      }
    }
    printf("error!\n");
LABEL_8:
    result = 0;
  }


#exeinfope 查壳:nsPack ver.3.x-4.1 reg by North Star  [ Size Of Code = 00 Kb - FIX IT ! NSTD ! ] 

a = [0x12,    4,    8, 0x14, 0x24, 0x5C, 0x4A, 0x3D, 0x56, 0x0A, 
     0x10, 0x67,    0, 0x41,    0,    1, 0x46, 0x5A, 0x44, 0x42, 
     0x6E, 0x0C, 0x44, 0x72, 0x0C, 0x0D, 0x40, 0x3E, 0x4B, 0x5F,
      0x2,    1, 0x4C, 0x5E, 0x5B, 0x17, 0x6E, 0x0C, 0x16, 0x68, 0x5B, 0x12]
b = b'this_is_not_flag'

print(''.join([chr(b[i%16]^a[i]) for i in range(42)]))
#flag{59b8ed8f-af22-11e7-bb4a-3cf862d1ee75}

42,梅津美治郎

ida打开,没有啥保护很容易就过一第关,但第2关入口看不到,有个特殊的函数

  strcpy(v8, "r0b0RUlez!");
  dword_40AD94 = (int)&v9;
  dword_40ADA0 = (int)&v49;
  dword_40AD8C = (char *)&v40;
  dword_40AD90 = (char *)&v31;
  dword_40AD98 = (int)&v28;
  lpProcName = (LPCSTR)&v17;
  lpModuleName = (LPCSTR)&v24;
  dword_40ADA4 = (char *)&v10;
  sub_401500(0);
  v3 = lpProcName;
  v4 = GetModuleHandleA(lpModuleName);
  v5 = (void (__stdcall *)(HMODULE, LPCSTR))GetProcAddress(v4, v3);
  v5((HMODULE)1, (LPCSTR)sub_40157F);     //<----- 第一关通过后会进入sub_4015ea然后调用sub_40157f进入第2关
  puts(dword_40AD8C);
  scanf("%20s", &v7);
  if ( !strcmp(&v7, v8) )
  {
    puts("You passed level1!");
    sub_4015EA(0);
  }

第2关只是个简单的异或,在比较前下断点,看内存

ebp+c:0x28f7b4->0x28fdcc->'u1nnf2lg'

得到第2个串,然后还原(两段用下划线连上,这个没有提示)

a1 = b'r0b0RUlez!'
a2 = b'u1nnf2lg'
a2 = [i^2 for i in a2]
print(a1 +b'_'+ bytes(a2))
#b'r0b0RUlez!_w3lld0ne'
#flag{r0b0RUlez!_w3lld0ne}

43,2019“嘉韦思杯”上海市网络安全邀请赛_76号

这个跟前边41动态调试的类似,只是不用调试。

一开始不能反编译,但大概能看明白,一直调用到sub_8048580 检查函数

这个函数是个大switch v2作序号,从0到N,序号和字符对应的就是那个字符。

两个小坑,第1个出现的10表示回车,这里的序号是13说明前边处理13个字符(逻辑上不大成立)

        case 10:                                // 回车结束 13
          return v2 == 13 && v28 != 0;          // 总共13,12在这里return

第2个小坑就是,既然总共有13个那到第13个就该返回了,第13个字符有两种情况一种是返回的一种是不返回继续的,应该选返回的那个

        case 54:      //这个看上去正确,但没有返回,不选
          if ( v2 != 12 || !v35 )
            return 0;
          v2 = 13;
          continue;
......
        case 107:
          return v2 == 12 && v14 != 0;    //最后一位选这个

最后把这些连一起

a = bytes([48, 57, 118, 100, 102, 55, 119, 101, 102, 105, 106, 98, 107])
print(a)
#09vdf7wefijbk
#flag{09vdf7wefijbk}

44,Hack-you-2014_APK逆向2

这个题有点怪,这不是个apk是个.net的exe文件

用ILSpy打开有3个小函数。主程序就是把一串的字母逐个从第2个串里找偏移然后16进制打印出来

private static void Main(string[] args)
{
	string hostname = "127.0.0.1";
	int port = 31337;
	TcpClient tcpClient = new TcpClient();
	try
	{
		Console.WriteLine("Connecting...");
		tcpClient.Connect(hostname, port);
	}
	catch (Exception)
	{
		Console.WriteLine("Cannot connect!\nFail!");
		return;
	}
	Socket client = tcpClient.Client;
	string text = "Super Secret Key";
	string text2 = read();
	client.Send(Encoding.ASCII.GetBytes("CTF{"));
	string text3 = text;
	foreach (char x in text3)
	{
		client.Send(Encoding.ASCII.GetBytes(search(x, text2)));
	}
	client.Send(Encoding.ASCII.GetBytes("}"));
	client.Close();
	tcpClient.Close();
	Console.WriteLine("Success!");
}

第2个是这个偏移怎么计算

private static string search(char x, string text)
{
	int length = text.Length;
	for (int i = 0; i < length; i++)
	{
		if (x == text[i])
		{
			int num = i * 1337 % 256;
			return Convert.ToString(num, 16).PadLeft(2, '0');
		}
	}
	return "??";
}

关键是这第3个串,调用的read但并不是平常用的read而是自己写的一个,把程序本身读进来当字符串2

private static string search(char x, string text)
{
	int length = text.Length;
	for (int i = 0; i < length; i++)
	{
		if (x == text[i])
		{
			int num = i * 1337 % 256;
			return Convert.ToString(num, 16).PadLeft(2, '0');
		}
	}
	return "??";
}

看上去就行了

a = b"Super Secret Key"
text = open('4122e391e1574335907f8e2c4f438d0e.exe', 'rb').read()
b = ''.join([hex(text.index(i) * 1337 % 256)[2:].rjust(2, '0') for i in a])
print('CTF{'+b+'}')
#CTF{7eb67b0bb4427e0b43b40b6042a00b8e}
#CTF{7eb67b0bb4427e0b43b40b6042670b55}  <----??

但运行结果与网上搜的差两个字符,不清楚为什么。

石氏是时试
关注
专栏目录
SHCTF 2023 [WEEK 1] PWN
Xzzzz911的博客
10-31 530
SHCTF-"山河"网络安全技能挑战赛 是由齐鲁工业大学、西安邮电大学、广东海洋大学、长春工程学院、郑州轻工业大学、河南大学、齐鲁师范学院、陕西邮电职业技术学院、陕西工业职业技术学院、商丘师范学院、咸阳师范学院 (排名不分先后)等十所高校共同举办的 CTF比赛, 完结撒花!!!这次比赛收获很大,新生赛往往会让你收获意想不到的知识点,挺好的,人民的好比赛,支持支持,明年再来 -_- ,接下来会把比赛分周分享记录下来。
SHCTF-2017:crackme
weixin_30815469的博客
06-17 565
下载附件,附件为exe的可执行文件,第一步查壳。 发现为nsPack壳,可采用脱壳机或者手动脱壳的方式进行脱壳。 在此采用手动脱壳的方式,增加自己对脱壳流程的理解,并熟练相关操作。 ESP定律脱壳 将程序拖入OD 发现pushfd和pushad两句关键句。 F8单步执行到call语句,ESP变化,在ESP上右键,添加断点。 F9执行程序 执行到popf...
脱壳练习05(NSpack3.x)
weixin_45574485的博客
08-30 739
1.脱壳老规矩,第一步,查壳,可以看到该壳是NsPack(3.x)的壳。(这里给个忠告,脱壳前一定要清楚是什么壳,今天对这个脱壳的时候就闹了个笑话,最开始只知道有壳,也没仔细去看什么壳,结果修复导入表的时候,按照常规方法脱,程序打开失败了,其实前面也写过一个nspack的壳脱壳,当时要是注意到这是nspack的壳,可能会少走一部分弯路) 2.第二步,用od打开程序,可以发现没有什么明显的push...
gentos 执行sh文件_CTFweb类型(十九)15位、7位可控字符下的任意命令执行
weixin_39625586的博客
11-04 275
点击上方蓝色字体,关注我们某些特殊情况下命令执行的Getshell中对应某个函数的内容可控,可控字符长度分为长可控和短可控。我们先来看15个字符可控。条件:get方式传值,能够传的最大字符串数是14个,传shell_exec思路:如果要getshell,相当于我们在里面写进去一个文件。这个文件是来自于我们服务器发给目标服务器,或者说是除我们之外的其它服务器在带给目标服务器的。如果是从其...
攻防世界WP-reverse-SHCTF-2017-crackme
wallacegen的博客
04-11 526
SHCTF-2017-crackme1.查壳2.用OD脱壳3.找到算法4.写解密程序总结 1.查壳 发现是nsPack壳,这个脱壳的原理我不是很清楚,照着网上一步步做就成功了,具体细节以后再研究。 2.用OD脱壳 网上说的ESP定律什么的,下硬件断点,F5,来到这里 这个地方有点没搞清楚的是,OEP为什么在第一个JMP之后,也就是图中00401336的位置。注意,下面的操作是错误的,我开始看到了p...
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习区-no-strings-attached-解压密码:十三陵陈飞宇.rar
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/qffkcv
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
NSPACK 北斗加壳工具 4.1 中文破解版
11-24
NSPACK 北斗加壳工具 4.1 中文破解版 加壳,压缩Exe文件;
ctf逆向解题——re1
FunkyPants的博客
07-22 9645
ctf逆向解题——re1 re1 1.题目概述 2.题目知识点 2.1 脱壳 2.2 反汇编 2.3 位运算 3.做题环境 4.解题思路 脱壳 4.1 初步观察 4.1.1 part1 4.1.2 part2 4.1.3 part3 4.2 具体分析 4.2.1 part1 4.2.2 part2 4.2.2 part3 4.3 flag 5.总结收获 1.题目概述...
BUUCTF逆向前八题
最新发布
Knozya的博客
01-26 1122
经分析发现若要成功得到flag的值,需得到b数组里的值,但这其中包含了一个异或运算,需要明确异或两遍等于其本身,且b数组是33位(第11行),接着我们对global进行分析,双击global进行跳转。为方便说明,我把destination重命名为Str1(选中按n重命名),自下而上分析,发现第25行把v4复制到Str1中了,找v4的值,即第24行,双击此行sub开头的字符串。用IDA64位打开文件,再用shift+f12打开字符串窗口,发现flag字符串。Str2里面的HappyNewYear!
超级小白,几道简单的ctf
cried_cat的博客
05-11 5570
转]汉字 ASCII码 由浏览器的实现url编码实现 (2012-08-16 11:14:56)转载▼标签: 杂谈 用alt+数字能打出一个字或一个字符,这个数字就是ascii码。 ascii码可以根据http编码算出,比如说我要查“我爱你”这三个字的ascii码,首先要知道他们的http编码,进入百度贴吧,输入“我爱你”, 点击搜索,地址栏会出现一串很长的地址,为了简化这个地址,点击左上角主题列...
WHCTF2017-ONLINE逆向题目BabyREwriteup
iqiqiya的博客
10-19 772
题目链接:http://oj.xctf.org.cn/media/task/2b0a8eaf-72ee-4893-bd4e-304f145cc970.babyRE IDAx64载入  很容易找到关键就在main() int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+...
2021第二届“祥云杯”网络安全大赛 部分Writeup
qq_42815161的博客
08-23 3477
MISC ChieftainsSecret 题目描述:Our agent risked his life to install a mysterious device in the immemorial telephone, can you find out the chieftain's telephone number? Flag format: flag{11 digits} ChieftainsSecret.jpg题目附件给了一张老式轮盘电话机图片,猜测图片藏了东西,直接上linux分
XCTF reverse-box
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-11 368
题目要求: 输入flag让程序输出,flag以TWCTF开头,xctf的题目提示被漏掉了 如果对本文有疑问,可在下方给我留言 95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4a 程序放入IDA中分析 这题的关键点就是要获取到v4的值,v4是由sub_80...
XCTF 梅津美治郎
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-18 1177
查壳 32位程序,IDA打开,分析main函数 发现第一重校验,就是对比v7和v8,v7就是用户输入,v8就是固定的r0b0RUlez! 运行程序,输入这个字符串看下效果 成功通过第一个校验,接着往下分析 通过调试获取到了第二个校验处的数据,对这段数据解密 tmp = "75 31 6E 6E 66 32 6C 67" tmp = tmp.split(" ") print(tmp) key...
一个简单Crackme的分析
a775189488的博客
07-23 2940
题目:[Reverse Crackme]题目连接 要求:逆向并计算相应的key 题目分析   如图。是nSPack的壳,可以使用OD的esp定律脱壳。也可以使用脱壳机(百度就有)。为了简单,这里使用nSPack脱壳机进行脱壳。   如图。发现程序是一个控制台程序(可以查找main入口方法)瞎输入一些数字上去,显示字符串error,可以寻找字符串找到关键函数。   如上代码可知,...
guess-xsctf
07-28
根据提供的引用内容,我无法确定问题"guess-xsctf"的具体含义。请提供更多的信息或者明确你的问题,我将尽力回答。 #### 引用[.reference_title] - *1* [xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number](https://blog.csdn.net/l8947943/article/details/124064262)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [攻防世界 xctf -Guess writeup](https://blog.csdn.net/haodeshua/article/details/96317161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值