[XCTF-Reverse] 62 XCTF 4th-QCTF-2018_asong

最新推荐文章于 2022-05-14 22:40:49 发布
最新推荐文章于 2022-05-14 22:40:49 发布
阅读量430 收藏
点赞数 1
分类专栏: CTF reverse 文章标签: reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123721267
版权

这是个比较正规的逆向题

主程序先读入flag然后打开一个文档并统计字频然后加密输出到out文件

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  void *v3; // ST00_8
  const char *v4; // ST08_8

  v3 = malloc(0xBCuLL);
  v4 = (const char *)malloc(0x50uLL);
  init_0();
  read_flag((__int64)v4);
  sub_400C02((__int64)v4);                      // 去皮
  sub_400AAA("that_girl", (__int64)v3);         // v3统计字频
  sub_400E54(v4, (__int64)v3);                  // 加密输出
  return 0LL;
}

加密输入这块先转码再重排序然后整串循环向左移3位

unsigned __int64 __fastcall sub_400E54(const char *a1, __int64 a2)
{
  int i; // [rsp+18h] [rbp-48h]
  int v4; // [rsp+1Ch] [rbp-44h]
  char v5[56]; // [rsp+20h] [rbp-40h]
  unsigned __int64 v6; // [rsp+58h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  v4 = strlen(a1);
  for ( i = 0; i < v4; ++i )
    v5[i] = *(_DWORD *)(4LL * (signed int)trancode(a1[i]) + a2);
  sub_400D33((unsigned __int8 *)v5);            // 交换顺序
  sub_400DB4(v5, v4);                           // 前3后5交错
  write_file((__int64)v5, "out", v4);
  return __readfsqword(0x28u) ^ v6;
}

转码部分,这块由于不知道flag用的字符是哪些,这个转码并不是所有转码都正确(仅有用的字符正确)但逆向时就麻烦了,所以在这里需要改一下再逆。

__int64 __fastcall trancode(char a1)
{
  __int64 result; // rax

  result = (unsigned int)(a1 - 10);
  switch ( a1 )
  {
    case 10:
      result = (unsigned int)(a1 + 35);
      break;
    case 32:
    case 33:
    case 34:
      result = (unsigned int)(a1 + 10);
      break;
    case 39:
      result = (unsigned int)(a1 + 2);
      break;
    case 44:
      result = (unsigned int)(a1 - 4);
      break;
    case 46:
      result = (unsigned int)(a1 - 7);
      break;
    case 58:
    case 59:
      result = (unsigned int)(a1 - 21);
      break;
    case 63:
      result = (unsigned int)(a1 - 27);
      break;
    case 95:
      result = (unsigned int)(a1 - 49);
      break;
    default:
      if ( a1 <= 47 || a1 > 48 )
      {
        if ( a1 <= 64 || a1 > 90 )
        {
          if ( a1 > 96 && a1 <= 122 )
            result = (unsigned int)(a1 - 87);
        }
        else
        {
          result = (unsigned int)(a1 - 55);
        }
      }
      else
      {
        result = (unsigned int)(a1 - 48);
      }
      break;
  }
  return result;
}

交换位置这块看起来先绕,不过想想快排啥的,大意就是按一个顺序表重排

__int64 __fastcall sub_400D33(unsigned __int8 *a1)
{
  __int64 result; // rax
  _BYTE v2[5]; // [rsp+13h] [rbp-5h]

  v2[4] = 0;
  *(_DWORD *)v2 = *a1;
  while ( dword_6020A0[*(signed int *)&v2[1]] )
  {
    a1[*(signed int *)&v2[1]] = a1[dword_6020A0[*(signed int *)&v2[1]]];
    *(_DWORD *)&v2[1] = dword_6020A0[*(signed int *)&v2[1]];
  }
  result = v2[0];
  a1[*(signed int *)&v2[1]] = v2[0];
  return result;
}

整体循环错3位这块,理解起来还不难

_BYTE *__fastcall sub_400DB4(_BYTE *a1, int a2)
{
  _BYTE *result; // rax
  char v3; // [rsp+17h] [rbp-5h]
  int i; // [rsp+18h] [rbp-4h]

  v3 = *a1 >> 5;
  for ( i = 0; a2 - 1 > i; ++i )
    a1[i] = 8 * a1[i] | (a1[i + 1] >> 5);
  result = &a1[i];
  *result = 8 * *result | v3;
  return result;
}

这里换顺序这块可以后作,都是单个字节处理所以后两步不影响顺序,当flag的字符都出来后换顺序可以很容易验证

第1步先循环右移3位

第2步恢复原来的字符

第3步再恢复原来的顺序,表里的序号就是字符在原串中的位置

v3的词频转码表可以gdb中得到,dword_6020a0在程序里有

转换表不区分大小写,大概可以接数字0-9,字母1-35,然后是一堆符号,不能直接用原程序转。

#v3 词频转码表
v3 = [0,0,0,0,0,0,0,0,0,0,104,30,15,29,169,19,38,67,60,0,20,39,28,118,165,26,0,61,51,133,45,7,34,0,62,0,0,0,0,0,0,40,71,0,0,66,245,0,0,0,97,0]
#dword_6020a0 顺序表
dword_6020a0 = [22,0,6,2,30,24,9,1,21,7,18,10,8,12,17,23,13,4,3,14,19,11,20,16,15,5,25,36,27,28,29,37,31,32,33,26,34,35]

#1 循环向右移3位(尾3位移到头)
a = open('out', 'rb').read()
b = ''
for i in a:
    b += bin(i)[2:].rjust(8, '0')
b = b[-3:]+b[:-3]
c = b''
for i in range(0, len(b), 8):
    c += bytes([int(b[i:i+8], 2)])
b = c
print(b)

def trancode(a):
    if a==10:
        return a+35
    elif (a==32) or (a==33) or (a==34):
        return a+10
    elif a==39:
        return a+2
    elif a==44:
        return a-4
    elif a==46:
        return a-7
    elif (a==58) or (a==59):
        return a-21
    elif a==63:
        return a-27
    elif a==95:
        return a-49
    else:
        if a <48 or a>57:   #数字
            if (a<=64) or (a>90):
                if (a>96) and (a<=122):
                    return a-87  #大写字母 不区分
                else:
                    return -1
            else:
                return a-55  #小写字母
        else:
            return a-48  #0-9
    return a-10

code = [0]*256
for i in range(256):
    code[i] = (256+trancode(i))%256
#print(code)
c = ''
for i in b:
    t1 = v3.index(i)
    t2 = code.index(t1)
    c += chr(t2)
    #print(i, t1, t2)
print(c)

a = list(c) 
for i,v in enumerate(dword_6020a0):
    a[v]=c[i]
print(''.join(a))
#THAT_GIRL_SAYING_NO_FOR_YOUR_VINDICATE
#QCTF{that_girl_saying_no_for_your_vindicate}

最后提交的时候加上包裹,由于转码程序不分大小写,大写提交不成改小写成功。

石氏是时试
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
QCTF-re-asong-纯静态详解
BadRer的博客
07-17 724
前言 时隔一月没写点东西,忙这忙那,物是人非,不说废话,看到题。 xman选拔赛asong 这道题真的很郁闷,在我的ubuntu上,open始终失败,无法调试,换了台机子还是一样,但学弟说他那没问题。–。– 没办法,只好纯静态的看了。 解题过程 0x0: sub_400DB4(char *input,int len): 反汇编后,整理成c代码 int i; char *a1...
iscc reverse
九层台
05-28 867
0x01dig_dig_dig __int64 __fastcall main(int a1, char **a2, char **a3) { size_t v3; // rax char *dest; // ST18_8 size_t v5; // rax __int64 v6; // rax __int64 v7; // rax char *v8; // ST18_8 ...
XCTF_asong_WP
qq_43445167的博客
03-07 444
确实恶心。 本题的整体逻辑是通过输入的字符串变换that_girl文件,再把变换的数据写入out文件。属于已知密文求明文。 整体逻辑是通过对that_girl文本文件进行词频分析。 将输入的字符串转换为对应词频数组v1。 对v1进行类似与a=b,b=c,c=a 的元素顺序交换,记为v2。 将整个v2视为一整个二进制流循环左移3位,记为v3。 将v3写入out文件 解密脚本如下: #includ...
XCTF asong
qq_41071646的博客
05-09 875
说实话 这个题 还是比较难受的 当我看到 有三个文件的时候 我有点慌 感觉又是什么玩意的时候 但是仔细分析了一下 感觉这个题 还有点好玩 一个是elf 文件 一个是 文本文件 一个是out out 里面是需要我们解密的数据 然后 我们先分析一下elf 这里没有什么好说的我们 get_file_thatgirl_index 这个函数其实就是存的频率 0...
2018 CISCN Writeup
weixin_30883777的博客
05-03 491
10.0.0.55 Writeup Web 0x01 easyweb 解题思路 题目很脑洞 用户名admin 密码123456进去可得到flag(密码现在换了) 解题脚本 无 Reverse 0x02 2ex 解题思路 题目给了一个ELF和一个out文件, out文件 运行ELF文件, 发现它会根据我的输入给出对应输出, 格式与out文件中的内容相仿 尝试直接爆破, 得到 flag{change...
攻防世界-web-ics-06--XCTF 4th-CyberEarth
Sea_Sand息禅
04-23 6283
进入index.php,发现可以传参,bp爆破,当id=2333时拿到flag
XCTF-HW-pipeline附件
最新发布
11-09
附件
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-高手进阶区:NewsCenter
1stPeak's Blog
06-13 3189
XCTF-高手进阶区:NewsCenter
攻防世界 reverse asong
Bsecure的博客
05-15 924
0xFFFFasong0x1分析0x2逆向解密 asong 算是小白第一次接触逆向真正算法的题吧. 吃了算法的亏, 逆向这个算法想了半天???? 0x1分析 下载下来三个文件, 但这不是我以前遇到的那种同一个题给不同的版本. 依次看了下, 一个64位elf文件无壳, 2个文本文件. 打开文本文件后,没有头绪. 将elf文件载入ida. 整个流程开始看不清楚做什么, 多看几次明白了. 先输入字符串, 打开一个that_girl文件读信息, 最后向out文件写信息. 但这怎么和flag联系起
XCTF攻防世界web新手练习_ 9_command_execution
silence1_的博客
04-29 5455
XCTF攻防世界web新手练习—command_execution 题目 题目为command_execution,是命令执行的意思,可见这道题应该跟命名执行有关。 打开题目,看到一个功能框,根据题目,是用来ping功能的。 首先先尝试ping一下127.0.0.1,成功ping通,并回显执行的命令为 ping -c 3 127.0.0.1 于是我们尝试用&&符号执行多个...
adworld攻防世界 reverse asong
令则
03-15 863
asong 攻防世界 reverse  进阶区 asong 题目文件: https://www.jianguoyun.com/p/DQ3g5b4QiNbmBxjX_fQC (访问密码:AgV9Sh) 主要是集中我们常见的处理方式的整合, 注意一个对于out文件要open 然后read读入,另外python3要使用rb 模式,因为会出现不可打印字符,直接复制会出错,而r模式会报错。 文章目...
攻防世界-web-Cat(XCTF 4th-WHCTF-2017)
热门推荐
Sea_Sand息禅
07-08 1万+
打开网页,有一个云端测试功能,提示我们输入域名,输入几个进行测试 1) baidu.com 没有反馈 但是输入百度的ip:220.181.38.148,反馈如下 PING 220.181.38.148 (220.181.38.148) 56(84) bytes of data. --- 220.181.38.148 ping statistics --- 1 packets transm...
学习周记(四)(上)
極品━═☆宏的博客
01-30 852
CTF_Web周练习(二) 从1月13日至1月25日,差不多快两周的时间没有碰这个东西了。好在考完了期末考试,现在有时间了,也该干干正事了,提高提高自己的能力,做点题,写点自己的wp与体会吧,一定要在寒假的时间做到每天进步一点点。I 'm f***ing coming! 先写写自己的计划,一周的时间是七天,按照4、3分配,前四天中前两天做攻防世界的题,后两天做做其他平台的题;接下来的三天自己积累一...
XCTF php2
qq_41941506的博客
05-13 3471
初次进入环境,出现如下图所示界面 先在域名中输入index.php欲要查看主页面,结果依旧是上述界面,此时,将php改为phps,尝试查看php源码,如下图所示 出现源码,代码审计,可以看出,get接受id=admin时,会出现key值,即可能出现flag,但是,当输入“?id=admin”时 会提示错误,故此,想到可能admin 被设为了敏感字符,造成了只要识别到admin就会...
逆向迷宫问题
qq_62188797的博客
05-14 551
ctf逆向迷宫问题介绍与实例
pure_color xctf
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值