[XCTF-Reverse] 62 XCTF 4th-QCTF-2018_asong

于 2022-03-24 21:15:35 发布
阅读量457 收藏
点赞数 1
分类专栏: CTF reverse 文章标签: reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123721267
版权

这是个比较正规的逆向题

主程序先读入flag然后打开一个文档并统计字频然后加密输出到out文件

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  void *v3; // ST00_8
  const char *v4; // ST08_8

  v3 = malloc(0xBCuLL);
  v4 = (const char *)malloc(0x50uLL);
  init_0();
  read_flag((__int64)v4);
  sub_400C02((__int64)v4);                      // 去皮
  sub_400AAA("that_girl", (__int64)v3);         // v3统计字频
  sub_400E54(v4, (__int64)v3);                  // 加密输出
  return 0LL;
}

加密输入这块先转码再重排序然后整串循环向左移3位

unsigned __int64 __fastcall sub_400E54(const char *a1, __int64 a2)
{
  int i; // [rsp+18h] [rbp-48h]
  int v4; // [rsp+1Ch] [rbp-44h]
  char v5[56]; // [rsp+20h] [rbp-40h]
  unsigned __int64 v6; // [rsp+58h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  v4 = strlen(a1);
  for ( i = 0; i < v4; ++i )
    v5[i] = *(_DWORD *)(4LL * (signed int)trancode(a1[i]) + a2);
  sub_400D33((unsigned __int8 *)v5);            // 交换顺序
  sub_400DB4(v5, v4);                           // 前3后5交错
  write_file((__int64)v5, "out", v4);
  return __readfsqword(0x28u) ^ v6;
}

转码部分,这块由于不知道flag用的字符是哪些,这个转码并不是所有转码都正确(仅有用的字符正确)但逆向时就麻烦了,所以在这里需要改一下再逆。

__int64 __fastcall trancode(char a1)
{
  __int64 result; // rax

  result = (unsigned int)(a1 - 10);
  switch ( a1 )
  {
    case 10:
      result = (unsigned int)(a1 + 35);
      break;
    case 32:
    case 33:
    case 34:
      result = (unsigned int)(a1 + 10);
      break;
    case 39:
      result = (unsigned int)(a1 + 2);
      break;
    case 44:
      result = (unsigned int)(a1 - 4);
      break;
    case 46:
      result = (unsigned int)(a1 - 7);
      break;
    case 58:
    case 59:
      result = (unsigned int)(a1 - 21);
      break;
    case 63:
      result = (unsigned int)(a1 - 27);
      break;
    case 95:
      result = (unsigned int)(a1 - 49);
      break;
    default:
      if ( a1 <= 47 || a1 > 48 )
      {
        if ( a1 <= 64 || a1 > 90 )
        {
          if ( a1 > 96 && a1 <= 122 )
            result = (unsigned int)(a1 - 87);
        }
        else
        {
          result = (unsigned int)(a1 - 55);
        }
      }
      else
      {
        result = (unsigned int)(a1 - 48);
      }
      break;
  }
  return result;
}

交换位置这块看起来先绕,不过想想快排啥的,大意就是按一个顺序表重排

__int64 __fastcall sub_400D33(unsigned __int8 *a1)
{
  __int64 result; // rax
  _BYTE v2[5]; // [rsp+13h] [rbp-5h]

  v2[4] = 0;
  *(_DWORD *)v2 = *a1;
  while ( dword_6020A0[*(signed int *)&v2[1]] )
  {
    a1[*(signed int *)&v2[1]] = a1[dword_6020A0[*(signed int *)&v2[1]]];
    *(_DWORD *)&v2[1] = dword_6020A0[*(signed int *)&v2[1]];
  }
  result = v2[0];
  a1[*(signed int *)&v2[1]] = v2[0];
  return result;
}

整体循环错3位这块,理解起来还不难

_BYTE *__fastcall sub_400DB4(_BYTE *a1, int a2)
{
  _BYTE *result; // rax
  char v3; // [rsp+17h] [rbp-5h]
  int i; // [rsp+18h] [rbp-4h]

  v3 = *a1 >> 5;
  for ( i = 0; a2 - 1 > i; ++i )
    a1[i] = 8 * a1[i] | (a1[i + 1] >> 5);
  result = &a1[i];
  *result = 8 * *result | v3;
  return result;
}

这里换顺序这块可以后作,都是单个字节处理所以后两步不影响顺序,当flag的字符都出来后换顺序可以很容易验证

第1步先循环右移3位

第2步恢复原来的字符

第3步再恢复原来的顺序,表里的序号就是字符在原串中的位置

v3的词频转码表可以gdb中得到,dword_6020a0在程序里有

转换表不区分大小写,大概可以接数字0-9,字母1-35,然后是一堆符号,不能直接用原程序转。

#v3 词频转码表
v3 = [0,0,0,0,0,0,0,0,0,0,104,30,15,29,169,19,38,67,60,0,20,39,28,118,165,26,0,61,51,133,45,7,34,0,62,0,0,0,0,0,0,40,71,0,0,66,245,0,0,0,97,0]
#dword_6020a0 顺序表
dword_6020a0 = [22,0,6,2,30,24,9,1,21,7,18,10,8,12,17,23,13,4,3,14,19,11,20,16,15,5,25,36,27,28,29,37,31,32,33,26,34,35]

#1 循环向右移3位(尾3位移到头)
a = open('out', 'rb').read()
b = ''
for i in a:
    b += bin(i)[2:].rjust(8, '0')
b = b[-3:]+b[:-3]
c = b''
for i in range(0, len(b), 8):
    c += bytes([int(b[i:i+8], 2)])
b = c
print(b)

def trancode(a):
    if a==10:
        return a+35
    elif (a==32) or (a==33) or (a==34):
        return a+10
    elif a==39:
        return a+2
    elif a==44:
        return a-4
    elif a==46:
        return a-7
    elif (a==58) or (a==59):
        return a-21
    elif a==63:
        return a-27
    elif a==95:
        return a-49
    else:
        if a <48 or a>57:   #数字
            if (a<=64) or (a>90):
                if (a>96) and (a<=122):
                    return a-87  #大写字母 不区分
                else:
                    return -1
            else:
                return a-55  #小写字母
        else:
            return a-48  #0-9
    return a-10

code = [0]*256
for i in range(256):
    code[i] = (256+trancode(i))%256
#print(code)
c = ''
for i in b:
    t1 = v3.index(i)
    t2 = code.index(t1)
    c += chr(t2)
    #print(i, t1, t2)
print(c)

a = list(c) 
for i,v in enumerate(dword_6020a0):
    a[v]=c[i]
print(''.join(a))
#THAT_GIRL_SAYING_NO_FOR_YOUR_VINDICATE
#QCTF{that_girl_saying_no_for_your_vindicate}

最后提交的时候加上包裹,由于转码程序不分大小写,大写提交不成改小写成功。

石氏是时试
关注
专栏目录
QCTF-re-asong-纯静态详解
BadRer的博客
07-17 747
前言 时隔一月没写点东西,忙这忙那,物是人非,不说废话,看到题。 xman选拔赛asong 这道题真的很郁闷,在我的ubuntu上,open始终失败,无法调试,换了台机子还是一样,但学弟说他那没问题。–。– 没办法,只好纯静态的看了。 解题过程 0x0: sub_400DB4(char *input,int len): 反汇编后,整理成c代码 int i; char *a1...
QCTF -re -ollvm
BadRer的博客
07-20 1081
前言 首先建议看下之前的文章,这题基本上用pin可以很快的解决。 过程 具体的pin和pintool我就不说了 0x0 拿到题目很蒙,IDA打开,发现全是gmp,mpz的东西,了解一点的同学应该能联想到RSA,但是好像对解题没什么帮助哈。总之初略的理了一下逻辑,通过两种不同的方式进行RSA加密,第一个是直接利用的RSA加密原理,第二是通过使用gmp库的API函数。如果仅仅是RSA加密其实...
XCTF asong
qq_41071646的博客
05-09 887
说实话 这个题 还是比较难受的 当我看到 有三个文件的时候 我有点慌 感觉又是什么玩意的时候 但是仔细分析了一下 感觉这个题 还有点好玩 一个是elf 文件 一个是 文本文件 一个是out out 里面是需要我们解密的数据 然后 我们先分析一下elf 这里没有什么好说的我们 get_file_thatgirl_index 这个函数其实就是存的频率 0...
XCTF_asong_WP
qq_43445167的博客
03-07 471
确实恶心。 本题的整体逻辑是通过输入的字符串变换that_girl文件,再把变换的数据写入out文件。属于已知密文求明文。 整体逻辑是通过对that_girl文本文件进行词频分析。 将输入的字符串转换为对应词频数组v1。 对v1进行类似与a=b,b=c,c=a 的元素顺序交换,记为v2。 将整个v2视为一整个二进制流循环左移3位,记为v3。 将v3写入out文件 解密脚本如下: #includ...
dice_game XCTF 4th-QCTF-2018
qq_41071646的博客
04-27 1088
其实感觉这个题 不算是pwn题。。。 这 pwn 里面就是 读取flag 文件 然后我们看一下 sub_a20 这个函数 随机数啊 本来我没有想用 把种子给 覆盖掉 但是 time(0) 感觉不稳 时间一万一不对劲 那么随机数 也会出错 所以干脆 把种子固定下来 下面是 exp #coding:utf-8 from pwn import* list...
攻防世界-PWN进阶区-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 889
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
XCTF-RE】新手练习区-no-strings-attached-解压密码:十三陵陈飞宇.rar
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/qffkcv
XCTF-HW-pipeline附件
最新发布
11-09
附件
BUUCTF:[QCTF2018]X-man-A face
末初的CSDN博客
11-19 1122
https://buuoj.cn/challenges#[QCTF2018]X-man-A%20face 缺少两个定位点,PS补一下 但是不知道为啥补出来的,QR Research扫不出来,用手机微信就可以扫出来 KFBVIRT3KBZGK5DUPFPVG2LTORSXEX2XNBXV6QTVPFZV6TLFL5GG6YTTORSXE7I= base32的特征 >>> import base64 >>> base64.b32decode('KFBVIRT3KBZ
XCTF 4th-QCTF-2018 babyheap
qq_41071646的博客
07-28 1842
这几天做pwn题做的很恶心了,,等下个星期想去继续肝内核pwn。。 先看一下这个题目的保护 基本该有的保护都有了 然后先看一下这个题 ida里面分析 发现了 程序没有给我们堆块修改的功能 这里可以通过 堆块合并 /重叠 然后申请达到修改堆块还有泄露堆块的目的 这里我们发现了 off by null 然后这里的思路 exp 来源于 https://www.xct...
XCTF WEB mfw
A_dmin的博客
06-03 4499
XCTF WEB mfw 比赛打自闭了,需要好好学习 打开网页看见(猜测git源码泄露): 在URL后面加上./git发现: 使用脚本,在Linux环境中: pip install requests git clone https://github.com/wangyihang/GitHacker.git python GitHacker.py [Website] 得到源码: flag...
XCTF php2
qq_41941506的博客
05-13 3500
初次进入环境,出现如下图所示界面 先在域名中输入index.php欲要查看主页面,结果依旧是上述界面,此时,将php改为phps,尝试查看php源码,如下图所示 出现源码,代码审计,可以看出,get接受id=admin时,会出现key值,即可能出现flag,但是,当输入“?id=admin”时 会提示错误,故此,想到可能admin 被设为了敏感字符,造成了只要识别到admin就会...
XCTF-高手进阶区:NewsCenter
1stPeak's Blog
06-13 3203
XCTF-高手进阶区:NewsCenter
攻防世界-web-ics-06--XCTF 4th-CyberEarth
Sea_Sand息禅
04-23 6322
进入index.php,发现可以传参,bp爆破,当id=2333时拿到flag
XCTF攻防世界web新手练习_ 9_command_execution
silence1_的博客
04-29 5473
XCTF攻防世界web新手练习—command_execution 题目 题目为command_execution,是命令执行的意思,可见这道题应该跟命名执行有关。 打开题目,看到一个功能框,根据题目,是用来ping功能的。 首先先尝试ping一下127.0.0.1,成功ping通,并回显执行的命令为 ping -c 3 127.0.0.1 于是我们尝试用&&符号执行多个...
攻防世界-web-Cat(XCTF 4th-WHCTF-2017)
热门推荐
Sea_Sand息禅
07-08 1万+
打开网页,有一个云端测试功能,提示我们输入域名,输入几个进行测试 1) baidu.com 没有反馈 但是输入百度的ip:220.181.38.148,反馈如下 PING 220.181.38.148 (220.181.38.148) 56(84) bytes of data. --- 220.181.38.148 ping statistics --- 1 packets transm...
学习周记(四)(上)
極品━═☆宏的博客
01-30 880
CTF_Web周练习(二) 从1月13日至1月25日,差不多快两周的时间没有碰这个东西了。好在考完了期末考试,现在有时间了,也该干干正事了,提高提高自己的能力,做点题,写点自己的wp与体会吧,一定要在寒假的时间做到每天进步一点点。I 'm f***ing coming! 先写写自己的计划,一周的时间是七天,按照4、3分配,前四天中前两天做攻防世界的题,后两天做做其他平台的题;接下来的三天自己积累一...
pure_color xctf
07-16
### 回答1: pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于网络攻防、密码学、逆向工程等。通过参与这些比赛,参赛者可以提升自己的技能,了解最新的安全威胁和攻击技术,锻炼解决问题的能力。 pure_color xctf的比赛模式多样,可以是个人或团队参与。参赛者需要在限定的时间内完成一系列的题目,这些题目可能包含漏洞分析、编程挑战、数据分析等。比赛过程中,参赛者需要运用各种技术手段,如渗透测试、代码审计、漏洞利用等,解决题目的要求。参赛者不仅需要具备网络安全相关的知识,还需要具备良好的团队合作和解决问题的能力。 此外,pure_color xctf也为参赛者提供了一个交流平台。比赛期间,参赛者可以在平台上与其他选手交流经验、讨论解题思路。参赛者也可以通过竞赛结果来评估自己的能力,并与其他选手进行切磋比拼。 总之,pure_color xctf是一个举办网络安全竞赛的平台,旨在为安全爱好者和专业人士提供学习和交流的机会,促进网络安全技术的发展。 ### 回答2: pure_color xctf 是一项竞技性的网络安全挑战赛。XCCTF 是全球知名的网络安全竞赛组织之一,而 pure_color 是该竞赛组织内的一项赛事。该赛事旨在提升参赛者的网络安全技能和知识,让他们在一个仿真的网络环境中进行攻防对抗。 在 pure_color xctf 中,参赛队伍将根据题目要求进行网络攻击和防御。这些题目有不同的难度级别,并涵盖了各种不同的网络安全技术和攻击类型。参赛队伍将需要利用他们的知识和技能,像真实的黑客一样去攻击系统漏洞,获取目标系统内的敏感信息或是直接控制目标系统。同时,他们也需要通过搭建防御策略和系统来保护自己的系统免受攻击。 pure_color xctf 不仅仅是一个交流学习的平台,也是一个展示能力的舞台。优胜的参赛队伍将会被邀请参加更高级别的网络安全竞赛和会议,进一步提升他们的技能并扩展职业网络。此外,pure_color xctf 也为参赛者提供了一个找到职业机会的平台,很多安全公司和组织会在赛事期间招聘优秀的选手。 总而言之,pure_color xctf 是一个有挑战性的网络安全竞赛,旨在通过攻击和防御对抗提升参赛者的技能,并为他们提供职业发展和展示的机会。同时,这个赛事也在促进网络安全领域的交流和合作,为提升整个网络安全行业的水平做出贡献。 ### 回答3: pure_color xctf 是一个CTF(Capture The Flag,夺旗赛)竞赛平台。CTF是一种网络安全竞赛,旨在让参赛者通过解决一系列的密码学、逆向工程、漏洞利用等问题来获取旗标,比赛者可以通过这些旗标来获取积分并竞争排名。 pure_color xctf 平台是一个为CTF竞赛提供的一个在线环境,类似于一个实验室,用于举办CTF比赛。在这个平台上,参赛者可以注册账号并加入已经发布的CTF赛事中。赛事中的题目被分为不同的难度级别,涵盖了各种安全领域的知识。参赛者需要通过解决题目中的任务来获取旗标,并将其提交到平台上进行验证。在比赛结束后,将根据参赛者解决的题目数量、用时、积分等因素来计算最终排名,并颁发奖励给获胜者。 pure_color xctf 提供了逼真的仿真环境,使得参赛者能够在一个安全的网络环境下进行实时的攻防演练。平台上的题目多样化且具有挑战性,旨在让参赛者将所学的理论知识应用到实际场景中去,并培养解决问题和团队合作的能力。同时,pure_color xctf 还为参赛者提供了交流平台,方便他们在比赛过程中与其他参赛者交流经验、技巧以及解题思路。 总之,pure_color xctf 是一个提供CTF竞赛平台的在线环境,旨在鼓励参赛者在安全领域中深入学习和实践,并通过解决各种挑战赛题目来提升技能和知识水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值