[ctf.show.reverse] 月饼杯 re1_西北望乡、re2_归心、re3_若无月

最新推荐文章于 2024-05-10 10:48:29 发布
最新推荐文章于 2024-05-10 10:48:29 发布
阅读量1k 收藏
点赞数 1
分类专栏: CTF reverse 文章标签: reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/124302612
版权

re1_西北望乡

主程序很容易看明白,格式是flag{....}长45,然后把3,6,13,36拿出来作为系数,这些字符每5个一组分别乘系数后的和给定了。然后就是怎么解了。

  if ( strlen(flag) == 45 )
  {
    v21[0] = flag[3];
    v21[1] = flag[6];
    v21[2] = flag[13];
    v21[3] = flag[36];
    v21[4] = 13;
    for ( i = 0; i < 5; ++i )
    {
      v19 = 1LL;
      for ( j = 0; j < 5 - i; ++j )
        v19 *= v21[4 - i];
      v9 = (_QWORD *)i;
      *((_QWORD *)b + i) = v19;
    }
    for ( k = 0; k < 9; ++k )
    {
      v16 = 0LL;
      for ( l = 0; l < 5; ++l )
        v16 += flag[5 * k + l] * *((_QWORD *)b + l);
      v9 = arr;
      if ( v16 != arr[k] )
      {
        v11 = std::operator<<<std::char_traits<char>>(&std::cout, "哎呀,错了呢~~", arr);
        std::ostream::operator<<(v11, std::endl<char,std::char_traits<char>>);
        return 0;
      }
    }
    v12 = std::operator<<<std::char_traits<char>>(&std::cout, "哎呦,不错呦,去提交下试试吧。", v9);
    std::ostream::operator<<(v12, std::endl<char,std::char_traits<char>>);
  }
  else
  {
    v14 = std::operator<<<std::char_traits<char>>(&std::cout, "flag长度为49字符。", v9);
    v10 = strlen(flag);
    std::ostream::operator<<(v14, v10);
  }

因为第1组5个flag{已经知道了,可以先爆破出这3个值,然后再解。坑点是它说是小写字母和_但里边出了数字。


from z3 import *

arr = [0x2A6274623, 0x2A1032DAD, 0x27BD29EFD, 0x2D186CDC5, 0x2CB93A140, 0x286EB174E, 0x2CB9611A2, 0x27AE20336, 0x141D07333, 0x0ACEEBB]

#先求系数
i, j, k = Ints("i j k")
s = Solver()
s.add(arr[0] == ord('f')*13**5 + ord('l')*i**4 + ord('a')*j**3 + ord('g')*k**2 + ord('{')*ord('g'))
s.add(And(i>=95, i<=122))
s.add(And(j>=95, j<=122))
s.add(And(k>=95, k<=122))
if s.check():
    m= s.model()
    b1 = int(f'{m[i]}')**4
    b2 = int(f'{m[j]}')**3
    b3 = int(f'{m[k]}')**2

b0 = 13**5
b4 = ord('g')
    
print(b0,b1,b2,b3,b4)

#再爆破
flag = [Int(f'f[{i}]') for i in range(45)]
s=Solver()

#已知部分
for i,v in enumerate(b'flag{'):
    s.add(flag[i] == v)
s.add(flag[44] == ord('}'))

for i in range(45):
    s.add(And(flag[i]>=0x20, flag[i]<0x7f))

for i in range(9):
    data = f"flag[{i*5}]*{b0} + flag[{i*5+1}]*{b1} + flag[{i*5+2}]*{b2} + flag[{i*5+3}]*{b3} + flag[{i*5+4}]*{b4} == {arr[i]}"
    print(data)
    s.add(eval(data))

if s.check() == sat:
    m = s.model()
    print(m)
    for i in range(45):
        print(chr(int("%s" % (m[flag[i]]))), end='')

#flag{okok_here_is_your_flag_where_are_my_36d}

re2_归心

提示是说用啥打的包,用ida打开看是java的应该是jar文件,搜了下是exe4j运行一下,在临时目录里找到释放出来的jar文件,打开就看到flag

C:\Users\XXXXXXXX\AppData\Local\Temp\e4jCA19.tmp_dir1650439000\readme.jar
flag{You_Win_0nce_You_C_Me}

re3_若无月

有提示是RC4,先把一个序列作64轮轮换,然后每再按序号每轮换一次与明文作异或。如果提前生成足够多的码表,然后依次与密文异或就能得到明文。

windows程序里,事件1进行初始化密钥

    case 1u:
      w = GetSystemMetrics(0);
      cy = GetSystemMetrics(1);
      SetTimer(hWnd, 1u, 0xAu, 0);
      v8 = FindResourceA(0, (LPCSTR)0x78, (LPCSTR)8);
      v9 = SizeofResource(0, v8);
      v10 = LoadResource(0, v8);
      v11 = LockResource(v10);
      pNumFonts = 0;
      AddFontMemResourceEx(v11, v9, 0, &pNumFonts);
      v12 = 0;
      v13 = strlen(aTriglavian);
      do
      {
        byte_405418[v12] = v12;
        v14 = 0;
        while ( aTriglavian[v12 % v13] != byte_403370[v14] )// base64 A-a-0-+/
        {
          if ( ++v14 >= 64 )
          {
            LOBYTE(v14) = -1;
            break;
          }
        }
        byte_4053D8[v12++] = v14;
      }
      while ( v12 < 64 );
      v15 = 0;
      for ( i = 0; i < 64; ++i )
      {
        v17 = byte_405418[i];
        v15 = (v17 + byte_4053D8[i] + v15) % 64;
        byte_405418[i] = byte_405418[v15];
        byte_405418[v15] = v17;
      }
      v18 = time64(0);
      srand(v18);
      v19 = GetDC(hWnd);
      hdcSrc = CreateCompatibleDC(v19);
      ho = CreateCompatibleBitmap(v19, w, cy);
      SelectObject(hdcSrc, ho);
      ReleaseDC(hWnd, v19);
      v20 = CreateFontA(32, 27, 0, 0, 700, 0, 0, 0, 1u, 0, 0, 1u, 0x21u, "Triglavian - Complete");
      SelectObject(hdcSrc, v20);
      DeleteObject(v20);
      SetBkMode(hdcSrc, 1);
      dword_405474 = w / 48;
      v21 = 0;
      Block = calloc(w / 48, 0x20u);
      if ( dword_405474 > 0 )
      {
        v22 = 0;
        v23 = 0;
        do
        {
          sub_401270(v23);
          ++v21;
          v22 += 32;
          v23 += 48;
        }
        while ( v21 < dword_405474 );
      }
      return 0;

然后加密,每运行1次加密1字符。

char sub_401160()
{
  char v0; // bl
  int v1; // edi
  char v2; // dl
  int v3; // ecx
  char v4; // al
  int v5; // eax

  if ( dword_40545C > *(_DWORD *)(*(_DWORD *)NtCurrentTeb()->ThreadLocalStoragePointer + 4) )
  {
    _Init_thread_header(&dword_40545C);
    if ( dword_40545C == -1 )
    {
      dword_405460 = rand();
      _Init_thread_footer(&dword_40545C);
    }
  }
  dword_405460 = (dword_405460 + 1) % 192;
  v0 = byte_4032A8[dword_405460];
  v1 = (dword_4053D4 + 1) % 64;
  v2 = byte_405418[v1];
  dword_4053D4 = v1;
  v3 = (v2 + dword_4053D0) % 64;
  v4 = byte_405418[v3];
  dword_4053D0 = v3;
  byte_405418[v1] = v4;
  byte_405418[v3] = v2;
  v5 = 0;
  while ( v0 != byte_403370[v5] )
  {
    if ( ++v5 >= 64 )
    {
      LOBYTE(v5) = -1;
      return byte_403370[(char)v5 ^ byte_405418[(v2 + byte_405418[v1]) % 64]];
    }
  }
  return byte_403370[(char)v5 ^ byte_405418[(v2 + byte_405418[v1]) % 64]];
}

前边已经有好几个RC4的题了,思路都一样

code = b'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
key = (b'Triglavian'*10)[:64]
key = [code.index(i) for i in key]

#生成key
S = list(range(64))
j = 0
for i in range(64):
    j = (j + S[i] + key[i])%64
    S[i],S[j] = S[j],S[i]

#生成足够长的码表
i,j = 0,0
tab = [0]*200
for k in range(200):
    i = (i + 1)%64
    j = (j + S[i])%64
    S[i],S[j] = S[j],S[i]
    tab[k] = S[(S[i]+S[j])%64]

print(tab, len(tab))

c = b'20c1LOP2FnBOCMhPbCdtXTHmpgoK7g1sPN0KCcaBs3sWx/5Bob1t6IJaahW6SUGpTW11DmhJGeTj3UCSPCOZYaLw9qmg80kN56XF+dNhBYlfKbWqwSKJl+zTBvH0yBLDy7nwJ1W/SeBW+LaUV1Dq4FRnogzD5FOHNknyfyMerA3o5lgRq03f2M5C7ixuJ6WK'
print( bytes( [code[code.index(v) ^ tab[i]] for i,v in enumerate(c) ] ) )
#b'flag/SECRETTriglavianModifiyM1n1RC4StreamCipher/flag/SECRETTriglavianModifiyM1n1RC4StreamCipher/flag/SECRETTriglavianModifiyM1n1RC4StreamCipher/flag/SECRETTriglavianModifiyM1n1RC4StreamCipher/'
#flag/SECRETTriglavianModifiyM1n1RC4StreamCipher/

石氏是时试
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow 月饼 re1_西北望乡
chuxuezhewocao的博客
06-08 194
ctfshow 月饼
ctfshow_月饼
qq_44657899的博客
07-01 478
文章目录0x010x03 web3_莫负婵娟 (LIKE盲注、$PATH环境变量截取字母) 0x01 0x03 web3_莫负婵娟 (LIKE盲注、$PATH环境变量截取字母) 在登录页面的源代码中可以看到一些提示 用户名为yu22x,查询语句为like,可以使用通配符%和_。 百分比(%)通配符允许匹配任何字符串的零个或多个字符。下划线_通配符允许匹配任何单个字符。 fuzz了一下,被过滤的有这些字符,%号被过滤了,我们可以使用_ 写个脚本测试一下密码长度 import requests heade
ctfshow-月饼
LYJ20010728的博客
06-15 628
web1_此夜圆web1_此夜圆考点思路Payloadweb2_故人心考点思路Payloadweb3_莫负婵娟考点思路Payload web1_此夜圆 考点 php反序列化字符逃逸 思路 观察 index.php 代码,很容易发现是php反序列化字符逃逸中字符增多的考点,我们要将password的值变为yu22x,从而达到包含 flag.php 的目的,我们需要逃逸的部分为 ";s:8:"password";s:5:"yu22x";},长度为30,所以我们需要15个 Firebasky来达到逃逸这部分
[ctf.show.reverse] 月饼II 逆向辣鸡工程师的工作
weixin_52640415的博客
04-28 338
从文件中追踪流得到elf文件,RC4加密,得到一个fake __int64 __fastcall sub_1360(__int64 a1, _BYTE *a2, __int64 a3) { _BYTE *v3; // r10 unsigned int v4; // er9 unsigned int v5; // er8 char *v6; // rax char v7; // dl char *v8; // rcx __int64 result; // rax if (
CTFShow re2 (RC4
Mintind的博客
12-04 1219
本文:跟着大佬的博客一步一步做CTFShow re2的记录
2016.陈宇森.CTF与安全人才培养_ctf_
10-01
CTF大全2016.陈宇森.CTF与安全人才培养
CTF.rar_ctf_seed7rj
09-21
【标题】"CTF.rar_ctf_seed7rj" 暗示了这是一个与网络安全相关的挑战,CTF(Capture The Flag)是网络安全领域常见的比赛形式,通常涉及逆向工程、密码学、网络攻防等技能。"seed7rj"可能是这次挑战的一个特定标识...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
welcome_CTF.exe
08-07
一道简单的ctf逆向题目,取自于成信大2019四叶草安全比赛
ctf.rar_ctf
09-21
this is script from my ctf
ctfshow re2
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
06-03 704
题目是勒索病毒,加密了一个文件,题目给的另一个文件是解密后的。连续交叉引用,发现一个函数调用了这个函数。看到这个解密后的字符串是密钥。看到了RC4的初始化函数。用010editor打开。
CTFSHOW re2
XFox_的博客
10-28 1884
勒索病毒.exe 打开IDA_main函数里的返回值main_0: __CheckForDebuggerJustMyCode(&unk_40B027); Str = 0; memset(v19, 0, sizeof(v19)); Str1 = 0; memset(v17, 0, sizeof(v17)); memset(v15, 0, 0x100u); memset(v14, 0, 0x100u); v11 = 1; do { sub_401037("*
2021 ctfshow 月饼 pwn Moon_note
yongbaoii的博客
09-24 282
保护全开,没给libc。 没给libc真可谓。 菜单 create 设计的很有意思,申请的chunk实现了类似unsorted bin 的一个hash表。 chunk的结构是前16个字节是title,中间16个字节是链表,后八个字节是一会write的时候写内容的chunk地址。 write 就是申请一个chunk,写东西,地址放到上面create里面说的那个玩意里面。 但是只能写一次。 show 正常show delete free掉chunk,但是漏洞就在free掉那个wirte的chunk之后没有清.
[ctf.show.reverse] re2
weixin_52640415的博客
04-13 1186
签到完了就一个小题,本身不繁杂但是有点长。 先是要求输入一个串然后逐位与0x1f异或后检查密钥是否正确 char __cdecl sub_401A70(char *Str, char *Str1) { char v3; // [esp+0h] [ebp-E4h] signed int i; // [esp+D0h] [ebp-14h] signed int v5; // [esp+DCh] [ebp-8h] __CheckForDebuggerJustMyCode(&unk_
CTFShow re3
Mintind的博客
12-01 1585
CTFShow re3解题记录
【Web】CTFSHOW 月饼 题解(全)
最新发布
uuzeray的博客
05-10 759
是一个非负整数,表示提取子字符串的起始位置。[ ] 表示指定范围 ([a-f]) 或集合 ([abcdef]) 中的任何单个字符。[^] 不属于指定范围 ([a-f]) 或集合 ([abcdef]) 的任何单个字符。一眼八股,但小写字母都被waf掉了,用提示中的环境变量+linux字符串截取来构造。脚本爆可以0e绕过的值,$b要爆3位,$c要爆4位。中提取一个子字符串,并根据提供的参数进行操作。变量中的第3、第4和第5个字符组成的子字符串。是一个非负整数,表示提取的子字符串的长度。同于DOS命令中的?
REVERSE-PRACTICE-CTFSHOW-2
P1umH0的博客
07-07 3506
REVERSE-PRACTICE-CTFSHOW-2re3红包题 武穆遗书数学不及格flag白给 re3 main函数,分析可知,将输入的字符串按十六进制转成数字,写到v5,赋给v17[6] 当i等于6时,v16会加上输入的值,然后进入循环,最后判断v16是否等于0xffff 因为v17[0~5]的值是固定的,于是当i等于0到5的过程中,v16最后的累加结果是固定的 调试可得,当i刚刚++到6时,v16的值为0xE560 第二层for循环中,v16先加上v17[6],然后判断是否大于0xffff,小于等于
01--AFCTF--re2(SMC)
Eira_H的博客
07-06 1388
SMC(self-Modifying Code) 自修改代码,程序在执行某段代码的过程中会对程序的代码进行修改,只有在修改后的代码才是可汇编,可执行的。在程序未对该段代码进行修改之前,在静态分析状态下,均是不可读的字节码。 调试时遇到的一个问题 在使用IDA进行调试的过程中可能会遇到Create Process Fail这个错误,这是因为被调试程序的路径不是全英文的。 ID...
ctf.show_web5
10-22
ctf.show_web5是一个CTF比赛中的WEB模块第5关,需要传递两个参数v1和v2,要求v1必须是纯字母字符串,v2必须是数字或数字字符串,并且两个参数的md5值必须相等。可以利用md5的0e漏洞进行绕过。具体来说,可以构造一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值