[ctf.show.reverse] 吃鸡杯 ezmore,有手就行,EzAutoRe

最新推荐文章于 2023-05-30 20:13:23 发布
最新推荐文章于 2023-05-30 20:13:23 发布
阅读量489 收藏
点赞数
分类专栏: CTF reverse 文章标签: reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/124442148
版权

逆向工程 CTF挑战 编码解码 矩阵求解 UPX脱壳
关键词由CSDN通过智能技术生成

ezmore

动调的题,跟进去在4019d6下断点看比较情况得到neft输入后得到flag组成提示

有手就行

一上来就猜入口是_main然后解到一个fake

s2 = [99,23,113,2,106,5,114,9,109,2,93,36,75,62,97,13,100,15,106,53,83,50,89,60,3,60,65]
s1 = [0]*len(s2)
s1[0] = 99
#~(*(v1 - 2) & v2) & (*(v1 - 2) ^ v2)
#~(s1[i-1] & s1[i]) & (s1[i-1] ^ s1[i])
for i in range(1,27):
    for j in range(0x20,0x7f):
        if (0xff - (s2[i-1]&j) )&(s2[i-1]^j) == s2[i]:
            s1[i] = j 
            break

print(bytes(s1))
#ctfshow{do_you_like_fake??}

再回来看main,入口在Game start前边

int __cdecl main(int argc, const char **argv, const char **envp)
{
  _DWORD v4[6]; // [esp+15h] [ebp-1Bh] BYREF
  __int16 v5; // [esp+2Dh] [ebp-3h]
  char v6; // [esp+2Fh] [ebp-1h]

  sub_401BF0();                                 // 真正入口
  puts("Game start");
  scanf("%s", &dword_406060);
  v4[0] = dword_406060;                         // 26
  v4[1] = dword_406064;
  v4[2] = dword_406068;
  v4[3] = dword_40606C;
  v4[4] = dword_406070;
  v4[5] = dword_406074;
  v5 = word_406078;
  v6 = byte_40607A;
  if ( !sub_4013F0(v4) )
    exit(0);
  return 0;
}

一直跳下去到401f20,主要逻辑就是互换,异或和移位,这里专门给函数改了个名字

_onexit_t sub_401F20()
{
  Buf2 = &dword_406060;                         // 输入内容 Buf2
  buf2_ex();
  sub_4012D0(sub_401600);                       // 比较
  sub_4012D0(buf2_xor_result);
  return sub_4012D0(buf2_add_7);
}

然后写出逆向程序

s2 = [0xDC,0x47,0x7F,0x6E,0x9A,0xD8,0x60,0x77,0xF4,0xB0,0x8C,0x54,0xB0,0xAA,0x26,0x23,0x02,0x42,0x8E,0xBA,0x90,0x8C,0xAB,0x86,0x24,0x6E,0xF8]
d_406480 = [256-i for i in range(256)]
d_406080 = (b'keykeykey'*100)[:256]
#交换码表
v1 = 0
r = 0
for i in range(256):
    v3 = d_406480[v1]
    r  = (d_406080[v1]+v3 + r)%256
    d_406480[v1],d_406480[r] = d_406480[r],v3
    v1+=1
#异或,+7
v0 = 0
tab = [0]*256
for i in range(27):
    v0 = (d_406480[i+1] + v0)%256
    d_406480[i+1],d_406480[v0] = d_406480[v0],d_406480[i+1]
    tab[i] = d_406480[(d_406480[v0] + d_406480[i+1])%256]
    print(chr((tab[i] ^ s2[i])-7), end='')

#ctfshow{y0u_g0t_t4e_5ecret}

EzAutoRe

没有直接给附件而是给了远程环境。登上后直接得到base64编码的程序。

下下来发现有壳,用upx脱后,跟36D杯BBBigEqSet极为相似都是用numpy.linalg.solve()求解行列式的128个解,唯一区别就是每次写到的变量不是接顺序的,这个需要读写入变量位置

将原来的程序稍加改动。另外直接搜索下的upx3.96脱壳工具大多是国内包装过有window界面的,需要到github上下命令行执行的原生版本。

from pwn import *
from base64 import b64decode

p = remote('pwn.challenge.ctf.show', 28138)
context.log_level = 'debug'

p.recvuntil(b'-------------------------------------------------\n')
data = p.recvuntil(b'-------------------------------------------------\n', drop=True)
open('EzAutoRe', 'wb').write(b64decode(data))

os.system('c:\\tools\\upx-3.96-win64\\upx.exe -d EzAutoRe')

data = open('EzAutoRe','rb').read()
ta = []
tb = []
tmp = [0]*128
ptr = 0x1218
while ptr<len(data):
    idx = 0
    if data[ptr:ptr+3] == b'\x0f\xb6\x85': #movzx   eax, [rbp+var_C2] 存到哪个变量里
        idx = data[ptr+3]
        ptr+=10
    if data[ptr:ptr+2] == b'\x69\xd0':  #imul    edx, eax, 0ABA4h 开始读数据第1个
        tmp[idx] = u32(data[ptr+2: ptr+6])
        ptr+=6
    if data[ptr:ptr+2] == b'\x69\xc0':  #imul    eax, 0A755h 后续 多 add     edx, eax
        tmp[idx] = u32(data[ptr+2: ptr+6])
        ptr+=8
    if data[ptr] == 0x3d:  #cmp     eax, 1A59D41Eh; jnz     loc_496B4
        tb.append(u32(data[ptr+1:ptr+5]))
        ta.append(tmp)
        tmp = [0]*128
        ptr+=11
    if data[ptr:ptr+5] == b'\x48\x8d\x3d\x85\x09':  #结束
        break 

import numpy as np
an = np.array(ta)
bn = np.array(tb)

x = np.linalg.solve(an,bn)
print(x)
flag = bytes([round(i) for i in x])
print(flag)

p.sendline(flag)
p.recv()
p.interactive()
#ctfshow{0105ed6e-4395-49a9-a0e3-59742d504cd4}

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[CTFshow]
Huamang的博客
08-06 1013
在?看看密码 给了一个vmem文件,内存取证 搞密码肯定一开始想到系统用户的密码 volatility --profile=Win7SP1x64 -f looklookpassword.vmem hivelist volatility --profile=Win7SP1x64 -f looklookpassword.vmem hashdump -y 0xfffff8a000024010 -s 0xfffff8a000dd7010 找一下竟然没有密码 那可能是浏览器里面保存了的密码 volatil
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出...
CTFshow-杯-RE
qq_52974719的博客
08-02 672
这里写目录标题1、ezmore2、有 1、ezmore 1、初步分析 exe文件,直接运,可知要得到与flag相关的信息需要输入正确的文件下载码。 查下壳:32二位文件,直接ida32打开 2、静态分析 最开始的输入,然后跟一个if判断,其中i=2时为主要逻辑。 str内存储着我们输入的下闸码,接着进入了e2edef40ecaa776b8d32d58416998这个函数进检验,v2是我们输入的编号,毫无疑问v2=8 函数主要是生成了一个str2,和我们的输入str1最终进比较,可知前几句主
ctfshow 2021/7/9-10 杯 6题
mumuzi的博客
07-10 1396
群主说要出简单的题目大家把这题想简单一点 直接把c转字符串即可 from libnum import * print(n2s(7539424334663709603622451394173266049480031393220309445902319310504736287365860451132752036622339554159799611768328686792828750952551268647863160547774237934958072391797341405165512721597085695
ctfshow-杯-Crypto-Writeup
mxx307的博客
07-12 1181
杯部分wpCryptoCop! Run!!题目思路才艺表演海那边漂来的漂流瓶群主说要出简单的题目大家把这题想简单一点The Dedication of Suspect MMisc信守着承诺 Crypto Cop! Run!! 题目 from Crypto.Util.number import * from flag import flag n = 1 << 8 p = getPrime(n) print(p) P.<t> = PolynomialRing(Zmod(p)) f
ctf-reverse】解题记录-easyre
gmp的博客
07-25 474
ctf-reverse】解题记录-easyre
CTF 湖湘杯 决赛 2021 final.zip
12-07
CTF 湖湘杯 决赛 2021 final】 CTF(Capture The Flag)是一项网络安全领域的竞技活动,参与者通过解决一系列网络安全问题来获取得分,最终以得分高低决定胜负。湖湘杯作为一项知名的CTF比赛,旨在促进网络安全...
CTF.rar_ctf_seed7rj
09-21
【标题】"CTF.rar_ctf_seed7rj" 暗示了这是一个与网络安全相关的挑战,CTF(Capture The Flag)是网络安全领域常见的比赛形式,通常涉及逆向工程、密码学、网络攻防等技能。"seed7rj"可能是这次挑战的一个特定标识...
绿城杯 CTF 2021 真题 (1).rar
12-07
【绿城杯 CTF 2021 真题】是一个网络安全竞赛的实战题目集,主要涉及计算机安全领域的各种挑战,旨在检验参赛者在逆向工程、密码学、Web安全、移动安全、取证分析等多个方面的技能。CTF(Capture The Flag)比赛是一...
ctf.rar_ctf
09-21
this is script from my ctf
2023 CTF国赛初赛(CISCN) re- ez_byte
qq_54894802的博客
05-30 1458
我们跳到数据区,发现这个100%下面的,yes并没有在string窗口出现,我们按下x查询交叉引用,在执yes之前,有个jmp指令,也就是说,按照程序执是永远不好去到yes的地方的,也就是说,一定有什么操作,然后再跳到yes中去。在前面,我们分析了,对r12的操作,并没有直接出现在代码上,操作代码被隐藏了。为此,我们可以大致猜测就是运程序,触发一个异常,然后通过此条转到想要操作的地方,进操作,通过题目描述,应该就是嵌入了一堆字节码。我们查看判断跳入,yes的汇编,我们可以发现,
青少年CTF Crypto-Easy Morse WP
weixin_55265137的博客
10-11 383
青少年CTF Crypto-Easy Morse WP
UNCTF-日常训练-reverse-ezRust
ookami6497的博客
08-24 338
ezRust
GKCTF EZ三剑客-EzWeb 题目分析总结
crispr的博客
06-30 2502
此篇文章在安全客首发,仅转载到个人博客 https://www.anquanke.com/post/id/209117 前言 刚考完考试自己在buu上复现的,之前没来得及做,复习去了,虽然还是考的很菜(我是fw 。记录一下学习过程吧 正言 GKCTF EZ三剑客-EzWeb 看到这个题前端和我自己出的一个题实在是很像,同样是输入一个url,先看题目长啥样吧。 嗯,啥也没有,输入url基本没反应,F12给的提示是?secret,输入后发现: 这就很敏感了,相当于一个 ifconfig 的命令,这个时.
ctfshow_2021月饼杯记录
MiGooli的博客
09-21 1687
一、WEB篇 作为队内的web,差点连签到题都做不出来,属实是拉大胯丢大人了 web签到 <?php //Author:H3h3QAQ include "flag.php"; highlight_file(__FILE__); error_reporting(0); if (isset($_GET["YBB"])) { if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) { echo "小伙子不错嘛!!flag给你了:" . $fla
CTF刷题第三周
m0re's blog
04-01 2419
本文目录Misc坚持60s Misc 坚持60s 打开发现是个java写的小程序好像,看了一脸懵*。 完全没搞懂咋玩,也不会动。一点思路都没有。 看wp,提到了一个java反编译的工具。没见过这种题。没见过就要记下来嘛,而且我最喜欢的就是玩这种我不知道的工具,又可以收一个。 jd-gui,这个工具,下载链接jd-gui提取码9ggk 下载后不用解压,我分享的是文件夹。直接打开工具用(无需安装)...
[ CTF ]天机战队WriteUp-第六届”蓝帽杯“全国大学生网络安全技能大赛(初赛)
ZXW_NUDT的博客
07-11 3528
第六届”蓝帽杯“全国大学生网络安全技能大赛
ctfshow瓜杯web wp
cosmoslin的博客
09-17 1166
热身 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]|\./i", $num)){ die("no no no!!");
CTFSHOW web入门 web100 wp
wei_xiao_zan的博客
05-22 1308
终于做到100题了!!! 咱就是说先看代码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-21 22:10:28 # @link: https://ctfer.com */ highlight_file(__FILE__); include("ctfshow.p
ctf.show算力超群
最新发布
08-15
对于ctf.show的算力表现超群,我了解的有限。ctf.show是一个CTF竞赛平台,为参赛者提供了丰富的题目和挑战,需要进漏洞利用、密码破解、逆向工程等各种技术方面的攻防对抗。算力在CTF比赛中往往是非常重要的,因为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值