[ctf.show.reverse] 吃瓜杯 签层饼,Tea_tube_pot

最新推荐文章于 2023-06-25 09:50:29 发布
最新推荐文章于 2023-06-25 09:50:29 发布
阅读量570 收藏 1
点赞数
分类专栏: CTF reverse 文章标签: reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/124448320
版权

签层饼

真有一千层函数呀,沿着输入存入的两个变量找,找到3个函数:

主函数给出了flag的组织方式,

check1说number2<882408,

check2说number1 = number2^333509

check_n说返回的条件,但是由于这个数是个随机数不能确定,而且number2很小可以爆破。

int __cdecl main_0(int argc, const char **argv, const char **envp)
{
  int v3; // eax

  printf("Hello!Welcome to ctfshow,You need to input two numbers\n");
  printf("number1:");
  scanf("%d", &number1);
  printf("\n");
  printf("number2:");
  scanf("%d", &number2);
  v3 = time(0);
  sub_4B9370(v3);
  dword_528DC0 = (rand() - 999) % 500;
  if ( dword_528DC0 > 9999999 )
    printf("提示:这里的R是想写成任意范围的,但是因为运算溢出");        // 提示:这里的R是想写成任意范围的
  if ( number1 > 0 && number2 > 0 )
  {
    sub_40431D();
    if ( dword_525A30 )
    {
      printf("%d", dword_528DC0);
      printf("Key Error");
    }
    else
    {
      printf("yeah!Your flag:ctfshow{c52e1e1a33%d0e%dc}", number1, number2);
    }
  }
  else
  {
    printf("Error");
  }
  ......
}

int check1()
{
  int result; // eax

  result = sub_4015B4(881778, 666);             // a1^a2
  if ( number2 <= result )                      // <882408
    result = sub_4098EA();
  return result;
}
int check2()
{
  int result; // eax

  result = sub_4015B4(number2, 333509);         // number1 = number2 ^333509
  if ( number1 == result )
    result = sub_40C63A();
  return result;
}
int check_n()
{
  dword_525A30 = 1;
  if ( dword_528DC0 * dword_528DC0 * number2 - 1877 * dword_528DC0 + 1 < 0
    || dword_528DC0 * dword_528DC0 * number2 - 1877 * dword_528DC0 != -1 )
  {
    dword_525A30 ^= 1u;
  }
  return sub_408724();
}

一般情况下实际的数应该在给定数比较近,所以一般不从0开始爆,而是从大向小爆。大概率少用时。

import subprocess

for n2 in range(882408,-1,-1):
    n1 = n2^333509
    
    p = subprocess.Popen('./千层饼.exe', stdin=subprocess.PIPE, stdout=subprocess.PIPE, stderr=subprocess.PIPE)
    p.stdin.write(f"{n1}\n{n2}".encode())
    p.stdin.close()

    data = p.stdout.read()
    p.stdout.close()
    if b'flag' in data:
        print(data)
        break

#b'Hello!Welcome to ctfshow,You need to input two numbers\r\nnumber1:\r\nnumber2:
#yeah!Your flag:ctfshow{c52e1e1a335489030e882402c}'

Tea_tube_pot

看名字就是tea加密,而且用了3次,不过都不难,直接逆回即可。第2段在中间变的v5所以处理v4时与v3时v5差1个。第3段虽然用了判断两种情况,但参数是固定的,所以只需看一半。

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  if ( check_c11() && (unsigned int)check_CA5(a1, a2) && (unsigned int)check_D45() )
    puts("Congrts!Your Flag is 'ctfshow{'+PART1+PART2+PART3+'}'!");
  return 0LL;
}
__int64 __fastcall sub_71A(unsigned int *input, _DWORD *a2)
{
  __int64 result; // rax
  unsigned int v3; // [rsp+1Ch] [rbp-24h]
  unsigned int v4; // [rsp+20h] [rbp-20h]
  int v5; // [rsp+24h] [rbp-1Ch]
  unsigned int i; // [rsp+28h] [rbp-18h]

  v3 = *input;                                  // input,'This_is_teatube!'
  v4 = input[1];
  v5 = 0;
  for ( i = 0; i <= 0x1F; ++i )
  {
    v5 -= 0x61C88647;
    v3 += (v4 + v5) ^ (16 * v4 + *a2) ^ ((v4 >> 5) + a2[1]);
    v4 += (v3 + v5) ^ (16 * v3 + a2[2]) ^ ((v3 >> 5) + a2[3]);
  }
  *input = v3;
  result = v4;
  input[1] = v4;
  return result;
}
__int64 __fastcall sub_7F8(unsigned int a1, unsigned int *a2, __int64 a3)
{
  __int64 result; // rax
  unsigned int i; // [rsp+24h] [rbp-14h]
  unsigned int v3; // [rsp+28h] [rbp-10h]
  unsigned int v4; // [rsp+2Ch] [rbp-Ch]
  unsigned int v5; // [rsp+30h] [rbp-8h]

  v3 = *a2;
  v4 = a2[1];
  v5 = 0;
  for ( i = 0; i < a1; ++i )
  {
    v3 += (((v4 >> 5) ^ (16 * v4)) + v4) ^ (*(_DWORD *)(4LL * (v5 & 3) + a3) + v5);
    v5 -= 0x61C88647;
    v4 += (((v3 >> 5) ^ (16 * v3)) + v3) ^ (*(_DWORD *)(4LL * ((v5 >> 11) & 3) + a3) + v5);
  }
  *a2 = v3;
  result = v4;
  a2[1] = v4;
  return result;
}
__int64 __fastcall sub_8D3(unsigned int *a1, int a2, __int64 a3)
{
  unsigned int *v3; // rax
  unsigned int *v4; // rax
  __int64 result; // rax
  unsigned int *v6; // rax
  int v7; // [rsp+Ch] [rbp-2Ch]
  unsigned int v8; // [rsp+20h] [rbp-18h]
  unsigned int v9; // [rsp+20h] [rbp-18h]
  unsigned int v10; // [rsp+24h] [rbp-14h]
  unsigned int v11; // [rsp+24h] [rbp-14h]
  unsigned int v12; // [rsp+24h] [rbp-14h]
  unsigned int v13; // [rsp+28h] [rbp-10h]
  unsigned int v14; // [rsp+28h] [rbp-10h]
  unsigned int j; // [rsp+2Ch] [rbp-Ch]
  int i; // [rsp+2Ch] [rbp-Ch]
  int v17; // [rsp+30h] [rbp-8h]
  int v18; // [rsp+30h] [rbp-8h]
  int v19; // [rsp+34h] [rbp-4h]
  unsigned int v20; // [rsp+34h] [rbp-4h]

  if ( a2 <= 1 )
  {
    if ( a2 < -1 )
    {
      v7 = -a2;
      v18 = 52 / -a2 + 6;
      v14 = -1640531527 * v18;
      v9 = *a1;
      do
      {
        v20 = (v14 >> 2) & 3;
        for ( i = v7 - 1; i; --i )
        {
          v11 = a1[i - 1];
          v6 = &a1[i];
          *v6 -= ((v9 ^ v14) + (v11 ^ *(_DWORD *)(4LL * (v20 ^ i & 3) + a3))) ^ (((4 * v9) ^ (v11 >> 5))
                                                                               + ((v9 >> 3) ^ (16 * v11)));
          v9 = *v6;
        }
        v12 = a1[v7 - 1];
        *a1 -= (((4 * v9) ^ (v12 >> 5)) + ((v9 >> 3) ^ (16 * v12))) ^ ((v9 ^ v14) + (v12 ^ *(_DWORD *)(4LL * v20 + a3)));
        result = *a1;
        v9 = *a1;
        v14 += 1640531527;
        --v18;
      }
      while ( v18 );
    }
  }
  else
  {
    v17 = 52 / a2 + 6;                          // 32
    v13 = 0;
    v10 = a1[a2 - 1];                           // v10 = a1[1]
    do
    {
      v13 -= 0x61C88647;
      v19 = (v13 >> 2) & 3;
      for ( j = 0; j < a2 - 1; ++j )
      {
        v8 = a1[j + 1];
        v3 = &a1[j];
        *v3 += ((v8 ^ v13) + (v10 ^ *(_DWORD *)(4LL * (v19 ^ j & 3) + a3))) ^ (((4 * v8) ^ (v10 >> 5))
                                                                             + ((v8 >> 3) ^ (16 * v10)));
        v10 = *v3;
      }
      v4 = &a1[a2 - 1];
      *v4 += ((*a1 ^ v13) + (v10 ^ *(_DWORD *)(4LL * (v19 ^ j & 3) + a3))) ^ (((4 * *a1) ^ (v10 >> 5))
                                                                            + ((*a1 >> 3) ^ (16 * v10)));
      result = *v4;
      v10 = result;
      --v17;
    }
    while ( v17 );
  }
  return result;
}

逆程序

from pwn import u32,p32

'''
  for ( i = 0; i <= 0x1F; ++i )
  {
    v5 -= 0x61C88647;
    v3 += (v4 + v5) ^ (16 * v4 + *a2) ^ ((v4 >> 5) + a2[1]);
    v4 += (v3 + v5) ^ (16 * v3 + a2[2]) ^ ((v3 >> 5) + a2[3]);
  }
'''
a2 = [u32(b'This'), u32(b'_is_'), u32(b'teat'), u32(b'ube!')]
v5 = [0]*0x20
t = 0 
for i in range(0x20):
    t = (t - 0x61C88647) & 0xffffffff
    v5[i] = t 
    #print(hex(t))

v3 = 0x5FD744F6
v4 = 0x95832046
for i in range(0x1f,-1,-1):
    v4 -= (v3 + v5[i])^(16 * v3 + a2[2]) ^ ((v3>>5) + a2[3])
    v4 = v4&0xffffffff
    v3 -= (v4 + v5[i])^(16 * v4 + a2[0]) ^ ((v4>>5) + a2[1])
    v3 = v3&0xffffffff
flag = b'ctfshow{'+p32(v3)+p32(v4)

#v3 += (((v4 >> 5) ^ (16 * v4)) + v4) ^ (*(_DWORD *)(4LL * (v5 & 3) + a3) + v5);
#v4 += (((v3 >> 5) ^ (16 * v3)) + v3) ^ (*(_DWORD *)(4LL * ((v5 >> 11) & 3) + a3) + v5);

v3 = 0xFD731313
v4 = 0x6662CB90
v5 = [0] + v5
for i in range(0x1f,-1,-1):
    v4 -= (((v3 >> 5) ^ (16 * v3)) + v3) ^ (a2[(v5[i+1] >> 11) & 3] + v5[i+1])
    v4 &= 0xffffffff
    v3 -= (((v4 >> 5) ^ (16 * v4)) + v4) ^ (a2[v5[i]         & 3] + v5[i])
    v3 &= 0xffffffff
flag += p32(v3)+p32(v4)

v3 = 0x4B136C82
v4 = 0x1A6E9613
v5 = v5[1:]
for i in range(0x1f,-1,-1):
    v4 -= ((v3 ^ v5[i]) + (v3 ^ a2[(((v5[i]>>2)&3)^1)&3])) ^ (((4 * v3) ^ (v3 >> 5))+ ((v3 >> 3) ^ (16 * v3)))
    v4 &= 0xffffffff
    v3 -= ((v4 ^ v5[i]) + (v4 ^ a2[(((v5[i]>>2)&3)^0)&3])) ^ (((4 * v4) ^ (v4 >> 5))+ ((v4 >> 3) ^ (16 * v4)))
    v3 &= 0xffffffff
flag += p32(v3)+p32(v4)+b'}'
print(flag)
    
#ctfshow{T1nyENCryPti0nA19ori7hM!}

石氏是时试
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow吃瓜杯 web writeup
ashMOB的博客
11-16 885
ctfshow吃瓜杯 web writeup shellme 进去就是phpinfo,Ctrl+f搜一下就行 热身 简单的代码审计 include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]|\./i", $num)){
ctfshow 吃瓜杯 web 部分题
ccfly1012的博客
09-08 782
目录 热身 shellme shellme_Revenge 热身 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 16:53:59 # @link: https://ctfer.com ​ */ ​ include("flag.php"); highli
REVERSE-PRACTICE-CTFSHOW-7
P1umH0的博客
11-18 983
REVERSE-PRACTICE-CTFSHOW-6签层Tea_tube_poteasy贪吃蛇的秘密 签层 32位exe,ida打开 main函数中,输入两个大于0的数字,如果flag_num为0,则将两个输入作为flag的一部分,打印flag 对input_1按x查找交叉引用,发现一条由input_1参与的cmp指令 跟进过去,判断input_1==input_2^333509是否成立,一般来说这种判断都需要成立才行 再对input_2查找交叉引用,同样发现一条由input_2参与的cmp指令
[GDOUCTF 2023]Tea
qq_73682634的博客
04-27 671
可知v7为key,且被更改为{2233,4455,6677,8899},双击 sub_1400112B7(v8, v7),跟进sub_140011900(a1, a2)函数,可知其为tea加密,然后再双击sub_140011352(v8),跟进sub_140011B60(a1)函数,双击sub_140011339(v7)跟进,然后跟进sub_1400117D0(a1)函数,双击flag跟进 ,找到调用函数sub_140016230,点进去查看函数关键代码。将结果借助在线工具转换成文本字符串就可以了。
ctfshow 吃瓜杯八月赛 Misc WriteUp
Nancy523的博客
08-18 1094
目录 1、Misc游戏签到 2、吃瓜 3、EZbingo 4、魔王 5、Dinner of Cyanogen 6、Music Game 7、一群强盗 目录位置) 1、Misc游戏签到 别问 问就是玩游戏 套神说的) :多选杀戮 没有杀戮就选背刺 少选能量瓶子 吓死就对了^q^ 打了小几十把 脸黑没办法 期间遇到过环境卡死 3段flag闪退 环境罢工( 八神说 是python的错跟套神没关系呜呜呜 ctfshow{White_give_game_o...
ctfshow吃瓜杯-签层Tea_tube_pot
weixin_61154173的博客
03-28 244
发现如果if条件成立,则 dword_525A30 就为0,那看if条件,因为要求num1和num2,所以他们是唯一的,所以如果想要输出yeah!这个if条件一定成立,即num2正确的话,dword_525A30一定为0,所以关注点是如何求num1,num2。程序很简单,其中生成随机数的那部分代码并没有影响用户输入的值,所以可以不考虑,那倒着分析,看那个if分支。dword_525A30为0就可以输出yeah,那我们肯定想让他为0,点进去看看。对,num1,num2按热键x交叉引用。发现恒1,x交叉引用。
CTF.rar_ctf_seed7rj
09-21
【标题】"CTF.rar_ctf_seed7rj" 暗示了这是一个与网络安全相关的挑战,CTF(Capture The Flag)是网络安全领域常见的比赛形式,通常涉及逆向工程、密码学、网络攻防等技能。"seed7rj"可能是这次挑战的一个特定标识...
ctf.rar_ctf
09-21
this is script from my ctf
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
welcome_CTF.exe
08-07
一道简单的ctf逆向题目,取自于成信大2019四叶草安全杯比赛
ds_store 敏感信息泄露.zip
01-11
在CTF(Capture The Flag)网络安全竞赛中,利用.DS_Store文件进行目录泄露是一种常见的技巧。 首先,我们需要了解.DS_Store文件的结构。它们是由Apple File System (HFS+)产生的,通常以二进制格式存储。通过解析...
TEA加密算法学习
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
03-02 5688
概述   TEA算法由剑桥大学计算机实验室的David Wheeler和Roger Needham于1994年发明。它是一种分组密码算法,其明文密文块为64比特,密钥长度为128比特。TEA算法利用不断增加的Delta(黄金分割率)值作为变化,使得每轮的加密是不同,该加密算法的迭代次数可以改变,建议的迭代次数为32轮。 加密过程   TEA算法使用64位的明文分组和128位的密钥,它使用Feistel分组加密框架,需要进行 64 轮迭代,尽管作者认为 32 轮已经足够了。该算法使用了一个神秘常数δ作为倍数
re学习笔记(45)[ACTF2020]tea
逆向随笔
02-28 1736
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目分析 IDA载入,shift+F12查看字符串,根据字符串找到关键代码 上面IDA自动给生成的Str的长度为4,下面验证str的长度为22,于是我们手动更改Str的类型为char Str[23],就能正常显示 题目为tea,用IDA的Findcrypt插件查找一下,果然是tea系列的加密算法 分析出a1为加密数,a2为长度,...
逆向分析中的密码学---tea
abelxu
04-13 3453
0x01 简介 TEA全称Tiny Encrypt Algorithm。在CTF逆向分析中经常会出现Tea或者魔改了DELTA的TEA算法。 0x02 算法原理 明文长度分组为64位(8字节),密钥长度为128位(16字节),明文和密钥进入32轮循环,得到最后的64位密文。其中magic number DELTA是由黄金分割点得到。 算法比较简单源码如下 #include<stdio.h> #define DELTA 0x9e3779b9 void tea_encrypt(unsigned i
TEA系列算法
M3ng@L的博客
12-28 516
TEA 分组加密算法,明文以8字节一组,密钥以16字节一组( (明文以8字节分组最后一组不够时填充) 密钥分为四个子密钥进行加密解密 加密过程 delta = 0x9e3779b9 for i in range(32): # 加密轮数(一般是32轮) sum += delta l += ((r<<4)+k0)^(r+sum)^((r>>5)+k1) r += ((l<<4)+k2)^(l+sum)^((l>>5)+k3) v[0] = l v[1] =
【CTF-Reverse中的加密算法】RC4,TEA和Base 64加密算法
WdIg-2023的博客
06-25 2915
在我们做CTF逆向题目的时候,数据结构可谓是最基础的东西了,有很多题目都是逆向算法题目,所以好的算法能力对我们打CTF比赛还是很有帮助的,今天就来带领大家了解一下加密算法RC4,TEA和Base 64。
ctf之逆向常见题型
thesat的博客
01-23 7589
开头 逆向的题型有很多很多种,那些没见过的,以后再说 写下这篇文章我顺便复习一下,好多东西都快忘了怎么做了,前面那些逆向基础知识,有什么用呢,就一个用,让你明白为什么要那么做,和数学一样,解题的方法绝对不止一种,做一道题看wp的时候,建议多看几份,学习一下各种不同的解法并动手得出flag,看会了不代表你真的动手就会了,计算机专业实践性非常强,一道题多解法,以后做题的话可以给自己更多选择,就可以打破一道题几个小时硬着头皮上了 逆向常见题型: base N(N代表正整数哈哈哈)base家族系列
《CTF特训营》——Reverse:逆向分析
PICACHU+++的博客
07-15 2260
一、常规逆向分析流程 1.API断点 API的定义:是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。 在获取文本输入时。对于窗口类程序获取文本方式主要通过GetWindowText和 ........................
tea系列算法速成总结及其在PWN中运用
蚁景网安学院
02-16 1135
点击蓝字关注我们在安全学领域,TEA(Tiny Encryption Algorithm)是一种分组加密算法,它的实现非常简单,通常只需要很精短的几行代码。TEA 算法最初是由剑桥计算机实...
ctf.show_web5
10-22
ctf.show_web5是一个CTF比赛中的WEB模块第5关,需要传递两个参数v1和v2,要求v1必须是纯字母字符串,v2必须是数字或数字字符串,并且两个参数的md5值必须相等。可以利用md5的0e漏洞进行绕过。具体来说,可以构造一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值