[ctf.show.reverse] 吃瓜杯 签层饼,Tea_tube_pot

最新推荐文章于 2023-04-27 23:01:00 发布
最新推荐文章于 2023-04-27 23:01:00 发布
阅读量573 收藏 1
点赞数
分类专栏: CTF reverse 文章标签: reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/124448320
版权

签层饼

真有一千层函数呀,沿着输入存入的两个变量找,找到3个函数:

主函数给出了flag的组织方式,

check1说number2<882408,

check2说number1 = number2^333509

check_n说返回的条件,但是由于这个数是个随机数不能确定,而且number2很小可以爆破。

int __cdecl main_0(int argc, const char **argv, const char **envp)
{
  int v3; // eax

  printf("Hello!Welcome to ctfshow,You need to input two numbers\n");
  printf("number1:");
  scanf("%d", &number1);
  printf("\n");
  printf("number2:");
  scanf("%d", &number2);
  v3 = time(0);
  sub_4B9370(v3);
  dword_528DC0 = (rand() - 999) % 500;
  if ( dword_528DC0 > 9999999 )
    printf("提示:这里的R是想写成任意范围的,但是因为运算溢出");        // 提示:这里的R是想写成任意范围的
  if ( number1 > 0 && number2 > 0 )
  {
    sub_40431D();
    if ( dword_525A30 )
    {
      printf("%d", dword_528DC0);
      printf("Key Error");
    }
    else
    {
      printf("yeah!Your flag:ctfshow{c52e1e1a33%d0e%dc}", number1, number2);
    }
  }
  else
  {
    printf("Error");
  }
  ......
}

int check1()
{
  int result; // eax

  result = sub_4015B4(881778, 666);             // a1^a2
  if ( number2 <= result )                      // <882408
    result = sub_4098EA();
  return result;
}
int check2()
{
  int result; // eax

  result = sub_4015B4(number2, 333509);         // number1 = number2 ^333509
  if ( number1 == result )
    result = sub_40C63A();
  return result;
}
int check_n()
{
  dword_525A30 = 1;
  if ( dword_528DC0 * dword_528DC0 * number2 - 1877 * dword_528DC0 + 1 < 0
    || dword_528DC0 * dword_528DC0 * number2 - 1877 * dword_528DC0 != -1 )
  {
    dword_525A30 ^= 1u;
  }
  return sub_408724();
}

一般情况下实际的数应该在给定数比较近,所以一般不从0开始爆,而是从大向小爆。大概率少用时。

import subprocess

for n2 in range(882408,-1,-1):
    n1 = n2^333509
    
    p = subprocess.Popen('./千层饼.exe', stdin=subprocess.PIPE, stdout=subprocess.PIPE, stderr=subprocess.PIPE)
    p.stdin.write(f"{n1}\n{n2}".encode())
    p.stdin.close()

    data = p.stdout.read()
    p.stdout.close()
    if b'flag' in data:
        print(data)
        break

#b'Hello!Welcome to ctfshow,You need to input two numbers\r\nnumber1:\r\nnumber2:
#yeah!Your flag:ctfshow{c52e1e1a335489030e882402c}'

Tea_tube_pot

看名字就是tea加密,而且用了3次,不过都不难,直接逆回即可。第2段在中间变的v5所以处理v4时与v3时v5差1个。第3段虽然用了判断两种情况,但参数是固定的,所以只需看一半。

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  if ( check_c11() && (unsigned int)check_CA5(a1, a2) && (unsigned int)check_D45() )
    puts("Congrts!Your Flag is 'ctfshow{'+PART1+PART2+PART3+'}'!");
  return 0LL;
}
__int64 __fastcall sub_71A(unsigned int *input, _DWORD *a2)
{
  __int64 result; // rax
  unsigned int v3; // [rsp+1Ch] [rbp-24h]
  unsigned int v4; // [rsp+20h] [rbp-20h]
  int v5; // [rsp+24h] [rbp-1Ch]
  unsigned int i; // [rsp+28h] [rbp-18h]

  v3 = *input;                                  // input,'This_is_teatube!'
  v4 = input[1];
  v5 = 0;
  for ( i = 0; i <= 0x1F; ++i )
  {
    v5 -= 0x61C88647;
    v3 += (v4 + v5) ^ (16 * v4 + *a2) ^ ((v4 >> 5) + a2[1]);
    v4 += (v3 + v5) ^ (16 * v3 + a2[2]) ^ ((v3 >> 5) + a2[3]);
  }
  *input = v3;
  result = v4;
  input[1] = v4;
  return result;
}
__int64 __fastcall sub_7F8(unsigned int a1, unsigned int *a2, __int64 a3)
{
  __int64 result; // rax
  unsigned int i; // [rsp+24h] [rbp-14h]
  unsigned int v3; // [rsp+28h] [rbp-10h]
  unsigned int v4; // [rsp+2Ch] [rbp-Ch]
  unsigned int v5; // [rsp+30h] [rbp-8h]

  v3 = *a2;
  v4 = a2[1];
  v5 = 0;
  for ( i = 0; i < a1; ++i )
  {
    v3 += (((v4 >> 5) ^ (16 * v4)) + v4) ^ (*(_DWORD *)(4LL * (v5 & 3) + a3) + v5);
    v5 -= 0x61C88647;
    v4 += (((v3 >> 5) ^ (16 * v3)) + v3) ^ (*(_DWORD *)(4LL * ((v5 >> 11) & 3) + a3) + v5);
  }
  *a2 = v3;
  result = v4;
  a2[1] = v4;
  return result;
}
__int64 __fastcall sub_8D3(unsigned int *a1, int a2, __int64 a3)
{
  unsigned int *v3; // rax
  unsigned int *v4; // rax
  __int64 result; // rax
  unsigned int *v6; // rax
  int v7; // [rsp+Ch] [rbp-2Ch]
  unsigned int v8; // [rsp+20h] [rbp-18h]
  unsigned int v9; // [rsp+20h] [rbp-18h]
  unsigned int v10; // [rsp+24h] [rbp-14h]
  unsigned int v11; // [rsp+24h] [rbp-14h]
  unsigned int v12; // [rsp+24h] [rbp-14h]
  unsigned int v13; // [rsp+28h] [rbp-10h]
  unsigned int v14; // [rsp+28h] [rbp-10h]
  unsigned int j; // [rsp+2Ch] [rbp-Ch]
  int i; // [rsp+2Ch] [rbp-Ch]
  int v17; // [rsp+30h] [rbp-8h]
  int v18; // [rsp+30h] [rbp-8h]
  int v19; // [rsp+34h] [rbp-4h]
  unsigned int v20; // [rsp+34h] [rbp-4h]

  if ( a2 <= 1 )
  {
    if ( a2 < -1 )
    {
      v7 = -a2;
      v18 = 52 / -a2 + 6;
      v14 = -1640531527 * v18;
      v9 = *a1;
      do
      {
        v20 = (v14 >> 2) & 3;
        for ( i = v7 - 1; i; --i )
        {
          v11 = a1[i - 1];
          v6 = &a1[i];
          *v6 -= ((v9 ^ v14) + (v11 ^ *(_DWORD *)(4LL * (v20 ^ i & 3) + a3))) ^ (((4 * v9) ^ (v11 >> 5))
                                                                               + ((v9 >> 3) ^ (16 * v11)));
          v9 = *v6;
        }
        v12 = a1[v7 - 1];
        *a1 -= (((4 * v9) ^ (v12 >> 5)) + ((v9 >> 3) ^ (16 * v12))) ^ ((v9 ^ v14) + (v12 ^ *(_DWORD *)(4LL * v20 + a3)));
        result = *a1;
        v9 = *a1;
        v14 += 1640531527;
        --v18;
      }
      while ( v18 );
    }
  }
  else
  {
    v17 = 52 / a2 + 6;                          // 32
    v13 = 0;
    v10 = a1[a2 - 1];                           // v10 = a1[1]
    do
    {
      v13 -= 0x61C88647;
      v19 = (v13 >> 2) & 3;
      for ( j = 0; j < a2 - 1; ++j )
      {
        v8 = a1[j + 1];
        v3 = &a1[j];
        *v3 += ((v8 ^ v13) + (v10 ^ *(_DWORD *)(4LL * (v19 ^ j & 3) + a3))) ^ (((4 * v8) ^ (v10 >> 5))
                                                                             + ((v8 >> 3) ^ (16 * v10)));
        v10 = *v3;
      }
      v4 = &a1[a2 - 1];
      *v4 += ((*a1 ^ v13) + (v10 ^ *(_DWORD *)(4LL * (v19 ^ j & 3) + a3))) ^ (((4 * *a1) ^ (v10 >> 5))
                                                                            + ((*a1 >> 3) ^ (16 * v10)));
      result = *v4;
      v10 = result;
      --v17;
    }
    while ( v17 );
  }
  return result;
}

逆程序

from pwn import u32,p32

'''
  for ( i = 0; i <= 0x1F; ++i )
  {
    v5 -= 0x61C88647;
    v3 += (v4 + v5) ^ (16 * v4 + *a2) ^ ((v4 >> 5) + a2[1]);
    v4 += (v3 + v5) ^ (16 * v3 + a2[2]) ^ ((v3 >> 5) + a2[3]);
  }
'''
a2 = [u32(b'This'), u32(b'_is_'), u32(b'teat'), u32(b'ube!')]
v5 = [0]*0x20
t = 0 
for i in range(0x20):
    t = (t - 0x61C88647) & 0xffffffff
    v5[i] = t 
    #print(hex(t))

v3 = 0x5FD744F6
v4 = 0x95832046
for i in range(0x1f,-1,-1):
    v4 -= (v3 + v5[i])^(16 * v3 + a2[2]) ^ ((v3>>5) + a2[3])
    v4 = v4&0xffffffff
    v3 -= (v4 + v5[i])^(16 * v4 + a2[0]) ^ ((v4>>5) + a2[1])
    v3 = v3&0xffffffff
flag = b'ctfshow{'+p32(v3)+p32(v4)

#v3 += (((v4 >> 5) ^ (16 * v4)) + v4) ^ (*(_DWORD *)(4LL * (v5 & 3) + a3) + v5);
#v4 += (((v3 >> 5) ^ (16 * v3)) + v3) ^ (*(_DWORD *)(4LL * ((v5 >> 11) & 3) + a3) + v5);

v3 = 0xFD731313
v4 = 0x6662CB90
v5 = [0] + v5
for i in range(0x1f,-1,-1):
    v4 -= (((v3 >> 5) ^ (16 * v3)) + v3) ^ (a2[(v5[i+1] >> 11) & 3] + v5[i+1])
    v4 &= 0xffffffff
    v3 -= (((v4 >> 5) ^ (16 * v4)) + v4) ^ (a2[v5[i]         & 3] + v5[i])
    v3 &= 0xffffffff
flag += p32(v3)+p32(v4)

v3 = 0x4B136C82
v4 = 0x1A6E9613
v5 = v5[1:]
for i in range(0x1f,-1,-1):
    v4 -= ((v3 ^ v5[i]) + (v3 ^ a2[(((v5[i]>>2)&3)^1)&3])) ^ (((4 * v3) ^ (v3 >> 5))+ ((v3 >> 3) ^ (16 * v3)))
    v4 &= 0xffffffff
    v3 -= ((v4 ^ v5[i]) + (v4 ^ a2[(((v5[i]>>2)&3)^0)&3])) ^ (((4 * v4) ^ (v4 >> 5))+ ((v4 >> 3) ^ (16 * v4)))
    v3 &= 0xffffffff
flag += p32(v3)+p32(v4)+b'}'
print(flag)
    
#ctfshow{T1nyENCryPti0nA19ori7hM!}

石氏是时试
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow吃瓜杯 web writeup
ashMOB的博客
11-16 904
ctfshow吃瓜杯 web writeup shellme 进去就是phpinfo,Ctrl+f搜一下就行 热身 简单的代码审计 include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]|\./i", $num)){
[CTFshow]吃瓜杯复现wp
Huamang的博客
08-19 905
热身 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]|\./i", $num)){ die("no no no!!"); } if(!strpos($num,
ctfshow吃瓜杯-签层Tea_tube_pot
weixin_61154173的博客
03-28 261
发现如果if条件成立,则 dword_525A30 就为0,那看if条件,因为要求num1和num2,所以他们是唯一的,所以如果想要输出yeah!这个if条件一定成立,即num2正确的话,dword_525A30一定为0,所以关注点是如何求num1,num2。程序很简单,其中生成随机数的那部分代码并没有影响用户输入的值,所以可以不考虑,那倒着分析,看那个if分支。dword_525A30为0就可以输出yeah,那我们肯定想让他为0,点进去看看。对,num1,num2按热键x交叉引用。发现恒1,x交叉引用。
ctfshow 吃瓜杯 shellme_Revenge
高高同学
08-19 1370
前两天做的ctfshow的吃瓜杯的题目,做一个记录。 开始 打开题目看到的是phpinfo的页面 然后往下一划艹 这可真是吓了一跳,这么多disable_functions函数 不过也是有惊喜的 cookie里面看到了提示。 然后打开看见了源码 <?php error_reporting(0); if ($_GET['looklook']){ highlight_file(__FILE__); }else{ setcookie("hint", "?looklook", time()
ctfshow吃瓜杯 八月群赛 WriteUp/WP
mumuzi的博客
08-16 2769
可以 Web: shellme 题目问题,没什么说的,进去直接搜ctfshow就是flag 热身 签到题,做过web入门的都应该知道怎么绕,分开来看 比如第一个部分可以用小数绕过,第二部分没有字母,可以用8进制绕过。 所以目前得到的payload是 num=010574 但是第三部分还要看0是不是出现在首位,这里就可以用+号,来凑个数 最终payload num=+010574 PWN wuqian 只会最简单的,别骂了 就一个栈溢出,找到rdi、system、/bin/sh的地址就行了 from
ctf.show与学习笔记
Q221022的博客
01-29 3144
ctf.show 1.密码学签到 看到密文之后不难发现,flag就是倒着写的,直接将密文倒叙输出就是答案 2. 看到题目,全是由符号组成的,将题目内容全部复制到控制台,回车即可得到答案 3. 第三题与第二题看起来是一样的,所以先将其复制到控制台,发现报错了,有中文的引号,将所有的引号全部换成英文之后还是没有得到flag,········(不会了,没有思路了) 4. 直接用工具计算出私钥d即可 5. 根据rsa密码的解密规则解出m 6. 没有判断出...
CTF.rar_ctf_seed7rj
09-21
【标题】"CTF.rar_ctf_seed7rj" 暗示了这是一个与网络安全相关的挑战,CTF(Capture The Flag)是网络安全领域常见的比赛形式,通常涉及逆向工程、密码学、网络攻防等技能。"seed7rj"可能是这次挑战的一个特定标识...
ctf.show_VIP题目限免(全)
BvxiE的博客
03-25 5637
VIP题目限免源码泄露前台JS绕过手动源码查看ctrl+u或在网站前面加view-source:Burpsuite禁用javascript的方法协议头信息泄露robots后台泄露补phps源码泄露源码压缩包泄露版本控制泄露源码版本控制泄露源码2vim临时文件泄露cookie泄露**注意:用其他浏览器得到的很奇怪** 这题目全英…英语废一个,所以我把题目全部复制过来了 源码泄露 ‎ 您没有访问所请求资源的权限。它要么是受读保护的,要么不能被服务器读取。 题目提示源码…那就找源码吧! 前台JS绕过 提示
ctf.rar_ctf
09-21
this is script from my ctf
welcome_CTF.exe
08-07
一道简单的ctf逆向题目,取自于成信大2019四叶草安全杯比赛
[ctf.show.reverse] 太牛杯 easy
weixin_52640415的博客
04-26 396
貌似很复杂的一个题一点点弄明白。 程序上来就给了加密方式,但由于里边用了and运算,所以本身是不可逆的,需要正向爆破。 int __thiscall sub_401080(char *this) { char v2; // al char *v3; // edi char *v4; // ebx int v5; // edx int v6; // ecx int v7; // eax int v8; // esi int v9; // eax int result;
ctfshow 吃瓜杯八月赛 Misc WriteUp
Nancy523的博客
08-18 1112
目录 1、Misc游戏签到 2、吃瓜 3、EZbingo 4、魔王 5、Dinner of Cyanogen 6、Music Game 7、一群强盗 目录位置) 1、Misc游戏签到 别问 问就是玩游戏 套神说的) :多选杀戮 没有杀戮就选背刺 少选能量瓶子 吓死就对了^q^ 打了小几十把 脸黑没办法 期间遇到过环境卡死 3段flag闪退 环境罢工( 八神说 是python的错跟套神没关系呜呜呜 ctfshow{White_give_game_o...
ctfshow吃瓜杯 misc writeup
ashMOB的博客
11-15 842
ctfshow吃瓜杯 misc writeup 基本还是看着大佬wp去复现 ctfshow吃瓜杯 八月群赛 WriteUp/WP_是Mumuzi的博客-CSDN博客 Misc游戏签到 游戏题,比较看脸,因为遇到太多次靶场死机所以直接抄flag上去了 She Never Owns a Window 下载下来打开发现是一个文本文件,但是有许多空白换行和tab 提示说不是SNOW(Steganography -SNOW- AVariation:这是一种创新的 隐写 技术,可用于隐藏两个单词之间的空格后面的文本数据
ctfshow吃瓜杯web wp
cosmoslin的博客
09-17 1214
热身 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]|\./i", $num)){ die("no no no!!");
CTFshow吃瓜杯的两道web
D.MIND 的博客
08-17 1000
http://0e53fed8-692c-4850-84e4-fad73918286c.challenge.ctf.show:8080/?looklook=1&0=highlight_file&1=../../../../../../flag.txt ctf_show=C%3B%24_%3DC%3B%2B%2B%24_%3B%24C%3D%2B%2B%24_%3B%2B%2B%24_%3B%24__%3D%2B%2B%24_%3B%24_%3D(C%2FC.C)%5B0%5D%3B%2B
re学习笔记(45)[ACTF2020]tea
逆向随笔
02-28 1747
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目分析 IDA载入,shift+F12查看字符串,根据字符串找到关键代码 上面IDA自动给生成的Str的长度为4,下面验证str的长度为22,于是我们手动更改Str的类型为char Str[23],就能正常显示 题目为tea,用IDA的Findcrypt插件查找一下,果然是tea系列的加密算法 分析出a1为加密数,a2为长度,...
[GDOUCTF 2023]Tea
qq_73682634的博客
04-27 698
可知v7为key,且被更改为{2233,4455,6677,8899},双击 sub_1400112B7(v8, v7),跟进sub_140011900(a1, a2)函数,可知其为tea加密,然后再双击sub_140011352(v8),跟进sub_140011B60(a1)函数,双击sub_140011339(v7)跟进,然后跟进sub_1400117D0(a1)函数,双击flag跟进 ,找到调用函数sub_140016230,点进去查看函数关键代码。将结果借助在线工具转换成文本字符串就可以了。
ctfshow-月
LYJ20010728的博客
06-15 627
web1_此夜圆web1_此夜圆考点思路Payloadweb2_故人心考点思路Payloadweb3_莫负婵娟考点思路Payload web1_此夜圆 考点 php反序列化字符逃逸 思路 观察 index.php 代码,很容易发现是php反序列化字符逃逸中字符增多的考点,我们要将password的值变为yu22x,从而达到包含 flag.php 的目的,我们需要逃逸的部分为 ";s:8:"password";s:5:"yu22x";},长度为30,所以我们需要15个 Firebasky来达到逃逸这部分
ctf.show_web5
最新发布
10-22
ctf.show_web5是一个CTF比赛中的WEB模块第5关,需要传递两个参数v1和v2,要求v1必须是纯字母字符串,v2必须是数字或数字字符串,并且两个参数的md5值必须相等。可以利用md5的0e漏洞进行绕过。具体来说,可以构造一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值