[buuctf.reverse] 109_[FlareOn6]FlareBear,110_[INSHack2018]Tricky-Part1

最新推荐文章于 2024-06-12 23:40:32 发布
最新推荐文章于 2024-06-12 23:40:32 发布
阅读量318 收藏
点赞数 1
分类专栏: CTF reverse 文章标签: java reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/125167789
版权

109_[FlareOn6]FlareBear

java这东西看着也费劲,就没有一种一看就明白的语言吗

题目是一个apk的文件,安装到雷电上是个小游戏,有3个选项,吃、玩、铲屎

再看代码,这个danceWithFlag是结果,通过调用关系找到他的上级setMood这里边用isEcstatic()检查是否成功,检查内容是3个变量为72,30,0

    public final void dance(@NotNull Drawable drawable, @NotNull Drawable drawable2) {
        Intrinsics.checkParameterIsNotNull(drawable, "drawable");
        Intrinsics.checkParameterIsNotNull(drawable2, "drawable2");
        this.handler.removeCallbacksAndMessages(null);
        ((ImageView) _$_findCachedViewById(R.id.flareBearImageView)).setImageDrawable(drawable);
        ((ImageView) _$_findCachedViewById(R.id.flareBearImageView)).setTag("ecstatic");
        Handler handler = new Handler();
        handler.postDelayed(new FlareBearActivity$dance$r$1(this, handler, drawable2, drawable), 500);
    }

    public final void danceWithFlag() {
        InputStream openRawResource = getResources().openRawResource(R.raw.ecstatic);
        Intrinsics.checkExpressionValueIsNotNull(openRawResource, "ecstaticEnc");
        byte[] readBytes = ByteStreamsKt.readBytes(openRawResource);
        InputStream openRawResource2 = getResources().openRawResource(R.raw.ecstatic2);
        Intrinsics.checkExpressionValueIsNotNull(openRawResource2, "ecstaticEnc2");
        byte[] readBytes2 = ByteStreamsKt.readBytes(openRawResource2);
        String password = getPassword();
        try {
            readBytes = decrypt(password, readBytes);
            readBytes2 = decrypt(password, readBytes2);
            dance(new BitmapDrawable(getResources(), BitmapFactory.decodeByteArray(readBytes, 0, readBytes.length)), new BitmapDrawable(getResources(), BitmapFactory.decodeByteArray(readBytes2, 0, readBytes2.length)));
        } catch (Exception unused) {
        }
    }

    public final void setMood() {
        if (isHappy()) {
            ((ImageView) _$_findCachedViewById(R.id.flareBearImageView)).setTag("happy");
            if (isEcstatic()) {
                danceWithFlag();
                return;
            }
            return;
        }
        ((ImageView) _$_findCachedViewById(R.id.flareBearImageView)).setTag("sad");
    }

    public final boolean isEcstatic() {
        int state = getState("mass", 0);
        int state2 = getState("happy", 0);
        int state3 = getState("clean", 0);
        if (state == 72 && state2 == 30 && state3 == 0) {
            return true;
        }
        return false;
    }

再看怎么改变这3项

   public final void feed(@NotNull View view) {
        Intrinsics.checkParameterIsNotNull(view, "view");
        saveActivity("f");
        changeMass(10);
        changeHappy(2);
        changeClean(-1);
        incrementPooCount();
        feedUi();
    }
    public final void play(@NotNull View view) {
        Intrinsics.checkParameterIsNotNull(view, "view");
        saveActivity("p");
        changeMass(-2);
        changeHappy(4);
        changeClean(-1);
        playUi();
    }
    public final void clean(@NotNull View view) {
        Intrinsics.checkParameterIsNotNull(view, "view");
        saveActivity("c");
        removePoo();
        cleanUi();
        changeMass(0);
        changeHappy(-1);
        changeClean(6);
        setMood();
    }

简单列个方程计算一下,结果是吃8次玩4次铲屎2次

from z3 import *
x,y,z = Ints('x y z')
s = Solver()
s.add([10*x - 2*y == 72, 2*x+4*y-z==30, z*6-x-y==0])
s.check()
d = s.model()
print(d)
#[z = 2, y = 4, x = 8]
#flag{th4t_was_be4rly_a_chall3nge@flare-on.com}

 

110_[INSHack2018]Tricky-Part1

这个比较入门了

直接在main里输入然后就检查

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // ebx
  char v4; // bl
  __int64 v5; // rax
  char v7[16]; // [rsp+0h] [rbp-30h] BYREF
  char v8[32]; // [rsp+10h] [rbp-20h] BYREF

  if ( ptrace(PTRACE_TRACEME, 0LL, 1LL, 0LL) >= 0 )
  {
    std::string::string((std::string *)v7);
    std::operator<<<std::char_traits<char>>(&std::cout, "Enter your flag : ");
    std::operator>><char>(&std::cin, v7);
    stack_check();
    v4 = std::operator==<char>(v7, v8);
    std::string::~string(v8);
    if ( v4 )
      v5 = std::operator<<<std::char_traits<char>>(
             &std::cout,
             "Correct but this is just the first one\nValidate with the flag");
    else
      v5 = std::operator<<<std::char_traits<char>>(&std::cout, "Sooo bad. Are you trying to trick me ?");
    std::ostream::operator<<(v5, &std::endl<char,std::char_traits<char>>);
    v3 = 0;
    std::string::~string(v7);
  }
  else
  {
    std::operator<<<std::char_traits<char>>(&std::cout, "Oh no, don't debug me plz\n");
    return 42;
  }
  return v3;
}

stack_check()负责将存的数据加密(与GDB异或)

std::string *__fastcall stack_check(std::string *a1)
{
  unsigned __int64 v1; // rbx
  unsigned __int64 v2; // rax
  _BYTE *v3; // rax
  unsigned __int64 v4; // rbx
  char v6; // [rsp+1Bh] [rbp-25h] BYREF
  int i; // [rsp+1Ch] [rbp-24h]
  char v8[32]; // [rsp+20h] [rbp-20h] BYREF

  std::allocator<char>::allocator(&v6);
  std::string::string(v8, &unk_4011D8, &v6);
  std::allocator<char>::~allocator(&v6);
  for ( i = 0; ; ++i )
  {
    v4 = i;
    if ( v4 >= std::string::size((std::string *)&base) )
      break;
    v1 = i;
    v2 = std::string::size((std::string *)v8);
    LOBYTE(v1) = *(_BYTE *)std::string::operator[](v8, v1 % v2);
    v3 = (_BYTE *)std::string::operator[](&base, i);
    *v3 ^= v1;
  }
  std::string::string(a1, (const std::string *)&base);
  std::string::~string(v8);
  return a1;
}

只是这个base的值在哪还不清楚,于是找引用发现变动之处,它是直接复制的unk_401278的值

int __fastcall __static_initialization_and_destruction_0(int a1, int a2)
{
  int result; // eax
  char v3[17]; // [rsp+1Fh] [rbp-11h] BYREF

  if ( a1 == 1 && a2 == 0xFFFF )
  {
    std::ios_base::Init::Init((std::ios_base::Init *)&std::__ioinit);
    __cxa_atexit(std::ios_base::Init::~Init, &std::__ioinit, &_dso_handle);
    std::allocator<char>::allocator(v3);
    std::string::string(&base, &unk_401278, v3);
    std::allocator<char>::~allocator(v3);
    return __cxa_atexit(std::string::~string, &base, &_dso_handle);
  }
  return result;
}

写脚本处理一下

a = bytes.fromhex('0E0A11063F011F1C1D76371D2F7030237730182272351B3133703676271D732A762B75313E371D302C71291B26742637202371351B2473752E3439')
b = b'GDB'
print(bytes([a[i]^b[i%3] for i in range(len(a))]))
#INSA{CXX_1s_h4rd3r_f0r_st4t1c_4n4l1sys_wh3n_d3bugg3r_f41ls}
#flag{CXX_1s_h4rd3r_f0r_st4t1c_4n4l1sys_wh3n_d3bugg3r_f41ls}

石氏是时试
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
有效使用Lambda表达式和std::function
01-31
函数对象和 std::function在各个库中实现各不同。C++11的lambda表达式使它们更有效地被使用函数对象类,即实现operator()的类,多年来被C++程序员所熟知,它们被用做 STL算法中的谓词(predicate)。然而,实现简单的函数对象类是一件繁琐的事情,如:假设v是int为元素的STL容器,我们要计算其中有多少元素是指定整数 n的倍数。STL的方式如下:std:
C++ 模板写的短小字符串类,用于替换字符数组和std::string
03-11
//短小字符串类 template<size_t N> struct TinyString { TinyString(); template<size_t K> TinyString(const TinyString<K>& str); TinyString(size_t n, char c); TinyString(const char* s, size_t n=0); TinyString(const std::string& str); template<size_t K> TinyString& operator = (const TinyString<K>& str); TinyString& operator = (const std::string& str); TinyString& operator = (const char* s); TinyString& operator = (char ch); template<size_t K> TinyString& operator += (const TinyString<K>& other); bool empty() const { return len == 0; } int size() const { return len; } int obj_size() const { return sizeof(*this); } const char* GetData()const { return buffer; } const char* c_str()const { return buffer; } bool operator == (const TinyString& other) const; bool operator < (const TinyString& other) const; operator std::string() const; //转为字符串 std::string ToString()const; //转为字符串 template<size_t K> friend std::ostream & operator<< (std::ostream& os, const TinyString<K>& str); template<size_t K, size_t L> friend bool operator == (const TinyString<K>& s1, const TinyString<L>& s2); //...... uint8_t len; char buffer[N-1]; }; typedef TinyString<8> TinyStr8; typedef TinyString<16> TinyStr16; typedef TinyString<32> TinyStr32; typedef TinyString<1024> TinyStr1K; typedef TinyString<4096> TinyStr4K;
[buuctf.reverse] 092_[MRCTF2020]EasyCpp
weixin_52640415的博客
05-14 295
c++
[buuctf.reverse] 071_[UTCTF2020]babymips,072_[NPUCTF2020]你好sao啊,073_[GKCTF 2021]QQQQT
weixin_52640415的博客
05-11 269
简单小题 071_[UTCTF2020]babymips 这东西能F5,也就没有难度了,就是个异或 int __fastcall sub_401164(int a1, int a2) { int v2; // $v0 int v4; // $v0 unsigned int i; // [sp+1Ch] [+1Ch] if ( std::string::size(a2) != 0x4E ) { LABEL_2: v2 = std::operator<<<
[INSHack2018]Tricky-Part1
寻梦&之璐
06-20 2971
文章目录[INSHack2018]Tricky-Part1主要利用交叉引用列表( Jump - Jump to xref 或快捷键X,将光标放在一个交叉引用的目标地址上,通过该快捷键可弹出交叉引用列表。)主要函数分析 [INSHack2018]Tricky-Part1 主要利用交叉引用列表( Jump - Jump to xref 或快捷键X,将光标放在一个交叉引用的目标地址上,通过该快捷键可弹出交叉引用列表。) 主要函数分析 std::string *__fastcall stack_check(std:
REVERSE-PRACTICE-BUUCTF-26
P1umH0的博客
02-27 423
REVERSE-PRACTICE-BUUCTF-26[FlareOn6]FlareBear[SUCTF2018]babyre[GKCTF2020]WannaReverse[FlareOn4]greek_to_me [FlareOn6]FlareBear apk文件,模拟器上运行,创建一个小熊,有三种方式交互,分别为“吃饭”,“篮球”,“清理” jadx-gui打开该apk,在com.fireeye.flarebear.FlareBearActivity中搜索flag,有个"danceWithFlag" 调
[FlareOn6]FlareBear
qq_41853048的博客
08-06 927
apk的逆向,没有壳,但可能做的不是太多,没能想到整个算法的运作原理。
REVERSE-PRACTICE-BUUCTF-28
P1umH0的博客
02-28 492
REVERSE-PRACTICE-BUUCTF-28[FlareOn6]Memecat Battlestation[b01lers2020]chugga_chugga[RCTF2019]DontEatMe[FlareOn5]FLEGGO [FlareOn6]Memecat Battlestation .Net程序,运行后输入weapon code,dnSpy打开 在Stage1Form直接找到第一个weapon code,“RAINBOW” Stage2Form同样的地方,第二个weapon code要进
Recursive-seek-integer-reverse.rar_reverse recursive_seek
09-22
用递归的方法把一个数倒序输出例:输入12345输出:54321
eda-reversing-2.zip_reverse engineering_zip
09-24
The Embedded Disassembler
IS-95A.rar_Traffic Simulink_matlab is-95_open_reverse channel_tr
09-24
IS-95A Reverse Traffic Channel Open and Closed Loop Power Control complete simulink simulation
RPN-calculator.rar_polish calculator_reverse polish_rpn java
09-23
RPN(Reverse Polish Notation) Calculator developed on Java platform.
ISO-8859-1__ReverseConnectCmd.rar_8859-1_ISO 8859_connect_revers
09-24
reverse connect command prompt
BUUCTF [INSHack2018]Tricky-Part2
weixin_53349587的博客
01-13 384
1.拿到文件,IDA64打开文件tricky2,进入主函数: 将v3所有的数值变成字符,得到: flag{Y0u_sh0uld_kn0w_th4t_1_c4n_tr1ck_y0ur_d3bugg3r}
简单的项目部署脚本(转载)
u010230019的博客
06-09 583
有些项目团队喜欢使用docker启动java服务,那么我们同样可以将上述脚本稍做改造,来实现基于shell+docker的简单项目部署能力。可以将核心节点的错误或者失败内容通过webhook发送到对应的告警平台,比如钉钉、飞书机器人等。把~/.ssh/id_rsa.pub内容添加到远程仓库的ssh秘钥中。执行start.sh脚本打包部署。start.sh脚本内容。
修改菜品——后端Java
weixin_53717695的博客
06-09 381
修改菜品——后端Java
java.lang.reflect.Type是什么
最新发布
yuchangyuan5237的博客
06-12 299
通过 java.lang.reflect.Type 接口及其实现,Java 提供了一个强大的机制,用于在运行时检查和操作类型信息。这在编写通用库、框架和工具时特别有用,因为它允许你处理泛型类型和其他复杂类型结构。
Javascript)AI数字人mp4转canvas播放并去除背景绿幕
lx_nhs的博客
06-12 341
去除前:去除后: 3、可能会出现的报错 (1)视频路径跨域问题:解决:vue开启代理
Java02】Java中数组的定义与初始化
饮冰室
06-10 495
推荐第一种方式。这种方式容易让人理解,数据类型是type[],对象名称是arrayName。第二种方式有些老旧了。由于数组是一种引用变量(也就是一个指针),所以定义的时候还没有指向任何有效的内存空间,因此在定义数组的时候不能指定数组的长度,也不能直接使用。必须进行初始化。可以使用var让系统自动推断变量类型,既可以用于静态初始化,也可以用于动态初始化。
qmt reverse.reverse_anchor 多因子
12-24
qmt reverse.reverse_anchor 多因子是Quantitative Multiplex Reverse Transcription PCR(多重定量逆转录PCR)技术的一种应用。这种技术基于反转录和多重定量PCR的原理,可以同时检测和定量多个RNA分子的表达水平。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值