[buuctf.reverse] 115_[RCTF2019]DontEatMe

最新推荐文章于 2022-07-25 15:40:28 发布
最新推荐文章于 2022-07-25 15:40:28 发布
阅读量603 收藏 1
点赞数
分类专栏: CTF reverse 文章标签: reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/125188630
版权

迷宫加Blowfish加密

ida打开,可以看到提示说一个鱼XXX,用findcrypt查密提示Blowfish而且有5行,估计是未改动过的原版加密

 程序比较长,大概分这两块,一块是对输入解密生成一个串,再用这个串走迷宫

int __cdecl main(int argc, const char **argv, const char **envp)
{
  ...
  char ArgList[68]; // [esp+1080h] [ebp-48h] BYREF

  memset(ArgList, 0, 0x40u);
  puts("LiHua is trapped on an isolated island. ", v43);
  puts("One day, he caught a fish.\n", v44);
  puts("Suddenly,the fish said: \"Dont eat me! I am Fish God,if you release me,as return ,you have one wish.\"\n", v45);
  puts("Li said : I want to know how to escape from this island.\n", v46);
  puts("Fish said: ", v47);
  scanf("%s", (char)ArgList);
  srand(0xDEADBEEF);
  ModuleHandleA = GetModuleHandleA("Ntdll");
  ZwSetInformationThread = GetProcAddress(ModuleHandleA, "ZwSetInformationThread");
  CurrentThread = GetCurrentThread();
  ((void (__stdcall *)(HANDLE, int, _DWORD, _DWORD))ZwSetInformationThread)(CurrentThread, 17, 0, 0);
  for ( i = 0; i < 8; ++i )
    byte_4057A8[i] = rand();
  byte_4057A8[0] = 0;
  v58[0] = 0x4853494668736966i64;
  LOBYTE(v7) = 104;
  word_4057A9 = 0x1A0F;                         // key
  word_4057AB = 0x3501;
  byte_4057AD = 0x3A;
  byte_4057AE = 0x3B;
  byte_4057AF = 0x20;
  sub_401090(v56, v7);                          // v57
  v8 = strlen(ArgList);
  v9 = v8;
  v49 = v8;
  if ( (v8 & 7) != 0 )                          // 8字节向上取整
  {
    v9 = 8 * (v8 >> 3) + 8;
    v49 = v9;
  }
  v54 = (char *)calloc(v9, 1u);
  v10 = (unsigned __int8 *)calloc(v9 / 2, 1u);
  v11 = 0;
  v51 = v10;
  if ( v9 / 2 > 0 )
  {
    v12 = ArgList;                              // 输入转16进制存
    do
    {
      sprintf(v12, "%02x", v11 + (_BYTE)v10);
      v10 = v51;
      ++v11;
      v12 += 2;
    }
    while ( v11 < v9 / 2 );
    v9 = v49;
  }
  v50 = 0;
  v55 = v9 / 16;
  if ( v9 / 16 <= 0 )
  {
    v26 = v54;
  }
  else
  {
    v13 = v10 + 2;
    v53 = v13;                                  // BlowFish加密
    do
    {
      v14 = v57;
      v52 = 16;
      v15 = v13[1] | ((*v13 | ((*(v13 - 1) | (*(v13 - 2) << 8)) << 8)) << 8);
      v16 = v13[5] | ((v13[4] | ((v13[3] | (v13[2] << 8)) << 8)) << 8);
      do
      {
        v17 = *(_DWORD *)v14 ^ v15;
        v14 -= 4;
        v18 = v17;
        v15 = v16 ^ (*(_DWORD *)&v57[4 * (unsigned __int8)v17 + 3076]
                   + (*(_DWORD *)&v57[4 * BYTE1(v17) + 2052] ^ (*(_DWORD *)&v57[4 * BYTE2(v17) + 1028]
                                                              + *(_DWORD *)&v57[4 * HIBYTE(v17) + 4])));
        v19 = v52-- == 1;
        v16 = v18;
      }
      while ( !v19 );
      v20 = v18 ^ v56[0];
      v21 = calloc(4u, 1u);
      *v21 = HIBYTE(v20);
      v21[1] = BYTE2(v20);
      v21[2] = BYTE1(v20);
      v21[3] = v20;
      v22 = v56[1];
      *(_DWORD *)&v54[8 * v50] = *(_DWORD *)v21;
      v23 = v15 ^ v22;
      v24 = calloc(4u, 1u);
      *v24 = HIBYTE(v23);
      v24[1] = BYTE2(v23);
      v25 = v23 >> 8;
      v24[3] = v23;
      v26 = v54;
      v24[2] = v25;
      *(_DWORD *)&v54[8 * v50 + 4] = *(_DWORD *)v24;
      v13 = v53 + 8;
      v53 += 8;
      ++v50;
    }
    while ( v50 < v55 );
  }
  v58[0] = 0x4D746145746E6F44i64;
  v27 = _byteswap_ushort(0x6F44u);
  v28 = _byteswap_ushort(0x746Eu);
  v29 = _byteswap_ushort(0x6145u);
  v30 = _byteswap_ushort(0x4D74u);
  v31 = &unk_40501A;
  do
  {
    *(v31 - 1) ^= v27;
    *v31 ^= v28;
    v31[1] ^= v29;
    v31[2] ^= v30;
    v31 += 4;                                   // 每次8字节
  }
  while ( (int)v31 < (int)&unk_40503A );
  v32 = dword_4053A8;
  v33 = (unsigned __int16 *)&unk_405018;        // 将018-038按位展开(低位在前)放入3A8 迷宫
  do
  {
    v34 = *v33;
    for ( j = 15; j > -1; --j )
    {
      v36 = (v34 & (1 << j)) >> j;
      *v32++ = v36;
    }
    ++v33;
  }
  while ( (int)v33 < (int)&unk_405038 );
  v37 = *v26;
  v38 = 10;
  v39 = 0;
  v40 = 5;
  if ( *v26 )
  {
    v41 = 160;
    while ( 1 )
    {
      switch ( v37 )
      {
        case 'a':
          --v40;
          break;
        case 'd':
          ++v40;
          break;
        case 's':
          ++v38;
          v41 += 16;
          break;
        case 'w':
          --v38;
          v41 -= 16;
          break;
        default:
          break;
      }
      if ( dword_4053A8[v41 + v40] == 1 )
        break;
      v37 = v26[++v39];
      if ( !v37 )
      {
        if ( v38 == 4 && v40 == 9 && v39 < 17 )
        {
          puts("Congratulations! Here is your flag: RCTF{%s}", (char)ArgList);
          return 0;
        }
        break;
      }
    }
  }
  puts("Oh no.  Dont eat me!!!!", v48);
  return 0;
}

迷宫这块相对独立,所以可以直接把这块逆向到解密后的结果

from pwn import *

data = open('DontEatMe.exe', 'rb').read()
#1迷宫部分

#45018-45038
a1 = list(data[0x3618: 0x3638])
xors = [0x6f,0x44,0x74,0x6e,0x61,0x45,0x4D,0x74]
print(a1)
for i in range(len(a1)-2):
    a1[i] ^= xors[i%8]
s = ''
for i in range(16):
    s+= bin(a1[i*2+1])[2:].rjust(8, '0')
    s+= bin(a1[i*2])[2:].rjust(8, '0')
    s+='\n'
print(s)
#ddddwwwaaawwwddd
'''
1111111111111111
1000000000111111
1011111110111111
1011111110111111
1011110000000111
1011110111110111
1011110111110111
1011110000110111
1011111110110111
1011111110110111
1000000000110111
1111101111110111
1111100000000111
1111111111111111
1111111111111111
1000101110110010
'''

得到的16位串再用Blowfish解密,8字节的key在主程序里先用rand填充后直接写入值覆盖。这人真够恶心的一共8字节分6次写。

  byte_4057A8[0] = 0;
  v58[0] = 0x4853494668736966i64;
  LOBYTE(v7) = 104;
  word_4057A9 = 0x1A0F;                         // key
  word_4057AB = 0x3501;
  byte_4057AD = 0x3A;
  byte_4057AE = 0x3B;
  byte_4057AF = 0x20;

最后调用函数解密

data = b'ddddwwwaaawwwddd'
key = b"\x00\x0F\x1A\x01\x35\x3A\x3B\x20"
import blowfish
cipher = blowfish.Cipher(key)
step = cipher.encrypt_block(data[:8]) + cipher.encrypt_block(data[8:])
print('flag{%s}'% step.hex())
#flag{db824ef8605c5235b4bbacfa2ff8e087}

石氏是时试
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[RCTF2019]DontEatMe
qq_41853048的博客
08-08 887
一道迷宫题,但是输入被加密后使用,迷宫也需要在程序中找出并没有直接输出。
反转在整数字节的顺序
狼族小子的专栏
06-13 1846
_byteswap_uint64,  _byteswap_ulong,  _byteswap_ushort  Reverses the order of bytes in an integer. These function returns the argument value with its bytes in reverse order 或者templ
BUUCTF:[RCTF2019]draw
末初的CSDN博客
04-07 2171
cs pu lt 90 fd 500 rt 90 pd fd 100 rt 90 repeat 18[fd 5 rt 10] lt 135 fd 50 lt 135 pu bk 100 pd setcolor pick [ red orange yellow green blue violet ] repeat 18[fd 5 rt 10] rt 90 fd 60 rt 90 bk 30 rt 9...
REVERSE-PRACTICE-BUUCTF-30
P1umH0的博客
03-03 747
REVERSE-PRACTICE-BUUCTF-30[RCTF2019]DontEatMe[b01lers2020]little_engine [RCTF2019]DontEatMe exe程序,运行后输入,无壳,ida分析 交叉引用字符串来到sub_401260函数,读取输入,NtSetInformationThread的第二个参数为17(0x11),实现了反调试效果,调试的过程中修改EIP即可绕过反调试 随后byte_9457A8数组被赋予8个随机值,不过没什么用,下面又被赋了新值,而且新值固定不变,为
C++ 字节顺序
菜头
03-30 1133
// // ByteOrder.h // // Library: Engine // Package: Core // Module: ByteOrder // // #ifndef WISHBONE_BYTEORDER_H_ #define WISHBONE_BYTEORDER_H_ #include "Wishbone/Foundation.h" #include "Wishbone...
关于tf.reverse_sequence()简述
12-23
tf.reverse_sequence()简述 在看bidirectional_dynamic_rnn()的源码的时候,看到了代码中有调用 reverse_sequence()这一方法,于是又回去看了下这个函数的用法,发现还是有点意思的。根据名字就可以能看得出,这个...
nixu.rar_Reverse_字符串 逆序
09-24
字符串逆序,这是第一次来上传东西,希望大家给个介意.
Recursive-seek-integer-reverse.rar_reverse recursive_seek
09-22
用递归的方法把一个数倒序输出例:输入12345输出:54321
eda-reversing-2.zip_reverse engineering_zip
09-24
The Embedded Disassembler
java 大端小端转换函数_在C中转换大端到小端
weixin_39941620的博客
03-07 386
假设你需要的是一个简单的字节交换,尝试类似无符号16位转换:swapped = (num>>8) | (num<<8);无符号32位转换:swapped = ((num>>24)&0xff) | // move byte 3 to byte 0 ((num<<8)&0xff0000) | // move byte 1 to byte ...
[C/C++]_[初级]_[大端序和小端序理解]
Tobey(我是机器人)
07-08 1620
场景 在进行Socket通讯时, 因为网络字节序是 Big-Endian模式(标准), 而大部分Windows系统都是 Little Endian模式, 所以在传输数值类型的数据时, 需要把 Little Endian的内存数据转换为 Big-Endian再发送. 如果客户端和服务端都是你自己实现的代码, 可以不需要转换, 因为你自己知道字节序. 因为 Big-Endian的系统很少见,其实大...
C++ UTF8和UTF16互转代码
weixin_33985507的博客
05-03 1434
简介 1、这段代码只考虑在小端序情况下的转换(一般的机器都是的)。 2、这段代码需要C++11的支持(只是用到了u16string),如果不支持,可以添加下面代码 typedef uint16_t char16_t; typedef std::basic_string&lt;char16_t&gt; utfconvert.h #ifndef __UTFCONVERT_H__ #define __U...
翻转一个字节
周平的专栏
05-12 713
unsigned char func( unsigned char c){ static unsigned char sta[16] ={//不多不少的静态数据 0x00,0x08,0x04,0x0C,0x02,0x0A,0x06,0x0E,0x01,0x09,0x05,0x0D,0x03,0x0B,0x07,0x0F }; unsigned char d ...
反转字节序
weixin_30532973的博客
02-08 694
/* * 反转四字节整型字节序 */ unsigned int *ReverseWord(unsigned int *word) { unsigned char *byte, temp; byte = (unsigned char *)word; temp = byte[0]; byte[0] = byte[3]; by...
c常用函数实现
cahu的专栏
07-05 2648
;*************************************************************************************************************** ;       strlen re
DSACTF7月re
Todog的博客
07-25 534
DSACTF——7月
逆向工程实验Lab5
一半西瓜的博客
09-03 1067
赞赏码 & 联系方式 & 个人闲话 逆向工程前言 Lab5 1、运行CraMe1.exe,提示 "u r right!" 代表成功。首先修改exe使得出现成功提示,其次不修改exe输入正确的密码达到成功的目的。 2、Exe: super_mega_protection.exe Key file: sample.key 3、(选做)Reverseme1.exe hint:Import Address Table
【C++】反转整数
Spr Chan的博客
02-25 1233
反转整数 对于输入的一个正整数,输出其反转形式 要求使用c++ class编写程序。可以创建如下class 输入描述 一个正整数a ,且1=&lt;a&lt;=1,000,000,000 输出描述 a的反转形式 样例输入 1011 样例输出 1101 1 #include &lt;iostream&gt; 2 using namespace std; 3 4 class Integer{...
qmt reverse.reverse_anchor 多因子
最新发布
12-24
qmt reverse.reverse_anchor 多因子是Quantitative Multiplex Reverse Transcription PCR(多重定量逆转录PCR)技术的一种应用。这种技术基于反转录和多重定量PCR的原理,可以同时检测和定量多个RNA分子的表达水平。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值