BUUCTF [FlareOn5]FLEGGO

最新推荐文章于 2024-07-09 22:37:42 发布
最新推荐文章于 2024-07-09 22:37:42 发布
阅读量613 收藏 1
点赞数
分类专栏: BUUCTF 文章标签: c++ 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53349587/article/details/122268145
版权

1.拿到文件,一共有48个exe应用程序文件,将其中一个用IDA打开,找到主函数:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  char ArgList[16]; // [esp+0h] [ebp-24h] BYREF
  __int128 v5; // [esp+10h] [ebp-14h]

  *(_OWORD *)ArgList = 0i64;
  v5 = 0i64;
  sub_FF12D0();
  if ( sub_FF1050() )
  {
    sub_FF1510(
      (wchar_t *)L"What is the password?\n",
      *(_DWORD *)ArgList,
      *(_DWORD *)&ArgList[4],
      *(_DWORD *)&ArgList[8],
      *(_DWORD *)&ArgList[12],
      (_QWORD)v5,
      *((_QWORD *)&v5 + 1));
    sub_FF14C0((wchar_t *)L"%15ls", ArgList, 16);
    if ( sub_FF1240(ArgList) )
    {
      sub_FF10B0();
      if ( sub_FF1100() )
      {
        sub_FF1510((wchar_t *)L"Everything is awesome!\n");
        sub_FF1510((wchar_t *)L"%s => %s\n", &unk_FF43A0, &unk_FF43C0);
        result = (unsigned __int16)word_FF43CA;
      }
      else
      {
        sub_FF1510((wchar_t *)L"Oh look a rainbow.\n");
        result = -1;
      }
    }
    else
    {
      sub_FF1510((wchar_t *)L"Go step on a brick!\n");
      result = -1;
    }
  }
  else
  {
    sub_FF1510((wchar_t *)L"I super hate you right now.\n");
    result = -1;
  }
  return result;
}

这个主函数是动调一遍之后得到的,动调之后主函数的内容会显示的更多一点(不清楚是什么原因)。

2.查看sub_FF1240函数:

 wcscmp函数判断输入的值与word_FF4380的值是否相等。

3.查看sub_FF1050函数中的sub_FF1000函数:

发现这些利用的是资源,最后需要输入密码,才能成功执行exe文件。

4.将其中一个exe应用程序文件用16进制编辑器,然后在终端输入的最后一个字符串中找到密码:

 所以密码为ZImIT7DyCMOeF6

5.执行一下:

释放的资源是一个png图片,然后这个w应该就是flag的第一位。

6.接下来比较简单了,可以按上面的步骤把48个应用程序都操作一遍,可以得到flag,也可以写脚本先提取出所有的密码,然后一一对应应用程序执行,在运行结果中直接可以得到flag。

(1)先提取应用程序中的密码:

import os

files = os.listdir(r"C:\Users\admin\Desktop\FLEGGO")   #48个应用程序名
for filename in files:
     filename = r"C:\Users\admin\Desktop\FLEGGO\\" + filename
     with open(filename,"rb") as f:  #以读的方式打开二进制文件
          f=f.read()[0x2ab0:0x2ad0]  #读取密码那两行十六进制数据
     f=f.split(b'\x00')    #去掉f对象结尾的0x00
     print("\"",end="")    #每一行开头输出一个"
     for i in f:        
          if i == b'': 
               break
          print(chr(int().from_bytes(i,byteorder='big', signed=True)),end="")
          # int.from_bytes(bytes, byteorder, *, signed=False)将字节值交换为 int 值
     print("\"")   #每一行结尾输出一个"

运行之后得到:

(2) 每个密码对应一个应用程序,并执行应用程序:

key=["ZImIT7DyCMOeF6",
"PylRCpDK",
"UvCG4jaaIc4315",
"uVmH96JGdPkEBfd",
"3nEiXqMnXG",
"Q9WdIAGjUKdNxr6",
"UkuAJxmt8",
"b1VRfMTNPu",
"qNb6tr7n",
"KSL8EAnlIZin1gG",
"uLKEIRAEn",
"7kcuVMWeIBFGWfJ",
"NcMkqwelbRu",
"yu7hNshnpM4Vy",
"5xj9HmHyhF",
"ZYNGeumv6QuI7",
"dRnTVwZPjf0U",
"dPVLAQ8LwmhH",
"J1kj42jZsC9",
"rXZE7pDx3",
"eoneTNuryZ3eF",
"jZAorSlICuQa0g8",
"hqpNm7VJL",
"45psrewIRS",
"2LUmPSYdxDcil",
"aGUwVeVZ2c19mgE",
"goTZP4go",
"9aIZjTerf0",
"jZRmFmeIchneGS",
"Z8VCO7XbKUk",
"14bm9pHvbufOA",
"9eDMpbMSEeZ",
"auDB6HtMv",
"C446Zdun",
"nLSGJ2BdwC",
"0d7qdvEhYGc",
"5O2godXTZePdWZd",
"ohj5W6Goli",
"4z0gAyKdk",
"r6ZWNWeFadW",
"dEDDxJaxc1R",
"HQG0By9q",
"0rhvT5GX",
"Fs3Ogu6W3qk59kZ",
"8V9AzigUcb2J",
"gNbeYAjn",
"8Etmc0DAF8Qv",
"XgkvZJKe"]

import os
import subprocess
files = os.listdir("C:\\Users\admin\Desktop\FLEGGO")
i=0
for filename in files:
    filename = "C:\\Users\admin\Desktop\FLEGGO\\" + filename
    p = subprocess.Popen([filename], stdin=subprocess.PIPE, stdout=subprocess.PIPE, stderr=subprocess.PIPE)
    p.stdin.write(key[i].encode())
    p.stdin.close()
    i+=1
    out=p.stdout.read()
    p.stdout.close()
    print (out)

其中subprocess 模块:

subprocess 模块允许我们启动一个新进程,并连接到它们的输入/输出/错误管道,从而获取返回值。

Popen 对象方法

  • poll(): 检查进程是否终止,如果终止返回 returncode,否则返回 None。
  • wait(timeout): 等待子进程终止。
  • communicate(input,timeout): 和子进程交互,发送和读取数据。
  • send_signal(singnal): 发送信号到子进程 。
  • terminate(): 停止子进程,也就是发送SIGTERM信号到子进程。
  • kill(): 杀死子进程。发送 SIGKILL 信号到子进程。
import time
import subprocess

def cmd(command):
    subp = subprocess.Popen(command,shell=True,stdout=subprocess.PIPE,stderr=subprocess.PIPE,encoding="utf-8")
    subp.wait(2)
    if subp.poll() == 0:
        print(subp.communicate()[1])
    else:
        print("失败")



cmd("java -version")
cmd("exit 1")

输出结果如下:

java version "1.8.0_31"
Java(TM) SE Runtime Environment (build 1.8.0_31-b13)
Java HotSpot(TM) 64-Bit Server VM (build 25.31-b07, mixed mode)

失败

执行代码后,文件中多了48张png图片:

在python的运行结果中得到flag:

 flag{wmmre_o3e_mcpm@emsa.tafw4on_she_r_l003_0saaunosn@flare-on.com}

皮皮蟹!
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
buu-[FlareOn5]Ultimate Minesweeper
qaq517384的博客
04-03 5915
题目是一个扫雷游戏 900格,897个雷,真有你的噢 扫一下可以看到是NET文件 dnSpy打开,瞅瞅main函数,有一个getkey(),应该就是flag 往上看调用 我的第一反应是: 两个都改成SuccessPopup 然后意料之内的报错了 试试注释(右键->编辑方法->编译) 然后文件->全部保存到新文件 踩雷不退出了 但是乱码了 然后又点了一次发现雷的位置是一样的,直接去源文件搞一下 flag{Ch3aters_Alw4ys_W1n@flare-on.com} 脑
Cloudflare 5秒盾自定义页面源代码.zip
06-19
Cloudflare是一家知名的云服务提供商,其5秒盾(5 Second Shield)是一项安全功能,旨在增强网站的防御能力,防止DDoS攻击和其他恶意流量。自定义页面源代码允许用户在访问受保护的网站时显示个性化的错误或等待页面...
BUUCTF 不一样的flag
太阳照耀我走四方
07-15 792
BUUCTF 不一样的flag 考点:还是基础的IDA使用。 拿到题目,先打开程序。 乱按一通之后,会闪退。 Exeinfo PE打开之后,发现是32位。 IDA pro32位的打开。 shift + F12 查看字符串窗口,发现一串字符串。 双击定位。 ctrl + X 交叉引用 F5反编译后得到如下的伪代码: int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // [esp+17h][e
[FlareOn5]FLEGGO 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
06-12 400
将断点打在此处,动调到此,再次点击sub_C41240(ArgList)函数函数可以进入。仔细观察生成的图片,有个数字,这个数字是字符在flag中的位置,将字符重新排序。判断IronManSucks和word_C44380是否相等,如果相等则返回0。我的IDA在动调之前不能进入sub_C41240(ArgList)函数。感觉将所有文件给出的字符依次拼接起来就是flag。经过验证这个就是密码,而且运行之后得到一张图片。并且给了一个字符,这是第二个文件给出的字符。给了很多文件,我打开第二个。
[buuctf.reverse] 131-135
weixin_52640415的博客
06-27 457
131_[FlareOn5]FLEGGO 132_[INSHack2018]Tricky-Part2 133_[FlareOn1]5get_it 134_[NPUCTF2020]芜湖 135_[FlareOn2]elfie
go 初级逆向分析(一)
yongbaoii的博客
04-09 3252
Go 语言是一个比较新的强类型静态语言,2009 年由 Google 发布,在 2012 年才发
buu [FlareOn5]Ultimate Minesweeper wp
liuxiaohuai_的博客
12-24 562
先把下载的附件直接拖进ida发现这个是.NET文件 所以我们直接放进dnspy中 查看代码。我们很容易的就找到了主函数。 点进去,发现有一个GetKey()函数,估计这个函数就是输出flag的函数了。 我们接着在主函数里翻,找到了调用了GetKey()的函数 通过分析代码可以知到上图中的第一个if语句是用来输出fail的(也就是踩到雷之后,游戏结束。)我们通过修改语句(在要注释的地方点击鼠标右键->编辑方法->弄好之后点击右下角的编译),将这个if语句注释掉 再保存为新文件(ctrl+shi
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
cloudflare dns信息查询
06-25
需要创建DNS所有区域的api token
cfssl cloudflare
12-22
【标题】:“cfssl cloudflare” 是一个由著名网络安全服务提供商 Cloudflare 公司开发的开源工具,旨在作为 OpenSSL 的替代品,为用户提供更高效、安全的证书管理和签名服务。 【描述】:Cloudflare 的 cfssl...
vue H5 查看pdf文件pdfjs
06-01
H5(HTML5)是当前Web标准的一部分,它增强了网页的多媒体功能和离线存储能力。当需要在Vue.js构建的H5应用中查看PDF文件时,可以利用pdf.js库来实现这一功能。pdf.js是由Mozilla开发的一个JavaScript库,专门用于在...
[FlareOn5]Ultimate Minesweeper(dnSpy新玩法)
寻梦&之璐
05-12 6154
看这个文件名字,老熟人喽。.Net Assembly,毫无疑问,直接dnSpy
[BUUCTF]——[FlareOn5]Ultimate Minesweeper
mcmuyanga的博客
04-06 924
[FlareOn5]Ultimate Minesweeper 直接勇,把所有雷都点一遍,就知道数字在哪里了 例行检查 试运行一下程序,扫雷?不管点哪儿都是雷,运气太差了吧 c#的程序,用dnSpy打开,首先找到程序入口点 百度一下里面出现的函数 12行创建windwos窗体,MineField是雷区的封装,是游戏的核心组建;它负责方格的布局以及地雷的分布;并控制玩家的基本操作以及正确的响应。 AllocateMemory创建雷区 SquareRevealedCallback根据英文翻译方块字显示回
RE-实验吧whatamitoyou
Alikas的博客
04-09 920
Alikas-0x01 题目:实验吧whatamitoyou 用IDA打开,进入main函数,F5。(F5重度依赖者,菜了) 分析可知,memset语句后数据应为数组。对每组都按快捷键Y修改类型,改为char a[0x128] [记得从后往前改(即从v5开始)] memset(&v5, 0, 0x128uLL); v5 = 2334397743343431513LL; v6 = ...
C++初探究(2)
最新发布
Frenemy__的博客
07-09 731
public:// 成员函数private:// 成员变量int* array;size_t top;而我们如果想要对函数定义,则需要专门使用类域来定义函数.
C++(week11): C++基础 第五章: 运算符重载、友元
Edward2022的博客
07-09 607
友元、运算符重载、类型转换函数、嵌套类、单例模式的自动释放、std::string的三种底层实现
C++:CV::Point函数简介
Ethan_Rich的博客
07-08 258
cv::Point是 OpenCV 库中用于表示二维坐标系下点的一个基本数据类型。它提供了在图像处理、计算机视觉等领域中定位和操作点的能力。以下是关于cv::Point。
C语言 do while 循环语句练习 中
2401_84378523的博客
07-05 317
注:使用Sleep首字母必须大写,引用头函数#include <windows.h>,Sleep是延时函数,用来做延时效果。使用system需应用头函数。
Python的异常处理(与C++对比学习)
2302_76941579的博客
07-09 404
通过C++的基础来学习Python的异常处理
cloudflare
12-26
Cloudflare是一个网络安全和性能公司,提供了一系列的服务来保护网站免受DDoS攻击、恶意流量和其他网络威胁。它还提供了内容分发网络(CDN)服务,可以加速网站的加载速度,并提供了SSL证书来加密网站的通信。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值