BUUCTF-[2019红帽杯]easyRE

已于 2022-12-01 15:41:48 修改
阅读量552 收藏 3
点赞数 2
分类专栏: re简单题 文章标签: python 网络安全
于 2022-11-30 22:25:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61154173/article/details/128122612
版权

题目下载:easyRE

拖入IDA,shift+f12找到关键字符串双击“You found me!!!”

点红线2处的函数,在f5查看伪代码,伪代码可以分为两部分,首先看第一部分

红线处为关键代码,由此可求出input1数组,

input1=''
v12='73 111 100 108 62 81 110 98 40 111 99 121 127 121 46 105 127 100 96 51 119 125 119 101 107 57 123 105 121 61 126 121 76 64 69 67'.split(' ')
for i in range(len(v12)):
    input1+=chr(int(v12[i])^i)
print(input1)

#输出为Info:The first four chars are `flag`

所以可以知道答案前四个字符为flag

看伪代码第二部分将input2进行十次base64编码,然后和off_6CC090比较,通过off_6CC090数组(数据双击即可查看)反向十次base64解码获得input2,为网址https://bbs.pediy.com/thread-254172.htm,进入是

发现不对,所以解题方向错了 ,重新观察发现在观察off_6CC090时有其他的数据双击这个函数查看伪代码发现if处代码为关键,并且出现的f,g两个字符会不会是flag的f,g呢?在通过上上个截图观察byte_6CC0A0[0]与byte_6CC0A3正好中间差两个数据,更加确定f,g是flag的f,g。既然知道v4数组和byte_6CC0A0数组前四个异或得到字符‘flag’,则可求V4数组,知道v4数组在根据for循环写代码可获得flag

#求v4数组
str1='flag'
v4=''
str2=[0x40, 0x35, 0x20, 0x56, 0x5D, 0x18, 0x22, 0x45, 0x17, 0x2F, 
  0x24, 0x6E, 0x62, 0x3C, 0x27, 0x54, 0x48, 0x6C, 0x24, 0x6E, 
  0x72, 0x3C, 0x32, 0x45, 0x5B]
for i in range(4):
    v4+=chr(ord(str1[i])^str2[i])
#求flag
flag=''
for i in range(len(str2)):
    flag+=chr(ord(v4[i%4])^str2[i])
print(flag)

内怀童心外表成熟
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[2019红帽杯]easyRE1题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-30 1630
buuctf-[2019红帽杯]easyRE1题解
BuuCTF [2019红帽杯]easyRE
m0_74154467的博客
06-15 347
Buuctf解题思路
[2019红帽杯]easyRE 1
最新发布
qq_20242529的博客
04-08 747
第三部分sub_410E90((unsigned __int8)(byte_6CC0A0[j] ^ *((_BYTE *)&v4 + j % 4)))我们主要看里面这部分(byte_6CC0A0[j] ^ *((_BYTE *)&v4 + j % 4))由v1^byte_6CC0A0[0]='f'和HIBYTE(v4) ^ (unsigned __int8)byte_6CC0A3) == 'g'这里有几个关键的地方。这里补充一下HIBYTE(v4)是指V4的高位的值,由于V1=V4也就是V1高位的值。
[buuctf][2019红帽杯]easyRE
逆向萌新的博客
07-02 518
[buuctf][2019红帽杯]easyRE
[2019红帽杯]easyRE
yidalipao1的博客
05-07 843
BUU 2019红帽easyre
buuctf [2019红帽杯]easyRE
个人博客:http://s0rry.cn
12-12 683
有点小坑
2019红帽杯恶臭的数据包.7z
11-11
2019红帽杯恶臭的数据包
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
2018红帽杯线上预选赛MISC文件--NotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
05-03
2018红帽杯线上预选赛MISC文件()Not Only WiresharkNotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
18--[小红帽].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码
04-18
18--[小红帽].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码18--[小红帽].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码18--[小红帽].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码18...
[2019红帽杯]easyRE1
qq_66455531的博客
06-11 116
程序分别给v12,v13,v14赋值,这时候条件反射查看计算三者的地址,发现是连着的,也可以通过后面36位的v15异或v12也能察觉。这个函数也看的我云里雾里,看了攻略也没看懂,自己写的脚本也没运行正确,这里就用攻略使用的脚本。到这里就没有路了,看了攻略,发现在target密文下面有俩个没有出现过的数组。PS:新找到的函数真的一句都没看懂,大佬们又觉得太简单,分析过程也不写(悲)一连串的base64加密(base64函数易证),加密后与targ。根据程序,得知,v15异或等于v12,v13,v14的值。
2019 红帽easyRE
mishixiaodai的博客
11-18 2457
记一次被带入坑的逆向 拿到题目,发现是elf文件,拖入Linux运行程序,发现什么提示也不给,输入任意字符串,程序退出。 拖入64位的ida中,查找字符串,发现几个很有用的字符串,查看第三个字符串处的代码 先给了一大串数字,将类型转变成char[36]后如下图所示。分析伪代码发现函数名都是统一的sub_。 进入第一个函数sub_4406E0,发现很难理解此函数是干嘛的,但通过主程序,我们可以猜测,该函数的作用应该是读取我们的输入。同理,根据if语句中的v15[i] ^ i) != v14[i],我
[ACTF新生赛2020]easyre&[SUCTF2019]SignIn
weixin_46133275的博客
10-18 236
本文主要记录[ACTF新生赛2020]easyre、[SUCTF2019]SignIn的做题过程和相关思路。
buu:[2019红帽杯]easyRE wp
weixin_60553183的博客
12-19 218
放入ida后我人懵了,这是我见过函数最多的一次。但是总归是要尝试的,打开strings window ok,这里可以看出两个东西一个是base 64一个是you find me!这意味着flag位置找到了。点进去交叉引用。 第一步是静态分析,然后呢,修改函数名,其实这一步我老是忽略,但其实很重要,可以帮助分析,且有效避免眼瞎。 首先sub_410cc00很容易看出是输出可以看成puts. 然后sub_4406E0(0LL, v15, 37LL),这个函数,第一个参数0,第二个参数,...
BUUCTF [羊城杯 2020]easyre 题解
OrientalGlass的博客
03-08 940
对数字和字母移三位,其他特殊字符不变,要求出加密前的字符串,只需要对数字+7再mod10,对字母+23再mod26,有点补码的感觉在。看到主函数的str2大概就可以猜到是base64,ctrl+f12也可以看到存在base64表。进入该函数后大概看一下不难发现是base64加密并且这题没有换表操作。第三次加密是将code2内的数字和字母移3位,其他字符不变。第一次加密是base64加密,得到code1。三.encode_one_base64。五.encode_three。四.encode_two。
BUUCTF-re-[2019红帽杯]easyRE
qq_61774705的博客
06-18 683
用IDA64打开文件,shift+F12查看字符串 分析关键代码:脚本如下: 继续查看sub_400E44函数继续分析 脚本如下: 继续分析 代码如下: 发现此函数的逻辑就是将字符串进行异或,还可以发现if语句中,有判断是否等于‘f’和‘g’的条件,根据已有信息猜测这个字符数组就是‘flag’。函数的作用是获取高字节也就是数组的最后一位,同时还有第一个是获取数组的第一位,第二个就是获取第二位,依次类推。查看数组byte_6CC0A0数据:可以看出byte_CC0A3=byte_CC0
[ACTF新生赛2020]easyre 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
05-17 1270
32位文件,加了UPX壳。
buu-[2019红帽杯]easyRE
qaq517384的博客
03-05 531
查壳 64位ida 直接查看字符串能看到you found me和一些奇怪字符串 有些类似base的东西 先找you found me 跟进后CTRL+X交叉引用找到函数,f5查看伪代码 signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8
红帽7.6出现minimal+bash-like+line
12-15
根据提供的引用[1],我们可以得知Linux中支持的shell类型包括/bin/sh、/bin/bash、/usr/bin/sh、/usr/bin/bash、/bin/tcsh和/bin/csh。而minimal+bash-like+line是指一个非常基本的shell,它只提供了一些基本的命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值