wantyou 5.03

已于 2023-05-04 11:08:21 修改
阅读量1.4k 收藏
点赞数
分类专栏: wantyou训练 文章标签: 安全
于 2023-05-03 22:51:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63051469/article/details/130475179
版权

Timeout

第一次见到.com后缀文件,查一下

 也是可执行文件,本题是elf,直接把后缀去掉

 用ida打开,找到关键性函数generate()

 最后一步直接把上面的s覆盖掉然后输出,flag{3ncrytion_is_overrated_youtube.com/watch?v=OPf0YbXqDm0}

babyre

ida打开发现main不能生成函数,怀疑有花指令

 往下翻看到红色的报错,发现三条没用的指令,全部nop

其余同理,然后p生成函数后f5

 第一段flag很明显是一段迷宫,推出路径为sxss

 这里是第二段flag,但是loc_C22未声明为函数

是这一段出了问题,又是一段花指令,还是将jb与jnb nop掉,然后修改机械码E4为90,按c生成代码后即可分析

这一段为flag2的核心,四个字符一组左移6位缩成3个字节,所以输入的应该是12个字符,下面是爆破脚本

#include<stdio.h>
unsigned char ida[] =
{
  0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 
  0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
  0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 
  0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
  0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 
  0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
  0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 
  0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
  0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 
  0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
  0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 
  0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
  0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 
  0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
  0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 
  0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
  0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 
  0x00, 0x00, 0x3E, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
  0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x3F, 0x00, 
  0x00, 0x00, 0x34, 0x00, 0x00, 0x00, 0x35, 0x00, 0x00, 0x00, 
  0x36, 0x00, 0x00, 0x00, 0x37, 0x00, 0x00, 0x00, 0x38, 0x00, 
  0x00, 0x00, 0x39, 0x00, 0x00, 0x00, 0x3A, 0x00, 0x00, 0x00, 
  0x3B, 0x00, 0x00, 0x00, 0x3C, 0x00, 0x00, 0x00, 0x3D, 0x00, 
  0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
  0x7F, 0x00, 0x00, 0x00, 0x40, 0x00, 0x00, 0x00, 0x7F, 0x00, 
  0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0x02, 0x00, 
  0x00, 0x00, 0x03, 0x00, 0x00, 0x00, 0x04, 0x00, 0x00, 0x00, 
  0x05, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00, 0x07, 0x00, 
  0x00, 0x00, 0x08, 0x00, 0x00, 0x00, 0x09, 0x00, 0x00, 0x00, 
  0x0A, 0x00, 0x00, 0x00, 0x0B, 0x00, 0x00, 0x00, 0x0C, 0x00, 
  0x00, 0x00, 0x0D, 0x00, 0x00, 0x00, 0x0E, 0x00, 0x00, 0x00, 
  0x0F, 0x00, 0x00, 0x00, 0x10, 0x00, 0x00, 0x00, 0x11, 0x00, 
  0x00, 0x00, 0x12, 0x00, 0x00, 0x00, 0x13, 0x00, 0x00, 0x00, 
  0x14, 0x00, 0x00, 0x00, 0x15, 0x00, 0x00, 0x00, 0x16, 0x00, 
  0x00, 0x00, 0x17, 0x00, 0x00, 0x00, 0x18, 0x00, 0x00, 0x00, 
  0x19, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 
  0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
  0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x1A, 0x00, 
  0x00, 0x00, 0x1B, 0x00, 0x00, 0x00, 0x1C, 0x00, 0x00, 0x00, 
  0x1D, 0x00, 0x00, 0x00, 0x1E, 0x00, 0x00, 0x00, 0x1F, 0x00, 
  0x00, 0x00, 0x20, 0x00, 0x00, 0x00, 0x21, 0x00, 0x00, 0x00, 
  0x22, 0x00, 0x00, 0x00, 0x23, 0x00, 0x00, 0x00, 0x24, 0x00, 
  0x00, 0x00, 0x25, 0x00, 0x00, 0x00, 0x26, 0x00, 0x00, 0x00, 
  0x27, 0x00, 0x00, 0x00, 0x28, 0x00, 0x00, 0x00, 0x29, 0x00, 
  0x00, 0x00, 0x2A, 0x00, 0x00, 0x00, 0x2B, 0x00, 0x00, 0x00, 
  0x2C, 0x00, 0x00, 0x00, 0x2D, 0x00, 0x00, 0x00, 0x2E, 0x00, 
  0x00, 0x00, 0x2F, 0x00, 0x00, 0x00, 0x30, 0x00, 0x00, 0x00, 
  0x31, 0x00, 0x00, 0x00, 0x32, 0x00, 0x00, 0x00, 0x33, 0x00, 
  0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
  0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 0x7F, 0x00, 
  0x00, 0x00
};

int main(){
	int *p = (int*)ida;
	int enc[3] = { 0x736374, 0x665f39, 0x313032 };
	
	for(int i = 0; i<3; i++){
		for(int d1 = 32; d1<128; d1++){
			for(int d2 = 32; d2<128; d2++){
				for(int d3 = 32; d3<128; d3++){
					for(int d4 = 32; d4<128; d4++){
						int t = (((((((p[d1] & 0x3F) << 6) | (p[d2] & 0x3F)) << 6) | (p[d3] & 0x3F)) << 6) | (p[d4] & 0x3F));
						if(t == enc[i]){
							printf("%d:%c %c %c %c\n", i, d1, d2, d3, d4);
						}
					}
				}
			}
		}
	}
	
	return 0;
}

运行出结果

第三组有两个答案,运行一下试试

 第二段flag为 c2N0Zl85MTAy

然后分析第三段

 sub_FFA返回值为1就行

 sub_5559B140143B

 思路挺清晰的就是把输入的字符整合成四个四字节整数,然后v10[]数组进行计算sub_5559B140143B函数,该函数为异或可逆,且已知v10最后四组整数,写出脚本

(脚本写的有点困难,去网上看了看wp,这个脚本是参考文章写的,膜www

#include <stdio.h>
#include "defs.h"
unsigned int ROR4(unsigned int x, int y)
{
	return (x << (32 - y) | x >> y) & 0xffffffff;
}

unsigned int ROL4(unsigned int x, int y)
{
	return (x >> (32 - y) | x << y) & 0xffffffff;
}


__int64 sub_1464(unsigned int a1)
{
	int v2;
	unsigned int v3[288] = {
	0xD6, 0x90, 0xE9, 0xFE, 0xCC, 0xE1, 0x3D, 0xB7,
	0x16, 0xB6, 0x14, 0xC2, 0x28, 0xFB, 0x2C, 0x05,
	0x2B, 0x67, 0x9A, 0x76, 0x2A, 0xBE, 0x04, 0xC3,
	0xAA, 0x44, 0x13, 0x26, 0x49, 0x86, 0x06, 0x99,
	0x9C, 0x42, 0x50, 0xF4, 0x91, 0xEF, 0x98, 0x7A,
	0x33, 0x54, 0x0B, 0x43, 0xED, 0xCF, 0xAC, 0x62,
	0xE4, 0xB3, 0x1C, 0xA9, 0xC9, 0x08, 0xE8, 0x95,
	0x80, 0xDF, 0x94, 0xFA, 0x75, 0x8F, 0x3F, 0xA6,
	0x47, 0x07, 0xA7, 0xFC, 0xF3, 0x73, 0x17, 0xBA,
	0x83, 0x59, 0x3C, 0x19, 0xE6, 0x85, 0x4F, 0xA8,
	0x68, 0x6B, 0x81, 0xB2, 0x71, 0x64, 0xDA, 0x8B,
	0xF8, 0xEB, 0x0F, 0x4B, 0x70, 0x56, 0x9D, 0x35,
	0x1E, 0x24, 0x0E, 0x5E, 0x63, 0x58, 0xD1, 0xA2,
	0x25, 0x22, 0x7C, 0x3B, 0x01, 0x21, 0x78, 0x87,
	0xD4, 0x00, 0x46, 0x57, 0x9F, 0xD3, 0x27, 0x52,
	0x4C, 0x36, 0x02, 0xE7, 0xA0, 0xC4, 0xC8, 0x9E,
	0xEA, 0xBF, 0x8A, 0xD2, 0x40, 0xC7, 0x38, 0xB5,
	0xA3, 0xF7, 0xF2, 0xCE, 0xF9, 0x61, 0x15, 0xA1,
	0xE0, 0xAE, 0x5D, 0xA4, 0x9B, 0x34, 0x1A, 0x55,
	0xAD, 0x93, 0x32, 0x30, 0xF5, 0x8C, 0xB1, 0xE3,
	0x1D, 0xF6, 0xE2, 0x2E, 0x82, 0x66, 0xCA, 0x60,
	0xC0, 0x29, 0x23, 0xAB, 0x0D, 0x53, 0x4E, 0x6F,
	0xD5, 0xDB, 0x37, 0x45, 0xDE, 0xFD, 0x8E, 0x2F,
	0x03, 0xFF, 0x6A, 0x72, 0x6D, 0x6C, 0x5B, 0x51,
	0x8D, 0x1B, 0xAF, 0x92, 0xBB, 0xDD, 0xBC, 0x7F,
	0x11, 0xD9, 0x5C, 0x41, 0x1F, 0x10, 0x5A, 0xD8,
	0x0A, 0xC1, 0x31, 0x88, 0xA5, 0xCD, 0x7B, 0xBD,
	0x2D, 0x74, 0xD0, 0x12, 0xB8, 0xE5, 0xB4, 0xB0,
	0x89, 0x69, 0x97, 0x4A, 0x0C, 0x96, 0x77, 0x7E,
	0x65, 0xB9, 0xF1, 0x09, 0xC5, 0x6E, 0xC6, 0x84,
	0x18, 0xF0, 0x7D, 0xEC, 0x3A, 0xDC, 0x4D, 0x20,
	0x79, 0xEE, 0x5F, 0x3E, 0xD7, 0xCB, 0x39, 0x48,
	0xC6, 0xBA, 0xB1, 0xA3, 0x50, 0x33, 0xAA, 0x56,
	0x97, 0x91, 0x7D, 0x67, 0xDC, 0x22, 0x70, 0xB2,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
	0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
	};
	
	v2 = (v3[BYTE2(a1)] << 16) | v3[(unsigned __int8)a1] | (v3[BYTE1(a1)] << 8) | (v3[HIBYTE(a1) ] << 24);
	return ROL4(v2, 12) ^ (unsigned int)(ROL4(v2, 8) ^ ROR4(v2, 2)) ^ ROR4(v2, 6);
}

int main()
{	
	int n = 25;
	unsigned int v10[30] = { 0 };
	v10[26] = 0xBE040680;
	v10[27] = 0xC5AF7647;
	v10[28] = 0x9FCC401F;
	v10[29] = 0xD8BF92EF;

	do
	{
		v10[n] =v10[n + 4] ^ sub_1464(v10[n + 1] ^ v10[n + 2] ^ v10[n + 3]);
		--n;
	} while (n >= 0);
	for (int i = 0; i < 4; i++)
		printf("%c%c%c%c", ((char*)&v10[i])[0], ((char*)&v10[i])[1], ((char*)&v10[i])[2], ((char*)&v10[i])[3]);
	return 0;
}

 第三组flag为fl4g_is_s0_ug1y! 

但是提交并不对,发现是第一段迷宫路径不对(但是运行又能过好怪,想了想这道题应该是一个三维迷宫,ws不能跨层,这样就解释的通了捏

最后flag为flag{ddwwxxssxaxwwaasasyywwdd-c2N0Zl85MTAy(fl4g_is_s0_ug1y!)}

胡小楠awa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xxxtube android神器
07-09
xxxtube android神器,首个用Mono For Android编写的商业App
2010-2012迷你博客
XiaJing20060721的专栏
02-17 11万+
XiaJing: MySQLdb.escape_string(...) escape_string(s) -- quote any SQL-interpreted characters in string s. 回复 (13小时前) XiaJing: 公告:CSDN个人空间即将改版.特别提醒:新版个人空间将不再提供迷你博客功能. 回复 (19小时前) f
91.vido.ws v.php,"token" parameter not in video info for unknown reason;
热门推荐
weixin_35307279的博客
03-29 77万+
youtube-dl -v --dump-pages https://www.youtube.com/watch?v=USg3NR76XpQ output[debug] System config: [][debug] User config: [u'--add-metadata', u'--user-agent', u'Mozilla/5.0 (X11; Ubuntu; Linux x86_64...
HTML5视频 youtube,html - Force HTML5 youtube video - Stack Overflow
weixin_33575756的博客
06-20 7358
Regarding the Youtube API Blog they are experimenting with their new HTML5 Video Player.Apparently to play a video in html5, you have to use the iframe embedding code :src="http://www.youtube.com/embe...
Convex optimization 3.1 --- 凸优化问题 part1
weixin_43485943的博客
04-28 4802
1 introduction 在前面两个章节,回顾了凸集、凸函数、凸集和凸函数联系。从这章开始认识凸优化问题。 2 凸优化问题 2.1 优化问题的标准形式 2.1.1 优化问题的最优解 优化问题的最优解 解集可能存在两种极端情况 2.1.2 优化问题的解集 可行解 如果xix_ixi​满足fi(x)、hi(x)f_i(x)、h_i(x)fi​(x)、hi​(x),则称xix_ixi​是可行解。 最优解 如果xix_ixi​,使得f0(xi)=p∗f_0(x_i)=p*f0​(xi​)=p∗,则称x
Pytube keeps return 404 not found/Pytube 持续报错(404).
qq_34387395的博客
05-23 1万+
这个问题是由PyTube自身库中的一个小问题导致的(当然,你得确保已经开了梯子),目前已经修复了。 用 'pip install pytube --upgrade'更新一下你的库,再试试看。 This issue was inducedby a problem with the PyTube library. There is an issue about it here:https://github.com/pytube/pytube/issues/495 It is already fixed..
E - 和風いろはちゃん / Iroha and Haiku(dp+状压)
qq_40859951的博客
05-18 3612
Problem Statement Haiku is a short form of Japanese poetry. A Haiku consists of three phrases with 5, 7 and 5 syllables, in this order. Iroha is looking forX,Y,ZX,Y,Z-Haiku(defined below) in integ...
Oracle Internals - Redo
0.0
09-30 3285
RedoAll changes to the database are recorded by redo. Redo includes all changes to datafiles, but does not include changes to control files or the parameter file. Redo is initially written to onli
好风凭借力 - 74
cnz98144的博客
12-15 1264
因为自己也是搞过培训,所以还是比较相信讲课的人无论如何至少比初学者懂的更多(这不废话)。 所以开始网络上扒资料。 油管真是圣地,一搜一大把,而且有浅有深,特意保留了几个视频。 What is Apache Spa...
XTU online judge 1248 Alice and Bob
jingyibuok的博客
11-07 1755
Description Alice和Bob在玩骰子游戏,他们用三颗六面的骰子,游戏规则如下: 1.点数的优先级是1点最大,其次是6,5,4,3,2。 2.三个骰子点数相同,称为"豹子",豹子之间按点数优先级比较大小。 3.如果只有两个骰子点数相同,称为"对子",对子之间按点数优先级比较大小。 4.其他情况称为"点子",点子按点数和比较大小。 5.豹子比对子、点子大,对子比点子大,如果对子的点数优先级相同,就看剩余那个骰子的点数优先级。 现在给你Alice和Bob投掷骰子的情况,判断一下胜负情况。 Input
requests实战之网页采集器
m0_43425029的博客
02-12 6万+
import requests if __name__ == "__main__": headers = { 'user-agent': 'Mozilla / 5.0(Windows NT 10.0;Win64;x64) AppleWebKit / 537.36(KHTML, likeGecko) Chrome / 88.0.4324.150Safari / 537.36' } url = "https://cn.bing.com/search" #处理url
GSA、GSEA、ssGSEA、GSVA的算法原理及它们的联系与区别
最新发布
生信小博士的博客
11-01 1506
以上我们详细阐述了GSA、GSEA、ssGSEA、GSVA的算法原理,这应该是中文互联网最详细的GSEA、ssGSEA、GSVA的算法原理的阐述。可以看到除了GSA是基于超几何分布,后三者都是基于k-s test。GSEA开启了使用k-s test检验基因集富集的大门,ssGSEA提供了单样本的视角,并且引入rank normalization避免结果受基因表达的异常值的影响。GSVA相比ssGSEA,引入了核密度估计,用分布函数值代替基因表达值,并且提供了ES(S)的新的计算方法。
signature=6aadff65f423b61e32c49a6edfc74d66,存在劫持风险的第三方JS地址
weixin_35895994的博客
05-29 9268
http://3g.365jia.cn/js/riot.min.jshttp://a.adnium.com/static?r=23326206&id=94837&pid=5044&sid=73633&tid=1&w=300&h=250http://aaa.1688zl.top/static/bottom.jshttp://ca2.hnzz-zhuor...
Google新闻-- 头条新闻 Atom格式的源代码,以feed开头
痱子源的专栏
11-16 4930
<br /><feed xmlns="http://www.w3.org/2005/Atom"><generator>NFE/1.0</generator><id>tag:news.google.com,2010-11-16:/us/en/1289893474853</id><title>Top Stories - Google News</title><link rel="self" type="application/atom+xml" href="http://news.google.com/news
Python 获取Google+特定用户最新动态
计算机视觉
09-04 3万+
Python 获取Google+特定用户最新动态
getResource()函数的路径问题
水墨江南
11-27 1万+
getResource(“”)函数用于获取当前classpath,参数方面具体如下,目录结构具体如图: public class invokeShell implements Runnable{ public static void main(String args[]) throws IOException, InterruptedException, URISyntaxExcept
android graphic(19)—why Android's UI was designed the way it is and how it actually works
lyf's blog
03-30 8006
作者是google的framework工程师Dianne Hackborn。A few days ago I wrote a post trying to correct a lot of the inaccurate statements I have seen repeatedly mentioned about how graphics on Android works. This resul
CS224W课程学习笔记(五):GNN网络基础说明
submarineas的博客
03-08 699
GNN 是对图的所有属性(节点、边、全局上下文)的可优化转换,它保持了图对称性(排列不变性)。这里我们可以构建一个最简单的GNN模型,此GNN在图的每个组件上使用单独的多层感知器(MLP),即分别对图的点、边和全局三个向量分别做一次MLP,用不同的映射函数,如下图所示:但现实是往往很难直接拿到完整的点或者边的信息,可能我们可以获取到所有的边,而缺少了一些点的数据,我们最终的目标是对节点进行预测,所以需要一种方法来从边缘收集信息并将其提供给节点进行预测。
【2022跨年】最浪漫的表白烟花,送给新的一年的自己(源码)
m0_67390969的博客
03-02 3万+
先建立一个images文件夹: 放入一张小表情图片:a8.png jquery.min.js: /*! jQuery v2.0.0 | (c) 2005, 2013 jQuery Foundation, Inc. | jquery.org/license //@ sourceMappingURL=jquery.min.map */ (function(e,undefined){var t,n,r=typeof undefined,i=e.location,o=e.document,s=o.document.
文末彩蛋 | 这个 Request URL 长得好不一样
咸鱼学Python的博客
11-14 11万+
有朋友拿到一个网站请求的链接问这要怎么解密?很明显这不是加密的数据,这是一张图片 base64 后的结果,第一次写爬虫朋友遇到这样的请求,可能需要琢磨一下这是什么东西。如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值