180620 逆向-SCTF(2)

最新推荐文章于 2023-12-04 17:28:53 发布
最新推荐文章于 2023-12-04 17:28:53 发布
阅读量243 收藏
点赞数
分类专栏: CTF CrackMe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/80754004
版权
CTF 同时被 2 个专栏收录
163 篇文章 9 订阅
订阅专栏
CrackMe
83 篇文章 3 订阅
订阅专栏

Script In Script

下载下来文件,观察js发现有动态解密
将eval改为console.log后即可在console中抓到解码后的函数
也可在click函数中的r处下断,单步跟进后逐个查看函数

function a(r) {
    return D(~r, 1)
}

function D(r, n) {
    return n ? D(r ^ n, (r & n) << 1) : r
}

function E(r, n) {
    return D(r, a(n))
}

function F(r, n) {
    var a = 0;
    while (n) {
        if (n & 1) {
            a = D(a, r)
        }
        r = r << 1;
        n = n >> 1
    }
    return a
}

function G(r, n) {
    var a = 0;
    while (r >= n) {
        r = E(r, n);
        a = D(a, 1)
    }
    return a
}

function H(r) {
    return r.length
}

function J(r, n) {
    return !(r ^ n)
}

function K(r, n) {
    return r[n]
}

function L(r) {
    if (r.length == 1) {
        return r.charCodeAt(0)
    }
}

function M(r) {
    return +r
}

function N(r) {
    return String(r)
}

function O(r, n) {
    return r + n
}

function Q(r, n, a, v) {
    for (var t = r; t <= n; t++) {
        if (a[t] != v[t - r]) {
            return false
        }
    }
    return true
}

function r(r) {
    var n = r;
    var a = H(n);
    var v = J(a, 24);
    var t = K(n, 0);
    var u = K(n, 1);
    var i = K(n, 2);
    var e = K(n, 3);
    var f = D(L(t), L(i));
    var o = E(L(t), L(u));
    var c = K(n, 6);
    var l = K(n, 7);
    var h = K(n, 16);
    var w = K(n, 17);
    var I = J(E(L(u), L(h)), 0);
    var S = J(D(L(c), L(l)), D(L(h), L(w)));
    var _ = J(E(L(u), L(c)), 0);
    var g = K(n, 21);
    var p = K(n, 22);
    var s = J(E(F(L(g), 2), G(66, L(p))), 64);
    var P = Q(9, 15, n, "Pt_In_S");
    var T = J(L(l), L("r"));
    var b = J(f, 231);
    var d = J(o, 16);
    var j = M(K(n, 5));
    var k = J(G(M(O(N(L(e)), "0")), j), 204);
    var m = M(K(n, 8));
    var q = Q(18, 20, n, "IpT");
    var x = J(E(j, m), 4);
    var y = J(F(m, m), m);
    var z = J(D(L(K(n, 4)), D(m, m)), L(K(n, 23)));
    var A = J(L(u), 99);
    var B = J(L(K(n, 23)), 125);
    var C = J(L(K(n, 22)), 33);
    return v && I && S && _ && s && P && T && b && d && k && q && x && y && z && A && B && C
}

其中核心函数为D,动态调试输入几个值测试发现该函数为求和
后面其他几个函数就很简单了,E是减法、F是乘法、G是除法

机械梳理下来求解即可

from z3 import *
a = [Int("a%d"%i) for i in range(24)]
flag = [0 for i in range(24)]
s = Solver()
s.add(a[0] + a[2] == 231,
a[0] - a[1] == 16,
a[1] - a[16] == 0,
a[6] + a[7] == a[16] + a[17],
a[1] - a[6] == 0,
a[21]*2 - 66/a[22] == 64,
a[7] == ord('r'),
(a[3]*10)/(a[5]-ord('0')) == 204,
#int(a[5])
(a[5]-ord('0')) - (a[8]-ord('0')) == 4,
#int(a[8])
(a[8]-ord('0'))*(a[8]-ord('0'))==(a[8]-ord('0')),
a[4] + (a[8]-ord('0')+a[8]-ord('0')) == a[23],
a[1] == 99,
a[23] == 125,
a[22] == 33
)
c = s.check()
print(c)
if(c==sat):
    m = s.model()
    for i in range(24):
        try:
            v = m[a[i]].as_long()
            flag[i] = v
        except:
            continue
    for i in range(9, 16):
        flag[i] = ord("Pt_In_S"[i-9])
    for i in range(18, 21):
        flag[i] = ord("IpT"[i-18])
    print(flag)
    for i in flag:
        print(chr(i), end='')
奈沙夜影
关注
专栏目录
2021-09-24 网安实验-音频隐写-SCTF真题之Misc200
时光隧道
09-24 5万+
一、Binwalk BinWalk是一个固件的分析工具,旨在协助研究人员对固件进行分析,提取及逆向工程用处。简单易用,完全自动化脚本,并通过自定义签名,提取规则和插件模块,还重要一点的是可以轻松地扩展。最简单的使用方法很直接,提供文件路径和文件名即可。 BinWalk常用于识别任意二进制数据块中所包含的其他类型的文件数据。 二、MP3Stego MP3Stego可以把任何敏感数据压缩隐藏到MP3音乐文件中,数据首先被进行压缩和加密处理,然后将其隐藏到MP3音乐流数据中。 三、ZIP伪加密 ZIP伪加密曾流行
180619 逆向-SCTF(1)
whklhhhh的博客
06-20 428
simple 反编译发现动态解密了assets中的zip文件,由于解密的dex会落地因此可以直接运行后从文件目录中pull出来 再反编译这个load.dex,onClick函数中接收了24个字符并以每8个字符一组构造Square,最后调用其中的check函数要求全部为True 构造方法为 new Square((v1[i + x] &amp;lt;&amp;lt; 8) + v12 + 255, ...
CTF逆向-[SCTF2019]creakme-WP-基于AES加密算法下的保护:反调试及except_handler和SMC
serfend's blog
04-10 869
CTF逆向-[SCTF2019]creakme-WP-基于AES加密算法下的保护:反调试及except_handler和SMC 来源:https://buuoj.cn/ 内容:无 附件:链接:https://pan.baidu.com/s/16pQIqjmG2nUhGGDt8Iw-TQ?pwd=g965 提取码:g965 答案:sctf{Ae3_C8c_I28_pKcs79ad4} 总体思路 简单反调试的patch _except_handler的知识点 smc得到解密算法,得到题目的flag密文 使用c
180621 逆向-SCTF(3)
whklhhhh的博客
06-22 329
crackme2 java层调用了native函数,要求返回值为15 在so中动态注册了tryit函数,但函数体为乱码,估计在init中动态解密 于是上动态调试,发现解密后的函数通过fork创建了子进程来执行计算,父进程则逐字符校验 校验的东西是一个链表,仿照计算通过IDC即可抓出字符串 IDC&gt;auto i,k;for(k=Dword(0x5db82040),i...
CTF逆向-[SCTF2019]babyre-WP_简单去花指令和流程识别
serfend's blog
03-24 4692
CTF逆向-[SCTF2019]babyre-WP_简单去花指令和流程识别 来源:https://buuoj.cn/ 内容:无 附件:https://pan.baidu.com/s/1pWTpezTXnr_NN4lY9xWzag?pwd=m2zv 提取码:m2zv 答案:flag{ddwwxxssxaxwwaasasyywwdd-c2N0Zl85MTAy(fl4g_is_s0_ug1y!)} 总体思路 发现汇编中出现有红色部分,则说明反汇编失败,通常是有花指令或者说SMC(程序自己修改自己的代码)。 去除
BUUCTF [SCTF2019]creakme 题解
最新发布
sirrior的博客
12-04 478
这个函数是void类型,但是在反调试函数后有一个return,这会导致程序异常。有aes加密,追踪一下,发现是sub_4020d0内进行加密,base64在aes里。没法反编译,看汇编吧。v3+=40后变成了.sctf,继续在数据段往下看看,+=40后是.data 可见是数据段的名字。异或在取反,这里笔者本来想patch掉反调试函数后自动解密,不知为何patch后一片飘红。GetModuleHandleW函数返回指定模块的句柄,进入402320看看。这段代码是设置函数的栈帧和设置数据,为异常调试做准备。
2020 SCTF 部分WriteUp
Hk_Mayfly的博客
07-06 1510
signin 准备 signin.exe:https://wwa.lanzous.com/inIQdec11zi 程序分析 可以判断出,这个程序实际上是由Python打包成的可执行文件,且在运行这个程序时,在同目录下产生了一个tmp.dll文件,猜测是程序调用某些函数的接口。 反编译 使用archive_viewer.py反编译为字节码文件 python archive_v...
[SCTF2019]creakme (SEH异常处理机制,AES)
weixin_52369224的博客
01-19 1024
32位无壳,放入IDA GetModuleHandleW 获取当前应用程序模块 首先分析一下 sub_402320函数,读取当前进程,匹配他的区段为 .SCTF 查看第一个函数的汇编代码,发现call了一处函数。但是并没有反编译 再来观察一下他的函数结构图,左半部分没有前驱调用,所以左半部分没有编译出来, 查壳函数开头,发现_except_handler4 这是SEH异常处理的标志 参考: SEH的反调试原理菜鸟版 15pb调...
SCTF2020:SCTF2020
04-01
2. **Java反射和序列化**:这两个特性在提高代码灵活性的同时也可能带来安全风险,如通过反射绕过访问控制,或利用序列化漏洞执行任意代码。 3. **Java网络编程**:了解Socket编程,HTTP/HTTPS协议,以及如何防止...
2019SCTF中的android逆向详解
qq_33356474的博客
07-12 498
SCTF中的strange android题,可能对经验丰富的师傅们并不认为很难,但对于我android逆向初级选手来讲还是有点难度的。 题目运行的时候并没有什么异常,和大多数题目一样。 所以第一步:用jeb反汇编,看看代码 看了一下配置文件,发现主活动在反编译中并没有找到。这就有点超乎想象了。后来发现是经过反调试处理了的。把主活动文件给隐藏起来了。 接着往下面分析,看是怎样进行反调试...
190617 逆向-神盾杯(Reverse)
热门推荐
whklhhhh的博客
06-17 2万+
突然想起来我还有个博客(…… 这一个月来各种比赛跑,然而主要都是被pizza带飞。得赶紧抽空整理一下各种题目 神盾杯re500的c#没啥思路,本身对.net机制确实没啥深入理解…加入TODOLIST留待日后研究了( babyjs 拿到html后发现按钮调用了checkLogin函数 在控制台输入checkLogin即可看到源码 obfacros 一看题目描述又是--garzon家俊那个混淆狂魔...
190326 逆向-MFC逆向技巧
whklhhhh的博客
03-27 2万+
MFC 简介 微软基础类库(英语:Microsoft Foundation Classes,简称MFC)是微软公司提供的一个类库(class libraries),以C++类的形式封装了Windows API,并且包含一个应用程序框架,以减少应用程序开发人员的工作量。 –百度百科 虽然由于实际应用中MFC似乎即将被淘汰,(据说微软放弃更新十几年,但从版本号和种种迹象来看似乎是还在不断更新的,V...
190407 逆向-西湖论剑杯
whklhhhh的博客
04-08 2万+
Re1-easyCpp IDA打开发现一大堆模板很丑,但仔细看一下其实只有一堆变量来回操作而已 基本上就是各种STL和vector的用法,算法名都保留下来了所以难度下降很多 基本流程是接收输入、生成斐波那契数列的十六项 然后对输入依次使用transform和accumulate算法 分别是遍历vector中的一元运算和二元运算 运算都是自定义的方法,双击算法进去可以看到lambda函数 tra...
190505 逆向-DDCTF2019(Reverse)
whklhhhh的博客
05-06 2万+
咕咕咕咕咕 连续若干CTF以后就是各种考试作业DDL催命_(:з」∠)_ 等这两周各种考察课完了慢慢补各种活儿吧~ 先交一下之前的DDWP-0- 还请各位大佬多指正~ Windows Reverse1 通过段名发现是UPX壳,upx -d脱壳后进行分析 核心函数只是通过data数组做一个转置,反求index即可 值得一说的是data的地址与实际数组有一些偏移 由于输入的可见字符最小下标就是空格的0...
190404 逆向-利用溢出修改TLS的re题
whklhhhh的博客
04-04 2万+
偶然在52上看到 这个帖子 顺手打开看了一下 主函数这里有个错误指令,附近没有跳转所以大概不是花 往上翻一下 标准的try语句,新增了一个异常处理结构 可以看到handler指向了401269+1的地方,而401269正好就是错误指令地址 也就是说相当于一个花了 修正一下变成这个样子 直接输出RROR!然后退出 就全完了233 注意到输入的buff在data段,以及scanf是%s来的,所...
190330 逆向-嘉韦思杯re2
whklhhhh的博客
03-30 2万+
划一波水,re1秒了,re2看起来挺有意思的就处理一下 main函数有一个花指令使得CreateFunction失败 jmp跳到了自己指令的中间部分,NOP掉即可 然后重新在开头按P或者右键CreateFunction就可以F5了 main函数里没啥好说的,这个花不去也无所谓,反正汇编也看得出来call 8048580要返回1才可Correct 先看一下这个函数的CFG 比较像控制流平坦化或...
190319 逆向-花指令
whklhhhh的博客
03-20 4899
以前也接触过简单的花指令,基本上就是jz/jnz式的固定跳转 前几天的某比赛中出现了一个相对而言比较复杂的花指令,参考pizza的笔记开始一阵学习XD 前言 花指令指的是没有卵用,会干扰代码阅读甚至反编译,却不影响程序功能的代码。 广义上来说OLLVM、VMP一类的代码改变型混淆也属于花指令,本文所指的是指会干扰反汇编、影响机器码解析但不影响正常机器码的字节。 原理 产生花指令的根本原因是x86指...
170920 逆向-CTF练习平台(RE-love)
whklhhhh的博客
09-21 3113
1625-5 王子昂 总结《2017年9月20日》 【连续第353天总结】 A. CTF练习平台-RE B.love偶然看到这个平台,找了下RE,只有四题 看起来都很简单 粗略观察了一下Solves数,前三题都高达数百,最后一题却只有五个解决 嗯……有挑战性!做了!下下来先查壳,果然没有 拖入IDA 没有找到main函数,start里也没有东西Shift+f12查看字符串,发现了”pl
大豆新C2H2锌指蛋白SCTF-1克隆与功能研究
本研究论文聚焦于大豆中的C2H2型锌指蛋白基因SCTF-1,由宋冰、王丕武等人合作完成。C2H2型锌指蛋白是一类在转录调控中发挥关键作用的蛋白质,它们在真核生物的生长发育和对逆境压力的适应中起着重要作用。SCTF-1的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值