190407 逆向-西湖论剑杯

最新推荐文章于 2024-02-05 10:54:52 发布
最新推荐文章于 2024-02-05 10:54:52 发布
阅读量2.4w 收藏 3
点赞数 6
分类专栏: CrackMe CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/89078090
版权
博客介绍了西湖论剑杯逆向分析的三个问题,涉及easyCpp中的斐波那契数列运算、testre的base58解码挑战,以及Junk_Instruction的RC4解密。通过动态调试和理解算法,博主成功解决了这些问题,揭示了题目中的解题思路和关键步骤。
摘要由CSDN通过智能技术生成

Re1-easyCpp

IDA打开发现一大堆模板很丑,但仔细看一下其实只有一堆变量来回操作而已
基本上就是各种STL和vector的用法,算法名都保留下来了所以难度下降很多
基本流程是接收输入、生成斐波那契数列的十六项
然后对输入依次使用transform和accumulate算法
分别是遍历vector中的一元运算和二元运算
运算都是自定义的方法,双击算法进去可以看到lambda函数

transform
accumulate
transform的运算是累加第0个元素
accumulate则是通过back_inster迭代器将容器逆序

所以最终结果只要保证生成数组等于fib数列即可

但其实直接动态调试,黑盒的方法很容易看出来两次算法变换的内容,而无需去关注复杂的STL

fib = [1, 1, 2, 3, 5, 8, 13, 21, 34, 55, 89, 144, 233, 377, 610, 987][::-1]
x = fib[0]
for i in range(len(fib)):
    print(0xffffffff&(fib[i]-fib[0]))

Re2-testre

核心函数中混有一个没有用的数组,最后比较仅用到另一个数组
生成方法是逐个字节遍历,每个字节模58的余数放在结果数组中,再整除58后移一位,直到整除58为0为止
最后用长为58的表转为可见字符

这里的算法有点绕,最好自己动态调试跟着走一遍,观察变量的值,自己写算法复刻一下比较
在这里插入图片描述
这里的d1是结果数组,d2没有意义无需看
关键是v21和break的条件
复刻出来长这样
在这里插入图片描述
比赛的时候想解方程结果眼瞎输错了数字,抱着侥幸心理试了一下base58,结果直接就出来了

>>> base58.b58decode(b"D9cS9N9iHjMLTdA8YSMRMp")
b’base58_is_boring’

后来回头观察了一下发现是眼瞎的问题,重修了一下方程就OK了
这里根据数据可以发现第一轮循环中倒数三个数分别为t=a[0] t%58, t/58%58, t/58/58%58
第二轮则可化简为t = a[0]<<8 + a[1]的状态下
t%58

最低0.47元/天 解锁文章
奈沙夜影
关注
专栏目录
西湖论剑——pwn
weixin_44319142的博客
04-07 566
pwn 这道题目开了canary,和之前的套路相似,就是要泄露canary,利用栈溢出找到system和/bin/sh,拿到访问权限 看一下函数 printf存在格式化字符串漏洞可以用于泄漏canary p.sendlineafter("ID:","%15$p") #不解释了这个要打印的是第十五个参数,也就是canary的值 p.recvuntil("Hello ")#输出hello之后...
2019西湖论剑网络安全技能大赛(大学生组)部分WriteUp
weixin_30501857的博客
04-08 656
这次比赛是我参加以来成绩最好的一次,这离不开我们的小团队中任何一个人的努力,熬了一整天才答完题,差点饿死在工作室(门卫大爷出去散步,把大门锁了出不去,还好学弟提了几个盒饭用网线从窗户钓上来才吃到了午饭)。写好WP回到宿舍的时候已经快十二点了,随便吃了点面包倒头就睡...... 接下来大概写写我们的解题思路,由于做题的时候没想到可以进名次,而且赛后比赛平台也关了,所以很多实现过程的截图就...
西湖论剑逆向
qq_41071646的博客
04-09 558
其实可以石锤我是标题党了 哈哈哈 其实这个我也很尴尬 ·~ 没有题目 没办法好好的去做一下题 但是听说安恒会有复现 复现的时候能够好好做也是极好的 然后 先说一下这个题 题目 其实是在https://www.52pojie.cn/thread-924174-1-1.html这个链接下载的 多谢师傅的分享 其实 testre 这个题 很简单的一个题 就是 怎...
后记:2020西湖论剑逆向babyre的wp
sln_1550的博客
10-12 736
这个题目对我而言太难了,比赛的时候只做了个crypto简单题和逆向的flow,这个babyre没时间看,赛后花了2天才搞出来。 题目是个PE32的可执行程序,体积挺大的,调试的时候一直报非法指令,应该是有反调试的措施。 用x64dbg也是一样,看来动态调试这条路是走不通了,干脆耐心的分析代码。 首先根据报错,查到主程序逻辑是在sub_1543D0里: 这里是一个虚机,具体代码在开头会有初始化: 右边注释是我手工写的 0x01, 0x63, 0x00, load strings 0 & output
pwn-2019西湖论剑之story
CharlesGodX的博客
04-09 761
0x00:前言 这道题是64位程序,涉及到canary绕过,格式化字符串漏洞,是一道非常好的练习题 0x01:题目思路 首先检查保护,可以看到有堆栈不可执行和canary保护 Thunder_J@Thunder_J-virtual-machine:~/桌面$ checksec story [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/story' ...
2023西湖论剑-(部分)WP
xccwxy的博客
02-03 2356
2023西湖论剑-(部分)WP
网鼎-第三场-逆向-simpleSMC
08-28
2018年8月27日--网鼎-第三场-逆向-simpleSMC-------
网鼎-第三场-逆向-最好的语言
08-28
2018年8月27日 网鼎|第三场|逆向------最好的语言~~~
网鼎-第三场-逆向-i like pack
08-28
2018年8月28日10:20:45--网鼎-第三场-逆向-i like pack
CTF逆向-[羊城 2020]Bytecode-WP-Python字节码反编译
serfend's blog
04-12 2805
CTF逆向-[羊城 2020]Bytecode-WP-Python字节码反编译 来源:https://buuoj.cn/ 内容:无 附件:https://pan.baidu.com/s/15XJLq9jFV_pOtPMzNXG9XA?pwd=tlwo 提取码:tlwo 答案:GWHT{cfa2b87b3f746a8f0ac5c5963faeff73} 总体思路 反编译汇编成py源码 检查源码逻辑发现是一个约束求解(解方程) 使用z3输入条件得到flag 详细步骤 文件信息,打开发现是Python的
西湖论剑2021中国杭州网络安全技能大赛部分Writeup
末初的CSDN博客
11-21 9687
文章目录MISC真签到YUSA的小秘密Yusa的秘密WEB灏妹的web MISC 真签到 DASCTF{welc0m3_t0_9C51s_2021} YUSA的小秘密 使用Stegsolve打开调整通道可以发现藏有flag;但是被干扰倒是无法看清 搜索引擎查阅资料发现题目这里指的是一种叫YCrCb颜色编码模型 参考[ByteCTF2020]Hardcore Watermark 01:https://bytectf.feishu.cn/docs/doccnqzpGCWH1hkDf5ljGdjOJY
2021-西湖论剑-Web-Writeup
feng的博客
11-21 6118
前言 师傅们随便看看吧。。排版可能不太好,第一次用飞书,wp有一部分是学长写的,弄到csdn上也懒得重新排版了。。。 oa?RCE? 首先先看到一个登录界面 先试一下弱口令admin/admin123进入后台 后台功能点很多,试了下网上的poc,结果没有写入权限。开始审计代码 发现有个phpinfo的路由,访问一下发现了开启register_argc_argv。 时发现这个cms的文件包含点特别多,但是很多都限制了文件后缀,比如Action.php,这里我恰好在index路由中找到了一个只限制后缀为.ph
2021“西湖论剑“网络安全大赛Writeup
Le1a's Blog
11-21 9408
2021"西湖论剑"网络安全大赛Writeup 我只写了自己做的部分,完整WP请访问下载:https://wwe.lanzoui.com/i2XlFwqd4gb 密码:Le1a Web 详见fmyyy师傅:https://blog.csdn.net/fmyyy1/article/details/121451279?spm=1001.2014.3001.5501 Misc 真·签到 扫码关注公众号,发送语音即可 flag: DASCTF{welc0m3_t0_9C51s_2021} YUSA的小秘密
2019西湖论剑Storm_note
热门推荐
钞sir的博客
04-13 1万+
分析 这道题的漏洞不多,在edit note的时候有一个off_by_null漏洞: 然后还有一个后门: 没有show功能,想要泄露地址有难度;而且程序禁用了fastbin的申请: ssize_t init_proc() { ssize_t result; // rax int fd; // [rsp+Ch] [rbp-4h] setbuf(stdin, 0LL); setb...
西湖论剑初赛web wp
akxnxbshai的博客
02-12 893
西湖论剑web部分wp
2024西湖论剑WP(reverse_MZ)
最新发布
ZJPC007的博客
02-05 642
有函数可知,根据转换得到48位的字符串并进行SHA1加密,密文为dc0562f86bec0a38508e704aa9faa347101e1fdb。因为转换过程中有多种可能,所以需要进行一些手搓的步骤,逐渐得到flag。思路大概就是先进行转换然后SHA1加密。逆向板块就做出这一题。
2022西湖论剑pwn部分wp
N1rvana的博客
02-05 900
西湖论剑2022pwn
2023西湖论剑pwn 部分wp
cainiao78777的博客
02-18 661
也就是*(&v3 + i) = v0 修改一个字节的内容,但是我们也要解一下这个方程,以免程序被exit()而且在buf的下面的变量都是能够覆盖的,也就是说,我们能通过覆盖 i 的值进行数组溢出。一个格式化字符串漏洞,一个栈溢出,但是只能副盖rbp和返回地址,所有要考虑栈迁移。我看有个大佬的解法很奇特,准备学习一下,待我学成,再来补充另外一种方法。泄露出这个函数地址,就能得到 libc——base。根据距离rbp的距离将相应的变量填入。这里的main指的是start,第二次getshell。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值