攻防世界逆向入门题之getit

已于 2022-04-15 08:51:20 修改
阅读量1.1k 收藏 12
点赞数 4
分类专栏: CTF 逆向 文章标签: unctf
于 2021-08-16 22:39:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/119734500
版权
CTF 同时被 2 个专栏收录
173 篇文章 26 订阅
订阅专栏
逆向
99 篇文章 32 订阅
订阅专栏

攻防世界逆向入门题之getit

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向入门题的getit
在这里插入图片描述
下载附件,照例扔入exeinfope中查看消息:
在这里插入图片描述在这里插入图片描述
64位ELF文件,然后扔入IDA查看伪代码信息:
在这里插入图片描述
让我们来分析这段C代码含义:首先我看到的是strcpy(filename, “/tmp/flag.txt”);
stream = fopen(filename, “w”);
因为这里有flag字眼,所以我一下就看到了它,这里说写入了/tmp/flag.txt,也因为是tmp文件,所以不是管理员也可以写入,后面显眼的
fclose(stream);
remove(filename);
也说明了一运行完程序就删除文件,所以我们没法在运行完程序后找到该文件

现在分析中间的循环写入语句:

  for ( i = 0; i < strlen(&t); ++i )   //我是认为&t是flag的长度
  {
    fseek(stream, p[i], 0);    //定位到开头偏移p[i]位置处,
    fputc(*(&t + p[i]), stream);  //在上一句的定位处写入&t起始字符串的p[i]偏移的单个字节
    fseek(stream, 0LL, 0);    //重新定位到0且没有偏移
    fprintf(stream, "%s\n", u);	//写入完整字符u,双击跟踪u发现是*******************************************,就是一个覆盖干扰
  }

这里的p[i]双击跟踪长这个样子:(p[i]鼠标长时间停留显示int[43]类型):
在这里插入图片描述
hex图比较直观:
在这里插入图片描述可以看到p[i]数组存放的是无序的整数,也就是说每次在/tmp/flag.txt文件中写入的flag是不按顺序写的,且每次只出现一个字符,需要自己排序。

开头的循环判断中的&t在前面出现过,长这个样子:
在这里插入图片描述
我当时看着逼格挺高的,记得看不懂就没鸟了,后来发现前面的循环才是生成的flag代码,后面只是将flag分成单个单个字符写进去而已。
所以让我们分析一下前面代码:

  v9 = __readfsqword(40u);     //这里我也不清楚,是windows的API函数,从偏移量的指定位置读取内存相对 FS 段开头
  LODWORD(v5) = 0;     	//这里把__in64的v5(longlong型)转地址类型为32为DWORD,即取底32位为0
  while ( (signed int)v5 < strlen(s) )   //这里signed int是有符号整形,s双击跟踪是c61b68366edeb7bdce3c6820314b7498这样的无序字符串
  {
    if ( v5 & 1 )	//这里是v5的1位和1进行与操作,因为后面有LODWORD(v5) = v5 + 1,所以v3在这里会1、-1这样反复横条strlen(s)次
      v3 = 1;
    else
      v3 = -1;
    *(&t + (signed int)v5 + 10) = s[(signed int)v5] + v3;	//这里是赋值,因为v5一开始是0,所以从&t+10开始赋值,&t双击跟踪是SharifCTF{????????????????????????????????},第10位刚好是第一个?,赋值是从s[0]开始-1,s[1]+1,s[2]-1这样赋值,分别对应不断递增的v5和反复横跳的v3,所以这里也可以手动计算第一个?是b,第二个?是7这样。
    LODWORD(v5) = v5 + 1;   //v5底32位加1,其实就是v5加1
  }

好了,分析完了,有好几种做题方法,
第一个静态计算,就像我上面分析flag生成代码手动计算一样。

第二种动态截停,截止flag生成后的位置,查看寄存器即可。

第三种静态计算,仿写c语言脚本或python脚本安装一样的算法生成flag。

第四种动态截停,在IDA远程调试中截停在remove(filename);最后这里,或者return 0;也行,然后在IDA中写python脚本命令输出&t地址的字符串即可。

第五个动态截停,在linux中用GDB或IDA远程调试断点断在fprintf(stream, “%s\n”, u); 这里,然后每次记录写入的一个flag字符。

第一种就不说了,自己计算即可。

第二种:GDB动态调试,首先我们知道了下面strlen(&t)的t是flag程序运行后生成的flag,那我们把鼠标放在那一行上看一下下面的反汇编行数,如下所示是400824,那么我们在反汇编窗口跟上。
在这里插入图片描述在这里插入图片描述可以看到反汇编中400824行的确是_strlen函数,而它上面就是把&t移入了edi,所以在GDB中我们断点400824,然后查看edi寄存器即可。

所需命令:

b *0x400824
r

我这里用的是hyperpwn插件:
在这里插入图片描述
可以看到flag就在RDI寄存器里。

第三种:仿写C语言代码或python代码静态计算:
python代码:

key1="c61b68366edeb7bdce3c6820314b7498"
v5=0
flag=""
while v5 < len(key1):
	if v5 & 1:
		v3=1
	else:
		v3=-1
	flag+=chr(ord(key1[v5])+v3)
	v5+=1
print(flag)

在这里插入图片描述
C语言代码:(复制别人的)

#include <stdio.h>
#include <stdlib.h>
#include <Windows.h>

#pragma warning(disable:4996)

int main(void)
{
    char v3;
    __int64 v5;
    char s[] = "c61b68366edeb7bdce3c6820314b7498";
    char t[] = "SharifCTF{????????????????????????????????}";

    v5 = 0;
    while (v5 < strlen(s)) {
        if (v5 & 1)
            v3 = 1;
        else
            v3 = -1;
        *(t + v5 + 10) = s[v5] + v3;
        v5++;
    }
    printf("%s", t);

    system("PAUSE");
    return 0;
}

第四种在IDA处动态截停:
直接双击t看到?已经被替换成flag了,这里是断点在return在这里插入图片描述
或者在IDA下面输入框下输入get_bytes(0x6010E0,50)也一样能打印出对应地址的数组在这里插入图片描述
第五种:嗯~第五种就不演示了,大致像这个样子吧,不过他这个是整理过的,真实的是不按顺序出现的。
在这里插入图片描述

解毕!敬礼!

沐一 · 林
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
hyperpwn:一个超级插件,可借助GEF,pwndbg或peda提供灵活的GDB GUI
04-14
超pwn Hyperpwn是一个插件,用于在使用GDB进行调试时改善显示效果。 Hyperpwn需要将 , 或作为后端加载到GDB中。 Hyperpwn使用其上下文数据进行处理,将它们分离到不同的窗口中以得到更清晰的显示,并且可以轻松地重放以前的状态。 Hyperpwn可以在Linux和macOS上使用。 在GEF上使用hyperpwn。 主:: 在pwndbg上将hyperpwn和一起使用。 主:: 如果要与其他工具(例如pwntools和VS Code)一起使用hyperpwn,可以查看 安装 首先,您需要在计算机上 。 Hyperpwn依赖 。 您需要同时安装hyperinator和hyperpwn插件才能使用hyperpwn。 您可以通过命令行安装它们: $ hyper i hyperinator $ hyper i hyperpwn 或手动编辑~/.h
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界-getit
qq_52333044的博客
06-24 116
然后大概flag接受t,然后这个整个程序的功能就是把flag的值,放着这个flag.txt文件里面。这个t应该是SharifCTF{?打开查看多少位,是否有壳。然后就可以求出flag值了。然后打开IDA,反编译。然后查看一些常量参数。
攻防世界 REVERSE 新手区/getit
ookami6497的博客
04-17 148
攻防世界 REVERSE 新手区/getit 下载得到附件,拖入Exeinfo PE中查一下壳 用IDA64bit打开,找到main函数按f5查看伪代码 下面开始分析代码 int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // al __int64 v5; // [rsp+0h] [rbp-40h] int i; // [rsp+4h] [rbp-3Ch] FILE *st
Vulfocus 入门+初级
大雾
05-20 3086
名称: 命令执行漏洞 描述: 命令执行(Command Execution)漏洞即黑客可以直接在Web应用中执行系统命令,从而获取敏感信息或者拿下shell权限 命令执行漏洞可能造成的原因是Web服务器对用户输入命令安全检测不足,导致恶意代码被执行 flag 存放在tmp路径下 名称: vulshare/python-flag:latest 描述: 目录浏览漏洞属于目录遍历漏洞的一种,目录浏览漏洞是由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置.
【CTF】命令执行RCE
qq_53099119的博客
04-02 2399
md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。来自 RFC 1321 的解释 - MD5 报文摘要算法:MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来代表这个输入值,并以换算后的值作为结果。MD5 算法主要是为数字签名应用程序而设计的;
攻防世界-wp-REVERSE-新手区-6-getit
Scorpio_m7
08-20 210
目来源: SharifCTF 2016 目描述: 菜鸡发现这个程序偷偷摸摸在自己的机器上搞事情,它决定一探究竟 目附件: e3dd9674429f4ce1a25c08ea799fc027 目思路: 动态调试,结合反编译代码找到flag 解过程: 在010Editor 中打开该文件,看到magic number 是ELF,说明是Linux 下的可执行文件。放到ida64中,f5反编译,程序大概是把生成的flag,写入文件,放在/tmp/flag.txt 中,但最后又remove 了这个文件。 int
攻防世界-web-getit
最新发布
wuh2333的博客
08-11 196
攻防世界逆向
菜狗的reverse学习——攻防世界getit
weixin_61102112的博客
09-14 181
查壳发现没壳,放到ida64里静态分析
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界杂项津门杯2021-m1
11-14
攻防世界杂项津门杯2021-m1,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127840757
攻防世界running
11-15
攻防世界running杂项,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127861757
解析 RC4 加密算法(C语言、python)
热门推荐
沐一 · 林 的博客
03-08 1万+
目录 解析 RC4 加密算法(C语言、python): RC4加密算法是一种对称加密算法: 加密(解密)原理: RC4算法中的几个关键变量: RC4代码介绍: rc4初始化介绍: 包含三个参数: RC4加密: 包含三个参数: 代码实现:(已注释) C语言代码: Python代码: 三丶RC4的逆向小技巧 1:逆向特征 2:魔改RC4 解析 RC4 加密算法(C语言、python): RC4加密算法是一种对称加密算法: 对称加密(也叫私钥加密)指加密和解密使用相同密
攻防世界逆向高手之deedeedee
沐一 · 林 的博客
09-20 4832
攻防世界逆向高手之deedeedee 继续开启全栈梦想之逆向之旅~ 这攻防世界逆向高手的deedeedee . . 下载附件,这次还是两个附件: . . . 额、两个有联系的附件还是不知道怎么做的,各自用记事本打开看一下,一个是乱码,一个看起来是python语言: . . 突然想起来好像还没有扔入exeinfope中查看信息: . . 没有后缀的是64位ELF文件,照例扔入IDA中查看伪代码信息,可以看到红框位置处要输出加密代码的,动态调试一下也确实输出了。 . . 但是拿着这串he
攻防世界 crypto 入门之easy_RSA
沐一 · 林 的博客
08-07 3221
攻防世界 crypto 入门之easy_RSA 继续开启全栈梦想之逆向之旅~ 这攻防世界crypto 入门之easy_RSA RSA的密码学听说了好久,主要是战队的队友之前有研究,而我却是一点都不了解,这次遇到了,就研究一下做方法和技巧,密码学目前是不打算深究了,毕竟数学也不太好,所以我现在的目的就是懂得用对应的脚本来解这类RSA。 附件下下来后就两行字: 看着都不难,但说实话我连RSA是什么都不知道,查了下百度,根据百度百科的说法: RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,
BUUCTF reverse 入门之reverse2
沐一 · 林 的博客
08-10 2563
BUUCTF reverse 入门之reverse2 继续开启全栈梦想之逆向之旅~ 这是reverse 入门之reverse2 下载附件,照例扔入exeinfope查看信息: ELF的linux文件,IDA64位打开查看代码,进一步判断信息: 一进门看到这个,还以为真的这么简单,认为offset flag就是flag地址,直接跟踪 这里看不清楚我们可以看hex内存字段: 数据节601081到601091就是跟踪的flag地址,直接提交想着完事,结果是假的flag,一开始还以为是提交格式有问,比如
BUUCTF中Crypto的RSAROLL
沐一 · 林 的博客
03-18 2446
BUUCTF中Crypto的RSAROLL . . 照例下载附件,两个 txt 文件: RSA roll!roll!roll! Only number and a-z (don’t use editor which MS provide) {920139713,19} 704796792 752211152 274704164 18414022 368270835 483295235 263072905 459788476 483295235 459788476 663551792 47520680
攻防世界逆向高手的BABYRE
沐一 · 林 的博客
08-21 2367
攻防世界逆向高手之BABYRE 继续开启全栈梦想之逆向之旅~ 这攻防世界逆向高手的BABYRE
攻防世界pwn新手答案
08-10
回答: 对于攻防世界pwn新手,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲区大小时,会覆盖到相邻的内存区域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单练习区 答(1-10解)](https://blog.csdn.net/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值