攻防世界逆向高手题之elrond32

最新推荐文章于 2024-03-09 19:54:54 发布
最新推荐文章于 2024-03-09 19:54:54 发布
阅读量349 收藏 1
点赞数 1
分类专栏: 逆向 CTF 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/119947261
版权
CTF 同时被 2 个专栏收录
173 篇文章 32 订阅
订阅专栏
逆向
99 篇文章 33 订阅
订阅专栏

攻防世界逆向高手题之elrond32

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的elrond32
在这里插入图片描述

下载附件,照例扔入exeinfope中查看信息:
在这里插入图片描述

32位ELF文件,无壳,扔入32位IDA中查看伪代码信息,有Main函数看main函数:
在这里插入图片描述
.
.
额,看上去好像比较简单,int __cdecl main(int a1, char **a2)中a1是命令行传入参数的个数,起始值为1,a2是命令行传入参数的数组,a2[0]存的是程序名称,所以才有a1的起始1。我们传入的参数从a2[1]开始。
.
.
分析代码:

int __cdecl main(int a1, char **a2)
{
  if ( a1 > 1 && sub_8048414(a2[1], 0) )		//这里标识传入一个参数
  {
    puts("Access granted");
    sub_8048538((int)a2[1]);
  }
  else
  {
    puts("Access denied");
  }
  return 0;
}

.
.
跟踪sub_8048414函数:

int __cdecl sub_8048414(_BYTE *input_flag, int a2)
{
  int result; // eax

  switch ( a2 )                                 // a2=0
  {
    case 0:
      if ( *input_flag == 'i' )
        goto LABEL_19;
      result = 0;
      break;
    case 1:
      if ( *input_flag == 'e' )
        goto LABEL_19;
      result = 0;
      break;
    case 3:
      if ( *input_flag == 'n' )
        goto LABEL_19;
      result = 0;
      break;
    case 4:
      if ( *input_flag == 'd' )
        goto LABEL_19;
      result = 0;
      break;
    case 5:
      if ( *input_flag == 'a' )
        goto LABEL_19;
      result = 0;
      break;
    case 6:
      if ( *input_flag == 'g' )
        goto LABEL_19;
      result = 0;
      break;
    case 7:
      if ( *input_flag == 's' )
        goto LABEL_19;
      result = 0;
      break;
    case 9:
      if ( *input_flag == 'r' )
LABEL_19:
        result = sub_8048414(input_flag + 1, 7 * (a2 + 1) % 11);// 修改input_flag的地址,a2重新赋值,递归调用。
      else
        result = 0;
      break;
    default:
      result = 1;
      break;
  }
  return result;
}

这里我们先写脚本逆向这个逻辑先,只要保证每个返回的都是1即可:

a2=0
flag=""
for i in range(32):
	a=a2
	if a==0:
		flag+='i'
	elif a==1:
		flag+='e'
	elif a==3:
		flag+='n'
	elif a==4:
		flag+='d'
	elif a==5:
		flag+='a'
	elif a==6:
		flag+='g'
	elif a==7:
		flag+='s'
	elif a==9:				#python写c语言的
		flag+='r'
	else:
		break
	a2=7 * (a2 + 1) % 11
print(flag)
print(len(flag))

.
.
结果,一个8位的字符串:
在这里插入图片描述
.
.
跟踪下一个 sub_8048538((int)a2[1])函数:

int __cdecl sub_8048538(int input_flag)
{
  int v2[33]; // [esp+18h] [ebp-A0h] BYREF
  int i; // [esp+9Ch] [ebp-1Ch]

  qmemcpy(v2, &dword_8048760, sizeof(v2));
  for ( i = 0; i <= 32; ++i )
    putchar(v2[i] ^ *(char *)(input_flag + i % 8));	//一个简单的异或操作然后输出,%8对得上前面输出的8位字符串
  return putchar(10);
}

.
.
写IDA脚本打印dword_8048760数组内容:

addr=0x8048760
list=[]
for i in range(33):
    list.append(Dword(addr+4*i))
print(list)

.
.
在这里插入图片描述
.
.
复制粘贴数组,重新修改脚本内容:

a2=0
flag=""
v2=[15, 31, 4, 9, 28, 18, 66, 9, 12, 68, 13, 7, 9, 6, 45, 55, 89, 30, 0, 89, 15, 8, 28, 35, 54, 7, 85, 2, 12, 8, 65, 10,20]
flag2=""
for i in range(32):
	a=a2
	if a==0:
		flag+='i'
	elif a==1:
		flag+='e'
	elif a==3:
		flag+='n'
	elif a==4:
		flag+='d'
	elif a==5:
		flag+='a'
	elif a==6:
		flag+='g'
	elif a==7:
		flag+='s'
	elif a==9:				#python写c语言的
		flag+='r'
	else:
		break
	a2=7 * (a2 + 1) % 11
print(flag)
print(len(flag))
for i in range(33):
	flag2+=chr(v2[i]^ord(flag[i%8]))
print(flag2)

.
.
结果:
在这里插入图片描述
.
.
总结:

唯一要注意的地方就是C语言的switch转python逻辑要用
if
elif
else 才行。
if
if
if
else这样是不行的,因为第一个if不对就会立刻跳到else去,而elif可以解决这个问题

解毕!敬礼!

沐一 · 林
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界 reverse之 elrond32
qq_42728977的博客
03-18 2357
elrond32 难度系数: 1 目来源: tinyctf-2014 思路: 因为目很简单直接放进IDA32里面 进入sub_8048414函数瞅瞅 分析出目的大致思路就是验证key然后打印flag 重点在如何确定key,通过分析,key是根据a2再在case里确定,所以先确定a2. 由于case只有12345679,其余的就defult,return1,所以a2有10个值, 再看f...
elrond-build
03-26
建造 gcloud构建提交--config = --no-source
攻防世界-elrond32
qq_70851535的博客
10-26 260
逆向目分析
攻防世界elrond32
Lynnette177的博客
09-04 118
只看access granted的部分。8048414和8048538两个函数。直接把不符合条件的赋值0就可以,因为后面反正有i%8其实赋值几都无所谓没有影响。可以发现,先用v2和a1[i%8]异或后输出。先提取8048760处的数据。至于a1需要我们计算一下,根据switch来猜测,是这样。因为我的64位虚拟机运行不了 直接拖进IDA看看。
攻防世界——elrond32
最新发布
Nike_name的博客
03-09 409
其中有很多细节要自己猜,一个一个试错
攻防世界,Reverse:elrond32
Pai_Space
11-22 983
1.解过程: 解压得到 rev300 文件,使用 32 位打开留意一下类型,发现又是 elf 类型的执行文件 使用Linux打开执行,拒绝访问 用 IDA 找到 main 函数反编译看看有什么东西 看到整体就只有一个 if 和 else 语句,可以看到 if 真时 put 的语句翻译为:允许访问 而 if 假时 put 的语句翻译为:拒绝访问,所以明确目标 使 if 为真的条件:a1>0,且 子函数 sub_8048414 返回值为真 查看子函数 sub_8048538..
攻防世界-reverse-高手进阶区-elrond32
muhkter8的博客
10-21 328
攻防世界 Reverse高手进阶区 2分 elrond32
闵行小鱼塘
12-13 292
继续ctf的旅程,攻防世界Reverse高手进阶区的2分,本篇是elrond32的writeup
三星区块链手机将配备Elrond项目的游戏应用程序
01-08
三星电子的区块链智能手机(例如Galaxy S10)将配备Elrond项目的游戏应用程序-“ Elrond之战”。 总部位于欧洲的埃隆(Elrond)于周四独家向The Block透露了这一消息,他表示该游戏应用程序计划于今年第一季度发布。...
elrond-wallet-service
05-28
电子钱包服务 rpc示例: curl --request POST'http: 8000/json-rpc' --header'内容类型:application / json' --data-raw'{“ jsonrpc”:“ 2.0”,“ method”:“ echo”,“ params”:{“ ...”},“ id”:0}'
elrond-config-devnet:Elrond devnet配置存储库
03-22
官方devnet(开发人员测试网)的elrond-config Elrond官方devnet配置文件与elrond-go项目一起使用。 有关如何连接到devnet的更多信息,请检查
elrond-sdk-docs:自动生成的Elrond-SDK文档,如Github Pages
05-16
**Elrond SDK 文档详解** Elrond SDK(软件开发工具包)是为开发者设计的一个强大工具,它提供了一套完整的框架和接口,用于在Elrond区块链平台上构建去中心化应用(DApps)、智能合约和其他相关服务。这个压缩包...
攻防世界elrond32
SNiFe的博客
09-12 1680
攻防世界elrond32解使用exeinfope查看文件信息分析反汇编代码编写代码获取flag 使用exeinfope查看文件信息 查看后发现是一个32位的ELF可执行文件,丢进IDA32查看反汇编代码 分析反汇编代码 首先找到main函数,F5查看伪代码 看见Access granted显然可知sub_8048538()函数是输出flag的函数,点开看看 看代码发现我们需要得到数组a2的值,于是回到main函数,发现a2与sub_8048414()函数有关,点开看看 分析函数,写出代码,得到a
攻防世界 elrond32
P_Bloomberg的博客
08-10 184
工具:IDA 附件是Linux可执行文件,放入IDA中看伪代码 int __cdecl main(int a1, char **a2) { if ( a1 > 1 && sub_8048414(a2[1], 0) ) { puts("Access granted"); sub_8048538(a2[1]); } else { puts("Access denied"); } return 0; } 关键函数:sub_8048414
攻防世界-Reverse-Challenge-Wirteup
07-25 442
elrond32 使用ida打开 需要使用参数1输入数据,然后放到sub_8048414函数中验证。 进入sub_8048414函数: 函数中对参数1的第一个字符使用参数2分支进行比较,后面有递归调用: 参数2的取值为7 * (a2 + 1) % 11) 解密过程如下: tal="ie ndags r " a2=0 r="i" while a2<10 : a2 = 7 * (a2 + 1) % 11 r+=tal[a2] print(r) 得到结果:ise...
攻防世界逆向练习
YANG12345_6的博客
09-23 286
elrond32 两个重要函数:sub_8048414() \ sub_8048538() sub_8048414: 看main函数里,sub_8048414()的返回值需要是非零的数if才能成立,所以这个函数的第二个参数需要是2、8或者是大于9的数 a = 0 while((7*(a+1)%11) >=0 and (7*(a+1)%11) <=9): # 暂时先把2和8放进去。看print出来的数 print (a) a = 7*(a+1)%11 print
攻防世界Reverse进阶区-elrond32-writeup
y4ung
10-01 630
1. 介绍 本是xctf攻防世界中Reverse的进阶区的elrond32 目来源: tinyctf-2014 2. 分析 $ file rev300 rev300: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=a93ffe39302e19ef5184a1
c语言变量memcpy到内存,C 和 C++语言中的内存拷贝函数memcpy()
weixin_29061509的博客
05-18 611
memcpy指的是C和C++使用的内存拷贝函数函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,即从源source中拷贝n个字节到目标destin中。memcpy函数语法函数原型void *memcpy(void *destin, void *source, un...
解析 RC4 加密算法(C语言、python)
热门推荐
沐一 · 林 的博客
03-08 1万+
目录 解析 RC4 加密算法(C语言、python): RC4加密算法是一种对称加密算法: 加密(解密)原理: RC4算法中的几个关键变量: RC4代码介绍: rc4初始化介绍: 包含三个参数: RC4加密: 包含三个参数: 代码实现:(已注释) C语言代码: Python代码: 三丶RC4的逆向小技巧 1:逆向特征 2:魔改RC4 解析 RC4 加密算法(C语言、python): RC4加密算法是一种对称加密算法: 对称加密(也叫私钥加密)指加密和解密使用相同密
攻防世界逆向高手之deedeedee
沐一 · 林 的博客
09-20 4884
攻防世界逆向高手之deedeedee 继续开启全栈梦想之逆向之旅~ 这攻防世界逆向高手的deedeedee . . 下载附件,这次还是两个附件: . . . 额、两个有联系的附件还是不知道怎么做的,各自用记事本打开看一下,一个是乱码,一个看起来是python语言: . . 突然想起来好像还没有扔入exeinfope中查看信息: . . 没有后缀的是64位ELF文件,照例扔入IDA中查看伪代码信息,可以看到红框位置处要输出加密代码的,动态调试一下也确实输出了。 . . 但是拿着这串he

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值