2021年11月深育杯REVERSE的press

最新推荐文章于 2024-08-22 16:20:45 发布
最新推荐文章于 2024-08-22 16:20:45 发布
阅读量370 收藏
点赞数 1
分类专栏: 逆向 CTF 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/121410552
版权
CTF 同时被 2 个专栏收录
173 篇文章 33 订阅
订阅专栏
逆向
99 篇文章 34 订阅
订阅专栏

2021年11月深育杯REVERSE的press

下载附件,是两个文件:
在这里插入图片描述
.
猜想是题目类型是与本地文件相关的操作类型,照例扔入exeinfope中查看信息:
在这里插入图片描述
在这里插入图片描述
.
然后两个文件可以简单猜想一下press程序应该是输出了一些信息到out文件中,在linux下照例运行一下press程序看一下回显:
在这里插入图片描述
.
.
那么这个程序没有输入,根据经验这种类型的题目通常直接利用程序外部的一些东西来作为条件继续执行的,如本地环境文件读取等。所以照例扔入IDA查看伪代码,有main函数看main函数:
在这里插入图片描述
在这里插入图片描述
.
.
知道大致逻辑之后我们找一下s数组在哪里,前面打开文件的关键自定义函数还没看,现在看一下。因为是环境准备函数,所以不用过意深究:
在这里插入图片描述
.
.
继续回到关键自定义函数sub_40094B中,因为比较绕,所以我们慢慢分析:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
.
.
好了,第一个阶段++++++++++[->++++++++++++++++<]总算是分析完了,涉及一个负数循环的系统特殊操作数和一个修改6020A0而变形形成的一个总共加了160的循环。(那个负数循环的系统特殊操作数我之所以手算不出来是因为前面环境准备函数中有对 dword_602360[i]的操作,这里就干扰了系统特殊操作数,难以手动分析)
那我们继续分析后半部分:
在这里插入图片描述
在这里插入图片描述
.
.
到这里第二阶段,[->-<]也分析完了,我们继续往下走:
在这里插入图片描述
.
.
那么第三阶段的>>[-]+++++<*++.<也分析完了。总得来说改自定义函数应该就是读入一个flag,生成(160-flag)*5+2的值,现在再看看外层函数是怎么操作的:
在这里插入图片描述
.
.
总的流程梳理完了,out中的内容就是每个flag字符进行(x+160-single_flag)*5+2而来的,注意这里第一个x是前一个flag字符。因为前面最后的分析中加密的160-single_flag)*5+2的值是放在了6021A0[1]中的,而且是一直存在的。
6021A0[0]6021A0[2]在遍历S数组中已经被置0了,只有这个6021A0[1]保留了值,外面的while循环重置的只是6020A0S数组下标的值。
.
.
.
首先我们写一个爆破的脚本,因为原本的结果一看就是base64加密的,所以直接内嵌base64解密代码。

还有需要注意的就是((b-j)*5+2)&0xff这里之所以要&0xff是因为字符的ASCII码都是255内的,但是python中没有变量大小概念,所以必须截取一个byte大小,不然就有大量超出255的数出现,结果就显示不了了。所以这里涉及了我笔记中的>> 、%、&运算符算法积累

out=[0x60, 0xE1, 0x2F, 0x05, 0x79, 0x80, 0x5E, 0xE1, 0xC5, 0x57,
  0x8B, 0xCC, 0x5C, 0x9A, 0x67, 0x26, 0x1E, 0x19, 0xAF, 0x93,
  0x3F, 0x09, 0xE2, 0x97, 0x99, 0x7B, 0x86, 0xC1, 0x25, 0x87,
  0xD6, 0x0C, 0xDD, 0xCF, 0x2A, 0xF5, 0x65, 0x0E, 0x73, 0x59,
  0x1D, 0x5F, 0xA4, 0xF4, 0x65, 0x68, 0xD1, 0x3D, 0xD2, 0x98,
  0x5D, 0xFE, 0x5B, 0xEF, 0x5B, 0xCC]

flag=""
b=0
for i in range(len(out)):
	b+=160		#这里就是说的(x+160-single_flag)
	for j in range(127):
		if (((b-j)*5+2)&0xff==out[i]):		#这里之所以要&0xff是因为字符的ASCII码都是255内的,但是python中没有变量大小概念,所以必须截取一个byte大小,不然就有大量超出255的数出现,结果就显示不了了
			flag+=chr(j)
			b=out[i]
			break
import base64
print(base64.b64decode(flag))

结果:
在这里插入图片描述
.
.
当然我们也可以不用爆破的方法,直接写出逆向逻辑脚本,只是因为*5的逆向/5会有余数,所以要不断加256没有余数为止,就比较麻烦:

out=[0x60, 0xE1, 0x2F, 0x05, 0x79, 0x80, 0x5E, 0xE1, 0xC5, 0x57,
  0x8B, 0xCC, 0x5C, 0x9A, 0x67, 0x26, 0x1E, 0x19, 0xAF, 0x93,
  0x3F, 0x09, 0xE2, 0x97, 0x99, 0x7B, 0x86, 0xC1, 0x25, 0x87,
  0xD6, 0x0C, 0xDD, 0xCF, 0x2A, 0xF5, 0x65, 0x0E, 0x73, 0x59,
  0x1D, 0x5F, 0xA4, 0xF4, 0x65, 0x68, 0xD1, 0x3D, 0xD2, 0x98,
  0x5D, 0xFE, 0x5B, 0xEF, 0x5B, 0xCC]
flag=""
for i in range(len(out)):
   c = out[i] - 2
   while c != c // 5 * 5:
       c += 256
   c = c // 5

   if i == 0:
       flag+= chr(160 - c)
   else:
       flag+= chr((out[i-1] + 160 - c)&0xff)

import base64
print(base64.b64decode(flag))

结果:
在这里插入图片描述

.
.
然后后来还在水番正文的博客中发现了z3库破解的方法,也不失为一个好方法,修改后如下:

博客地址:https://blog.csdn.net/weixin_50166464/article/details/121318120?spm=1001.2014.3001.5501

from z3 import *
enflag = [0x60, 0xE1, 0x2F, 0x05, 0x79, 0x80, 0x5E, 0xE1, 0xC5, 0x57, 0x8B, 0xCC, 0x5C, 0x9A, 0x67, 0x26,
        0x1E, 0x19, 0xAF, 0x93, 0x3F, 0x09, 0xE2, 0x97, 0x99, 0x7B, 0x86, 0xC1, 0x25, 0x87, 0xD6, 0x0C,
        0xDD, 0xCF, 0x2A, 0xF5, 0x65, 0x0E, 0x73, 0x59, 0x1D, 0x5F, 0xA4, 0xF4, 0x65, 0x68, 0xD1, 0x3D,
        0xD2, 0x98, 0x5D, 0xFE, 0x5B, 0xEF, 0x5B, 0xCC]
parameter = [BitVec(i, 8) for i in range(56)]		#这里定义的是56个char类型的参数准备求解

s = Solver()
 
s.add( ((160 - parameter[0]) * 5 + 2) == enflag[0] )	#第一台液压机
for i in range(1, 56):				#之后的液压机
    s.add( (((160 + enflag[i - 1]) - parameter[i]) * 5 + 2) == enflag[i] )
    
if sat == s.check():
    ans = s.model()		#model方法返回结果数组,索引是前面定义的参数名。
    
flag = ""
for i in range(56):
    flag += chr(ans[parameter[i]].as_long())   #as_long()转成整数后把结果集附在在flag上

import base64
print(base64.b64decode(flag))

.
.
附录,后面从别人团队的博客和水番正文博客中发现数组S是类似于第五空间的brainfuck,把brainfuck对应的操作流程翻译过来,就可以了,这样反而更好理解一点:(多重水印是比较难看哈~)
在这里插入图片描述
在这里插入图片描述
.
.
.

解毕!敬礼!

沐一 · 林
关注
专栏目录
20216电子学会Python等级考试试卷(二级)考题解析
IT_Scratch的博客
04-26 3531
青少软件编程(Python)等级考试试卷(二级) 分数:100.00 题数:37 一、单选题(共25题,每题2分,共50分) 1. 执行下列代码后,运行结果是?( ) seq=['hello','good','morning'] s='*'.join(seq) print(s) A、hello*good*morning* B、*hello*good*morning C、hello*good*morning D、*hello*good*morning* ...
202112电子学会Python等级考试试卷(二级)答案解析
IT_Scratch的博客
04-18 5327
202112电子学会Python等级考试试卷(二级)答案解析,电子学会Python等级考试试卷2级答案解析,2021电子学会Python等级考试试卷
Buuctf-Reverse(逆向) [RoarCTF2019]Polyre && SangFor(深育杯)-Reverse(逆向) XOR_Exercise Write up
weixin_50166464的博客
11-30 826
前言:看完这篇需要些耐心,可能会遇到很多报错什么,多查就能解决,题目只是个形式,每题带给我们的是其中的知识点,题目做不出来没关系,学习到平坦化控制流或是能写idapython都是自己的收获。 文章参考: [RoarCTF2019]polyre_m0_46296905的博客-CSDN博客 [RoarCTF2019]Polyre | bypass ollvm - 暖暖草果 - 博客园 https://www.cnblogs.com/Mayflynymph/p/11718845.html#3.%E4%BB
SangFor(深育杯)-Reverse(逆向) Press Write up
weixin_50166464的博客
11-14 847
当你拥有一台液压机的时候,你将很快拥有液压机。 0x00 日常查壳 0x01 分析主函数 0x02 init_0 0x03 Brian函数的符号执行 于是那么一段 ++++++++++[->++++++++++++++++->[-]+++++ 其实等式很简单 首先是tmp里虽然那么长一个数组其实就用了3个字节 我把他们分别命名为t1 t2 t3 各位师傅看的时候可以画一下帮助理解 这个等式就是 当是第一个液压机的时候 ( i =
深育杯”大学生网络安全大赛重磅启动
最新发布
sangfor_edu的博客
08-22 237
2021深育杯Web
feng的博客
11-14 2162
WebLog 访问发现是个文件下载,下载的是日志文件,目录穿越不太好传,尝试拿bp爆破一下日期来下载Log,发现了一个jar: 访问?logname=cb-0.0.1-SNAPSHOT.jar把jar包下载下来,发现存在一个反序列化的后门: @ResponseBody @RequestMapping({"/bZdWASYu4nN3obRiLpqKCeS8erTZrdxx/parseUser"}) public String getUser(String user) throws E
2021湖湘杯web部分wp
fmyyy1的博客
11-14 1883
前言 快期末了这学期准备退役了,下学期继续努力(大二课怎么这么多啊!!!期末考怎么办啊!!!一节课没听啊!!!) 今天上线看看题 easywill 这题没啥好说,跟tp3的rce差不多 直接 ?name=cfile&value=/etc/passwd 就能文件包含,之后找不到flag,用拟态的的那个包含pearcmd.php就能getshell Pentest in Autumn 下个pom.xml附件 看到shiro <?xml version="1.0" encoding="UTF-8"
2021深育杯-网络安全大赛专业竞赛部分wp
七堇年的博客
12-23 2410
2021深育杯-网络安全大赛专业竞赛
13 万字 C 语言从入门到精通保姆级教程2021
热门推荐
李南江
06-07 60万+
13 万字C语言保姆级教程,从入门到精通。
上海市青少算法20217赛(丙组)
lybc2019的博客
11-16 3697
T1 布置会场 题目描述 激动人心的 2021YACS线下赛 下个就要举办了!为了欢迎各位OI选手,主办方决定用百合花和郁金香两种花朵布置场地。 负责比赛组织的小爱老师了解到,花店的销售方式如下: 一束百合花的价格为a元 一束郁金香的价格为b元 半束百合花+半束郁金香的双拼花束价格为c元 小爱老师可以购买两份双拼花束后,将他重新组合成一束百合花+一束郁金香。已知布置会场需要用到x束百合花与y束郁金香,请问小爱老师购买花朵最少花费需多少元? 输入格式 输入共两行: 第一行:两个正整数表示需要的花束数量x,y
20216电子学会Python等级考试试卷(三级)考题解析
IT_Scratch的博客
04-26 3万+
青少软件编程(Python)等级考试试卷(三级) 分数:100.00 题数:38 一、单选题(共25题,每题2分,共50分) 1. 关于open()函数的参数,下列描述正确的是?( ) A、"w+" 以十六进制格式打开一个文件只用于写入 B、"r+"打开一个文件用于读写。文件指针将会放在文件的末尾 C、"w" 打开一个文件只用于写入。如果该文件已存在则打开文件,并从原有位置开始编辑,即保留原有内容。如果该文件不存在,创建新文件 D、"r" 以只读方式打开文件,文...
2021深育杯线上初赛官方WriteUp
further_eye的博客
11-18 1万+
Web EasySQL 访问robots.txt,可得三个文件index.php、config.php、helpyou2findflag.php。 fuzz黑名单,可发现select、单双引号、括号、分号、set、show、variables、等都没有过滤。 经测试可得到闭合方式为括号,且白名单为数据库记录行数,使用1);{sqlinject}-- +可以闭合查询语句并进行堆叠注入。 show variables like '%slow_query_log%'; # 查询慢日志记录是否开启 setgloba
2021-深育杯misc - Login
yzl_007的博客
11-14 3166
Login 题目简介:这破网站为什么不能注册? 题目访问ip:3001 打开环境后是一个登陆窗口,但是没有账号 点击下方的获取示例有提示 下载下来一个提示文件后发现是个加密的压缩包 明显的明文攻击,修改伪加密文件,提取出示例 - 副本.txt,添加到压缩包,然后明文攻击解得密码为qwe@123 打开后发现password还是加密的,其中1.txt都是低字节6kb 压缩包短文本文件的crc32碰撞 https://github.com/theonlypwner/crc32 拼接起来就是welc0me_
2021 深育杯 pwn create_code
yongbaoii的博客
01-19 261
保护没有开NX,能执行shellcode。 malloc中可以执行一段shellcode。 但是字节大小不能大于15 我们一定是需要输入正常的shellcode的。 因为我们其实可以看的到有溢出,可以想办法在堆里布置好shellcode,然后在一个chunk中通过一些符合条件但没什么用的代码走下去,走到我们shellcode。 然后我们试图去找合适的汇编代码。 http://ref.x86asm.net/coder64.html#x0F48 利用起来。 # -*- coding: utf-8 -*- f.
7.深育杯赛前培训-反序列化漏洞
qwsn
10-29 2164
一、反序列化基础 1、序列化和反序列化 2、PHP序列化和反序列化基本类型表达 3、PHP序列化和反序列化 4、代码中的关键函数 5、魔术方法 6、示例1 7、示例2 二、常见的反序列化 1、反序列化利用 1、存在反序列化漏洞的必要条件: (1)存在魔术方法 (2)存在命令执行漏洞 (3)存在反序列化函数 (4)传参可控 2、反序列化漏洞利用的方法: (1)定义类 (2)实例化类 (3)序列化类 (4)将序列化结果传入 三、Phar反序列化 1、Phar概念 2、Phar文
20216青少Python二级编程考试真题精选
"20216全国青少编程等级python二级真题(1)是一份针对青少的Python编程等级考试试卷,共15页,包含37道题目,覆盖了单选题、判断题和编程题。试卷旨在考核考生对Python语言的基础知识和编程能力,包括字符串...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值