2018年九月份安恒杯月赛之NewDriver

于 2022-03-08 21:16:38 发布
阅读量1k 收藏
点赞数 1
分类专栏: CTF 逆向 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/123361008
版权
CTF 同时被 2 个专栏收录
173 篇文章 30 订阅
订阅专栏
逆向
99 篇文章 33 订阅
订阅专栏

2018年九月份安恒杯月赛之NewDriver

这题是复现的,用于研究 RC4 加密,首先拿到附件:
在这里插入图片描述
.
.
照例扔入 exeinfope 中查看信息:
在这里插入图片描述
.
.
32 位无壳,照例扔入 IDA32 中查看信息,有 main 函数看 main 函数:(这次就用老版7.0 IDA 来分析算了)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
.
.
分析第一个自定义函数:
在这里插入图片描述
在这里插入图片描述
.
.
分析第二个自定义函数:
在这里插入图片描述
在这里插入图片描述
.
.
分析第三个自定义函数:
在这里插入图片描述
在这里插入图片描述
.
.
所以总的流程是,用户输入------>base64加密------>RC4数据初始化并且加密-------->进行比较
.
第一个解法,RC4解密后,Base64变表解密:
这里替换了密文和密钥,需要注意的是密钥哪里由于C语言的字符串末尾补0特性,导致key多了一个0x00,结果就大不同了,所以我们只能用16进制的没有补齐0x00的数据才行。

#include <stdio.h>

typedef struct _RC4INFO
{
    unsigned char s_box[256]; 
    unsigned char t_box[256];
}RC4_INFO,*PRC4_INFO;

void rc4_init(PRC4_INFO prc4,unsigned char key[], unsigned int keylen)
{
    int i = 0;
    int j = 0;
    unsigned char tmp;
    if (prc4 == NULL)
    {
        return;
    }
    //init sbox an KeyBox(Tbox)
    for (i = 0; i < 256; i++)
    {
        prc4->s_box[i] = i;
        prc4->t_box[i] = key[i % keylen];
    }

    //swap sbox
    for (i = 0; i < 256; i++)
    {
        j = (j + prc4->s_box[i] + prc4->t_box[i]) % 256;
        tmp = prc4->s_box[i];
        prc4->s_box[i] = prc4->s_box[j];
        prc4->s_box[j] = tmp;
    }
}
void rc4_crypt(
    unsigned char data[],       //要加密的数据
    unsigned int datalen,       //要加密的数据长度
    unsigned char key[],        //加密数据所用的Key
    unsigned int keylen)        //加密数据所用的key长度
{
    int dn = 0;  //data[n]的意思
    int i = 0;
    int j = 0;   // i j 分别用于交换sbox[i] 和 sbox[j]
    int t = 0;   //t = s[i] + s[j]
    unsigned char tmp;
    RC4_INFO rc4;
    rc4_init(&rc4, key, keylen);

    for (dn = 0; dn < datalen; dn++)
    {
        i = (i + 1) % 256;
        j = (j + rc4.s_box[i]) % 256;

        //swap
        tmp = rc4.s_box[i];
        rc4.s_box[i] = rc4.s_box[j];
        rc4.s_box[j] = tmp;
        //得到T下标用于交换
        t = (rc4.s_box[i] + rc4.s_box[j]) % 256;
        data[dn] ^= rc4.s_box[t];
    }
}
void EntryBuffer(unsigned char data[],unsigned int datalen)
{/*
    unsigned char key[] = {
  0x66, 0x6C, 0x61, 0x67, 0x7B, 0x74, 0x68, 0x69, 0x73, 0x5F, 
  0x69, 0x73, 0x5F, 0x6E, 0x6F, 0x74, 0x5F, 0x74, 0x68, 0x65, 
  0x5F, 0x66, 0x6C, 0x61, 0x67, 0x5F, 0x68, 0x61, 0x68, 0x61, 
  0x68, 0x61, 0x7D,0x00
};
*/
	//unsigned char key[] ="flag{this_is_not_the_flag_hahaha}";
    unsigned char key[] = {
  0x66, 0x6C, 0x61, 0x67, 0x7B, 0x74, 0x68, 0x69, 0x73, 0x5F, 
  0x69, 0x73, 0x5F, 0x6E, 0x6F, 0x74, 0x5F, 0x74, 0x68, 0x65, 
  0x5F, 0x66, 0x6C, 0x61, 0x67, 0x5F, 0x68, 0x61, 0x68, 0x61, 
  0x68, 0x61, 0x7D
};

	printf("\n\n%x\n\n",key[0]);
    rc4_crypt(data, datalen, key, sizeof(key) / sizeof(key[0]));
    printf("\n%d\n",sizeof(key) / sizeof(key[0]));
}
int main()
{
   unsigned char Hell[] = {
  0x20, 0xC3, 0x1A, 0xAE, 0x97, 0x3C, 0x7A, 0x41, 0xDE, 0xF6, 
  0x78, 0x15, 0xCB, 0x4B, 0x4C, 0xDC, 0x26, 0x55, 0x8B, 0x55, 
  0xE5, 0xE9, 0x55, 0x75, 0x40, 0x3D, 0x82, 0x13, 0xA5, 0x60, 
  0x13, 0x3B, 0xF5, 0xD8, 0x19, 0x0E, 0x47, 0xCF, 0x5F, 0x5E, 
  0xDE, 0x9D, 0x14, 0xBD
};
    printf("pData=%s\n\n", Hell);
    //EntryBuffer((unsigned char*)Hell,sizeof(Hell)/sizeof(Hell[0])); //加密
    //printf("pData=%s\n\n", Hell);
    EntryBuffer((unsigned char*)Hell,sizeof(Hell)/sizeof(Hell[0])); //在调用一次就是解密了
    printf("pData=%s\n\n", Hell);
    return 0;
}

在这里插入图片描述
.
.
第二种解法,由于RC4末尾是异或操作,所以可以直接抽出内存中初始化后的数据来重新加密即可:
在RC4的异或运算对合性中,RC4加密解密使用同一套算法。
在这里插入图片描述
在这里插入图片描述

key=[0x66, 0x32, 0xCA, 0xA0, 0xBF, 0x98, 0x2D, 0x76, 0xF1, 0x59, 0x2A, 0x4A, 0xF4, 0x30, 0xAD, 0xD2, 0x1D, 0x02, 0xD8, 0x23, 0x89, 0x5D, 0x83, 0x38, 0x09, 0xF2, 0x74, 0x65, 0x40, 0x19, 0xC6, 0xDD, 0x18, 0xD3, 0x8F, 0x6C, 0x8B, 0xC0, 0xC5, 0x54, 0x2E, 0x81, 0x10, 0xC4, 0x26, 0x56, 0x5F, 0x53, 0x80, 0x43, 0x27, 0x62, 0xEA, 0x3D, 0xE6, 0x00, 0xE7, 0xB7, 0x50, 0x94, 0x90, 0x4C, 0x3F, 0x9D, 0x07, 0xE0, 0xA3, 0x9C, 0x4E, 0x0F, 0x9F, 0xFE, 0x5B, 0x8E, 0xDE, 0x88, 0x72, 0x2F, 0xC1, 0x67, 0x31, 0x70, 0x8D, 0xFD, 0xBE, 0x64, 0xC3, 0xBD, 0x6B, 0x7A, 0xCF, 0x0C, 0x34, 0x1F, 0x6F, 0x01, 0xF0, 0x7C, 0x5E, 0xA4, 0x1E, 0x49, 0x8C, 0x75, 0x1C, 0xE3, 0x20, 0x48, 0x28, 0x79, 0xA5, 0x7F, 0xF5, 0xEC, 0x4F, 0x78, 0x58, 0x11, 0xF7, 0xCD, 0x91, 0x13, 0xFC, 0xB8, 0x2C, 0x04, 0xEE, 0xD5, 0x08, 0x44, 0xA9, 0xE1, 0xB1, 0x42, 0x84, 0x29, 0xA7, 0x47, 0x97, 0x7E, 0xE8, 0xB3, 0x60, 0x0B, 0xF9, 0x4B, 0x3C, 0x77, 0x17, 0x03, 0x82, 0x69, 0x87, 0xD4, 0x95, 0x1A, 0x33, 0x25, 0x6E, 0xCC, 0xD6, 0xBB, 0x99, 0xB0, 0x85, 0x41, 0xB2, 0x0D, 0xDB, 0x35, 0x3B, 0x5C, 0xF8, 0xED, 0x9E, 0xA6, 0x96, 0x39, 0x63, 0x0A, 0x1B, 0x93, 0x21, 0x46, 0x12, 0xD0, 0xB4, 0x22, 0x51, 0xC9, 0x61, 0xD1, 0x2B, 0xAA, 0x45, 0x06, 0x05, 0xCE, 0xFA, 0x92, 0x68, 0xAB, 0x36, 0xDA, 0xC8, 0xE2, 0x37, 0xD9, 0xA2, 0x5A, 0xD7, 0x6A, 0xB5, 0xFF, 0xE9, 0xBA, 0x52, 0x15, 0xF6, 0xBC, 0x9A, 0xB6, 0xEF, 0x6D, 0xCB, 0x4D, 0xAE, 0xE4, 0xA1, 0xAC, 0xEB, 0x0E, 0x71, 0x7B, 0xF3, 0x24, 0xC2, 0xFB, 0x7D, 0x86, 0x55, 0xAF, 0x3A, 0xDF, 0x3E, 0x14, 0xB9, 0x9B, 0x16, 0xDC, 0x73, 0x57, 0xE5, 0xC7, 0x8A, 0xA8, 0x66, 0x6C, 0x61, 0x67, 0x7B, 0x74, 0x68, 0x69, 0x73, 0x5F, 0x69, 0x73, 0x5F, 0x6E, 0x6F, 0x74, 0x5F, 0x74, 0x68, 0x65, 0x5F, 0x66, 0x6C, 0x61, 0x67, 0x5F, 0x68, 0x61, 0x68, 0x61, 0x68, 0x61, 0x7D]
key2=[0x20, 0xC3, 0x1A, 0xAE, 0x97, 0x3C, 0x7A, 0x41, 0xDE, 0xF6, 0x78, 0x15, 0xCB, 0x4B, 0x4C, 0xDC, 0x26, 0x55, 0x8B, 0x55, 0xE5, 0xE9, 0x55, 0x75, 0x40, 0x3D, 0x82, 0x13, 0xA5, 0x60, 0x13, 0x3B, 0xF5, 0xD8, 0x19, 0x0E, 0x47, 0xCF, 0x5F, 0x5E, 0xDE, 0x9D, 0x14, 0xBD]
key3=[]
v3=0
v4=0
v6=0
s=""
#这里直接仿写IDA中第三个加密函数逻辑即可
for v3 in range(44):
  v3+=1
  v6=key[v3]
  v4=(v6+v4)%256
  key[v3]=key[v4]
  key[v4]=v6
  key3.append(key[(key[v3]+v6)%256])
for i in range(44):
  key2[i]^=key3[i]
for i in key2:
  s+=chr(i)
print s

在这里插入图片描述
在这里插入图片描述
.
.
解毕!
敬礼!

沐一 · 林
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
安恒杯9web1有关的知识点
heiseweiye的博客
09-26 538
1.PHP执行系统命令的多种方式 1.1exec() string exec ( string $ command [, array &amp;amp;amp;amp;amp;$ output [, int &amp;amp;amp;amp;amp;$return_var ]] ) php代码: &amp;amp;amp;amp;lt;?php exec(&amp;amp;amp;quot;whoami&amp;amp;amp;quot;); ?&amp;
安恒杯【easyweb】
qq_50613938的博客
10-25 183
<?php error_reporting(E_ALL || ~ E_NOTICE); header('content-type:text/html;charset=utf-8'); $cmd = $_GET['cmd']; if (!isset($_GET['img']) || !isset($_GET['cmd'])) header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd='); $file =
2020安恒杯元旦-爆破鬼才-ZIP注释信息+CRC32爆破+outguess隐写爆破+生日字典
xnightmare的博客
01-03 2133
MISC 爆破鬼才 给出的是一个压缩包,压缩包中有注释信息,注释信息给出了解压密码的范围: 使用ARCHPC爆破即可得到密码:abc123 解压之后里面又是一个压缩包,压缩包里面包含几个文件: 使用010 Editor查看具体信息之后发现360给出的文件大小其实是不准确的,1.txt、2.txt、3.txt压缩前的大小分别为4 bytes、2 bytes、2 bytes,因此可以用CRC32碰...
安恒杯之以战“疫”-- writeup解题思路
BlusKing
02-27 2591
CRYPTO-古典密码1 iodj{36g9i2777 符号不变进行凯撒移位 flag{36d9f2777 -... ----. ..--- -... .- -.-. ...-- ----. .- .- ..--- 摩斯解码 b92bac39aa2 a0dd}b6942c07 栅栏密码https://www.qqxiuzi.cn/bianma/zhalanmi...
re学习笔记(43)安恒杯-re-maze1
逆向随笔
02-26 791
安恒杯 抗【疫】练习 -re-maze1 新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目下载: 链接: https://pan.baidu.com/s/197VP-ZwJ6oIMpZ7oPuBuKA 提取码: 2020 IDA64位载入,进入main()函数 迷宫题,28行之前对迷宫进行初始化,之后输入flag,然后wasd控制上下左右,最后到达终点2的时候判...
安恒杯题目参源码+项目说明.zip
最新发布
01-23
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞项目学习资料,作为参考学习借鉴。 ...安恒杯题目参源码+项目说明.zip
2018-10安恒逆向题目
10-29
201810安恒逆向题目。
2021“安恒·泰山杯”山东省网络安全大 (1).rar
12-07
2021“安恒·泰山杯”山东省网络安全大 CTF 真题
安恒杯”南京邮电大学首届CTF网络攻防比实施方案.pdf
09-09
安恒杯”南京邮电大学首届CTF网络攻防比实施方案
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
180125 逆向-安恒杯18-01-Re
whklhhhh的博客
01-27 1533
1625-5 王子昂 总结《2018125日》 【连续第482天总结】 A. 安恒杯181逆向WP B. 比的时候在冬令营,当天比较忙所以没来得及做。。 现在复现一下-0-可惜只有这一题是逆向拖入64位IDA反编译,main函数倒是摆在面前,然而有一千多行的伪代码。。。OTZ在linux中运行,发现有一句提示输入Show me the right key and I will g
2019安恒7-MISC wp
qwzf
07-16 3226
安恒7-MISC wp 前言 今天安恒,和最近一部热剧有一点点关系。而我就做出了两道MISC题,还是写一下Write Up。。。。 MISC1:真正的CTFer在哪?! 下载解压题目文件,发现一张图片 用binwalk分析一下,并没有隐藏文件 查看图片详细信息,没有隐藏东西。然后看了下图片宽高(分辨率),并用winHex打开发现,高度不一致 将分辨率转换成16进制,0500应...
流量分析——安恒八CTF
xiaogaoxiaoyuan的博客
01-09 3441
一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:
安恒之抗【疫】练习
A_dmin的博客
02-26 1164
安恒之抗【疫】练习 WEB3 commix。 就是命令执行,不过cat和flag被过滤了,,,直接使用奇淫技巧加变量拼接可以进行绕过: payload: cmd=a=t;ca$a \ls` MISC1 zip隐写 下载zip,发现zip中存在16进制的数字,504b开头,压缩包,保存下来到winhex,保存为压缩包 发现解压提示有损坏,查看文件,修改01为08,解压得到flag 得到:...
2018 6安恒杯
weixin_40423072的博客
09-03 1829
更一下比的 解析吧。安恒杯的 三题web,唔,平台关了所以,链接就 随缘了! 第一题 嗯,遇到就点吧,点击的时候页面不会跳转但是还是会有反应的,如果右键打开之后会有新的路径,后面有跟一个microsoft 的教程。那 这题就是一个 注入吧 但是常规注入并不能注入进去,无奈。Redis的注入也没有,于是看了解析之后我们就很自然的可以想到MongoDB注入,怎么说呢。只要想到他就能做出来,百度一...
流量分析_安恒八
Lemon's blog
07-09 3910
前言: 流量分析很有意思,之前忙于考试,暂时没有学习了,考试结束了就来总结一下一些CTF下常见的流量分析的题型。 0x00:流量包修复 使用wireshark打开流量包发现报错,可以使用
中级ROP-ret2__libc_csu_init
aptx4869_li的博客
08-01 2052
中级ROP-ret2__libc_csu_init 这个题是“百度杯”CTF 十二场上的一个题“easypwn” 题目文件:easypwn 链接:https://pan.baidu.com/s/1aPTSUMHT-1JR2yWJgo2B-g 密码:id3x 刚开始没多久,所以这个可能记录的比较详细一点,特别适合新手   静态分析找溢出点: 丢到IDA里面就一个主函数,也没有求其...
安恒杯学到的新姿势
qq_39607945的博客
09-13 322
新闻搜索 考点:POST注入 工具:BP、sqlmap 本题考查POST注入,一般的注入是GET型的,当用POST表单传参数的时候就不能起效,此时需要进行POST注入。 而在本题中,通过截取请求包,然后利用sqlmap命令sqlmap -r 文件名 -D news --dump,news是本题中的数据库名。 即可完成注入。 常规操作 考点:文件上传、phar://漏洞 打开页面之后发现: 提示了...
安恒杯 web
wywwzjj
01-30 676
babyGo &amp;amp;amp;amp;lt;?php @error_reporting(1); include 'flag.php'; class baby { protected $skyobj; public $aaa; public $bbb; function __construct() { $this-&amp;amp;amp;amp;gt;skyobj = new...
安恒堡垒机 root密码
09-08
安恒堡垒机是一款网络安全产品,用于管理和控制企业的网络设备,保障网络的安全。其中的root密码是用于登录和操作安恒堡垒机的超级管理员账户。 root密码在安恒堡垒机中具有最高的权限,只有拥有root密码的用户才能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值