2022 *CTF REVERSE的Simple File System
.
.
下载附件,有四个文件:
.
.
照例扔入虚拟机中运行一下,查看主要回显信息:
.
.
照例扔入 IDA64 中查看伪代码,有 main 函数看 main 函数:
.
.
那么流程就是从 flag 文件中取出 flag -----> plantflag 命令加密存入磁盘节点中。
关键就是存入磁盘节点中也是写入磁盘文件中啊,而出题者取出的 flag 是完整的 flag 啊,所以磁盘中一开始里面就有加密后的 flag,我们要做的就是取出其对应的数据反向解密。
因为比较菜,脑子转不过来,没想到是从原有文件中提取加密后的数据,我一直,一直,一直!都以为磁盘是纯粹的磁盘,然后它一直打开的 flag 文件是我们自己的不完整的 flag 文件,所以我一直在想,它不给我正确的 flag 我怎么解。。。(现在想想怎么自己这么笨啊~~~~~~~~~!!!!)
.
.
提取加密后的数据有两种方法:
第一种直接用前4个加密字节来匹配即可。
.
.
第二种是手动比较原始 image.flag 文件和 plantflag 后的文件字节比较:
.
.
拿到密文后直接写脚本逆向即可:
data=[0x00, 0xD2, 0xFC, 0xD8, 0xA2, 0xDA, 0xBA, 0x9E, 0x9C, 0x26, 0xF8, 0xF6, 0xB4, 0xCE, 0x3C, 0xCC, 0x96, 0x88, 0x98, 0x34, 0x82, 0xDE, 0x80, 0x36, 0x8A, 0xD8, 0xC0, 0xF0, 0x38, 0xAE, 0x40]
v4=0xDEEDBEEF
for i in range(len(data)):
v5 = data[i]
v5 = (v5>>3)|((v5<<5)&0xff)
v5 ^= 0xDE
v5 = ((v5<<4)&0xff)|(v5>>4) #python运算中只有右移时不用截取位数
v5 ^= 0xED
v5 = ((v5<<3)&0xff)|(v5>>5)
v5 ^= 0xBE
v5 = ((v5<<2)&0xff)|(v5>>6)
v5 ^= 0xEF
v5 = ((v5<<1)&0xff)|(v5>>7)
data[i]=v5
#print(''.join([chr(i) for i in data]))
print(''.join(map(chr,data)))
.
.
当然也可以从 image.flag 中读取文件慢慢匹配:(代码出自 zsky 师傅)
def ROR(_num, _n):
return (((_num >> _n) & 0XFF) | ((_num << (8 - _n)) & 0XFF)) & 0XFF
def dec(a):
for i in range(len(a)):
a[i] = ROR(a[i], 3)
a[i] ^= 0xDE
a[i] = ROR(a[i], 4)
a[i] ^= 0xED
a[i] = ROR(a[i], 5)
a[i] ^= 0xBE
a[i] = ROR(a[i], 6)
a[i] ^= 0xEF
a[i] = ROR(a[i], 7)
return a
with open('./image.flag', 'rb') as f:
data = f.read()
data_splitted = [list(data[0x33000 + i * 0x1000: 0x33000 + i * 0x1000 + 32]) for i in range(200)] #以200为循环是因为前面两个随机数都是%100的100以内的随机数。
for data in data_splitted:
dec_data = bytes(dec(data))
if b'*CTF' in dec_data:
print(dec_data)
break
b'*CTF{Gwed9VQpM4Lanf0kEj1oFJR6}\n*'
.
.
解毕!
敬礼!