BUUCTF[羊城杯 2020]easyre

最新推荐文章于 2024-06-11 22:03:34 发布
最新推荐文章于 2024-06-11 22:03:34 发布
阅读量821 收藏
点赞数
分类专栏: ctf reverse 2019羊城杯 文章标签: 安全 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yidalipao1/article/details/124695548
版权
ctf 同时被 3 个专栏收录
8 篇文章 0 订阅
订阅专栏
reverse
7 篇文章 0 订阅
订阅专栏
2019羊城杯
1 篇文章 0 订阅
订阅专栏

64位无壳程序

IDA64打开

main函数:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  int v4; // eax
  int v5; // eax
  char Str[48]; // [rsp+20h] [rbp-60h] BYREF
  char Str1[64]; // [rsp+50h] [rbp-30h] BYREF
  char v9[64]; // [rsp+90h] [rbp+10h] BYREF
  char v10[64]; // [rsp+D0h] [rbp+50h] BYREF
  char Str2[60]; // [rsp+110h] [rbp+90h] BYREF
  int v12; // [rsp+14Ch] [rbp+CCh] BYREF
​
  _main();
  strcpy(Str2, "EmBmP5Pmn7QcPU4gLYKv5QcMmB3PWHcP5YkPq3=cT6QckkPckoRG");
  puts("Hello, please input your flag and I will tell you whether it is right or not.");
  scanf("%38s", Str);
  if ( strlen(Str) != 38
    || (v3 = strlen(Str), (unsigned int)encode_one(Str, v3, v10, &v12))
    || (v4 = strlen(v10), (unsigned int)encode_two(v10, v4, v9, &v12))
    || (v5 = strlen(v9), (unsigned int)encode_three(v9, v5, Str1, &v12))
    || strcmp(Str1, Str2) )
  {
    printf("Something wrong. Keep going.");
    return 0;
  }
  else
  {
    puts("you are right!");
    return 0;
  }
}

只要输入的Str不满足if的条件,就能得到正确的flag

首先是第一个条件是Str长度为38,然后经过三个编码函数处理,最后条件是Str1和Str2 = EmBmP5Pmn7QcPU4gLYKv5QcMmB3PWHcP5YkPq3=cT6QckkPckoRG两个字符串要相同

然后逐次分析endocde_one, encode_two, encode_three三个函数

encode_one:

__int64 __fastcall encode_one(const char *a1, int a2, char *a3, int *a4)
{
  int v5; // esi
  int v6; // esi
  int v7; // esi
  int v8; // [rsp+34h] [rbp-1Ch]
  int v9; // [rsp+38h] [rbp-18h]
  int v11; // [rsp+48h] [rbp-8h]
  int i; // [rsp+4Ch] [rbp-4h]
  unsigned __int8 *v13; // [rsp+70h] [rbp+20h]
​
  v13 = (unsigned __int8 *)a1;
  if ( !a1 || !a2 )
    return 0xFFFFFFFFi64;
  v11 = 0;
  if ( a2 % 3 )
    v11 = 3 - a2 % 3;
  v9 = a2 + v11;
  v8 = 8 * (a2 + v11) / 6;
  for ( i = 0; i < v9; i += 3 )
  {
    *a3 = alphabet[(char)*v13 >> 2];
    if ( a2 + v11 - 3 == i && v11 )
    {
      if ( v11 == 1 )
      {
        v5 = (char)cmove_bits(*v13, 6u, 2u);
        a3[1] = alphabet[v5 + (char)cmove_bits(v13[1], 0, 4u)];
        a3[2] = alphabet[(char)cmove_bits(v13[1], 4u, 2u)];
        a3[3] = 61;
      }
      else if ( v11 == 2 )
      {
        a3[1] = alphabet[(char)cmove_bits(*v13, 6u, 2u)];
        a3[2] = 61;
        a3[3] = 61;
      }
    }
    else
    {
      v6 = (char)cmove_bits(*v13, 6u, 2u);
      a3[1] = alphabet[v6 + (char)cmove_bits(v13[1], 0, 4u)];
      v7 = (char)cmove_bits(v13[1], 4u, 2u);
      a3[2] = alphabet[v7 + (char)cmove_bits(v13[2], 0, 6u)];
      a3[3] = alphabet[v13[2] & 0x3F];
    }
    a3 += 4;
    v13 += 3;
  }
  if ( a4 )
    *a4 = v8;
  return 0i64;
}

双击查看alphabet

可以看到这个函数实际上就是base64加密

encode_two:

__int64 __fastcall encode_two(const char *a1, int a2, char *a3, int *a4)
{
  if ( !a1 || !a2 )
    return 0xFFFFFFFFi64;
  strncpy(a3, a1 + 26, 0xDui64);
  strncpy(a3 + 13, a1, 0xDui64);
  strncpy(a3 + 26, a1 + 39, 0xDui64);
  strncpy(a3 + 39, a1 + 13, 0xDui64);
  return 0i64;
}

函数进行了四次字符串复制操作:

a1: 1~13|14~26|27~39|40~52

最后a3:

a3: 26~38|1~13|40~53|14~26

encode_three

将其中的ascii码的数字转换成对应的字符

__int64 __fastcall encode_three(const char *a1, int a2, char *a3, int *a4)
{
  char v5; // [rsp+Fh] [rbp-11h]
  int i; // [rsp+14h] [rbp-Ch]
  const char *v8; // [rsp+30h] [rbp+10h]
​
  v8 = a1;
  if ( !a1 || !a2 )
    return 0xFFFFFFFFi64;
  for ( i = 0; i < a2; ++i )
  {
    v5 = *v8;
    if ( *v8 <= '@' || v5 > 'Z' )
    {
      if ( v5 <= '`' || v5 > 'z' )
      {
        if ( v5 <= '/' || v5 > '9' )
          *a3 = v5;
        else
          *a3 = (v5 - '0' + 3) % 10 + '0';
      }
      else
      {
        *a3 = (v5 - 'a' + 3) % 26 + 'a';
      }
    }
    else
    {
      *a3 = (v5 - 'A' + 3) % 26 + 'A';
    }
    ++a3;
    ++v8;
  }
  return 0i64;
}

可以看的出是凯撒密码,而且偏移量为3

第二个函数处理后的结果:

str = BjYjM5Mjk7NzMR4dIVHs5NzJjY3MTEzM5VhMn3=zQ6NzhhMzhlOD

接下来写代码出结果:

import base64
tmp = list('BjYjM5Mjk7NzMR4dIVHs5NzJjY3MTEzM5VhMn3=zQ6NzhhMzhlOD')
for i in range(len(tmp)):
    if tmp[i] >= '0' and tmp[i] <= '9':
        tmp[i] = str(int(tmp[i]) - 3)
flag = str(tmp[13:26] + tmp[39:] + tmp[:13] + tmp[26:39])
print(base64.b64decode(flag))

带数字偏移的凯撒,用在线解密比手撸代码简单一些。

后面写代码的时候就直接base64解码了,忘记了数字的偏移,导致一直得不到正确的flag

最终结果:

GWHT{672cc4778a38e80cb362987341133ea2}

在buu里面结果就是

flag{672cc4778a38e80cb362987341133ea2}
Eutop1a
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu-[羊城 2020]easyre
qaq517384的博客
03-30 525
无壳64位exe 运行还是老样子 查看字符串,先放一个base64在这里 跟进主函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // eax int v5; // eax int result; // eax char Str; // [rsp+20h] [rbp-60h] char Str1; // [rsp+50h] [rbp-30h]
BUUCTF Reverse/[羊城 2020]easyre
ookami6497的博客
01-27 1269
IDA打开分析代码,又是一个字符串比较的问题,输入flag,对flag加密三次,flag的长度为38 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // eax int v5; // eax char flag[48]; // [rsp+20h] [rbp-60h] BYREF char flag_encode_3[..
buuctf————[羊城 2020]easyre
yhfgs的博客
09-29 3178
1.查壳。 无壳,64位。 2.IDA反编译。 查看字符串。 关键字符串出现(you are right!)跟进。 (还有下面俩行base64加密特点,推测有base64加密。)
web刷题记录(5)
最新发布
2301_81841047的博客
06-11 2003
进来以后就是一个默认测试页面, 在这种默认界面里,我觉得一般不会有什么注入点之类的,所以这里先选择用御剑扫扫目录看看有没有什么存在关键信息的页面扫了一半发现,很多都是和index.php文件有关,这里选择查看该文件访问以后发现是一个弹窗这个弹窗和一句话木马很像,从其中的话分析弹窗的三个单词,可以大致推测出,eval,命令执行函数;post,传参方式;cmd,命令格式。这里的话考虑两个方向,一个是,一句话木马,看看能不能和蚁剑连接;第二种思路的话,以post传参的格式 ,使用RCE。
BUUCTF------【羊城2020easyre
qq_64558075的博客
01-24 1837
1.拿到文件,进行查壳收集信息 64位程序,无壳 2.使用IDA进行分析 发现就是简单的三重加密 encode_one:base64加密 encode_two:换位 encode_three:凯撒加密 3.凯撒加密 4.换位 注意这个阿拉伯数字网站并没有进行解密,需要自己解密 5.base64解密 得到最后的flag,带到程序进行验证 正确!!!!!! ...
[羊城 2020]easyre
HLi1219的博客
12-23 1082
用PE查壳 用ida打开找到main函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // eax int v5; // eax int result; // eax char flag; // [rsp+20h] [rbp-60h] char Str1; // [rsp+50h] [rbp-30h] char v9; // [rsp.
BUUCTF[羊城2020]easyphp
snowlyzz的博客
08-21 770
刷题记录
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
羊城_2020_babyre 题解
lifanxin的博客
09-09 1173
babyre题目信息考查知识题目分析WP脚本总结 题目信息   本题目来自于2020羊城的逆向题,可以在buuoj上找到题目复现。 考查知识   本题目考查的知识点有:DES/AES算法,SMC自修改代码,以及合理利用动态调试来快速解题。   关于动态调试,这里很多人可能会遇到环境问题,主要是因为题目调用了openssl的动态加密算法库,所以本地也得有一个。同时还需要注意openssl加密算法库的版本问题,该题目必须使用libcrypto.so.1.0.0。这里我给出该算法库文件 – libcrypto
BUUCTF-[羊城 2020]easyre1
qq_51600802的博客
10-25 569
首先下载好文件后查壳,无壳,直接用IDA打开 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // eax int v5; // eax int result; // eax char Str[48]; // [rsp+20h] [rbp-60h] BYREF char Str1[64]; // [rsp+50h] [rbp-30h] BY...
buu [羊城 2020]easyre1
zzqzzq11的博客
01-15 2758
使用ida打开:
[羊城 2020]easyre 1题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-29 1631
buuctf-[羊城 2020]easyre题解
BUUCTF [羊城 2020]easyre 题解
OrientalGlass的博客
03-08 1027
对数字和字母移三位,其他特殊字符不变,要求出加密前的字符串,只需要对数字+7再mod10,对字母+23再mod26,有点补码的感觉在。看到主函数的str2大概就可以猜到是base64,ctrl+f12也可以看到存在base64表。进入该函数后大概看一下不难发现是base64加密并且这题没有换表操作。第三次加密是将code2内的数字和字母移3位,其他字符不变。第一次加密是base64加密,得到code1。三.encode_one_base64。五.encode_three。四.encode_two。
BUUCTF--[羊城 2020]EasySer
qq_46263951的博客
08-20 845
进入后是这样的页面,有点懵, 看下大佬的思路: 1) 源码写了不安全协议从本地,想到http 和127.0.0.1 2) 读源码看反序列化,写入shell 3) 伪协议base64绕过die(),rot13等等都可以 考点: 1) PHP 基础代码审计 2) SSRF本地文件读取 3) 反序列化写入webshell,绕过死亡绕过 使用文件扫描扫到robots.txt,提示访问/star1.php/ 查看页面的源代码可以看到提示 利用http://127.0.0.1/star1.php...
buu练题记录16-[羊城 2020]easyre&[FlareOn1]Bob Doge
Asteri5m
02-28 299
0x00 [羊城 2020]easyre oxoo1 查壳 无壳,64位程序,用IDA64打开 0x02 IDA64 用ida分析可以轻松发现加密的字符串以及验证模式 三次比较简单的加密 0x03 exp import base64 from string import digits, ascii_lowercase, ascii_uppercase flag = '' str2 = "EmBmP5Pmn7QcPU4gLYKv5QcMmB3PWHcP5YkPq3=cT6QckkPckoRG" #
BUUCTF-[羊城]Easyser
m0_52358157的博客
06-11 1016
BUU:[羊城 2020]EasySer –菜鸟的第一篇ctf题解 一开始拿到题目一面懵,于是常规的查看robots.txt,很幸运提示要你去访问/star1.php 进入到这个界面接着遇事不决f12得到提示使用一个不安全协议获取ser.php 然后开始了漫长的各种尝试:各种php伪协议,各种百度去搜寻不安全的协议,并没有什么结果。后来想到有一位师傅讲过http相对比于https是不安全的,因为它无状态,无连接,具有简单快速、灵活的特性,通信时候使用明文,也不会对通信方进行确认(重点在这!) 所以可以利
[羊城 2020]easycon
m0_73612768的博客
01-05 429
目录爆破;base64 转图片;
羊城2020 wp
08-18
羊城2020是一场年度的电子竞技赛事,为广大电竞爱好者提供了一个展示技术和激发激情的舞台。今年的羊城聚集了来自全国各地的顶尖电竞选手,他们在各个游戏项目中展现了高水平的操作和战术。 在比赛的文化氛围...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值