攻防世界[GoodRe]

最新推荐文章于 2024-06-21 17:14:10 发布
最新推荐文章于 2024-06-21 17:14:10 发布
阅读量864 收藏 12
点赞数 32
分类专栏: reverse 文章标签: 算法 笔记 ctfer ctf逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjh_fnu_ltn/article/details/139221612
版权

攻防世界[GoodRe]

学到知识:

  1. 逆向的精髓:三分懂,七分蒙。
  2. TEA 算法快速识别(蒙):
  • 数据处理的形式:进入加密时的数据和加密结束后的数据,处理时数据的分组等等,都能用来识别TEA算法。
  • 关键数据识别,循环次数,dalte值,key。
  1. 题目地址:攻防世界 (xctf.org.cn)

题解:

  1. 动调,需要输入输入,后面输出error。

image-20240526205940185

  1. 进入main函数看逻辑:要求输入的长度为64,完事后进一个循环,while循环中处理了一堆数据,后面加密时使用,依次看这两个函数。

    image-20240526210047301

    • check_num函数:其中查了一个十六进制字符表,光静态分析不方便,直接上动态调试来分析,按其中的要求十六进制必须是大写,不然白费,观察rax寄存器的值,他是返回值,将我们的输入转化为了对应的数值,所以函数的功能就是 每8个一组 挨个查 十六进制表 返回字符对应的数值。

    image-20240526210414998

    image-20240526210819447

    image-20240526210904368

    • init_num函数:逻辑比较简单,将传入的a2放到a1数组中,前面多放一个4(不知道有啥用),一起动调看一下,确实把v6的值放进入了。

    image-20240526211126187

    image-20240526211342484

    • 最后这个循环的逻辑就清楚了:进行了三个组参数的初始化,首先数我们输入的字符每 8个一组 转化为对应的 十六进制数值 ,其次用0x11初始化v14,再使用程序本身自带的 dword_5580AECA2020 初始化v15/v8。

  2. 循环结束后续重复调用了四个一样的函数,这里推测大概率是加密函数了(后续直接就判断并输出error),但是v11,v12,v13似乎还并未初始化,这里直接去看汇编观察传入了哪些参数:这里是传入了两个地址,一个是前面初始化的v14,一个是,前面初始化的我们输入,这里换一个清晰点的输入 6677888899999999AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDEEEEEEEEFFFFFFFF

image-20240526212505398

image-20240526212425055

image-20240526212121822

  1. 这里仔细观察下一个encode函数,其接受的参数:其直接从 AAAAAAAA 开始接受,跳过了中间的 99999999 ,下一个encode函数任然如此,跳过了 BBBBBBBB ,直接从 CCCCCCCC 开始。结合前面初始化时将我们输入的64个字符每8个一组进行分组,共8组,说明这加密函数是将分组后的数据两两一起加密,最后共加调用encode函数4次,加密4次,刚好架构8组数据全部加密完,再众多加密函数中,大概率只有TEA加密时需要将两个数据同时进行加密,所以可以盲猜该算法可能时TEA加密。

image-20240526212557121

image-20240526212744972

  1. 进入该函数查看:其中一大堆函数,首先看到显眼的32,while循环的轮数为32与TEA算法刚好契合,里面还有两串数值 0x830A53760x1D3D2ACF 生成了v9,v9在后面函数中被调用过一次,猜测v9应该就是 dalte (动调拿到0x9E3779B9),再找key,a2被调用三次一次传入不同的地址,取不同地址处的值来初始化v10,v11,v12,v13,虽然地址不同但初始化最后都为0x11(前面循环时只用0x11来初始化v14),观察函数调用时传入的参数逻辑,v6就是sum,函数调用中对sum采用的是加 dalte 且是再循环开始时,v4、v5就是待加密的两个值。

image-20240526213719764

image-20240526214737552

image-20240526213409452

  1. 最后的加密结果是由 dword_56267207D020 处的值来初始化的,直接提取即可,解密脚本如下,注意最后全部时大写才行:
#include <debugapi.h>
#include <stdio.h>
int main()
{
    unsigned int key[4] = {0x11, 0x11, 0x11, 0x11};                                                                             // 密钥
    unsigned int value[8] = {0x79AE1A3B, 0x596080D3, 0x80E03E80, 0x846C8D73, 0x21A01CF7, 0x0C7CACA32, 0x45F9AC14, 0x0C5F5F22F}; // 密文

    int dalte = 0x9e3779b9;
    int i = 0, j = 0, h = 0;
    int wheel = 32; // 轮数
    unsigned int sum = 0;

    // 逆算法
    for (i = 0; i < 8; i++, i++)
    {
        sum = (dalte * (wheel));
        // 每轮加密
        // for (j = 0; j < 4; ++j)
        {
            for (h = 0; h < wheel; ++h)
            {
                value[i + 1] -= (key[3] + (value[i] >> 5)) ^ (sum + value[i]) ^ (key[2] + 16 * value[i]);
                value[i] -= (key[1] + (value[i + 1] >> 5)) ^ (sum + value[i + 1]) ^ (key[0] + 16 * value[i + 1]);
                sum -= dalte;
            }
        }
    }
    for (i = 0; i < 8; i++)
    {
        printf("%X", value[i]);
    }
    return 0;
}
//7DEA3F6D3B3D6C0C620864ADD2FA2AE1A61F2736F0060DA0B97E8356D017CE59
  1. 最后验证结果正确:

image-20240526214948280

波克比QWQ
关注
  • 32
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界RE第四题 re1
a859900546的博客
11-27 209
首先下载附件查壳 32位,无壳,用ida打开该文件 发现v7为用户输入字符串且与v5进行了比较,往上看发现v5是从箭头所指地方取出来的,跟进查看。 发现两个可疑字符串,按r将16进制转为字符串 发现flag由3个字符串组成,由Windows 16进制数据为小端储存(不懂就百度一下)可得 flag为:DUTCTF{We1c0met0DUTCTF} ...
攻防世界
handuoduo123的博客
12-05 932
攻防世界 新手题 misc 前5道 不得不说,这道题真的是入门级别了。答案就在题目中,复制粘贴就好 flag{th1s_!s_a_d4m0_4la9} 下载完题目是一张动态图隐约可以看到有个缺少定位符的二维码 隐约可以看到有个缺少定位符的二维码 利用PS把二维码补全(随意扣一张二维码的定位符就好了) 工具扫描得到flag{e7d478cf6b915f50ab1277f78502a2c5} 下载...
[RE]攻防世界--新手区(全部结束)
weixin_50079028的博客
10-14 211
哔哔两句:不是没做题,实在是最近事情太多,有点忙,,做了也就存到电脑上了,趁现在安装vs,闲着也是闲着,更新一波。 6.攻防世界--新手区--simple-unpack 前面的话:这个题是个shabi题,明明说elf加壳了,ida还能打开(我后来看了看别人的wp,发现是有壳的,我是先改成exe,然后脱壳机脱,脱了之后查壳还是有壳,但是这时候ida打开就已经脱成功了,为什么会这样不清楚原理,kali命令直接脱就行),找main函数,直接打开就是。我还专门找了篇文章学习elf脱壳。 7.攻防世界--新手区
IgniteMe -高校网络信息安全运维挑战赛
09-02 328
1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 void *v3; // eax 4 int v4; // edx 5 void *v5; // eax 6 int result; // eax 7 void *v7; // eax ...
攻防世界RE练习区题目总结(1-10)
oxhbq的博客
03-06 1624
前言 这篇文章是我做完攻防世界练习区的题目后对这十道题做的总结。emmm,其实这几道题我几个月前就做完了,这几天又回去试着再做一遍发现还是有一些地方存在疑惑,并且速度也没有太大的提升。所以决定把之前做过的题目整理一下都写在博客里,便于以后复习顺便把一些我没搞懂的地方也记录在这里,希望以后可以解决。也希望能有大佬有缘看到我这个小菜鸟的文章,可以帮我指点迷津。 这一篇只写攻防世界新手区的几道题,之后我还会把BUUCTF做的题也做个总结,写一篇博客,希望可以把这个习惯保持下去。说了这么多废话,下面开始正文。
攻防世界——zorropub
yhfgs的博客
11-21 4135
1.查壳,无壳,64位。 2.IDA反编译。 逻辑:从最后的输出可知flag为v12,而v12是由v9与dword_6020C0的异或得来的。v9是用srand和rand随机生成的伪随机数。可以根据前面的代码算出seed(种子)。 3.exp (1)生成seed。 (2)生成随机数,并解密。 注:题目文件是elf文件是在linux系统上的可执行文件所以生成随机数要在linux系统上编译运行。 相同种子的随机数在两个系统中值不同。 windows系统: linux系统: ...
攻防世界 web backup
shidonghang的博客
10-25 1494
backup 题目 场景 过程 访问index.php的备份文件,弹出下载框 使用Notepad打开下载的备份文件
攻防世界web
热门推荐
kid的博客
05-23 2万+
攻防世界web 前言 准备ctf比赛,这里把攻防世界分值低于5分的基本刷了一遍(分值再高刷不动了…) 练习 view_source 没难度知识禁用了右键点击,ctrl+u查看源码拿到flag get_post 这题没什么好说的,按着提示来就能拿flag 但我发现下面的hackbar不能用后用burp来进行post传参不返回flag…迷了我很久… 结果我下了左边那个hackbar后重来一...
攻防世界 crypto Caesar
shidonghang的博客
10-26 2715
Caesar 题目 附件 oknqdbqmoq{kag_tmhq_xqmdzqp_omqemd_qzodkbfuaz} 凯撒密码 其实很简单,就是字母的偏移。 过程 凯撒密码,因为知道flag格式为cyberpeace{},所以o要对应c,所以计算差值为15,尝试解密和加密,发现偏移15时加密可得flag。 ...
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界Check杂项
11-20
攻防世界Check杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127952250
攻防世界encode杂项
11-20
攻防世界encode杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947807
算法篇-二叉树
最新发布
分享Java知识,记录思考和感悟
06-21 410
分享二叉树相关概念和算法
代码随想录算法训练营第38天|● 理论基础 ● 509. 斐波那契数● 70. 爬楼梯 ● 746. 使用最小花费爬楼梯
weixin_74408291的博客
06-17 729
2.确定递推公式dp[i - 1] 跳到 dp[i] 需要花费 dp[i - 1] + cost[i - 1]。dp[i - 2] 跳到 dp[i] 需要花费 dp[i - 2] + cost[i - 2]。那么dp[i] = min(dp[i - 1] + cost[i - 1], dp[i - 2] + cost[i - 2]);3.dp数组初始化由题目可以知道你可以选择从下标为。
【康复学习--LeetCode每日一题】2748. 美丽下标对的数目
Puppet__的博客
06-20 480
如果下标对 i、j 满足 0 ≤ i < j < nums.length ,如果 nums[i] 的 第一个数字 和 nums[j] 的 最后一个数字 互质 ,则认为 nums[i] 和 nums[j] 是一组 美丽下标对。2 和 5 互质,因此 gcd(2,1) == 1。i = 1 和 j = 2 :nums[1] 的第一个数字是 5 ,nums[2] 的最后一个数字是 1。i = 0 和 j = 1 :nums[0] 的第一个数字是 1 ,nums[1] 的最后一个数字是 1。
代码随想录二刷DAY1~3
illuosion7的博客
06-16 1119
没做出来,发现问题了,滑动的应当是右指针for()里面填,这样一来,sum的初始化应当放到for的外面。//这句初始化很重要,我们要让反转后的最后一个元素指向nullptr,那么head的pre自然应该初始化为nullptr。题面:在一个排序的链表中,存在重复的节点,请删除该链表中重复的节点,重复的节点不保留。//条件也重要呀,不用判它的next,手写模拟就知道了。这题有难度,要求重复的节点不保留,显然需要三指针了。// 如果是最长,一发现不符合,就扩。//如果是最长,一发现不符合,就扩。
攻防世界 easyphp
09-11
EasyPHP是一个用于Windows操作系统的开发环境,它集成了Apache服务器、MySQL数据库和PHP解释器,使得搭建和管理网站变得更加简单。在EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞、密码学等。参与者需要通过解决这些挑战来学习和提高自己的网络安全技能。同时,攻防世界也提供了一些教程和文章,帮助新手入门并引导他们深入理解攻击和防御的原理。 对于初学者来说,攻防世界的easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得更加方便。通过解决平台上的题目和挑战,初学者可以逐渐熟悉常见的安全漏洞和攻击技术,并学会如何进行相应的防御措施。 希望以上信息对你有所帮助!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值