REVERSE-PRACTICE-BUUCTF-30

REVERSE-PRACTICE-BUUCTF-30

    • [RCTF2019]DontEatMe
    • [b01lers2020]little_engine
    • [NPUCTF2020]你好sao啊
    • [MRCTF2020]Shit

[RCTF2019]DontEatMe

exe程序,运行后输入,无壳,用ida分析
交叉引用字符串来到sub_401260函数,读取输入,NtSetInformationThread的第二个参数为17(0x11),实现了反调试效果,调试的过程中修改EIP即可绕过反调试
随后byte_9457A8数组被赋予8个随机值,不过没什么用,下面又被赋了新值,而且新值固定不变,为[0x00, 0x0F, 0x1A, 0x01, 0x35, 0x3A, 0x3B, 0x20]
findcrypt插件查到sub_401090函数是blowfish算法
donteatme-logic
往下走,有一个将输入的字符两两一组,组成一个十六进制数的循环体
donteatme-logic
继续往下走,sub_401260函数的结束部分是一个16x16的迷宫
起点[x,y]在[5,10],x∈[0,15],y∈[1,16],a-左,d-右,s-下,w-上,终点[x,y]在[9,4]
donteatme-logic
走迷宫,起点设为s,终点设为e,路线为ddddwwwaaawwwddd

"""
map
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
1,0,0,0,0,0,0,0,0,0,1,1,1,1,1,1,
1,0,1,1,1,1,1,1,1,0,1,1,1,1,1,1,
1,0,1,1,1,1,1,1,1,0,1,1,1,1,1,1,
1,0,1,1,1,1,0,0,0,e,0,0,0,1,1,1,
1,0,1,1,1,1,0,1,1,1,1,1,0,1,1,1,
1,0,1,1,1,1,0,1,1,1,1,1,0,1,1,1,
1,0,1,1,1,1,0,0,0,0,1,1,0,1,1,1,
1,0,1,1,1,1,1,1,1,0,1,1,0,1,1,1,
1,0,1,1,1,1,1,1,1,0,1,1,0,1,1,1,
1,0,0,0,0,s,0,0,0,0,1,1,0,1,1,1,
1,1,1,1,1,0,1,1,1,1,1,1,0,1,1,1,
1,1,1,1,1,0,0,0,0,0,0,0,0,1,1,1,
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1ddddwwwaaawwwddd
"""

联系上面插件查到的blowfish算法,该程序的逻辑应为,输入密文,经过程序解密出明文,而明文需要通过迷宫,密钥为那个固定不变的数组byte_9457A8==[0x00, 0x0F, 0x1A, 0x01, 0x35, 0x3A, 0x3B, 0x20]
现已知明文和密钥,写blowfish加密脚本即可得到正确的输入

from Crypto.Cipher import Blowfish
from Crypto.Util.number import bytes_to_long
key=b"\x00\x0F\x1A\x01\x35\x3A\x3B\x20"
plaintext="ddddwwwaaawwwddd"
blowfish=Blowfish.new(key,Blowfish.MODE_ECB)
print(hex(bytes_to_long(blowfish.encrypt(plaintext))).replace('0x','').replace('L',''))
#db824ef8605c5235b4bbacfa2ff8e087

验证成功
donteatme-flag

[b01lers2020]little_engine

elf文件,无壳,ida分析
main函数,sub_55B25B5476B0函数,程序打印“Are you ready?”后,输入一个ASCII码小于127的字符
sub_55B25B547830函数,程序打印“Give me your best tidbit:”后,输入flag
sub_55B25B547510函数对输入进行异或运算,规律可循
sub_55B25B5475A0函数将变换后的输入与已知比较,验证输入
littleengine-main
进入sub_55B25B547510函数,对输入的变换为input[i]^=v8,而v8初始为0x91,每次加下标,超过255后对255取余,保持在0~254范围内
littleengine-xor
进入sub_55B25B5475A0函数,变换后的input和已知的unk_55B25B548220比较,需要注意的是unk_55B25B548220的步长为4
littleengine-check
写脚本即可得到flag

unk_55B25B548220=[0xE1, 0xE6, 0xD0, 0x4A, 0xF2, 0xC3, 0x7E, 0xAA, 0xE6, 0xFC,0x42, 0xB2, 0xF2, 0xB5, 0x01, 0xB4, 0xEC, 0x7D, 0x39, 0x20,0xEF, 0xC0, 0x4E, 0x13, 0xC8, 0x2F, 0x67, 0xAA, 0x95, 0x79,0x6B, 0xF5, 0xF2, 0x06, 0x41, 0x79, 0xD8, 0x35, 0xF9, 0xC8,0x8E, 0xDE, 0x88, 0x51, 0xAC, 0x4C, 0xF0, 0x81, 0xE0, 0xF4,0xEE, 0x14, 0xAD, 0xF1, 0x25, 0xBD, 0x82, 0x7C, 0x62, 0x30,0xA5, 0xF8, 0x80, 0x2B, 0x79, 0x85, 0x2A, 0xF8, 0x6E, 0x5A,0xAE, 0xCB, 0x18, 0x3A, 0xA2, 0xD0, 0x09, 0xC5, 0x8C, 0x5D,0x3D, 0x34, 0x6B, 0xF9, 0x3B, 0x72, 0x4B, 0x0E, 0x4A, 0xC3,0x71, 0x53, 0xE1, 0xE9, 0x07, 0xBB, 0xC1, 0x1A, 0xE7, 0x07,0x8F, 0x1B, 0x75, 0x74, 0xB9, 0x8E, 0x5D, 0x2E, 0xC2, 0xF6,0x17, 0x3B, 0x52, 0xED, 0xD7, 0xBD, 0x5E, 0xE9, 0x76, 0x63,0x72, 0xE2, 0xEA, 0x89, 0x51, 0xD7, 0x4F, 0x34, 0xDC, 0x39,0xD5, 0x58, 0x92, 0xD9, 0xD2, 0xD2, 0xAA, 0x69, 0xF1, 0xBF,0x90, 0x76, 0xE1, 0x9C, 0x39, 0x0D, 0x0C, 0xB3, 0x40, 0x06,0x48, 0xDA, 0x27, 0xD5, 0x1E, 0xB8, 0x4A, 0x94, 0x4C, 0x98,0xC4, 0x8A, 0x68, 0xA8, 0x97, 0x5E, 0x64, 0xF9, 0xC0, 0x58,0xF7, 0x02, 0x72, 0x8D, 0x3B, 0x88, 0x18, 0x14, 0xEC, 0x8F,0x42, 0x70, 0x0C, 0x0B, 0x96, 0x66, 0x22, 0x8E, 0xF7, 0x58,0x01, 0x2E, 0xC5, 0xDC, 0x4B, 0xC0, 0x71, 0xF4, 0xDA, 0xE6,0x3D, 0x73, 0x88, 0x7D, 0xE4, 0x91, 0x1F, 0x75, 0x90, 0x70,0xD6, 0x0C, 0xA7, 0x09, 0x7C, 0xF2, 0x5A, 0x4E, 0xA1, 0x09,0x0C, 0x51, 0x3C, 0xBA, 0xA8, 0x64, 0x38, 0x2D, 0x8C, 0x00,0x88, 0xE3, 0x6F, 0xEA, 0x77, 0x90, 0x74, 0x39, 0xAA, 0x56,0xF1, 0xA8, 0x6E, 0x80, 0xCA, 0x3D, 0x9E, 0x69, 0xA4, 0x69,0x48, 0xF2, 0x0A, 0x2C, 0xF7, 0x33, 0x17, 0x0F, 0x5C, 0xF2,0x8A, 0xE5, 0x2F, 0x55, 0xA5, 0x9F, 0x8B, 0x65, 0x54, 0x76,0xE0, 0x64, 0xEE, 0x9D, 0x9B, 0x2D, 0x9B, 0x5F, 0x72, 0x7F,0x3B, 0xD9, 0xDF, 0x05, 0x69, 0xF0, 0x9F, 0xF0, 0xA3, 0x8C,0xE6, 0xCD, 0xEF, 0xB4, 0xBC, 0x44, 0x54, 0x3E, 0xE3, 0x44]
init=0x91
flag=[]
for i in range(0,len(unk_55B25B548220),4): # step : 4flag.append(unk_55B25B548220[i]^init)init=(init+i//4)%0xff
print(''.join(chr(i) for i in flag))
# pctf{th3_m0d3rn_st34m_3ng1n3_w45_1nv3nt3d_1n_1698_buT_th3_b3st_0n3_in_1940}

[NPUCTF2020]你好sao啊

elf文件,无壳,ida分析
main函数,获取输入,输入的长度限为32,RxEncode函数对输入进行变换,变换的结果赋给s1,s1与已知的s2比较,验证输入
sao-main
进入RxEncode函数,4x6==>3x8,变表base64解码过程
sao-rxencode
用工具进行变表base64编码或者写脚本即可得到flag
sao-flag

res=[0x9E, 0x9B, 0x9C, 0xB5, 0xFE, 0x70, 0xD3, 0x0F,0xB2, 0xD1, 0x4F, 0x9C, 0x02, 0x7F, 0xAB, 0xDE,0x59, 0x65, 0x63, 0xE7, 0x40, 0x9D, 0xCD, 0xFA]
table="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz01234{}789+/="
flag=""
for i in range(0,len(res),3):tmp=bin(res[i]).replace('0b','').zfill(8)tmp+=bin(res[i+1]).replace('0b','').zfill(8)tmp+=bin(res[i+2]).replace('0b','').zfill(8)flag+=table[int('0b'+tmp[0:6],2)]flag += table[int('0b' + tmp[6:12], 2)]flag += table[int('0b' + tmp[12:18], 2)]flag += table[int('0b' + tmp[18:24], 2)]
print(flag)
# npuctf{w0w+y0U+cAn+r3lllY+dAnc3}

[MRCTF2020]Shit

exe程序,运行后输入,无壳,ida分析
交叉引用字符串来到sub_401640函数,获取输入,检验输入长度,进入loc_4012F0检验输入
shit-logic
来到loc_4012F0处,没有被ida识别为函数,加了花指令
shit-fakeorder
该种类型的花指令原型为

_asm
{call sub2_emit 0xEBjmp label2sub2:add dword ptr[esp],1retn
label2:
}

将call指令和相应的函数以及多出来的EB都nop掉,变成
shit-defake
另外还有一处类似的花指令,同样的nop去花,完成后创建函数,F5反编译
具体的运算写在了注释里面
shit-opration
调试得到xmmword_405034的值,写脚本即可得到flag

from Crypto.Util.number import long_to_bytes
res=[2351698746, 4148999158, 4276070130, 2871606843, 651135530, 2292314745]
for i in range(len(res)-1,0,-1):res[i]^=res[i-1]
xmmword_405034=[3,16,13,4,19,11]
for i in range(len(res)):res[i]^=(1<<xmmword_405034[i])res[i]=(((~(res[i]&0xffff))<<16)&0xffff0000)|(((res[i]&0xffff0000)>>16)&0x0000ffff)res[i]=((res[i]<<xmmword_405034[i])|(res[i]>>(32-xmmword_405034[i])))&0xffffffff
print(''.join(long_to_bytes(i) for i in res))
# flag{a_3a2y_re_for_test}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/438133.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C#的变迁史06 - C# 4.0 之并行处理篇

前面看完了Task对象&#xff0c;这里再看一下另一个息息相关的对象Parallel。 Parallel对象 Parallel对象封装了能够利用多核并行执行的多线程操作&#xff0c;其内部使用Task来分装多线程的任务并试图将它们分配到不同的内核中并行执行。请注意“试图”这个词&#xff0c;Par…

REVERSE-PRACTICE-BUUCTF-31

REVERSE-PRACTICE-BUUCTF-31[羊城杯 2020]login[羊城杯 2020]Bytecode[羊城杯 2020]babyre[ACTF新生赛2020]fungame[羊城杯 2020]login exe程序&#xff0c;运行后输入&#xff0c;无壳&#xff0c;ida分析 没找到主要逻辑&#xff0c;在字符串窗口看到一些“py”的字样&#…

C#的变迁史07 - C# 4.0 之线程安全集合篇

作为多线程和并行计算不得不考虑的问题就是临界资源的访问问题&#xff0c;解决临界资源的访问通常是加锁或者是使用信号量&#xff0c;这个大家应该很熟悉了。 而集合作为一种重要的临界资源&#xff0c;通用性更广&#xff0c;为了让大家更安全的使用它们&#xff0c;微软为我…

PWN-PRACTICE-BUUCTF-1

PWN-PRACTICE-BUUCTF-1test_your_ncripwarmup_csaw_2016ciscn_2019_n_1test_your_nc 附件的main函数直接system("/bin/sh")&#xff0c;nc直接连即可cat flag rip main函数中&#xff0c;gets函数读取一行会造成栈溢出 构造payload覆盖rip&#xff0c;使得return…

C#的变迁史08 - C# 5.0 之并行编程总结篇

C# 5.0 搭载于.NET 4.5和VS2012之上。 同步操作既简单又方便&#xff0c;我们平时都用它。但是对于某些情况&#xff0c;使用同步代码会严重影响程序的可响应性&#xff0c;通常来说就是影响程序性能。这些情况下&#xff0c;我们通常是采用异步编程来完成功能&#xff0c;这在…

REVERSE-PRACTICE-CTFSHOW-1

REVERSE-PRACTICE-CTFSHOW-1逆向签到题re2逆向4逆向5逆向签到题 ida打开即可得到明文flag re2 附件是一个加密过的flag文本和勒索病毒exe 运行程序&#xff0c;输入1&#xff0c;回车&#xff0c;直接退出&#xff0c;ida分析 选项1的逻辑为&#xff0c;打开flag.txt和enfl…

C#的变迁史09 - C# 5.0 之调用信息增强篇

Caller Information CallerInformation是一个简单的新特性&#xff0c;包括三个新引入的Attribute&#xff0c;使用它们可以用来获取方法调用者的信息&#xff0c; 这三个Attribute在System.Runtime.CompilerServices命名空间下&#xff0c;分别叫做CallerMemberNameAttribute&…

REVERSE-PRACTICE-CTFSHOW-2

REVERSE-PRACTICE-CTFSHOW-2re3红包题 武穆遗书数学不及格flag白给re3 main函数&#xff0c;分析可知&#xff0c;将输入的字符串按十六进制转成数字&#xff0c;写到v5&#xff0c;赋给v17[6] 当i等于6时&#xff0c;v16会加上输入的值&#xff0c;然后进入循环&#xff0c;最…

C#的变迁史10 - C# 5.0 之其他增强篇

1. 内置zip压缩与解压   Zip是最为常用的文件压缩格式之一&#xff0c;也被几乎所有操作系统支持。在之前&#xff0c;使用程序去进行zip压缩和解压要靠第三方组件去支持&#xff0c;这一点在.NET4.5中已有所改观&#xff0c;Zip压缩和解压功能已经内置于框架本身。这个功能使…

REVERSE-PRACTICE-CTFSHOW-3

REVERSE-PRACTICE-CTFSHOW-3签退神光签到baby_gay签退 .pyc文件&#xff0c;uncompyle6反编译&#xff0c;得到python源码&#xff0c;分析写在源码注释中 先变表base64&#xff0c;再凯撒加密&#xff0c;向后移动2位 import string c_charset string.ascii_uppercase str…

REVERSE-PRACTICE-CTFSHOW-4

REVERSE-PRACTICE-CTFSHOW-4encodeEasyBJD hamburger competitionJustREencode elf文件&#xff0c;upx脱壳&#xff0c;ida分析 交叉引用字符串"Please input your flag:"&#xff0c;来到sub_804887C函数 输入经过三次变换&#xff0c;先是变表base64&#xff0c;…

CSS 基础框盒模型介绍

当对一个文档进行布局&#xff08;lay out&#xff09;的时候&#xff0c;浏览器的渲染引擎会根据标准之一的 CSS 基础框盒模型&#xff08;CSS basic box model&#xff09;&#xff0c;将所有元素表示为一个个矩形的盒子&#xff08;box&#xff09;。CSS 决定这些盒子的大小…

REVERSE-PRACTICE-CTFSHOW-5

REVERSE-PRACTICE-CTFSHOW-5re2_归心Mud[吃鸡杯]ezmore[吃鸡杯]有手就行re2_归心 exe程序&#xff0c;运行后要求输入flag&#xff0c;ida分析 函数窗没找到主逻辑函数&#xff0c;shiftF12看字符串窗口 发现有java/lang/String&#xff0c;com/exe4j/runtime/WinLauncher等字…

PWN-PRACTICE-BUUCTF-2

PWN-PRACTICE-BUUCTF-2pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1[第五空间2019 决赛]PWN5pwn1_sctf_2016 main函数中执行vuln函数 fgets限制了输入的长度&#xff0c;不足以构成栈溢出 通过将输入中的字符"I"替换成"you"&#xff0c;增加长度&#xf…

PWN-PRACTICE-BUUCTF-3

PWN-PRACTICE-BUUCTF-3[OGeek2019]babyropciscn_2019_n_8get_started_3dsctf_2016jarvisoj_level2[OGeek2019]babyrop 简单的ret2libc&#xff0c;构造rop main函数中读取一个随机数到buf中&#xff0c;传入sub_804871F 用"\x00"来绕过strlen和strncmp&#xff0c;b…

c#中常用集合类和集合接口之接口系列【转】

常用集合接口系列&#xff1a;http://www.cnblogs.com/fengxiaojiu/p/7997704.html 常用集合类系列&#xff1a;http://www.cnblogs.com/fengxiaojiu/p/7997541.html 大多数集合都在System.Collections&#xff0c;System.Collections.Generic两个命名空间。其中System.Colle…

PWN-PRACTICE-BUUCTF-4

PWN-PRACTICE-BUUCTF-4ciscn_2019_en_2bjdctf_2020_babystacknot_the_same_3dsctf_2016[HarekazeCTF2019]baby_ropciscn_2019_en_2 这题和ciscn_2019_c_1一模一样 栈溢出ret2libc&#xff0c;encrypt函数里的异或运算不用管 from pwn import * context.log_level"debug&…

PWN-PRACTICE-BUUCTF-5

PWN-PRACTICE-BUUCTF-5jarvisoj_level2_x64ciscn_2019_n_5others_shellcodeciscn_2019_ne_5jarvisoj_level2_x64 这题和[HarekazeCTF2019]baby_rop几乎一模一样 from pwn import * #context.log_level"debug" ioremote(node4.buuoj.cn,27023) elfELF(./level2_x64)…

Scrum敏捷开发沉思录

计算机科学的诞生&#xff0c;是世人为了用数字手段解决实际生活中的问题。随着时代的发展&#xff0c;技术的进步&#xff0c;人们对于现实世界中的问题理解越来越深刻&#xff0c;描述也越来越抽象&#xff0c;于是对计算机软件的需求也越来越高&#xff0c;越来越复杂&#…

PWN-PRACTICE-BUUCTF-6

PWN-PRACTICE-BUUCTF-6铁人三项(第五赛区)_2018_ropbjdctf_2020_babyropbabyheap_0ctf_2017pwn2_sctf_2016铁人三项(第五赛区)_2018_rop vulnerable_function函数中read构成栈溢出&#xff0c;ret2libc from pwn import * context.log_level"debug" ioremote(node4…