[2019红帽杯]easyRE

已于 2025-01-17 23:42:46 修改
阅读量997 收藏 7
点赞数 3
文章标签: 学习 笔记 逆向
于 2025-01-17 23:41:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2402_87493158/article/details/145216706
版权

[2019红帽杯]easyRE

一、查壳

无壳,64位

二、IDA分析

在函数表中些搜索不到main,就shife+f12字符串搜索。

终于看见有用的了,点进去。

发现是sub_4009C6函数中引用了,再点进去。

很好,菜狗我不会了,看看网上大佬的wp吧(手动流泪)

我的天哪,不看不知道一看吓一跳!!

这个题竟然还有坑!!!

由于有网上大佬们的帮助,我在这里直接跳过坑(开心开心)

这还是sub_4009C6里面的内容

 
#v1的值是上面的绿色字符转化而来
 v1[1] = 111
 v1[2] = 100
 v1[3] = 108
 v1[4] = 62
 v1[5] = 81
 v1[6] = 110
 v1[7] = 98
 v1[8] = 40
 v1[9] = 111
 v1[10] = 99
 v1[11] = 121
 v1[12] = 127
 v1[13] = 121
 v1[14] = 46
 v1[15] = 105
 v1[16] = 127
 v1[17] = 100
 v1[18] = 96
 v1[19] = 51
 v1[20] = 119
 v1[21] = 125
 v1[22] = 119
 v1[23] = 101
 v1[24] = 107
 v1[25] = 57
 v1[26] = 123
 v1[27] = 105
 v1[28] = 121
 v1[29] = 61
 v1[30] = 126
 v1[31] = 121
 v1[32] = 76
 v1[33] = 64
 v1[34] = 69
 v1[35] = 67
 flag=""
 for i in range(36):
     flag+=chr(v1[i]^i)
 print(flag)
 -------------------------
 Info:The first four chars are `flag`

sub_4009C6里面的内容往下看

这一部分就是base64加密的坑,解开也没有用

好,再往下看

点off_6CC090

发现他下面还有byte_6CC0A0(shife+e提取数据)的引用函数sub_400D35函数

所以写脚本

 enc = [0x40,0x35,0x20,0x56,0x5D,0x18,0x22,0x45,0x17,0x2F,0x24,0x6E,0x62,0x3C,0x27,0x54,0x48,0x6C,0x24,0x6E,0x72,0x3C,0x32,0x45,0x5B]
 key = ""
 flag = ""
 en = "flag"
 for i in range(4):
     key+=chr(enc[i]^ord(en[i]))
 print(key)
 for j in range(len(enc)):
     flag+=chr(enc[j]^ord(key[j%4]))
 print(flag)
 -----------------------
 flag{Act1ve_Defen5e_Test}

最后我借鉴得大佬的文章:

BUUCTF-[2019红帽杯]easyRE(Reverse逆向)-----是乙太呀

Aresy596
关注
2021-RedHat-CTF-WP【WEB】
afei001
06-06 430
WEB 1.find_it:文件fuzz 代码审计 1.1 PHP代码分析 2.framework: Yii—CVE-2020-15148反序列化 2.1源码分析 3.WebsiteManger:布尔型盲注 4.easy cms for you WEB 1.find_it:文件fuzz 代码审计 拿到目标靶机,常规WEB渗透思路对目标进行信息搜集、端口探测、目录探测等等。目录探测在robots.txt文件中发现了信息。 告诉我们存在1ndexx.php,但是直接访...
【BUUCTF逆向题】[2019红帽]easyRE
Power的博客
02-07 1700
这题与前面不同。flag不在输入输出中,甚至不在main函数中,就是藏在一个隐秘的角落!upx壳、base64加密、Start、段、异或
27.[2019红帽]easyRE1(保姆教程)
最新发布
TiAmo_TA的博客
04-08 510
刚好36位,和下面对应上了,我们跟进一下第一个函数 sub_4406E0,不知道你们怎么想,我是直接 { 玛卡巴卡······ }了,看不懂,而且还套着函数 ,先看下一个函数 sub_424BA0,嗯,更看不懂。点击关键字,ctrl + x 交叉搜索一下位置,跟进,顺便菜单左侧 Edit --> Plugins--> findcrypt 确认一下加密方式,果然是base64加密,ok,稍微留意一下,我们继续跟进函数。我不信,绝对在这附近,返回上一级,ok,找到可疑的地方了,还在这附近,哼哼哼,猛攻!
BUUCTF - [2019红帽]easyRE
:-)
11-23 1126
BUUCTF - [2019红帽]easyRE 个人认为这道题是最近我刷的题目中难度较高的了,也是自己能力问题,不多说了,开始做题 这篇文章配图规律为,图片在上文字在下,希望大家还看到习惯 拖入die分析,elf64位文件,打开Linux跑跑看 输错就退出,毫不讲理… 那咱直接上静态分析吧,这里跟大家说一下哈,我的做题的习惯一般是静态分析无果,才去寻求动态调试,并不是说这道题用动态的方法做不出来,有能力的师傅可以自己去动态,我就继续坚持我的习惯了。 shift+F12看看字符,看到字符表,肯定用到了
buuctf——[2019红帽]easyRE
Nike_name的博客
10-13 110
[2019红帽]easyRE
BUUCTF-[2019红帽]easyRE(Reverse逆向)
书山有路勤为径,学海无涯苦作舟
10-13 1187
(29条消息) 2019 红帽 easyRE_[2019红帽]easyre_mishixiaodai的博客-优快云博客(29条消息) BUUCTF-re-[2019红帽]easyRE_T1M@的博客-优快云博客2019 红帽 Re WP - Hk_Mayfly - 博客园 (cnblogs.com)(29条消息) re学习笔记(25)BUUCTF-re-[2019红帽]easyRE_buuctf re题_Forgo7ten的博客-优快云博客再写是因为自己再复现了一遍,希望加深印象,增强理解。
buu-[2019红帽]easyRE
qaq517384的博客
03-05 665
查壳 64位ida 直接查看字符串能看到you found me和一些奇怪字符串 有些类似base的东西 先找you found me 跟进后CTRL+X交叉引用找到函数,f5查看伪代码 signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8
2019红帽easyRE-ACTF新生赛2020rome-[FlareOn4]login-Youngterdrive
AlienEowynWan的博客
06-03 591
[2019红帽]easyRE
buuctf-re-[2019红帽]easyRE
qq_44625297的博客
03-28 1321
拿到先查壳,发现没加壳,放进IDA中。 Shift + F12 查询字符串,通过字符串找到函数。 找到主函数。 signed __int64 sub_4009C6() { __int64 v0; // rax signed __int64 result; // rax unsigned __int64 v2; // rax __int64 v3; // rax const _...
BUUCTF-[2019红帽]easyRE
weixin_61154173的博客
11-30 705
BUUCTF-2019红帽easyRE
BUUCTF-re-[2019红帽]easyRE
qq_61774705的博客
06-18 878
用IDA64打开文件,shift+F12查看字符串 分析关键代码:脚本如下: 继续查看sub_400E44函数继续分析 脚本如下: 继续分析 代码如下: 发现此函数的逻辑就是将字符串进行异或,还可以发现if语句中,有判断是否等于‘f’和‘g’的条件,根据已有信息猜测这个字符数组就是‘flag’。函数的作用是获取高字节也就是数组的最后一位,同时还有第一个是获取数组的第一位,第二个就是获取第二位,依次类推。查看数组byte_6CC0A0数据:可以看出byte_CC0A3=byte_CC0
BuuCTF [2019红帽]easyRE
m0_74154467的博客
06-15 458
Buuctf解题思路
buuctf [2019红帽]easyRE
个人博客:http://s0rry.cn
12-12 874
有点小坑
[buuctf][2019红帽]easyRE
逆向萌新的博客
07-02 604
[buuctf][2019红帽]easyRE
re学习笔记(25)BUUCTF-re-[2019红帽]easyRE
逆向随笔
01-12 4042
[2019红帽]easyRE 新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:BUUCTF-re-[2019红帽]childRE 题目下载:点击下载 IDA64位载入,shift+F12查看字符串,然后双击过去 "x"键交叉引用,切换到关键代码 F5反汇编显示 截取的部分代码 int i; // [rsp+Ch] [rbp-114h] char str0[36]; // [r...
[Buuctf] [2019红帽] easyRE
Bileton的博客
03-02 1308
主动防御
红帽企业版安装流程详解
标题中的"红帽企业版安装指南",描述中的"安装指南"和"不要和我发的安全指南弄混了",标签中的"安装指南"和"红帽企业版",以及文件列表中的"红帽企业版安装指南.pdf",都是在强调同一个概念:红帽企业版Linux操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值