buu—Re(5)

原创 已于 2022-08-14 10:19:51 修改 · 338 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据结构

于 2022-08-09 13:39:14 首次发布
本文详细介绍了网鼎杯2020青龙组singal题目的逆向工程过程,包括IDA Pro的使用、虚拟机指令分析、加密算法逆向及解密脚本编写等关键技术环节。

[网鼎杯 2020 青龙组]singal

进入ida看主函数:v4被赋值unk_403040数组,然后有个操作函数vm_operad
在这里插入图片描述
进入操作函数:这是以v4数组里面的值为操作的函数,只需跟进v4数组的下标并进行相应的操作即可

switch ( a1[v10] )
    {
      case 1:
        v4[v7] = v5;
        ++v10;
        ++v7;
        ++v9;
        break;
      case 2:
        v5 = a1[v10 + 1] + flag[v9];
        v10 += 2;
        break;
      case 3:
        v5 = flag[v9] - LOBYTE(a1[v10 + 1]);
        v10 += 2;
        break;
      case 4:
        v5 = a1[v10 + 1] ^ flag[v9];
        v10 += 2;
        break;
      case 5:
        v5 = a1[v10 + 1] * flag[v9];
        v10 += 2;
        break;
      case 6:
        ++v10;
        break;
      case 7:
        if ( v4[v8] != a1[v10 + 1] )//a1[v10+1]也就是数组的下一位,而下一位不参与switch,且Str有15位,这就可以把Str给找出来
        {
          printf("what a shame...");
          exit(0);
        }
        ++v8;
        v10 += 2;
        break;
      case 8:
        flag[v6] = v5;
        ++v10;
        ++v6;
        break;
      case 10:
        read(flag);
        ++v10;
        break;
      case 11:
        v5 = flag[v9] - 1;
        ++v10;
        break;
      case 12:
        v5 = flag[v9] + 1;
        ++v10;
        break;
      default:
        continue;

v4数组:因为是小端存储,所以前面三个0x00去掉,留下后面的

10, 4, 16, 8, 3, 5, 1, 4, 32, 8, 5, 3, 1, 3, 2, 8, 11, 1, 12, 8, 4, 4, 1, 5, 3, 8, 3, 33, 1, 11, 8, 11, 1, 4, 9, 8, 3, 32, 1,2, 81, 8, 4, 36, 1, 12, 8, 11, 1, 5, 2, 8, 2, 37, 1, 2, 54, 8, 4, 65, 1, 2, 32, 8,5, 1, 1, 5, 3, 8, 2, 37, 1, 4, 9, 8, 3, 32,1, 2, 65, 8, 12, 1, 7, 34, 7, 63, 7, 52, 7, 50, 7, 114, 7, 51, 7, 24, 7, 167,255, 255, 255, 7, 49, 7, 241, 255, 255, 255, 7,40, 7, 132, 255, 255, 255, 7, 193, 255, 255, 255, 7, 30, 7, 122

我们从第一个数字7开始,得到Str数组的值:34, 63, 52, 50, 114, 51, 24, 167, 49, 241, 40, 132, 193, 30, 122(至于为什么在7这里就是下一位,因为我数了,在7之前的任何一个数字你都不能说:它会不会参与操作,因为有+1也有+2,但是在7这里确确实实是下一位,因为7是+2,当时我还有点迷惑,数过就不迷了)

case 1 :唯一一个给v4赋值的
case 2 , 3 , 4 ,5 :都是给v5赋值的
case 7 :相当于continue
case 10 :输入

分析case:
里面的case1,操作了15次,说明v4跟flag有关,且v5是给v4赋值的,在操作期间进行了许多的变化,猜测v5是个中间变量,相当于进行加密。而v4则是最终的加密结果。

我整理了一下操作的case:
4,8,3,1,4,8,5,1,3,8,11,1,12,8,4,1,5,8,3,1,11,8,11,1,4,8,3,1,2,8,4,1,12,8,11,1,5,8,2,1,2,8,4,1,2,8,5,1,5,8,2,1,4,8,3,1,2,12,1
想着去逆一下,不过还是失败了
参考了大佬博客
大佬博客
记录一下虚拟机逆向脚本吧:

a1=[]
v4=[10, 4, 16, 8, 3, 5, 1, 4, 32, 8, 5, 3, 1, 3, 2, 8, 11, 1, 12, 8, 4, 4, 1, 5, 3, 8, 3, 33, 1, 11, 8, 11, 1, 4, 9, 8, 3, 32, 1, 2, 81, 8, 4, 36, 1, 12, 8, 11, 1, 5, 2, 8, 2, 37, 1, 2, 54, 8, 4, 65, 1, 2, 32, 8, 5, 1, 1, 5, 3, 8, 2, 37, 1, 4, 9, 8, 3, 32, 1, 2, 65, 8, 12, 1, 7, 34, 7, 63, 7, 52, 7, 50, 7, 114, 7, 51, 7, 24, 7, 167, 255, 255, 255, 7, 49, 7, 241, 255, 255, 255, 7, 40, 7, 132, 255, 255, 255, 7, 193, 255, 255, 255, 7, 30, 7, 122]
for i in range(0,len(v4)):
          if v4[i]==7:
                    a1.append(v4[i+1])
a1 = [34, 63, 52, 50, 114, 51, 24, 167, 49, 241, 40, 132, 193, 30, 122]
a1.reverse()
v4.reverse()

v9 = 0
us = 0
v5 = 0
flag = []
for i in range(0, len(v4)):
    if i == len(v4) - 1:
        flag.append(us)
#这里因为是逆着来的,所以倒数第1个才是最开始输入的,所以到时候要赋值
    if v4[i] == 1 and v4[i - 1] != 1:
        v5 = a1[v9]
        v9 += 1
        flag.append(us)
#防止重复进行case1的操作
    if v4[i] == 2:
        if (v4[i + 1] != 3 and v4[i + 1] != 4 and v4[i + 1] != 5):
            us = v5 - v4[i - 1]
#2,3,4,5case都是会+2的,如果前一位是3、4、5,那么会导致跳过本case,产生矛盾,所以会判断一下
    if v4[i] == 3:
        if (v4[i + 1] != 2 and v4[i + 1] != 4 and v4[i + 1] != 5):
            us = v5 + v4[i - 1]

    if v4[i] == 4:
        if (v4[i + 1] != 3 and v4[i + 1] != 2 and v4[i + 1] != 5):
            us = v5 ^ v4[i - 1]

    if v4[i] == 5:
        if (v4[i + 1] != 3 and v4[i + 1] != 4 and v4[i + 1] != 2):
            us = int(v5 / v4[i - 1])
    if v4[i] == 8:
        v5 = us

    if v4[i] == 11:
        us = v5 + 1

    if v4[i] == 12:
        us = v5 - 1
flag.reverse()
out = ''
for j in flag:
    out += chr(j)
print("flag{" + out + "}")

reverse1

进入ida看主函数:
在这里插入图片描述
找到关键函数,如果Str里面有o,转化为0
在这里插入图片描述
找到Str2,所以flag就是hell0_w0rld
在这里插入图片描述

reverse2

进入ida看主函数
在这里插入图片描述
找到关键部分
在这里插入图片描述

在这里插入图片描述

内涵的软件

直接字符串查找得到flag
在这里插入图片描述

新年快乐

检查到upx
在这里插入图片描述
题目上说flag就是一串字符串,考察眼力,所以我查找字符串,猜一个:
flag还真猜对了
在这里插入图片描述

xor

进入ida看主函数,一个异或,然后对比
在这里插入图片描述
写脚本:

#include <stdio.h>
#include <stdlib.h>

int main(){
    char a[] =
{
  0x66, 0x0A, 0x6B, 0x0C, 0x77, 0x26, 0x4F, 0x2E, 0x40, 0x11,
  0x78, 0x0D, 0x5A, 0x3B, 0x55, 0x11, 0x70, 0x19, 0x46, 0x1F,
  0x76, 0x22, 0x4D, 0x23, 0x44, 0x0E, 0x67, 0x06, 0x68, 0x0F,
  0x47, 0x32, 0x4F,0x00
};
    for(int i=1;i<33;i++){
        a[i-1] = a[i]^a[i-1];
    }
    printf("%s",a);
    return 0;
}

helloword

进入jdax,没想到随手一翻找到了😓
在这里插入图片描述

reverse3

看主函数,从后往前逆:Str2就是Destination进行for循环后的,所以通过Str2可以得到Destination。
在这里插入图片描述
进入sub_4110BE函数,发现是个base64加密(其实通过查找字符串能看出有个base64表,从而猜出有个base64加密)
v4就是base64加密后跟Destination对比的,所以得到Destination进行解密即可
在这里插入图片描述
脚本:

#include <stdio.h>
#include <stdlib.h>

int main(){
    char a[] ="e3nifIH9b_C@n@dH";
    int b = 16;
    char c[]="e2lfbDB2ZV95b3V9";

    for(int i=1;i<b;i++){
        a[i] = a[i]-i;
    }
    printf("%s",a);
    return 0;
}

解密:
在这里插入图片描述

稚少莽...
关注
buu re 新年快乐
Todog的博客
11-18 1066
简单的有壳处理
buu easyRE
2303_80796023的博客
11-01 241
关键点不在这个数组,而是在这个数组后面的那些未知数据,点击这个函数名,ctrl+x进入。我们双击进入这个数组,别问为啥,这是我一直忽略的一个关键点。非常规,难搞的分析,极多的干扰项,<?f5反编译,转为c代码,如下。
buu re reverse2
Todog的博客
11-18 694
直接下载,查看程序 用64ida位打开 好家伙,直接出现可以字符串,可以考虑直接f5,直接查看伪代码了 还是追踪一下吧 这下好了直接f5 初一看貌似简单加密 直接快捷键r看ascii码 好了加密逻辑清楚了。下一步找没加密之前的字符串,出来给它加个密flag就出来了 注意到26行有比较,flag必定是个确定值,直接追踪flag。 出来了flag内容是'hacking_for_fun}' 直接c语言写脚本,听说python写脚本好用些可惜目前还不...
BUU RE刷题之一天一题系列
qq_53755216的博客
09-28 301
1.easyre 直接拖进IDA 按 shift + F12 查看flag 2.
BUUCTF-re-reverse1(包含了一些IDA的简单使用操作)(新手入门可看,步骤很详细)
m0_74221679的博客
12-18 881
shift+F12 定位查看字符串(strings window)ctrl+x(交叉引用)查看是哪段函数调用了该字符串,然后点OK,进入该程序,即可查看汇编代码F5 查看伪c代码R 将数字转换为字符Alt+T 查找字符串(或者函数名)Ctrl+T 继续往下搜索空格 在文本模式和流程图模式转换Esc 返回上一步操作解题时,所用到的工具。
buu re部分wp ()(动调+花指令)
m0_51357657的博客
02-25 381
1、[FlareOn4] IgniteMe 2、[HDCTF2019] maze 1、[FlareOn4] IgniteMe 可见sub_401050是关键函数 求v4的函数。。我看不懂,可以试一下动调求v4,可以在call sub_401000处下断步入 也可以在后面开始异或的地方看 得到v4等于4,可以开始写脚本往回逆了 这个地方要注意,不是把简单地byte_403000里的数字按位异或,是每得到一位flag和byte_403000里对应的数异或可得下一位flag,还有最后要取逆 #incl
BUU RE部分apk整理(持续更新)
苗_的博客
09-16 548
[BSidesSF2019]blink 使用GDA打开,main中没什么关键函数,随便翻一下其他函数,找到隐藏的图片base64编码: 然后把这部分base64直接转成图片就行了,在线转换网站is here.
buu-[2019红帽杯]easyRE
qaq517384的博客
03-05 716
查壳 64位ida 直接查看字符串能看到you found me和一些奇怪字符串 有些类似base的东西 先找you found me 跟进后CTRL+X交叉引用找到函数,f5查看伪代码 signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8
buu-[GUET-CTF2019]re
qaq517384的博客
02-28 370
64位upx壳
buu 逆向 刮开有奖 [ACTF新生赛2020]easyre 简单注册器
yufeiyu66的博客
02-19 1023
这题写的比较抽象(刚刚开始学re)感觉没有明显的字符串的提示,最后的flag都有种猜的感觉首先在main函数种找到flag藏的关键位置看到这里有可疑的字符串,基本上就可以确定flag在这里有,起码部分是有的点开 sub_4010F0函数,发现是一个排序的函数这里把伪代码转换成c语言注意伪代码的反汇编有些地址和数组之间的转换还是要注意的把上面的字符串填进去得到接着进入sub_401000这个函数,仍入ai发现是base64编码放到赛博厨子里面此时,我们只要做最后的flag拼接就好了。
buuctf-re刷题(一)
CHAWUCIREN1的博客
10-29 495
新年快乐 只有两个函数,可能加壳了,使用PEID进行脱壳 upx加壳 利用万能脱壳工具进行脱壳 把脱好壳的函数放进ida里面,就可以看到各个函数,查看一下main函数 可以看到这个程序的目的是把str2的长度和内容和你输入的值进行对比,所以很显然HappyNewYear!就是flag xor 丢入ida 这里可以看到flag的长度是33位,如果输入的值不等于33位,则会失败 可以看到,这个程序主要是讲这个数组里面的相邻两位进行xor比较 看了网上大佬的博客,发现可以直接用它的字符去进行操作
Buu 攻防世界re新手区
m0_51357657的博客
01-25 1645
我。。终于考完放假了!!几乎一个月没学逆向了呜呜呜,这两天恶补了一下,但也都是些超级基础的题,因为我太菜了。。。 1、buu BJDCTF2020easy 2、攻防世界 logmein 主函数逻辑很简单,放到VS里改一改就能运出来。 就是一开始不知道BYTE那个地方怎么改,后来查到BYTE在C++中通常定义为unsigned char ,那就好办了~ 还有v8的长度最好改一下,不然再复制的时候会溢出。C++脚本如下: #include<iostream> using namespace st
BUUCTF re不一样的flag
菜的只能随便写写博客
02-20 513
0x01   0x02 运行   0x03 IDA int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // [esp+17h] [ebp-35h] int v4; // [esp+30h] [ebp-1Ch] int v5; // [esp+34h] [ebp-18h] sig...
BUUCTF RE-easyre
X10的博客
02-29 3616
1.easyre 1.拖进IDA64,直接得flag。 方法一:shift+F12 方法二:找到main函数,F5进入,找到伪代码,可以直接看到flag。
BUUCTF RE reverse2
A_dmin的博客
06-09 3909
BUUCTF RE reverse2 一天一道CTF题目,能多不能少 下载文件,用ida打开,查看主函数: 看见有一个flag字符串比较的,点进去看一看: 看上去好像flag啊,可惜不是~~ 分析主函数,发现这里有替换: 转成ASCII码形式: 把刚刚那一串flag里面的i和r替换成1 get flag:flag{hack1ng_fo1_fun} 今天又是自闭的一天~~,看了那么多题,都不...
数据结构04——二叉树搜索树BST
moranxiao199的博客
12-16 426
Find查找的效率取决于树的高度,所以我们希望这个树尽量的平衡,不要出现一边倒。支持:查找(Search)、插入(Insert)、删除(Delete)第三种,删除的结点有左、右两颗子树:用另一个结点代替被删除的结点,同一组元素,如果插入顺序不同,二叉搜索树的形态可以完全不同。② 如果 X 大于根结点的关键值,在右子树中进行继续搜索;③ 若两者比较结果相等,搜索完成,返回指向此结点的指针。查找从根结点开始,如果树为空,返回 NULL。:将其父结点的指针指向被删除结点的孩子结点。
数据结构:矩阵
闲余知道
12-16 768
数据结构:矩阵
数据结构基本概念
XinxingZh的博客
12-12 330
数据是信息的载体,是描述客观事物属性的数、字符及所有能输入到计算机中并被计算机程序识别和处理的。
C++ 数据结构关于二叉搜索树
最新发布
m0_72697497的博客
12-17 577
对有n个结点的二叉搜索树,若每个元素查找的概率相等,则二叉搜索树的平均查找长度是结点在二叉搜索树的深度的函数,即结点越深,则比较次数越多。2.左右两个孩子都在的情况,可以使用结点替换法,先找cur的左子树中的最右结点(左子树中最大的那个结点值),然后交换cur和leftMax的结点值,再对leftMax的左边是否为空进行判断就可以。情况d:在它的右子树中寻找中序下的第一个结点(关键值最小),用它的值填补到被删除结点中,再来处理该结点的删除问题---替换法删除。
buu snake
11-04
提供的引用内容未涉及“buu”和“snake”相关的IT信息。一般来说,“buu”可能指“BUUCTF”,这是一个在线CTF(Capture The Flag)平台,为网络安全爱好者提供了各种类型的安全挑战题目,涵盖Web安全、逆向工程、密码学等多个领域。“snake”在IT领域常代表“Snake Case”(蛇形命名法),它是一种命名规范,单词之间用下划线分隔,如`variable_name`,常用于Python等编程语言中变量和函数的命名。此外,“snake”也可能指经典的贪吃蛇游戏,在编程学习中,实现贪吃蛇游戏是一个常见的实践项目,可以使用Python、Java等多种编程语言完成。 ```python # 一个简单的Python贪吃蛇游戏示例框架 import pygame import time import random snake_block = 10 snake_speed = 15 # 初始化pygame pygame.init() # 设置显示窗口 dis_width = 800 dis_height = 600 dis = pygame.display.set_mode((dis_width, dis_height)) pygame.display.set_caption('Snake Game') clock = pygame.time.Clock() # 定义颜色 white = (255, 255, 255) yellow = (255, 255, 102) black = (0, 0, 0) red = (213, 50, 80) green = (0, 255, 0) blue = (50, 153, 213) font_style = pygame.font.SysFont("bahnschrift", 25) score_font = pygame.font.SysFont("comicsansms", 35) def Your_score(score): value = score_font.render("Your Score: " + str(score), True, yellow) dis.blit(value, [0, 0]) def our_snake(snake_block, snake_list): for x in snake_list: pygame.draw.rect(dis, black, [x[0], x[1], snake_block, snake_block]) def message(msg, color): mesg = font_style.render(msg, True, color) dis.blit(mesg, [dis_width / 6, dis_height / 3]) def gameLoop(): game_over = False game_close = False x1 = dis_width / 2 y1 = dis_height / 2 x1_change = 0 y1_change = 0 snake_List = [] Length_of_snake = 1 foodx = round(random.randrange(0, dis_width - snake_block) / 10.0) * 10.0 foody = round(random.randrange(0, dis_height - snake_block) / 10.0) * 10.0 while not game_over: while game_close == True: dis.fill(blue) message("You Lost! Press C-Play Again or Q-Quit", red) Your_score(Length_of_snake - 1) pygame.display.update() for event in pygame.event.get(): if event.type == pygame.KEYDOWN: if event.key == pygame.K_q: game_over = True game_close = False if event.key == pygame.K_c: gameLoop() for event in pygame.event.get(): if event.type == pygame.QUIT: game_over = True if event.type == pygame.KEYDOWN: if event.key == pygame.K_LEFT: x1_change = -snake_block y1_change = 0 elif event.key == pygame.K_RIGHT: x1_change = snake_block y1_change = 0 elif event.key == pygame.K_UP: y1_change = -snake_block x1_change = 0 elif event.key == pygame.K_DOWN: y1_change = snake_block x1_change = 0 if x1 >= dis_width or x1 < 0 or y1 >= dis_height or y1 < 0: game_close = True x1 += x1_change y1 += y1_change dis.fill(blue) pygame.draw.rect(dis, green, [foodx, foody, snake_block, snake_block]) snake_Head = [] snake_Head.append(x1) snake_Head.append(y1) snake_List.append(snake_Head) if len(snake_List) > Length_of_snake: del snake_List[0] for x in snake_List[:-1]: if x == snake_Head: game_close = True our_snake(snake_block, snake_List) Your_score(Length_of_snake - 1) pygame.display.update() if x1 == foodx and y1 == foody: foodx = round(random.randrange(0, dis_width - snake_block) / 10.0) * 10.0 foody = round(random.randrange(0, dis_height - snake_block) / 10.0) * 10.0 Length_of_snake += 1 clock.tick(snake_speed) pygame.quit() quit() gameLoop() ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值