红帽杯——childRE

最新推荐文章于 2024-06-02 16:32:40 发布
原创 最新推荐文章于 2024-06-02 16:32:40 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

查壳

在这里插入图片描述

拖进ida

main函数

signed __int64 main()
{
  signed __int64 v0; // rax
  __int64 v1; // rax
  const CHAR *v2; // r11
  __int64 v3; // r10
  __int64 v4; // r9
  const CHAR *v5; // r10
  signed __int64 v6; // rcx
  __int64 v7; // rax
  signed __int64 result; // rax
  unsigned int v9; // ecx
  __int64 v10; // r9
  int v11; // er10
  __int64 v12; // r8
  __int128 v13; // [rsp+20h] [rbp-38h]
  __int128 v14; // [rsp+30h] [rbp-28h]

  v13 = 0i64;
  v14 = 0i64;
  sub_140001080("%s", &v13);
  v0 = -1i64;
  do
    ++v0;
  while ( *((_BYTE *)&v13 + v0) );
  if ( v0 != 31 )
  {
    while ( 1 )
      Sleep(0x3E8u);
  }
  v1 = sub_140001280(&v13);
  v2 = name;
  if ( v1 )
  {
    sub_1400015C0(*(_QWORD *)(v1 + 8));
    sub_1400015C0(*(_QWORD *)(v3 + 16));
    v4 = dword_1400057E0;
    v2[v4] = *v5;
    dword_1400057E0 = v4 + 1;
  }
  UnDecorateSymbolName(v2, outputString, 0x100u, 0);
  v6 = -1i64;
  do
    ++v6;
  while ( outputString[v6] );
  if ( v6 == 62 )
  {
    v9 = 0;
    v10 = 0i64;
    do
    {
      v11 = outputString[v10];
      v12 = v11 % 23;
      if ( a1234567890Qwer[v12] != *(_BYTE *)(v10 + 5368722552i64) )
        _exit(v9);
      if ( a1234567890Qwer[v11 / 23] != *(_BYTE *)(v10 + 5368722488i64) )
        _exit(v9 * v9);
      ++v9;
      ++v10;
    }
    while ( v9 < 0x3E );
    sub_140001020("flag{MD5(your input)}\n", v11 / 23, v12, v10);
    result = 0i64;
  }
  else
  {
    v7 = sub_1400018A0(std::cout);
    std::basic_ostream<char,std::char_traits<char>>::operator<<(v7, sub_140001A60);
    result = 0xFFFFFFFFi64;
  }
  return result;
}

分析

观察之后,这道题需要先看下面的,思路倒着回去:

 sub_7FF6E48A1020("flag{MD5(your input)}\n", v11 / 23, v11 % 23, v10);

v11/23v11 % 23根据这里可以算出,

 v9 = 0;
    v10 = 0i64;
    do
    {
      v11 = outputString[v10];
      if ( a1234567890__Qw[v11 % 23] != *(_BYTE *)(v10 + 140698372945016i64) )
        _exit(v9);
      if ( a1234567890__Qw[v11 / 23] != *(_BYTE *)(v10 + 140698372944952i64) )
        _exit(v9 * v9);
      ++v9;
      ++v10;
    }

字符串a1234567890__Qw

unsigned char a1234567890__Qw[] =
{
  0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38, 0x39, 0x30, 
  0x2D, 0x3D, 0x21, 0x40, 0x23, 0x24, 0x25, 0x5E, 0x26, 0x2A, 
  0x28, 0x29, 0x5F, 0x2B, 0x71, 0x77, 0x65, 0x72, 0x74, 0x79, 
  0x75, 0x69, 0x6F, 0x70, 0x5B, 0x5D, 0x51, 0x57, 0x45, 0x52, 
  0x54, 0x59, 0x55, 0x49, 0x4F, 0x50, 0x7B, 0x7D, 0x61, 0x73, 
  0x64, 0x66, 0x67, 0x68, 0x6A, 0x6B, 0x6C, 0x3B, 0x27, 0x41, 
  0x53, 0x44, 0x46, 0x47, 0x48, 0x4A, 0x4B, 0x4C, 0x3A, 0x22, 
  0x5A, 0x58, 0x43, 0x56, 0x42, 0x4E, 0x4D, 0x3C, 0x3E, 0x3F, 
  0x7A, 0x78, 0x63, 0x76, 0x62, 0x6E, 0x6D, 0x2C, 0x2E, 0x2F, 
  0x00
};

字符串v10 + 140698372945016i64

unsigned char ida_chars[] =
{
  0x35, 0x35, 0x35, 0x36, 0x35, 0x36, 0x35, 0x33, 0x32, 0x35, 
  0x35, 0x35, 0x35, 0x32, 0x32, 0x32, 0x35, 0x35, 0x36, 0x35, 
  0x35, 0x36, 0x35, 0x35, 0x35, 0x35, 0x32, 0x34, 0x33, 0x34, 
  0x36, 0x36, 0x33, 0x33, 0x34, 0x36, 0x35, 0x33, 0x36, 0x36, 
  0x33, 0x35, 0x34, 0x34, 0x34, 0x32, 0x36, 0x35, 0x36, 0x35, 
  0x35, 0x35, 0x35, 0x35, 0x32, 0x35, 0x35, 0x35, 0x35, 0x32, 
  0x32, 0x32, 0x00
};

字符串v10 + 140698372944952i64

unsigned char ida_chars[] =
{
  0x28, 0x5F, 0x40, 0x34, 0x36, 0x32, 0x30, 0x21, 0x30, 0x38, 
  0x21, 0x36, 0x5F, 0x30, 0x2A, 0x30, 0x34, 0x34, 0x32, 0x21, 
  0x40, 0x31, 0x38, 0x36, 0x25, 0x25, 0x30, 0x40, 0x33, 0x3D, 
  0x36, 0x36, 0x21, 0x21, 0x39, 0x37, 0x34, 0x2A, 0x33, 0x32, 
  0x33, 0x34, 0x3D, 0x26, 0x30, 0x5E, 0x33, 0x26, 0x31, 0x40, 
  0x3D, 0x26, 0x30, 0x39, 0x30, 0x38, 0x21, 0x36, 0x5F, 0x30, 
  0x2A, 0x26, 0x00
};

strchr()函数包含于头文件:#include<stdio.h>中;

函数原型为:char * strchr(char * str, char/int c);

函数功能为:在字符串str中寻找字符C第一次出现的位置,并返回其位置(地址指针),若失败则返回NULL;

根据代码反推出outputString为:

 char outputString[63] = {0};
    int v10 = 0, yu, shang;
    do {
        shang = strchr(a1234567890__Qw, ida_chars1[v10]) - a1234567890__Qw;
        yu = strchr(a1234567890__Qw, ida_chars2[v10])- a1234567890__Qw;
        outputString[v10] = shang * 23 + yu;
        v10++;
    } while (v10 < 62);
    printf("%s", outputString);

在这里插入图片描述

private: char * __thiscall R0Pxx::My_Aut0_PWN(unsigned char *)

然后遇到了 UnDecorateSymbolName这个函数,然后才能求出v2
函数功能: 函数反修饰指定已修饰的 C++ 符号名

 UnDecorateSymbolName(v2, outputString, 0x100u, 0);

参考资料:

  1. c/c++函数名修饰规则
  2. UnDecorateSymbolName

接下来需要把private: char * __thiscall R0Pxx::My_Aut0_PWN(unsigned char *)通过UnDecorateSymbolName转换为v2.

可以知道UnDecorateSymbolName第二个参数为未修饰的名字,第三个参数为长度,第四个参数为0表示完全修饰,第一个参数为输出地址

  1. 无论 __cdecl,__fastcall还是__stdcall调用方式,函数修饰都是以一个“?”开始,后面紧跟函数的名字。再后面是参数表的开始标识和依照参数类型代号拼出的参数表。
?My_Aut0_PWN
  1. 对于C++的类成员函数(其调用方式是thiscall),函数的名字修饰与非成员的C++函数稍有不同,首先就是在函数名字和参数表之间插入以“@”字 符引导的类名。
?My_Aut0_PWN@R0Pxx
  1. 其次是参数表的开始标识不同,公有(public)成员函数的标识是“@@QAE”,保护(protected)成员函数的标识是 “@@IAE”,私有(private)成员函数的标识是“@@AAE”,假设函数声明使用了constkeyword,则对应的标识应分别为“@@QBE”,“@@IBE”和“@@ABE”。
?My_Aut0_PWN@R0Pxx@@AAE
  1. 接下来就是添加参数了,先加入函数返回值参数,函数的返回值类型为char *
参数表的拼写代号如下:
X–void
D–char
E–unsigned char
F–short
H–int
I–unsigned int
J–long
K–unsigned long(DWORD)
M–float
N–double
_N–bool
U–struct
…
指针的方式有些特别。用PA表示指针,用PB表示const类型的指针。

char *的话也就是PAD

?My_Aut0_PWN@R0Pxx@@AAEPAD
  1. 然后是参数的类型unsigned char *,也就是PAE
?My_Aut0_PWN@R0Pxx@@AAEPADPAE
  1. 参数表后以“@Z”标识整个名字的结束。假设该函数无参数,则以“Z”标识结束。
?My_Aut0_PWN@R0Pxx@@AAEPADPAE@Z

在这里插入图片描述

输入ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_ASCII码65 ~ 95

name也就是v2我们已经算出来了:

0x50, 0x51, 0x48, 0x52, 0x53, 0x49, 0x44, 0x54, 0x55, 0x4a, 0x56, 0x57, 0x4b, 0x45, 0x42, 0x58, 0x59, 0x4c, 0x5a, 0x5b, 0x4d, 0x46, 0x5c, 0x5d, 0x4e, 0x5e, 0x5f, 0x4f, 0x47, 0x43

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
然后到了这里,
在这里插入图片描述

v2也就是name,此时v4等于1E也就是30,然后v5对应的值是A,也就是65

0x50, 0x51, 0x48, 0x52, 0x53, 0x49, 0x44, 0x54, 0x55, 0x4a, 0x56, 0x57, 0x4b, 0x45, 0x42, 0x58, 0x59, 0x4c, 0x5a, 0x5b, 0x4d, 0x46, 0x5c, 0x5d, 0x4e, 0x5e, 0x5f, 0x4f, 0x47, 0x43,65

在这里插入图片描述

Z0@tRAEyuP@xAAA?M_A0_WNPx@@EPDP

在这里插入图片描述

flag{63b148e750fed3a33419168ac58083f5}
Snake ---- 2019 红帽
Misaka10046的博客
10-28 504
首先打开文件玩玩游戏,玩不动玩不动,这操作实在太顶了,还是正常逆向吧。 发现该游戏是由unity编写的,那么在文件中找到Assembly-CSharp.dll拖进dnspy就能对该游戏框架的反汇编了。(不能直接拖exe。。) 然后看文件的代码就能很清晰的看到游戏调用的函数,有Move,Grow。这种简明扼要的函数,但是我们还是要看游戏的主函数GameObject,看上面的import发现这个函数在Interface这个dll中。 游戏文件中找到这个dll,拖进IDA进行反编译。 根据字符串找到函数
[BUUCTF]Reverse——[2019红帽]childRE(C/C++函数名修饰)
mcmuyanga的博客
04-10 623
[2019红帽]childRE 例行检查,64位程序,c++写的,无壳儿 试运行程序没有得到有用的提示,检索字符串看到有关flag的提示信息,跟进来到关键函数 截取关键部分代码分析 循环遍历去取outputString字符串中的字符,然后分别对23取余和除数,做为下标,分别在str3中找到对应位置,而且还必须与str1和str2对应位置的值相等 先来逆算一下outputstring中的字符串 str3 = '1234567890-=!@#$%^&*()_+qwertyuiop[]QWER
buu [2019红帽]childRE wr
liuxiaohuai_的博客
12-19 1513
无论 __cdecl,__fastcall还是__stdcall调用方式,函数修饰都是以一个“?”開始,后面紧跟函数的名字。再后面是參数表的開始标识和 依照參数类型代号拼出的參数表。
红帽wp红帽wp
05-06
红帽wp红帽wp红帽wp红帽wp红帽wp红帽wp红帽wp红帽wp红帽wp
第45天:红帽2019-childRE(一)
S1lenc3的博客
12-15 533
1.上午考四级,来年再战。 2.下午出去玩了,没学习。 3.放弃学习是不可能的,今天待在实验室了。 今天打算复现一下childRE,直接拖到IDA,代码好长,我好害怕。 搜索关键字符串定位函数。 三处Sleep,直接patch,推荐一个IDA的patch插件,之前的博客也提到过, 然后,这TM是啥。。。。对我这个菜鸡来说,只有自闭了。 这是STL,我压根不会。。。。 没办法...
第46天:红帽2019-childRE(二)
S1lenc3的博客
12-15 492
昨天说到处理完输入了,今天把这道题干掉了,一定要有耐心,慢慢调试。 把输入的三个数设为x,y,z。 断到这里, 注释都标注了,自己分析一下。 在这里,发现goto到label_47就直接到运行结束了,没有flag,所以就不让他跳转,就要满足x<z 类似的,也要满足y<x。继续单步,来到一堆计算的地方。 这里是计算位数的。 这都是一步一步分析的,没什么说...
BUUCTF Reverse/[2019红帽]childRE
ookami6497的博客
09-11 532
C++的类成员函数(其调用方式是thiscall)。函数的名字修饰与非成员的C++函数稍有不同,首先就是在函数名字和參数表之间插入以“@”字 符引导的类名。可以先写脚本将outputstring中的值给求出来。感觉像个二叉树遍历,试了下还原二叉树但是咋搞都不对。然后就是这个函数了,可以参考。来分割,对应关系如下。直接在输入的时候使用。刚好对应每个数的下标。
buu刷题 [2019红帽]childRE wp
苗_的博客
08-18 993
此题可以分为三大块来解 考点:二叉树(动态调试)、C++函数名修饰 1. 首先f5反编译,首先我们要求出outputString(长度为62),逆分析可以知道取outputString字符串的字符,然后对23取余和除数分别在a1234567890Qwer中找到对应位置,其值必须与str1和str2对应位置的值相等 上这一段脚本: str1 = "(_@4620!08!6_0*0442!@186%%0@3=66!!974*3234=&0^3&1@=&0908!6_0*&a
[2019红帽]childRE 分析与拓展
Tokameine的博客
07-01 667
十分特殊也有趣的一题,特此记录。流程并非难以理解,但有些需要注意的点。 无壳,可以直接用IDA分析,但由于存在一些动态变量,一旦开始动调,代码将会变得更难理解,因此目前只用静态调试来审计 int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rax __int64 v4; // rax const CHAR *v5; // r11 __int64...
[2019红帽]childRE
m0_46296905的博客
04-17 299
小白一枚,膜拜大佬,欢迎指正 总结 二叉树实现输入字符串的置换。 C++函数名修饰。 MD5加密 IDA动态调试 求outstring得出outstring=‘private: char * __thiscall R0Pxx::My_Aut0_PWN(unsigned char *)’ 贴上我的exp: a=list('(_@4620!08!6_0*0442!@186%%0@3=66!!974*3234=&0^3&1@=&0908!6_0*&') b=list('55.
红帽-ctf
zhang14916的博客
11-13 1666
1,crypto related: 题目看起来是一个prng随机数生成器,实际上是在考察RSA,阅读源码我们找到了几个成立的等式: flag=state1+state2+state3 state1^17modn=106072354000985866999943925848418065920006608161913150089479177736054763658845720565446214...
2019 红帽 easyRE
mishixiaodai的博客
11-18 3436
记一次被带入坑的逆向 拿到题目,发现是elf文件,拖入Linux运行程序,发现什么提示也不给,输入任意字符串,程序退出。 拖入64位的ida中,查找字符串,发现几个很有用的字符串,查看第三个字符串处的代码 先给了一大串数字,将类型转变成char[36]后如下图所示。分析伪代码发现函数名都是统一的sub_。 进入第一个函数sub_4406E0,发现很难理解此函数是干嘛的,但通过主程序,我们可以猜测,该函数的作用应该是读取我们的输入。同理,根据if语句中的v15[i] ^ i) != v14[i],我
BuuCTF [2019红帽]easyRE
m0_74154467的博客
06-15 488
Buuctf解题思路
攻防大赛网络安全心得体会_第二届红帽网络安全攻防大赛总结会在省公安厅召开_详细网安笔记
最新发布
2401_84915584的博客
06-02 699
第二届红帽网络安全攻防大赛总结会在省公安厅召开5月31日下午,第二届红帽网络安全攻防大赛总结会在广东省公安厅主楼9楼会议室召开。
2021 红帽 pwn parser
yongbaoii的博客
05-11 559
不出意外的全绿。 主函数循环读。 这个地方有个陌生的函数,alloca。 C 语言里有一个 alloca 函数,可以在堆栈上分配一块内存,当前函数退出时,由于系统堆栈指针的调整,这块内存会被自动回收。 alloca 的函数原型是 void * alloca(size_t size); 它的汇编代码很简单,就两句 sub esp,eax mov rax,rsp 他做的就是在栈上开空间,esp减长度,然后地址放在eax中。 alloca中的算式作用是让你的输入的长度对齐,对齐到16字节,.
2021-第四届红帽网络安全大赛-Web-find_it
weixin_40872714的博客
03-26 2620
2021-第四届红帽网络安全大赛-Web-find_it 题目 先用目录扫描工具爆破一下目录,发现了robots.txt 访问后有了提示 1ndexx.php 直接访问不到,需要访问vim的保存的缓冲类型文件.swp,访问之后获取到源码。 http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/.1ndexx.php.swp 把关键代码粘贴出来看一下运行流程 打开flag.php读取文件内容 打开hack.php文件,获取co
BUU [2019红帽]childRE1
zzqzzq11的博客
01-17 2499
这个题目比较难,一开始看了一下没有头绪。 首先用ida打开: 很长的一个程序,一步一步仔细分析。 首先是第一部分,这一部分是先进行了输入,然后判断是否是31字节,将我们的输入使用sub_14001290()函数。这个函数,我一开始以为是一个加密函数,看起来挺复杂的。通过下面的sub_1400015C0()函数有一些提示。if(v4)下面的部分完全就是一个后序遍历嘛?所以说,这个函数可以猜测是构造二叉树的函数。(下面第二张图是后序遍历的代码)。 但是有个问题,这个sub_140001...
2021第四届红帽网络安全大赛-线上赛Writeup
热门推荐
末初 · mochu7
05-10 1万+
记录一下被锤爆的一天…orz。
红帽2021 Misc
LYJ20010728的博客
05-10 834
红帽2021 Misc签到colorful codePicPic 签到 根据附件文件名EBCDIC,可知是编码问题,转换即可,这里可以采用 010 Editor flag为flag{we1c0me_t0_redhat2021} colorful code 压缩包解压后得到两个data文件,试了下找不到什么有用的东西,想到题目名字,发现文件data2用十六进制查看符合颜色的十六进制编码 这里补充一个使用颜色编写代码的知识点,该题就用到了这个点Piet 从图中可以看出在前面的十六进制中是没有规律
qobject: cannot create childre
03-16
n for parent QObject (x), parent is nullptr 这个错误是因为在创建一个QObject对象的时候,没有指定它的父对象。QObject对象必须有一个父对象,否则它就成为了一个孤儿对象,无法被管理和销毁。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值