[WUSTCTF2020]level3

最新推荐文章于 2025-02-13 19:23:09 发布
原创 最新推荐文章于 2025-02-13 19:23:09 发布 · 1.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种特殊的Base64编码方案,通过逆向工程解析了一个经过篡改码表的Base64字符串,并提供了修复码表及解码的C++脚本,最终揭示了隐藏的flag。

文章目录

拖进ida

在这里插入图片描述

base64

d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD==

看到有个base64,然后找下码表
在这里插入图片描述
拿去解密后,一团乱码
在这里插入图片描述
所以肯定码表被换了,被代码换了,细看后找到这个函数

O_OLookAtYou()

在这里插入图片描述

写个脚本:

#include<iostr
最低0.47元/天 解锁文章
[buuctf][WUSTCTF2020]level3
逆向萌新的博客
07-13 1221
[buuctf][WUSTCTF2020]level3
[BUUCTF]REVERSE——[WUSTCTF2020]level3
mcmuyanga的博客
12-16 580
[WUSTCTF2020]level3 附件 步骤: 例行检查,64位程序,无壳 64位ida载入,找到关键函数 看样子是个base64加密,但又感觉没那么简单,再翻翻左边的函数,找到了base64加密变表的函数 将加密表变换一下写个解密exp import base64 table = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=' model = list("ABCDEFGHIJKLMNOPQRSTUVWX
[WUSTCTF2020]level3-buuctf
Lenard404的博客
03-15 1238
buuctf做题记录 查壳 64位无壳 IDA分析 main函数很明显的给了一个密文d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD==和提示:这是一个特殊的base64加密。 给了这样的提示,推测是base64换表 那么查看加密函数: 加密表点进去: 是正常的表,直接用原表解密解不出flag,右键查看表的引用,发现除了加密函数之外还有一个函数对表进行了操作: 点进去查看,果然是改了表: 简单写个脚本解出更改后的表: #include&
[WUSTCTF 2020]level3
2301_81713863的博客
11-24 357
正确的码表:TSRQPONMLKJIHGFEDCBAUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/发现一个码表,进行base64解密,但肯定不会这么简单。果然,在这里找到一个base64码表转换。果然解码的结果是错的,重新分析源码。跟进base64_encode.分析到这里就简单多了。下载附件,ida打开。再次进行base64解密。发现一串可疑的字符串。
WUSTCTF(2020)level3
HLi1219的博客
11-09 1444
快比赛了,老害怕了,我什么都不会,真就去体验? 打开PE查找相关信息 可以用Ubuntu打开,在kali里面打开后找到信息语句 接着用ida打开后找到相关的句子定位到了main函数,F5反编译 直接看最后那段base64的语句,尝试利用正常的base64表解密,发现不行,联想到了可能是换表了,点击上面的base_encode函数,找加密表 我擦,正常的base64表,那可能是对这个表进行了置换,Crrl+X 查看调用情况 慢慢找到了0_0LookAtYou函数 ...
buuctf——(WUSTCTF2020level3
yhfgs的博客
06-06 480
1.查壳。 无壳,64位。
[WUSTCTF2020]level3题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-24 762
[WUSTCTF2020]level3题解
[WUSTCTF2020]level3 笔记与自省
Tokameine的博客
06-21 405
解题过程: 直接放入IDA分析,跳入main函数,得到如下内容 int __cdecl main(int argc, const char **argv, const char **envp) { char *v3; // rax char v5; // [rsp+Fh] [rbp-41h] char v6[56]; // [rsp+10h] [rbp-40h] BYREF unsigned __int64 v7; // [rsp+48h] [rbp-8h] v7 = _..
BUUCTF-[WUSTCTF2020]level3
qq_66455531的博客
07-04 254
那就很有只能是base64加密的地方改了,我们先猜测最有可能更改的地方,密码表,字符串交叉引用并不行,那就搜放字符串的数组里面,交叉引用发现有另一个地方在用这个密码表。找到flag{Base64_is_the_start_of_reverse}PS:主程序的过程就那个老套路,我也就不分析了。原来是吧密码表更改了啊,根据程序写脚本。base64都贴脸上了。
buu-[WUSTCTF2020]level3
qaq517384的博客
03-07 341
64位GCC 查看字符串,base甩脸上 看一眼main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // ST0F_1 const char *v4; // rax char v6; // [rsp+10h] [rbp-40h] unsigned __int64 v7; // [rsp+48h] [rbp-8h] v7 = __readfsqword(0x28u);
BUUCTF [WUSTCTF2020]level3
liulala987的博客
08-23 896
于是直接把字符串拉去base64解密 但是解密出来有乱码 感觉应该是一种变形的base64编码 结合And I get a strange string from my program which is different from the standard base64这句话更加确定编码表被做了修改 于是继续回到主函数。进入主函数 F5查看伪c代码 能够看到很明显的base64编码 还能看到一串可疑字符串。,这实际上是将原始值放回了它在对称操作后被覆盖的位置。索引对称的元素的原始索引。
BUU-[WUSTCTF2020]level3
qq_45771413的博客
04-19 342
查壳 无壳 ida F5伪代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // ST0F_1 char *v4; // rax char v6; // [rsp+10h] [rbp-40h] unsigned __int64 v7; // [rsp+48h] [rbp-8h] v7 = __readfsqword(0x28u); printf("Try my base
buuctf---->[WUSTCTF2020]level3
shdbehdvd的博客
10-01 351
认知:关于这base64具体的加密算法,懂得不是很多,如果不知道有没有进行魔改,可以提出来去C中跑一下就知道了。(其实更推荐动态,当然在能动态的情况。思路:常规做题,肯定首先需要想到 “表”的问题 其实是”算法“的问题。>>>这里能够证明,此时,还是属于常规的base64加密。置换表出来,在线工具或者用python库函数都可以。这表看起来,很正常,默认的为什么会加密不出来?一 能动态的情况下去动态获取修改后的表;猜测: 可能是哪里进行了魔改。仔细对比你会发现点毛病。得,表做了变换处理。
BUUCTF Reverse/[WUSTCTF2020]level3
ookami6497的博客
07-26 382
BUUCTF Reverse/[WUSTCTF2020]level3 没有加壳 用IDA64位打开,分析代码 int __cdecl main(int argc, const char **argv, const char **envp) { char *v3; // rax char v5; // [rsp+Fh] [rbp-41h] char v6[56]; // [rsp+10h] [rbp-40h] BYREF unsigned __int64 v7; // [rsp+4
buuctf刷题记录18 [WUSTCTF2020]level3
ytj00的博客
08-01 904
经典无壳,拖进ida 最后输出的里面有衣穿加密字符串,一看就知道是base加密的,然后提上又提示是base64加密,拿去解密发现不对,感觉应该是吧base64的码表改了 然后找半天没找到那个函数, 然后找到这个奇怪的函数,果然是吧码表换了 写出脚本,得到改变的码表 然后根据之前的加密字符串,再写脚本 import base64 import string str1 = "d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD==" strin
BUUCTF RE WP39-40 [WUSTCTF2020]Cr0ssfun、[WUSTCTF2020]level3
mumuzi的博客
04-19 743
39.[WUSTCTF2020]Cr0ssfun 得到的 flag 请包上 flag{} 提交。 感谢 Iven Huang 师傅供题。 比赛平台:https://ctfgame.w-ais.cn/ 无壳IDA打开,main函数 输入v4,进入check函数 其中,check函数中给出了每一位的值 return a1[10] == 112 && a1[13] == 64 && a1[3] == 102 && a1[26]
【BUUCTF逆向题】[WUSTCTF2020]level3(魔改base64编码表)
最新发布
Power的博客
02-13 1049
Base64、魔改编码表、Start、不在main函数中、ELF远程调试、随波逐流Base64解码
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值