[羊城杯 2020]Bytecode [UTCTF2020]babymips

最新推荐文章于 2025-04-21 08:30:00 发布
最新推荐文章于 2025-04-21 08:30:00 发布
阅读量1.2k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CSNN2019/article/details/117396627
本文详细介绍了如何将Python字节码转换为可读代码,并使用Z3约束解决CTF挑战。文章通过实例展示了字节码解释、Z3脚本的关键点,如BINARY_SUBTRACT和BINARY_SUBSCR操作。同时,提到了在jeb和IDA中分析MIPS代码的注意事项,包括地址解析和长度验证。最后,提供了解密字符串的方法和最终的解密结果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

[羊城杯 2020]Bytecode

查看题目

在这里插入图片描述
python字节码,需要把它转为python代码,如下:

python代码

import dis

def main():
    en=[3,37,72,9,6,132]
    output=[101,96,23,68,112,42,107,62,96,53,176,179,98,53,67,29,41,120,60,106,51,101,178,189,101,48]
    print("welcome to GWHT2020")
    flag=raw_input("please input your flag:")
    str=flag
    a=len(str)
    if a>=38:
        print('lenth wrong!')
        exit(0)
    if((((ord(str[0])*2020+ord(str[1]))*2020+ord(str[2]))*2020+ord(str[3]))*2020+ord(str[4]))*2020==1182843538814603:
        print('good!continue\xe2\x80\xa6\xe2\x80\xa6')
        x=[]
        k=5
        for i in range(13):
            b=ord(str[k])
            c=ord(str[k+1])
            a11=c^(en[i%6])
            a22=b^(en[i%6])
            x.append(a11)
            x.append(a22)
            k+=2
        if x==output:
            print("good!continue\xe2\x80\xa6\xe2\x80\xa6")
            l=len(str)
            a1=ord(str[l-7])
            a2=ord(str[l-6])
            a3=ord(str[l-5])
            a4=ord(str[l-4])
            a5=ord(str[l-3])
            a6=ord(str[l-2])
            if a1*3+a2*2+a3*5==1003:
                if a1*4+a2*7+a3*9==2013:
                    if a1+a2*8+a3*2==1109:
                        if a4*3+a5*2+a6*5==671:
                            if a4*4+a5*7+a6*9==1252:
                                if a4+a5*8+a6*2==644:
                                    print('congraduation!you get the right flag!')

字节码解释文章:
https://forgo7ten.github.io/2020/01/28/2020012801/#%E8%B7%B3%E8%BD%AC
https://docs.python.org/zh-cn/3/library/dis.html#python-bytecode-instructions

看了python代码后,紧接着需要用z3约束来进行解答,更加简便

注意点:

BINARY_SUBTRACT 这个是减法

BINARY_SUBSCR 这个是索引

Z3约束脚本

from z3 import *
def main():
    s=Solver()
    flag=[]
    for i in range(5):
        flag.append(Int("flag%i"%i))
    s.add(((((flag[0] * 2020 + flag[1]) * 2020 + flag[2]) * 2020 + flag[3]) * 2020 +
       flag[4]) == 1182843538814603)
    for i in range(5):
        s.add(flag[i]>30)
        s.add(flag[i]<128)
    if s.check()==sat:
        print(s.model())
    en=[3,37,72,9,6,132]
    output=[101,96,23,68,112,42,107,62,96,53,176,179,98,53,67,29,41,120,60,106,51,101,178,189,101,48]
    ss=Solver()
    flag2=[]
    j=0
    for i in range(13):
        flag2.append(output[j+1]^en[i%6])
        flag2.append(output[j]^en[i%6])
        j+=2
    print(flag2)
    sss=Solver()
    flag3=[]
    for i in range(6):
        flag3.append(Int("flag3%i"%i))
    sss.add((flag3[0]*3+flag3[1]*2+flag3[2]*5)==1003)
    sss.add((flag3[0]*4+flag3[1]*7+flag3[2]*9)==2013)
    sss.add((flag3[0]*1+flag3[1]*8+flag3[2]*2)==1109)
    sss.add((flag3[3]*3+flag3[4]*2+flag3[5]*5)==671)
    sss.add((flag3[3]*4+flag3[4]*7+flag3[5]*9)==1252)
    sss.add((flag3[3]*1+flag3[4]*8+flag3[5]*2)==644)
    for i in range(5):
        sss.add(flag3[i]>30)
        sss.add(flag3[i]<128)
    if sss.check()==sat:
        print(sss.model())
        
if __name__=="__main__":
    main()

注意点:

for i in range(13):
        flag2.append(output[j+1]^en[i%6])
        flag2.append(output[j]^en[i%6])

这里不能当成range(26)来算,因为en下标同一组是一样的

在这里插入图片描述

 a=[71,87,72,84,123,99,102,97,50,98,56,55,98,51,102,55,52,54,97,56,102,48,97,99,53,99,53,57,54,51,102,97,101,102,102,55,51]

注意最后五个顺序

在这里插入图片描述

GWHT{cfa2b87b3f746a8f0ac5c5963faeff73

加上最后一半}

GWHT{cfa2b87b3f746a8f0ac5c5963faeff73}

总结:

此次题目不难,flag分成三部分来看待即可,最主要就是了解python字节码,懂得如何把Python字节码转换成python伪代码,紧接着再来进行下一步的分析

[UTCTF2020]babymips

jeb:

在这里插入图片描述
4199924这玩意是个地址,是我万万没想到的。。。
在这里插入图片描述
按下键盘d后,就转换回地址了,然后即可进行分析
在这里插入图片描述
jeb跟ida比起来是真的一言难尽。。。

在这里插入图片描述
内部函数,简直一团乱麻。

ida:

在这里插入图片描述
在这里插入图片描述

ida这玩意分析得多棒,清秀简洁

unsigned char ida_chars[] =
{
  0x62, 0x6C, 0x7F, 0x76, 0x7A, 0x7B, 0x66, 0x73, 0x76, 0x50, 
  0x52, 0x7D, 0x40, 0x54, 0x55, 0x79, 0x40, 0x49, 0x47, 0x4D, 
  0x74, 0x19, 0x7B, 0x6A, 0x42, 0x0A, 0x4F, 0x52, 0x7D, 0x69, 
  0x4F, 0x53, 0x0C, 0x64, 0x10, 0x0F, 0x1E, 0x4A, 0x67, 0x03, 
  0x7C, 0x67, 0x02, 0x6A, 0x31, 0x67, 0x61, 0x37, 0x7A, 0x62, 
  0x2C, 0x2C, 0x0F, 0x6E, 0x17, 0x00, 0x16, 0x0F, 0x16, 0x0A, 
  0x6D, 0x62, 0x73, 0x25, 0x39, 0x76, 0x2E, 0x1C, 0x63, 0x78, 
  0x2B, 0x74, 0x32, 0x16, 0x20, 0x22, 0x44, 0x19
};

a=[
  0x62, 0x6C, 0x7F, 0x76, 0x7A, 0x7B, 0x66, 0x73, 0x76, 0x50, 
  0x52, 0x7D, 0x40, 0x54, 0x55, 0x79, 0x40, 0x49, 0x47, 0x4D, 
  0x74, 0x19, 0x7B, 0x6A, 0x42, 0x0A, 0x4F, 0x52, 0x7D, 0x69, 
  0x4F, 0x53, 0x0C, 0x64, 0x10, 0x0F, 0x1E, 0x4A, 0x67, 0x03, 
  0x7C, 0x67, 0x02, 0x6A, 0x31, 0x67, 0x61, 0x37, 0x7A, 0x62, 
  0x2C, 0x2C, 0x0F, 0x6E, 0x17, 0x00, 0x16, 0x0F, 0x16, 0x0A, 
  0x6D, 0x62, 0x73, 0x25, 0x39, 0x76, 0x2E, 0x1C, 0x63, 0x78, 
  0x2B, 0x74, 0x32, 0x16, 0x20, 0x22, 0x44, 0x19
]
flag=""
for i in range(len(a)):
    flag+=chr(a[i]^(i+23))
print(flag)

在这里插入图片描述

utflag{mips_cpp_gang_5VDm:~`N]ze;\)5%vZ=C'C(r#$q=*efD"ZNY_GX>6&sn.wF8$v*mvA@'}

总结:

jeb中注意4199924形式的数据可能是地址

在这里插入图片描述

(v2 ^ 78) > 0

这个v2是长度,长度异或78,结果大于0就报错,说明它的长度就等于78(因为相同异或为0,不同异或为1)。。
这点jeb挺好玩的

羊城 2020 Bytecode
pondzhang的专栏
08-12 341
羊城 2020 Bytecode 恢复的代码块 def test(): en = [3,37,72,9,6,132] output = [101,96,23,68,112,42,107,62,96,53,176,179,98,53,67,29,41,120,60,106,51,101,178,189,101,48] print(b'welcome to GWHT2020') flag = 'GWHT{fc2a8bb7f347a6f8a05c5c69f3aeff73}'
CTF逆向-[羊城 2020]Bytecode-WP-Python字节码反编译
serfend's blog
04-12 3158
CTF逆向-[羊城 2020]Bytecode-WP-Python字节码反编译 来源:https://buuoj.cn/ 内容:无 附件:https://pan.baidu.com/s/15XJLq9jFV_pOtPMzNXG9XA?pwd=tlwo 提取码:tlwo 答案:GWHT{cfa2b87b3f746a8f0ac5c5963faeff73} 总体思路 反编译汇编成py源码 检查源码逻辑发现是一个约束求解(解方程) 使用z3输入条件得到flag 详细步骤 文件信息,打开发现是Python的
[羊城 2020]Bytecode
m0_46296905的博客
04-21 710
题目:[羊城 2020]Bytecode 拿到手竟然是个txt文件,打开后发现里面是python的字节码 查文档反编译出来的python脚本如下: en = [3,37,72,9,6,132] output = [101,96,23,68,112,42,107,62,96,53,176,179,98,53,67,29,41,120,60,106,51,101,178,189,101,48] flag = raw_input('please input your flag:') str = flag a
BUUCTF [UTCTF2020]zero 1
最新发布
YueXuan_521的博客
04-21 1539
BUUCTF [UTCTF2020]zero 1 排版语言(如阿拉伯语、印地语)的两个字符之间,使得这两个本不会发生连字的字符产生了连字效果。零宽连字符的Unicode码位是U+200D (HTML: ‍ ‍)。1、密文如下,本来想尝试凯撒加密,但在PyCharm中看到存在大量“ZWJ”字符,联想到零宽隐写。连字,全称是Zero Width Joiner,简称“从左至右书写标记(\u200e)从右至左书写标记(\u200f)零宽度非连接符(\u200c)零宽度连接符(\u200d)零宽度空格(\u200b)
buuctf re [羊城 2020]Bytecode
qq_53008544的博客
03-12 5742
下载附件 得到一个文本文档,存放的是python字节码。 Python 代码先被编译为字节码后,再由Python虚拟机来执行字节码, Python的字节码是一种类似汇编指令的中间语言, 一个Python语句会对应若干字节码指令,虚拟机一条一条执行字节码指令, 从而完成程序执行。Python dis 模块支持对Python代码进行反汇编, 生成字节码指令。 反编译py字节码,还原py源码 在这里推荐一篇看雪好文 仔细阅读文章后,来进行手工还原python源码。 得到如下源码。 反编译的py
[buuctf.reverse] 085_[羊城 2020]Bytecode
weixin_52640415的博客
05-13 367
python字节码 z3求解
re学习笔记(70)BUUCTF - re - [羊城 2020]Bytecode
逆向随笔
01-23 1075
BUUCTF - re - [羊城 2020]Bytecode python字节码 官方文档:dis — Python 字节码反汇编器 python-bytecode|python字节码学习 手动查反编译后 en = [3,37,72,9,6,132] output = [101,96,23,68,112,42,107,62,96,53,176,179,98,53,67,29,41,120,60,106,51,101,178,189,101,48] flag = raw_input('please in
2020 YCBCTF羊城官方Writeup:PHP与Web安全解题技巧实录
2020YCBCTF羊城官方Writeup是一份详细的竞赛报告,涵盖了该年度网络安全 Capture The Flag (CTF) 比赛中的一系列挑战,主要集中在Web、PHP、漏洞利用、密码学、以及逆向工程等不同领域。以下是各个部分的主要知识...
java bytecode
09-05
2. 右键点击该类文件,在弹出菜单中选择"Open With" -> "Java Bytecode Viewer"。 3. 这时,你将看到类文件的字节码表示,包括每个方法的指令序列。 字节码的每条指令通常由一个单字节的操作码(opcode)和可选的...
ASM ByteCode Viewer IDEA插件
07-20
下载后先解压!里面有2个版本的安装包!下载后先解压!下载后先解压!可以尝试在https://plugins.jetbrains.com/search?products=idea&search=Bytecode Outline下面搜“Bytecode Outline
BUUCTF-RE-[UTCTF2020]babymips
Henlenl的博客
10-15 348
无壳程序 IDA 打开 静态分析 提示输入flag 拷贝数据unk_4015F4给v7 查看unk_4015F4的数据并保存 进入 sub_401164(v7, v6);函数 逻辑就一个异或 exp data = [0x62, 0x6C, 0x7F, 0x76, 0x7A, 0x7B, 0x66, 0x73, 0x76, 0x50, 0x52, 0x7D, 0x40, 0x54, 0x55, 0x79, 0x40, 0x49, 0x47, 0x4D, 0x74, 0x19, 0x7B, 0x6
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
BUUCTF-[羊城 2020]Bytecode
weixin_61154173的博客
03-07 488
字节码手撕 刚开始看别人的wp,我以为有什么工具可以还原python源码,原来他们可能都是自己看出来的。根据上面的手工还原链接,连看再猜应该比较容易一些。因为这题有很多未知解,所以很容易想到用z3约束器。这道题是一个关于python字节码的。
[UTCTF2020]babymips
m0_46296905的博客
04-29 684
题目:[UTCTF2020]babymips IDA32中查看伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // $v0 char v5[24]; // [sp+18h] [+18h] BYREF char v6[24]; // [sp+30h] [+30h] BYREF char v7[84]; // [sp+48h] [+48h] BYREF std::__cxx11:
[羊城 2020]Bytecode 1
qq_41853048的博客
05-31 98
给了一个字节码文本,在网上找了半天也没有可以在线转的,所以别浪费时间了,不过gpt-4应该可以,没钱,只能手撕吧配合ai读的话理解会更深一点分析了一半,没弄完,直接借用师傅的完成品吧。
buu [UTCTF2020]babymips
liuxiaohuai_的博客
08-23 346
这个题就是简单的对mips汇编语片做反编译分析 使用工具:ghidra 使用ghidra对文件进行静态分析 找到main(),并对其分析 分析关键函数FUN_00401164 void FUN_00401164(int param_1, basic_string<char,std--char_traits<char>,std--allocator<char>> *param_2) { int iVar1; basic_os
[UTCTF2020]babymips 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
06-22 684
可以看出将输入字符串进行异或加密之后,判断前5位,就是“flag{”,然后进入 sub_4007F0(v5)进行移位加密后判断五位之后的字符。跟进,加密后的字符串。
[UTCTF2020]OTP
weixin_44110537的博客
07-27 714
白给
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值