2023ISCTF Re部分WP

最新推荐文章于 2025-08-17 08:33:58 发布
原创 最新推荐文章于 2025-08-17 08:33:58 发布 · 243 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #笔记 #学习

Reverse

crackme

直接从cmd窗口运行附件即可得flag

image-20231123221344720

mfx_re

用010Editor打开附件,将附件的MFX字段全部替换为UPX

image-20231123221742344

然后使用upx -d命令进行脱壳

image-20231123221852662

之后使用ida64打开,对代码进行分析,可知程序对输入字符串的每一位的ASCII码值都减了1,逆向解密只需加1即可

image-20231123222315668

写出exp:

enc = 'HRBSEz1a``8747,a/4e,33e1,88bd,/00b/5841a4a|'
flag = ''
for i in enc:
    flag += chr(ord(i) + 1)
print(flag)

得到flag为:ISCTF{2baa9858-b05f-44f2-99ce-011c06952b5b}

EasyRe

ida64打开附件,找到主要加密函数。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

分析函数,先对字符串异或17,然后如果字符发ASCII码值等于66或88,用155减去该字符,最后对字符串进行逆序。

写出解密脚本解密,exp如下:

enc = ']P_ISRF^PCY[I_YWERYC'
ttmp = ''
flag = ''
ttmp = reversed(enc)
for i in ttmp:
    if ord(i) == (155 - 66) or ord(i) == (155 - 88):
        flag += chr((155 - ord(i)) ^ 17)
    else:
        flag += chr(ord(i) ^ 17)
print(flag)

解出结果为:ISCTFSNXJSIAOWCBXNAL

flag为:ISCTF{SNXJSIAOWCBXNAL}

easy_flower_tea

ida打开,找到主要加密函数,简单花指令,直接修复,反编译分析代码

image-20231126120616848

简单的tea加密,脚本直接解出,exp:

#include <stdio.h>
#include <stdlib.h>

void decrypt (unsigned int* v, unsigned int* k);

int main()
{
    unsigned int flag[3] = {0x42777AFA,0x781A30CA};
    unsigned int key[4] = {12,34,56,78};
    decrypt(flag,key);
    for(int i = 0;i < 2;i++)
    {
        printf("%d,",flag[i]);
    }
    return 0;
}

void decrypt(unsigned int* v, unsigned int* k)
{
    int j,n;
    for(j = 0;j < 1;j += 2)
    {
        n = j + 1;
        unsigned int delta = 1640531527;
        unsigned int sum = 0 - delta*32;
        for (int i = 0; i < 32; i++)
        {
            v[n] -= (16 * v[j] + k[2]) ^ (v[j] + sum) ^ ((v[j] >> 5) + k[3]);
            v[j] -= (16 * v[n] + k[0]) ^ (v[n] + sum) ^ ((v[n] >> 5) + k[1]);
            sum += delta;
        }
    }
}

得到的10进制数字加上ISCTF头即可:ISTCTF{1472353 3847872}

babyRe

运行程序发现babyRE.py报错

image-20231127182004580

使用PyInstaller Extractor 对.exe进行解包

python pyinstxtractor.py .\babyRe.exe

找到babyRe文件,发现其无后缀名,使用010Editor打开,分析其应为.pyc文件,对其文件头进行补全,并加上后缀名

image-20231127182246750

对.pyc文件进行反编译,得到.py文件

image-20231127182330537

简单RSA,脚本直接解出flag,exp:

a=292884018782106151080211087047278002613718113661882871562870811030932129300110050822187903340426820507419488984883216665816506575312384940488196435920320779296487709207011656728480651848786849994095965852212548311864730225380390740637527033103610408592664948012814290769567441038868614508362013860087396409860
b=21292789073160227295768319780997976991300923684414991432030077313041762314144710093780468352616448047534339208324518089727210764843655182515955359309813600286949887218916518346391288151954579692912105787780604137276300957046899460796651855983154616583709095921532639371311099659697834887064510351319531902433355833604752638757132129136704458119767279776712516825379722837005380965686817229771252693736534397063201880826010273930761767650438638395019411119979149337260776965247144705915951674697425506236801595477159432369862377378306461809669885764689526096087635635247658396780671976617716801660025870405374520076160
c=5203005542361323780340103662023144468501161788183930759975924790394097999367062944602228590598053194005601497154183700604614648980958953643596732510635460233363517206803267054976506058495592964781868943617992245808463957957161100800155936109928340808755112091651619258385206684038063600864669934451439637410568700470057362554045334836098013308228518175901113235436257998397401389511926288739759268080251377782356779624616546966237213737535252748926042086203600860251557074440685879354169866206490962331203234019516485700964227924668452181975961352914304357731769081382406940750260817547299552705287482926593175925396
import libnum
import gmpy2
phi=b-a*2
e=65537
n=b-a-1
print(phi)
print(n)
d=gmpy2.invert(e,phi)
m=pow(c,d,n)
print(libnum.n2s(int(m)))

解得flag为:ISCTF{kisl-iopa-qdnc-tbfs-ualv}

FloweyRSA

ida64打开,简单花指令,直接去花,反编译main函数

image-20231128193024907

简单rsa,网站在线分解素数

image-20231128193134789

直接脚本一把梭,exp:

p =  56099
q =  56369
ppp = [1966878405,2375075638,2166893744,2129446000,2488145363,746243878,1904115824,818668601,2983811740,1840670651,306202172,2009857636,299417177]
import libnum
import gmpy2
flag = ''
for c in ppp:
    phi = (p - 1) * (q - 1)
    e = 465
    n = p * q
    d=gmpy2.invert(e,phi)
    m=pow(c,d,n)
    printtt = libnum.n2s(int(m)).decode()
    flag += printtt
print(flag)

解得flag:flag{reverse_is_N0T_@lways_jusT_RE_myy_H@bIb1!!!}

z3_revenge

ida打开,查看主要函数,发现约束条件

printf("Printf input the flag:");
  scanf("%s", &v4);
  if ( !BYTE3(v9)
    && (char)v4 + 394 - 740 * SBYTE1(v4) == -60953
    && SBYTE1(v4) + 878 - (SBYTE2(v4) + 614) == 280
    && 195 * SBYTE2(v4) + 457 - SBYTE3(v4) == 13438
    && SBYTE3(v4) - 330 - (186 - SBYTE4(v4)) == -362
    && 840 * SBYTE4(v4) - 977 * SBYTE5(v4) == -61371
    && 729 * SBYTE5(v4) - (197 - SBYTE6(v4)) == 89567
    && SBYTE6(v4) - 899 + 946 - SHIBYTE(v4) == 44
    && SHIBYTE(v4) - 593 - 373 * (char)v5 == -18770
    && 842 * (char)v5 + 261 * SBYTE1(v5) == 55613
    && 787 * SBYTE1(v5) - (SBYTE2(v5) + 204) == 43029
    && 664 * SBYTE2(v5) + 160 - SBYTE3(v5) == 34635
    && SBYTE3(v5) - 885 + 366 * SBYTE4(v5) == 35768
    && 659 * SBYTE4(v5) + 892 - SBYTE5(v5) == 66691
    && 500 * SBYTE5(v5) - (SBYTE6(v5) + 535) == 49920
    && SBYTE6(v5) - 983 + 194 - SHIBYTE(v5) == -844
    && SHIBYTE(v5) - 871 + 545 - (char)v6 == -326
    && 762 * (char)v6 - 443 * SBYTE1(v6) == 51835
    && 846 * SBYTE1(v6) - (SBYTE2(v6) + 964) == 45464
    && SBYTE2(v6) - 363 + 218 * SBYTE3(v6) == 9549
    && SBYTE3(v6) - 477 - 170 * SBYTE4(v6) == -9272
    && SBYTE4(v6) - 177 - (351 - SBYTE5(v6)) == -379
    && SBYTE6(v6) + 541 + 492 * SBYTE5(v6) == 48314
    && SBYTE6(v6) - 952 - (454 - SHIBYTE(v6)) == -1306
    && SHIBYTE(v6) - 731 - ((char)v7 + 890) == -1615
    && (char)v7 - 941 - (SBYTE1(v7) + 380) == -1332
    && SBYTE1(v7) - 328 + SBYTE2(v7) + 124 == -98
    && SBYTE2(v7) + 695 + SBYTE3(v7) + 186 == 980
    && SBYTE3(v7) - 412 + 632 * SBYTE4(v7) == 62205
    && SBYTE4(v7) + 820 + SBYTE5(v7) + 257 == 1221
    && SBYTE5(v7) - 155 + SBYTE6(v7) + 673 == 613
    && 786 * SBYTE6(v7) - (773 - SHIBYTE(v7)) == 38625
    && SHIBYTE(v7) + 929 - (956 - (char)v8) == 171
    && (char)v8 + 913 + 311 - SBYTE1(v8) == 1270
    && SBYTE1(v8) + 113 - 705 * SBYTE2(v8) == -40018
    && SBYTE3(v8) + 782 + 901 * SBYTE2(v8) == 52237
    && SBYTE3(v8) - 716 + 255 - SBYTE4(v8) == -411
    && SBYTE4(v8) + 307 + SBYTE5(v8) + 874 == 1329
    && SBYTE5(v8) + 355 - (201 - SBYTE6(v8)) == 308
    && SBYTE6(v8) + 934 + 531 - SHIBYTE(v8) == 1465
    && SHIBYTE(v8) - 801 - ((char)v9 + 413) == -1209
    && (char)v9 - 690 + 558 - SBYTE1(v9) == -135
    && SBYTE1(v9) - 559 + SBYTE2(v9) + 953 == 571
    && SBYTE2(v9) + 141 - 654 * (char)v4 == -47476 )
  {
    puts("true");
  }
  else
  {
    puts("false");
  }

使用z3库进行方程组求解,exp:

from z3 import *
s = Solver()
c = [Int('v%d'%i)for i in range(43)]
s.add(c[0] + 394 - 740 * c[1] == -60953)
s.add(c[1] + 878 - (c[2] + 614) == 280)
s.add(195 * c[2] + 457 - c[3] == 13438)
s.add(c[3] - 330 - (186 - c[4]) == -362)
s.add(840 * c[4] - 977 * c[5] == -61371)
s.add(729 * c[5] - (197 - c[6]) == 89567)
s.add(c[6] - 899 + 946 - c[7] == 44)
s.add(c[7] - 593 - 373 * c[8] == -18770)
s.add(842 * c[8] + 261 * c[9] == 55613)
s.add(787 * c[9] - (c[10] + 204) == 43029)
s.add(664 * c[10] + 160 - c[11] == 34635)
s.add(c[11] - 885 + 366 * c[12] == 35768)
s.add(659 * c[12] + 892 - c[13] == 66691)
s.add(500 * c[13] - (c[14] + 535) == 49920)
s.add(c[14] - 983 + 194 - c[15] == -844)
s.add(c[15] - 871 + 545 - c[16] == -326)
s.add(762 * c[16] - 443 * c[17] == 51835)
s.add(846 * c[17] - (c[18] + 964) == 45464)
s.add(c[18] - 363 + 218 * c[19] == 9549)
s.add(c[19] - 477 - 170 * c[20] == -9272)
s.add(c[20] - 177 - (351 - c[21]) == -379)
s.add(c[22] + 541 + 492 * c[21] == 48314)
s.add(c[22] - 952 - (454 - c[23]) == -1306)
s.add(c[23] - 731 - (c[24] + 890) == -1615)
s.add(c[24] - 941 - (c[25] + 380) == -1332)
s.add(c[25] - 328 + c[26] + 124 == -98)
s.add(c[26] + 695 + c[27] + 186 == 980)
s.add(c[27] - 412 + 632 * c[28] == 62205)
s.add(c[28] + 820 + c[29] + 257 == 1221)
s.add(c[29] - 155 + c[30] + 673 == 613)
s.add(786 * c[30] - (773 - c[31]) == 38625)
s.add(c[31] + 929 - (956 - c[32]) == 171)
s.add(c[32] + 913 + 311 - c[33] == 1270)
s.add(c[33] + 113 - 705 * c[34] == -40018)
s.add(c[35] + 782 + 901 * c[34] == 52237)
s.add(c[35] - 716 + 255 - c[36] == -411)
s.add(c[36] + 307 + c[37] + 874 == 1329)
s.add(c[37] + 355 - (201 - c[38]) == 308)
s.add(c[38] + 934 + 531 - c[39] == 1465)
s.add(c[39] - 801 - (c[40] + 413) == -1209)
s.add(c[40] - 690 + 558 - c[41] == -135)
s.add(c[41] - 559 + c[42] + 953 == 571)
s.add(c[42] + 141 - 654 * c[0] == -47476)
s.check()
result = s.model()
flag = ''
for i in range(43):
    flag += chr(result[c[i]].as_long())
print(flag)

解出flag为:ISCTF{ad1745de-dd7f-4a13-821c-2bd69b0d6614}

L1ngYu-
关注
ISCTF2023 Reverse方向 WP
Sciurdae的博客
12-14 1716
那么根据简单的数学公式,我们可以知道phi 即 (p-1)(q-1) = (p+1)(q+1) - 2(p+q),以及n = p * q = (p+1)(q+1) - (p+q) - 1;但是其实现在也还有点疑惑,为什么TEA加密的时候的明文和key是相同的,解密的时候密文和key也可以相同,当时就是这里纠结不出来。这里拿 刚刚 TEA加密后的密文,先是异或,将得到的数据作为一个二维数组的索引,把当前位置的值设置为1,最后比较返回0。发现一小段花指令,去除后发现是一个TEA加密,但是目前不清楚是哪里的。
CTF逆向-[SCTF2019]babyre-WP_简单去花指令和流程识别
serfend's blog
03-24 5235
CTF逆向-[SCTF2019]babyre-WP_简单去花指令和流程识别 来源:https://buuoj.cn/ 内容:无 附件:https://pan.baidu.com/s/1pWTpezTXnr_NN4lY9xWzag?pwd=m2zv 提取码:m2zv 答案:flag{ddwwxxssxaxwwaasasyywwdd-c2N0Zl85MTAy(fl4g_is_s0_ug1y!)} 总体思路 发现汇编中出现有红色部分,则说明反汇编失败,通常是有花指令或者说SMC(程序自己修改自己的代码)。 去除
2025御网杯REVERSE方向wp
2301_80462492的博客
05-19 864
好奇怪,在比赛时候这个脚本运行时间好长好长好长,我以为运行不出来了呢,最后结束后又运行了一遍,成功了(可能是因为要抢血太着急了,运行一半总是取消)有upx壳但是脱不下来,打开010看一下,发现upx的标志被更改了,我们改回去。反编译成pyc文件,再使用工具(pycdc)或者网站(左边函数栏里面有个rc4字样,还有个callme函数。rc4加密,还是标准的,直接写代码。对文件进行了加密,写出脚本逆回去。输入,之后有个打印,看不出什么。得到一大堆方程,使用z3求解。)反编译成py文件。使用pycdc反编译。
vnctf2025 re部分wp(不全)
xy_hzz的博客
02-18 1317
复现三道题目:hook_fish Fuko’s starfish kotlindroid
2025 WinjaCTF re wp
wmr66的博客
03-03 491
2025 WinjaCTF rev方向完整wp
ISCTF2023 RE babyre WP
Pisces50002的博客
12-31 531
先用Z3强行求出p、q,算出常规rsa中的phi,然后套用公式求出m。(pyc魔术头没被抹去,可以直接用babyre.pyc进行转码)可以看到是一个魔改的rsa。
ISCTF2023 RE easy_z3 WP
Pisces50002的博客
12-31 576
【代码】ISCTF2023 RE easy_z3 WP
2023红明谷杯部分WP
就这样吧
04-21 1468
2023红明谷杯部分WP
2024 四月份国内外CTF 散装re 部分wp
wmr66的博客
04-28 1025
UTCTF;Unbreakable International Team Phase;AmateursCTF;RITSECCTF;TAMUCTF;b01lersCTF;NSSCTFROUND22;PaluCTF;GFCTF;CITCTF;第九届中国海洋大学信息安全竞赛
2025 BYUCTF re 部分wp
wmr66的博客
05-19 284
Baby Android 1;Baby Android 2;u;LLIR;Bank Vault
2025 BSidesMumbaiCTF re 部分wp
wmr66的博客
07-06 283
XORyy;idkwhattonamethis;Diff_EQ;idkwhattonamethis2
2025 NahamConCTF re 部分wp
wmr66的博客
07-06 308
FlagsFlagsFlags;What' a base amongst friends;No! Not again!
HUBU2025CTF摸底测试wp(re)
最新发布
2303_79314941的博客
08-17 637
简单分析可以发现,fgets函数将输入存储到buffer中,再将buffer传入sub_140011424函数进行加密,加密的结果和unk_14001ACC0中数据比较。这里传入了四个参数,第一个暂时不清楚,第二个参数是第一个参数的长度,第三个参数是我们的输入,第四个参数存储最后函数的输出。继续跟进该函数,发现是一个标准的RC4加密函数,没有被魔改,对照一下标准RC4就可以发现传入的第一个参数为RC4的key。逻辑很清楚了,我们的输入经过变表base64加密后,异或上0x25,再和密文进行比较。
【虚空】【ISCTF2024】ISCTF2024 ReverseWP
qq_42557115的博客
11-16 1915
去年写了misc和web,今年确实没时间了,就只把逆向和密码写了写。 简单聊一下逆向吧,今年的逆向确实考点种类比去年要繁杂一点。有个魔改的SM4,我也有个自建的密码学库的题。还有很多很好玩的比如rust和cpython逆向,并且包括smc和反调试这些基础题型都有。总体来说还是比较全面的。不过有一说一啊(我是没想到我rust解出数居然还没cpython多,可能是大家对动态调试不太熟悉的原因?我rust我是真连rust风格都没敢写,全是c的语句用rust写了)
*CTF2023Reverse逆向详解wp
明人不说暗话
08-02 1406
*CTF2023Reverse逆向部分题目(flagfile,ez_code)wp
LitCTF2023 - Reverse方向 全WP
Sciurdae的博客
11-18 1214
也可以使用uncompyle6,安装就是pip install uncompyle6 ,对py版本有要求,自行查询。flag长度为20,故根据md5爆破。需要先转换成十六进制,又因为数据在内存中是小端序存储,所以需要将十六进制前后颠倒一下,实际上,pyc文件的magic number是根据编译的python版本而变化的,下面都是对于游戏操作的一些设定,看from处有个check,可以,接下来去找ch。打开来,一个litctf,一串数据,一个memcmp比较。pyc文件,反编译一下就好,可以使用在线网站,
HDCTF2023 - Reverse方向全WP
Sciurdae的博客
11-20 1641
不像是花指令,那应该就是SMC了,本来想用动调的,但这里加了反调试,不知道怎么去除,结合前面得到的key,找修改的地方。俩处加密,第一处对一句话进行一个f(x,y)的加密,这里加密用到了俩个伪随机数。再结合flag 为 28 位,可以得到,“I want to play basketballI w”再结合flag 为 28 位,可以得到,“I want to play basketballI w”之后,选中有用的数据U未定义一下,再P创建函数,F5反编译,得到。一个01背包问题,动态规划,写个EXP解决。
帕鲁杯2024 RE wp
Pisces50002的博客
05-01 1223
随便输一串输入,长度尽量长一些方便把密文patch到input里面(密文也可以动调在crypto里取),断在scanf后面。是42行转化为16进制之后的结果,不过不方便转化为可见字符,所以我们patch到input里面去。也不知道怎么找,纯Misc题 0n3_n00b_ru1n5_0n3_hundr3d_pr05。chacha20和RC4一样是流密码,可以通过动态调试解密,只要把密文输进去再跑一遍就可以。相当于制作了一个字典,将规定的字符映射到一个值(索引值)上。似乎是密文和key,input是个假的。
beginCTF WPReverse
m0_75243362的博客
02-06 1521
新手wp,大佬轻点喷。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值