XCTF攻防世界 - Reverse - 666

最新推荐文章于 2025-04-06 16:58:14 发布
最新推荐文章于 2025-04-06 16:58:14 发布
阅读量926 收藏 5
点赞数
分类专栏: Reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Sanctuary1307/article/details/113608302
版权
本文介绍如何通过分析ELF格式题目文件并使用IDA64进行反编译,找到编码函数及验证流程,最终利用Python脚本解码获得正确的flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目文件为ELF格式,用IDA64打开,反编译主函数:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [rsp+0h] [rbp-1E0h]
  char v5; // [rsp+F0h] [rbp-F0h]

  memset(&s, 0, 0x1EuLL);
  printf("Please Input Key: ", 0LL);
  __isoc99_scanf("%s", &v5);
  encode(&v5, (__int64)&s);		//对输入的flag字符串编码
  if ( strlen(&v5) == key )		//编码后长度为 key = 18
  {
    if ( !strcmp(&s, enflag) )		//比较编码后的flag是否正确
      puts("You are Right");
    else
      puts("flag{This_1s_f4cker_flag}");
  }
  return 0;
}

enflag字符串值如下(IDA选中字符串,快捷键Shift+E,末尾0可去掉)

unsigned char ida_chars[] =
{
  105, 122, 119, 104, 114, 111, 122, 34, 34, 119, 
  34, 118, 46, 75, 34, 46, 78, 105, 0
};

编码函数如下:

int __fastcall encode(const char *a1, __int64 a2)
{
  char v3[32]; // [rsp+10h] [rbp-70h]
  char v4[32]; // [rsp+30h] [rbp-50h]
  char v5[40]; // [rsp+50h] [rbp-30h]
  int v6; // [rsp+78h] [rbp-8h]
  int i; // [rsp+7Ch] [rbp-4h]

  i = 0;
  v6 = 0;
  if ( strlen(a1) != key )					//flag长度为18
    return puts("Your Length is Wrong");
  for ( i = 0; i < key; i += 3 )		  //从0开始,以三个字符为一组运算
  {
    v5[i] = key ^ (a1[i] + 6);
    v4[i + 1] = (a1[i + 1] - 6) ^ key;
    v3[i + 2] = a1[i + 2] ^ 6 ^ key;
    *(_BYTE *)(a2 + i) = v5[i];
    *(_BYTE *)(a2 + i + 1LL) = v4[i + 1];
    *(_BYTE *)(a2 + i + 2LL) = v3[i + 2];
  }
  return a2;
}

已知编码方式,编写python脚本解码:

#xctf-re-666
s = [105, 122, 119, 104, 114, 111, 122, 34, 34, 119, 
    34, 118, 46, 75, 34, 46, 78, 105 ]
k = 18
i = 0
flag = ''

while(i < k):
    flag += chr((k^s[i]) - 6)
    flag += chr((s[i+1]^k) + 6)
    flag += chr(s[i+2]^k^6)
    i += 3
    
print(flag)

运行脚本得到flag:unctf{b66_6b6_66b}

【网络安全 | XCTF】Python之Django模块+curl 攻防世界 Cat 解题详析
等风来
05-30 5411
无回显,可能是因为/opt/api/是整个API项目的根目录,而/opt/api/api/是API应用程序的特定子目录,用于存放与API功能相关的文件。使用@+文件路径时,CURL将自动读取该文件内容并将其作为请求参数。这是python的Django模块,其数据库database文件存在于opt/api下的setting.py文件中。当使用文件路径作为参数时,若文件路径指定有误或不存在,则无法正确读取文件内容。flag为:WHCTF{yoooo_Such_A_G00D_@}题目描述:抓住那只猫。
菜狗的reverse学习——攻防世界666
weixin_61102112的博客
09-13 338
无壳直接扔到ida中静分析
XCTF1-reverse 666
orchid_sea的博客
11-30 385
enflag的值为:izwhroz"“w"v.K”.Ni,转换为ASCII码。encode函数中,for循环里每三个一组进行加密,前三行是加密算法,后面是指针赋值。key等于输入字符串的长度,要使输入的字符串等于enflag,所以key等于18。
攻防世界666详解
最新发布
2402_89513656的博客
04-06 624
前提条件:安装好。
攻防世界-Reverse-666(图解详细)
半岛铁盒的博客
12-03 4889
自述 这道题对于新手来说还是比较经典的,把逆向与python脚本的编写联系了起来;因为刚开始我没有学python,一遇到脚本什么的就很懵,学了半个月python后,我对做题有个更深的认识,记录一下; 解题 把文件放入IDA 找到main函数, 这一段很短却提供了很多的信息; 意思是:输入一串字符,进入encode(点进去发现是一个加密函数) 再往下走,长度与key相比较,要求长度等于key,再往下走,把加密后的字符与enflag相比较,两者相等 **一.**先点进key看看; 有两个信息 1. key
攻防世界Reverse进阶区-666-writeup
y4ung
11-13 1434
1. 介绍 本题是xctf攻防世界Reverse的进阶区的题666 题目来源: 2019_UNCTF 2. 分析 $ file 666 666: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=eaed290e5801a19d53e8597ac1a04
攻防世界 逆向 666
fool_best的博客
02-17 1327
攻防世界 逆向 666 (原创) 原题如下: 下载附件解压: 查看16进制的头文件,7F 45 4C 46,我不认识是啥文件,百度一下。 原来是一个可执行的文件。 (文件类型,16进制的文件头,以及Ascii数字信息,如下部分表) 我们用IDA打开找到main函数查看伪代码。 其中有一个encode的函数。 我们再查看一下encode函数的伪代码。看懂代码之后就会发现了线索了。 ...
攻防世界xctf reverse:no-strings-attached
prettyX的博客
11-24 854
先查基本信息,ELF程序,无壳 尝试运行 拽入IDA中,shift F12未发现有价值信息,F5 经过查看,authenticate()为重要函数,通过下面代码分析,S2即为我们需要的flag s2是由decrypt()函数产生的,来看一下decrypt()函数 查看汇编代码,decrypt的返回值在eax中 gdb动态调试,在decrypt()处下断点,随后读取eax中的值,获取s2 查看.text段的函数 objdump -t -j .text 554e0...
攻防世界REVERSE新手练习区 - no-strings-attached
m0_60377292的博客
08-08 623
no-strings-attached - wp
攻防世界REVERSE新手练习区 - game
m0_60377292的博客
08-07 982
game - wp
攻防世界REVERSE新手练习区 - python-trade
m0_60377292的博客
08-02 311
python-trade - wp 一、下载题目附件: https://adworld.xctf.org.cn/media/task/attachments/f417c0d03b0344eb9969ed0e1f772091.pyc 发现附件是.pyc文件,.pyc是一种二进制文件,是由.py文件经过编译后得到的字节码文件。.py文件中可以直接看到源码,经过编译后会变成.pyc文件。那么我们需要把.pyc文件反编译生成.py文件从而得到源码。 二、反编译.pyc文件: 反编译方法: 利用python反编译在线
攻防世界-re-666
底层社会中的弱智
10-11 741
查看程序属性 查看程序运行的状态 程序执行后,提示输入,并对输入的内容进行长度的判断。放入ida中进行分析 从第八行开始与用户交互,提示输入key,将输入的值放入V5变量中,进入encode(v5,s)函数,第一个参数是我们输入的key值,第二个参数是char数组,放入encode函数中。 进入encode函数后,V5变成a1,s变成a2,看最后的返回值是返回到a2中,过程首先判断长度是否等于变量key,变量key的十进制是18,也就是输入的字符串长度要等于18才行。 判断
xctf攻防世界 REVERSE 高手进阶区 66六
l8947943的博客
04-07 9750
0x01. 进入环境,下载附件 给的一个压缩包,解压后是无后缀文件,没有什么东东,使用exeinfo PE检查一下壳子,如图: 没有壳子,64位的文件。 0x02. 问题分析 老套路,丢入ida,找main函数,F5反编译,代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-1E0h] char v5; // [rsp+F0h] [rbp-F0h]
CTF-reverse-666
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
03-19 1005
byte指针访问字符数组异或运算的逆向代码编写:^优先级小于+和-,如:enflag = key ^ (flag + 6) -> enflag ^ key = flag + 6 -> 【
国内外优秀网安练习平台
Ms08067安全实验室
12-06 945
0x01 前言小编总结网上一些靶场类型,并进行了分类,整理不足可以及时给小编留言!0x02基础类靶场1. DVWA:http://www.dvwa.co.u2.BWVS:https://github.com/bugku/BWVS3.Webug3.0:https://pan.baidu.com/s/1cM39UrKeWjS92-3am8L_bg?pwd=xjqr4. BWAPP:https://...
攻防世界-666
qq_63699339的博客
05-10 483
*
[攻防世界]666 超详细题解(逆向UNCTF)
Fox_O1的博客
11-25 605
攻防世界逆向题666超详细题解
2018 XCTF FINALS
Risker
11-06 1332
欢迎关注我的新博客: http://mmmmmmlei.cn 有幸参加了 2018 XCTF FINALS,线下长了不少见识。回学校就打了上海市大学生网络安全竞赛,现在记录一下 XCTF FINALS。 攻防赛四道 pwn,Web 狗也只能打打解题这样子… 解题有 5 道 Misc,2 道 Web 和 4 道 pwn,和队友做出了两道 Misc ,一道 Web 和两道 pwn。不得不说这次的 Mi...
攻防世界666-writeup
crow\a的博客
12-08 736
这里注意flag的组成有两部分:一为flag的长度,二为flag的字符组成。ps:一般来说伪代码中出现的如enflag,aflag等并不是真正的flag答案。db:定义数据字节数为1字节,即每个字符占1字节,为汇编语言,类似的还有dw(2字节),dd(4字节)逆向思维:s已知,v5未知,在已知的运算encode中计算,推出v5即Key为flag。如果看不懂,不妨采用代数的方法,将i=1,i=4等等代入循环,想想怎么写脚本。(1)下载题,即rar压缩包,解压(推荐winrar,7-zip解压)
攻防世界3-1
03-22
<think>嗯,用户想了解攻防世界CTF比赛中的3-1题解或攻略。首先,我需要先确定题目3-1具体属于哪个类别,比如Web、Pwn还是Reverse。根据提供的引用,用户之前接触过Web、Pwn以及robots.txt相关的题目,所以可能3-1属于这些类型之一。 查看引用内容,引用[1]是关于PHP反序列化的题目,引用[3]是关于Pwn的题目,引用[2]和[4]是关于robots.txt的知识。可能需要结合这些信息来推测3-1的题目类型。比如,如果题目涉及robots.txt,可能和Web中的目录遍历或敏感文件访问有关。或者如果是PHP反序列化漏洞,可能需要构造特定的序列化字符串绕过__wakeup方法。 假设3-1是Web题,类似引用[1]中的PHP反序列化题目。用户提供的示例代码中有__wakeup方法,当反序列化时会触发exit。绕过这个通常需要修改对象属性数量,使序列化后的字符串中属性数大于实际值,从而绕过__wakeup的执行。例如,将O:4:"xctf":1:{...}改为O:4:"xctf":2:{...}。 另外,引用[4]提到robots.txt,可能题目需要检查该文件以找到隐藏路径或flag。例如,访问网站的robots.txt,发现禁止或允许的目录,然后访问被禁止的路径获取线索。 可能3-1是综合题,需要结合robots.txt找到入口,再通过反序列化漏洞获取flag。比如,首先访问robots.txt发现禁止访问某个路径,但实际该路径存在关键文件,然后利用PHP反序列化漏洞绕过限制,执行代码获取flag。 在构造题解时,步骤可能包括:1. 检查robots.txt,找到隐藏路径;2. 访问隐藏路径,发现存在反序列化漏洞的PHP脚本;3. 分析脚本,构造恶意序列化数据,绕过__wakeup;4. 触发漏洞获取flag。需要确保步骤详细,代码示例正确,比如修改属性数量后的序列化字符串。 另外,需注意用户提供的引用中的代码示例,比如引用[1]中的序列化脚本,可能需要修改生成的序列化字符串中的属性数量,从1改为更大的数字,以绕过__wakeup。例如原序列化是O:4:"xctf":1:{s:4:"flag";s:3:"111";},改为O:4:"xctf":2:{s:4:"flag";s:3:"111";},这样在反序列化时不会触发__wakeup,从而避免exit。 还要确认题目是否有其他知识点,比如命令执行(如引用[3]中的popen函数),可能需要结合反序列化执行系统命令,读取flag文件。因此,在构造payload时,可能需要将flag属性改为执行命令的代码,但需要注意PHP中反序列化只能执行魔术方法,如__destruct或__wakeup,所以需要寻找其他可利用的类或方法。 综上,可能的解题步骤为:利用robots.txt发现敏感路径,访问后找到存在漏洞的反序列化点,构造payload绕过__wakeup,触发反序列化执行恶意代码或读取flag。</think>### 攻防世界 CTF 3-1 题解分析 根据引用内容和常见 CTF 题型,推测“攻防世界 3-1”可能涉及 **Web 反序列化漏洞利用**或 **文件协议探测**(如 `robots.txt`)[^1][^4]。以下是分步解析和攻略: --- #### **1. 题目类型初步判断** 若题目属于 **Web 类**,可能涉及以下知识点: - **反序列化漏洞绕过**(如 PHP 的 `__wakeup()` 魔术方法绕过)[^1] - **`robots.txt` 探测隐藏路径**(通过协议排除标准寻找关键文件) --- #### **2. 反序列化漏洞利用** **引用[1]示例分析**: ```php class xctf { public $flag = '111'; public function __wakeup() { exit('bad requests'); } } ``` 当对象被反序列化时,`__wakeup()` 会被触发导致退出。需绕过此限制。 **绕过方法**: 修改序列化字符串中的对象属性数量,使其与实际属性数量不一致。例如: - 原始序列化字符串:`O:4:"xctf":1:{s:4:"flag";s:3:"111";}` - 修改为:`O:4:"xctf":2:{s:4:"flag";s:3:"111";}`(将属性数 `1` 改为 `2`)[^1] **构造 Payload**: ```php <?php class xctf { public $flag; } $a = new xctf(); $a->flag = "payload"; // 替换为实际利用的代码 echo serialize($a); ?> ``` 将生成的字符串手动修改属性数后提交,绕过 `__wakeup()`。 --- #### **3. `robots.txt` 探测隐藏路径** **引用[4]知识点**: - 访问 `http://目标网址/robots.txt`,查看被禁止或允许的目录。 - 若发现如 `Disallow: /hidden_path/`,尝试直接访问该路径获取关键文件或 Flag。 **操作步骤**: ```bash curl http://target.com/robots.txt curl http://target.com/hidden_path/flag.txt ``` --- #### **4. 综合应用场景** 若题目结合上述两点: 1. 通过 `robots.txt` 找到隐藏的 PHP 接口(如 `/api/unserialize.php`)。 2. 提交构造的反序列化 Payload 触发漏洞,获取 Flag。 --- #### **5. 其他可能知识点** - **命令注入**(如引用[3]中 `popen` 函数的使用):通过反序列化触发系统命令执行。 - **文件读取**:利用漏洞读取服务器上的敏感文件(如 `/flag`)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值