WUSTCTF2020 funnyre

最新推荐文章于 2024-05-25 17:05:38 发布
最新推荐文章于 2024-05-25 17:05:38 发布
阅读量131 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: python linux 前端 开发语言 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YenKoc/article/details/133022497
本文介绍了一种利用Angr工具进行二进制程序分析的方法。通过对一个具体示例的逐步解析,展示了如何去除花指令、设置初始状态、存储输入到内存中并遍历所有可能的执行路径以找到正确答案的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • 运行起来,发现啥都没反应也没输出,ida直接打开,反编译
    .init函数动调了下,发现没啥用,主要核心在于main函数,直接跟进去
    发现了核心逻辑,有花指令,直接去掉,发现还挺多,然后似乎不影响观看,直接跳到后面,发现有个比较
    ,直接angr一把梭就完事了,想太多没啥意思
import angr
import claripy

p=angr.Project('/root/Desktop/attachment',load_options={"auto_load_libs": False})
f=p.factory
state = f.entry_state(addr=0x400605)
flag = claripy.BVS('flag',8*32)#用BVS转成二进制给
state.memory.store(0x603055+0x300+5,flag)#因为程序没有输入,所以直接把字符串设置到内存
state.regs.rdx=0x603055+0x300
state.regs.rdi=0x603055+0x300+5#然后设置两个寄存器

sm = p.factory.simulation_manager(state)#准备从state开始遍历路径


print("get start!")

sm.explore(find=0x401DAE)#遍历到成功的地址

if sm.found:
    print("success")
    x=sm.found[0].solver.eval(flag,cast_to=bytes)
    print(x)
else:
    print('yenkoc')

YenKoc
关注
[WUSTCTF2020] funnyre wp
liuxiaohuai_的博客
04-03 670
下载附件。无壳,直接ida64打开。发现没有main()函数。感觉应该是用了混淆。 从上往下查看汇编代码发现了main()函数的位置。 继续向下看。 上图红圈里的jz和jnz一看就有毛病!红框中没有标红的地方也是一样。 这里的代码应该都是像这样的格式。先声明地址,然后一个xor语句,一个add语句,一个cmp语句,一个jnz语句,最后再来一个xor语句。 把上面红框中的语句改成这种格式,直接nop掉这些多余的语句。下面大概还有4,5处这样的地方。 弄完这么的清爽! 到最后这里有个判断语句。对比v7和unk_
BUUCTF逆向wp [WUSTCTF2020]level3
2302_81740139的博客
09-17 592
这是对一个名为base64_table的数组(就是上面提到的那个标准的base64表)进行操作的代码段。base64_table是一个包含至少20个元素的数组,通常用于Base64编码中,它包含64个字符的索引表。Main函数里面的那个是编码的文本,本题并不是基于标准base64字符映射的,如下面,跟进这个函数,发现它对base64做了修改,修改后的便是本题字符映射的字符串表。在循环结束后,base64_table数组的前10个元素和后10个元素的位置已经被交换。第三步 编写脚本。
[WUSTCTF2020]funnyre
2302_79135465的博客
05-25 281
mian 函数 不能反汇编,往下翻有一处报红,一看是花指令,还怪长,报红的都nop后,全选按P重新生成函数。三百多个变量,也是不太可能一个个去解了,刚好前两天简单练了一下 angr (符号执行)没有输入,所以确实需要直接设置到内存,什么BVS,设置寄存器都还不会。把 angr_ctf刷完应该差不多了。嗯,后面的还没学到,要继续学。不对,看了一下别人的exp。
[buuctf.reverse] 069_[WUSTCTF2020]funnyre
weixin_52640415的博客
05-11 402
去花指令 重写
从零开始做题:[WUSTCTF2020]girlfriend
weixin_44626085的博客
12-06 1405
(base) ┌──(holyeyes㉿kali2023)-[~/Misc/题目/girlfriend/dtmf-decoder](base) ┌──(holyeyes㉿kali2023)-[~/Misc/题目/girlfriend/dtmf-decoder](base) ┌──(holyeyes㉿kali2023)-[~/Misc/题目/girlfriend]利用老式按键手机的打字方法所实现的一种密码。拨打电话每个按键被按下发出的声音不一样。按提示来安装缺少的模块。
pwn旅行之[WUSTCTF 2020]getshell2(一些小知识)_pwn ctf shell
m0_60452141的博客
05-17 893
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
buu-[WUSTCTF2020]level4
qaq517384的博客
03-14 3258
64位elf文件 先运行 Traversal type 1:2f0t02T{hcsiI_SwA__r7Ee} Traversal type 2:20f0Th{2tsIS_icArE}e7__w Traversal type 3: //type3(&x[22]); No way! ida查看字符串无恙 查看main函数 int __cdecl main(int argc, const char **argv, const char **envp) { puts("Practice m
[BUUCTF]Reverse——[WUSTCTF2020]funnyre
mcmuyanga的博客
07-13 2372
[WUSTCTF2020]funnyre ELF文件,无壳,用ida64打开,程序没法f5,从程序入口点找到main函数的汇编部分 因为这边没有创建函数,所以无法f5 在选取汇编部分打算创建函数的过程中发现了不对劲的地方 jz和jnz跳转到同一地址,花指令,nop掉,然后那个call看着也不太对的样子,先也nop掉,call下面的那条jz也nop掉。经过多次测试,要从第一条jz指令nop到xor eax,eax之前 一共有4处需要修改nop掉,修改完后,发现一共有两端函数没有创建,拿一处说一
Flash8help_cn.part4
01-13
Flash8help_cn.part4.共有6卷,须全部下载才能解压缩。flash 教程 帮助文档 动漫 计算机
re学习笔记(56)WUSTCTF – Re方向WP
12-21
新手一枚,如有错误(不足)请指正,谢谢!! WUSTCTF-re-Cr0ssFun IDA64载入,进入main函数 查看check函数 都提取出来就是flag了。。。 得到flag为wctf2020{cpp_@nd_r3verse_@re_fun} WUSTCTF-re-level1 下载下来压缩包有两个文件,一个是ELF64位,一个是output.txt是程序的输出 IDA64位载入查看main函数 对19位的flag变换后输出,, 写脚本 #include int main(void) { unsigned int i,flag[] = { 198,232,81
linux操作系统入门实验报告
03-09
一个关于操作系统的入门实验的报告。包括截图的结果,基本指令使用等。
[WUSTCTF 2020]funnyre-复现
liaochonxiang的博客
07-28 949
先来到startmain存在花指令,那就去除找到一处jz与jnz跳转一样,下面call和jnz也存在花指令一起nop掉这样的花指令存在4个,全部nop掉后f5得到伪代码但是里面存在这样的错误同样存在4处找到原先nop与其他地方对比发现,需要nop到xor前在main头处按p键生成函数进入main,分析,可用angr符号执行秒了flag长度为32位,加密后的flag在unk_4025C0。
buuctf刷题记录25 [WUSTCTF2020]funnyre
ytj00的博客
08-08 1659
太巧了,昨天刚看了有关angr的视频今天就碰到有关的题目了 这道题考察两点吧:1.简单的花指令去除 2.在有限域上简化 无壳,ida64打开,发现不能f5,而且也没有main函数,判断应该是用了混淆 从上往下看汇编代码,找到第一处问题 这里jz和jnz一看就有问题,下面的数据也是胡扯,然后下面的这些没标红的地方都是一个样 应该吧上面错误的地方改成下面的样子,大概有四五处吧,nop掉,p声明函数,得声明两处 然后f5得到反编译 定义了300多个变量,进行了好多好多运算,直接算肯定是算不出来的, 然后就
你知道junk code吗[花指令][WUSTCTF 2020]funnyre
yjh_fnu_ltn的博客
03-06 646
回头再分析花指令:发现垃圾数据 jz(74) 和 call(E8)插入的位置在,0000000000400616和 000000000040061A,其与后面的数据一起被分析成了错误的指令。发现花指令仍然存在,原因是call后面的地址错误,推测这条语句原本就不是call,而硬件编码E3就是花指令,导致跳转的地址出错。1)、查壳发现没壳,用ida64打开,首先直接进入main函数。F5无法反编译,发现花指令。2)、去除花指令, 首先patch去掉jz的硬件编码74(修改位90“nop”)
[WUSTCTF2020]funnyre writeup
HLi1219的博客
12-28 909
常规第一步用exeinfope查壳 在虚拟机尝试运行 不能正常运行,利用ida打开,在函数列表中没有找到主函数,在IDA View中找到了主函数main,没有被定义 往下找发现花指令,这也是我第一次接触到花指令 这里的jz short near ptr loc_40061A+1和jnz short near ptr loc_40061A+1肯定是有问题的,还有call near ptr 0FFFFFFFF810037AFh的地址很奇怪,需要修改,根据之后的函数...
BUUCTF:[WUSTCTF2020]spaceclub
末初 · mochu7
07-23 2079
BUUCTF:[WUSTCTF2020]spaceclub
buuctf刷题记录18 [WUSTCTF2020]level3
ytj00的博客
08-01 882
经典无壳,拖进ida 最后输出的里面有衣穿加密字符串,一看就知道是base加密的,然后提上又提示是base64加密,拿去解密发现不对,感觉应该是吧base64的码表改了 然后找半天没找到那个函数, 然后找到这个奇怪的函数,果然是吧码表换了 写出脚本,得到改变的码表 然后根据之前的加密字符串,再写脚本 import base64 import string str1 = "d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD==" strin
[WUSTCTF 2020]朴实无华
最新发布
02-18
### WUSTCTF 2020 朴实无华 Challenge Details and Solutions #### 题目概述 WUSTCTF 2020 的 "朴实无华" 是一道涉及多个安全漏洞利用的 CTF 挑战,涵盖了 PHP 整数转换、SQL 注入以及命令注入等多个方面。该挑战分为几个不同的层次,每层都需要解决特定的安全问题。 #### 层级一:PHP `intval()` 绕过 在第一个层级中,存在一个条件判断语句: ```php if (intval($num) < 2020 && intval($num + 1) > 2021) ``` 由于 PHP 中 `intval()` 函数对于科学记数法字符串仅取 e 前面的部分作为整数值[^2],因此可以通过传递类似于 `2e5` 这样的浮点数来绕过此逻辑验证。这使得 `$num` 转换后的值为 2,而 `$num + 1` 则变成了非常大的数字,从而满足上述不等式的条件[^3]。 #### SQL 注入攻击 第二个部分涉及到 SQL 注入技术。给定的例子展示了如何使用特殊字符组合构造出能够影响数据库查询结果的有效载荷。具体来说,“ffifdyop”的 MD5 值会在某些情况下被解释成 OR 条件的一部分,进而实现所谓的“万能密码”。 为了防止这种类型的攻击,在实际开发过程中应该严格遵循参数化查询的最佳实践,并避免直接拼接用户输入到 SQL 查询串里去[^4]。 #### 命令注入与文件读取 最后一个环节关注的是远程代码执行(Remote Code Execution, RCE),特别是当服务器端脚本尝试执行外部命令时可能出现的风险。在这个案例下,开发者试图阻止通过简单的空格分隔符来进行系统调用;然而,仍然有多种方法可以规避这些限制并成功触发任意命令执行。例如,可以用 `${IFS}` 或者 `%20`, `%09` 等编码形式代替常规空白字符,甚至借助 `{cat,flag.php}` 结构来间接达到目的[^5]。 ```bash # 使用 IFS 替代空格 ${IFS}$9 {IFS} $IFS$1 //$1改成$加其他数字貌似都行 IFS < <> {cat,flag.php} # URL 编码方式替代空格 %20 (space) %09 (tab) # 利用十六进制转义序列表示 tab 字符 X=$'cat\x09./flag.php';$X (\x09 表示 tab,也可以用 \x20) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值