[2019红帽杯]easyRE

最新推荐文章于 2024-10-13 14:00:00 发布
最新推荐文章于 2024-10-13 14:00:00 发布
阅读量175 收藏
点赞数 2
分类专栏: buuctf 文章标签: c++ 开发语言 网络安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chneft/article/details/128102524
版权
本文讲述了作者在红帽杯比赛中对一款64位ELF文件进行IDA静态分析的过程,涉及字符串查找、base64解码、心理陷阱识别和关键变量推断。最后揭示了解题的关键点在于隐藏的数组交叉引用和编码策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

[2019红帽杯]easyRE

查壳

拖到die里,发现无壳,是64位elf文件,可以用ida分析
在这里插入图片描述

ida静态分析

在这里插入图片描述
进来以后看不到明显的main函数,于是查看一下字符串在这里插入图片描述
进入交叉引用在这里插入图片描述
能初步判断这就是这道题的关键函数在这里插入图片描述
可以推测sub_424BA0函数就是strlen函数,在这个if判断中,v12已知,i可知,可通过 ^ 的特性去反推v48(a^ b ^b = a)
脚本如下:

key = [73, 111, 100, 108, 62, 81, 110, 98, 40, 111, 99, 121, 127, 121,
       46, 105, 127, 100, 96, 51, 119, 125, 119, 101, 107, 57, 123,
       105, 121, 61, 126, 121, 76, 64, 69, 67]
flag = ''
for i in range(len(key)):
    flag += str(chr(key[i] ^ i))

运行得到:
在这里插入图片描述
感觉是一个障眼法,接着往下分析在这里插入图片描述
双击sub_400E44函数发现它是一个base64编码函数(通过观察它编码表的特点可知)
在这里插入图片描述
将v53进行10次base64编码,接着sub_400360函数推测是strcmp函数(有些时候就得靠猜,猜错了就再换思路)
那么v12就是v53变化后的值

v12 = Vm0wd2VHUXhTWGhpUm1SWVYwZDRWVll3Wkc5WFJsbDNXa1pPVlUxV2NIcFhhMk0xVmpKS1NHVkdXbFpOYmtKVVZtcEtTMUl5VGtsaVJtUk9ZV3hhZVZadGVHdFRNVTVYVW01T2FGSnRVbGhhVjNoaFZWWmtWMXBFVWxSTmJFcElWbTAxVDJGV1NuTlhia0pXWWxob1dGUnJXbXRXTVZaeVdrWm9hVlpyV1hwV1IzaGhXVmRHVjFOdVVsWmlhMHBZV1ZSR1lWZEdVbFZTYlhSWFRWWndNRlZ0TVc5VWJGcFZWbXR3VjJKSFVYZFdha1pXWlZaT2NtRkhhRk5pVjJoWVYxZDBhMVV3TlhOalJscFlZbGhTY1ZsclduZGxiR1J5VmxSR1ZXSlZjRWhaTUZKaFZqSktWVkZZYUZkV1JWcFlWV3BHYTFkWFRrZFRiV3hvVFVoQ1dsWXhaRFJpTWtsM1RVaG9hbEpYYUhOVmJUVkRZekZhY1ZKcmRGTk5Wa3A2VjJ0U1ExWlhTbFpqUldoYVRVWndkbFpxUmtwbGJVWklZVVprYUdFeGNHOVhXSEJIWkRGS2RGSnJhR2hTYXpWdlZGVm9RMlJzV25STldHUlZUVlpXTlZadE5VOVdiVXBJVld4c1dtSllUWGhXTUZwell6RmFkRkpzVWxOaVNFSktWa1phVTFFeFduUlRhMlJxVWxad1YxWnRlRXRXTVZaSFVsUnNVVlZVTURrPQ==

在这里插入图片描述
于是写脚本通过v12反推出v53
脚本如下:

import base64

key = '''Vm0wd2VHUXhTWGhpUm1SWVYwZDRWVll3Wkc5WFJsbDNXa1pPVlUxV2NIcFhhMk0xVmpKS1NHVkdXbFpOYmtKVVZtcEtTMUl5VGtsaVJtUk9
ZV3hhZVZadGVHdFRNVTVYVW01T2FGSnRVbGhhVjNoaFZWWmtWMXBFVWxSTmJFcElWbTAxVDJGV1NuTlhia0pXWWxob1dGUnJXbXRXTVZaeVdrWm9hV
lpyV1hwV1IzaGhXVmRHVjFOdVVsWmlhMHBZV1ZSR1lWZEdVbFZTYlhSWFRWWndNRlZ0TVc5VWJGcFZWbXR3VjJKSFVYZFdha1pXWlZaT2NtRkhhRk5
pVjJoWVYxZDBhMVV3TlhOalJscFlZbGhTY1ZsclduZGxiR1J5VmxSR1ZXSlZjRWhaTUZKaFZqSktWVkZZYUZkV1JWcFlWV3BHYTFkWFRrZFRiV3hvV
FVoQ1dsWXhaRFJpTWtsM1RVaG9hbEpYYUhOVmJUVkRZekZhY1ZKcmRGTk5Wa3A2VjJ0U1ExWlhTbFpqUldoYVRVWndkbFpxUmtwbGJVWklZVVprYUd
FeGNHOVhXSEJIWkRGS2RGSnJhR2hTYXpWdlZGVm9RMlJzV25STldHUlZUVlpXTlZadE5VOVdiVXBJVld4c1dtSllUWGhXTUZwell6RmFkRkpzVWxOa
VNFSktWa1phVTFFeFduUlRhMlJxVWxad1YxWnRlRXRXTVZaSFVsUnNVVlZVTURrPQ=='''
key = key.encode()

for i in range(10):
    key = base64.b64decode(key)

print(key.decode())

得到一个网址在这里插入图片描述
点进去是一篇文章,讲了出题者如何设置心理陷阱让解题人更难找到正确答案
事实上我写到这之后就已经无从下手了,在网上看了大佬的wp之后才知道如何接着往下做

实际上解题关键点在于byte_6CC0A0这个数组的交叉引用
在这里插入图片描述
进入这个引用处
在这里插入图片描述
102和103转换成char型分别是f和g,正好对应的是第一位和第四位字符,那是不是可以推断前四位数字是flag,我们带着这个推断来反推v5,v5虽然在定义上是一个unsigned int型,但是从函数体的内容来看它其实应该是一个长度为4的char型数组char v5[4]。于是不难写出脚本:

//python
key = 'flag'
byte = [0x40, 0x35, 0x20, 0x56, 0x5D, 0x18, 0x22, 0x45, 0x17,
        0x2F, 0x24, 0x6E, 0x62, 0x3C, 0x27, 0x54, 0x48, 0x6C,
        0x24, 0x6E, 0x72, 0x3C, 0x32, 0x45]
temp = []
for i in range(4):
    temp.append(byte[i] ^ ord(key[i]))

得到我们推测的v5值为{38, 89, 65, 49}在这里插入图片描述
接着for循环里又是一个异或的操作,我们也跟着进行操作看看得到什么

key = 'flag'
byte = [0x40, 0x35, 0x20, 0x56, 0x5D, 0x18, 0x22, 0x45, 0x17,
        0x2F, 0x24, 0x6E, 0x62, 0x3C, 0x27, 0x54, 0x48, 0x6C,
        0x24, 0x6E, 0x72, 0x3C, 0x32, 0x45, 0x5B]
temp = []
flag= []
for i in range(4):
    temp.append(byte[i] ^ ord(key[i]))

for i in range(25):
    flag.append(chr(byte[i] ^ temp[i % 4]))
print(''.join(flag))

运行得到flag{Act1ve_Defen5e_Test}

总结

这道题脑洞挺大的,我觉得更多是考验做题经验,考察解题人的思维,按照常规思路可能根本想不到去找一段不知道在哪被调用的数据,只能说是做的题多了,自然也就有把握了。

buu-[2019红帽]easyRE
qaq517384的博客
03-05 645
查壳 64位ida 直接查看字符串能看到you found me和一些奇怪字符串 有些类似base的东西 先找you found me 跟进后CTRL+X交叉引用找到函数,f5查看伪代码 signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8
2019红帽easyRE-ACTF新生赛2020rome-[FlareOn4]login-Youngterdrive
AlienEowynWan的博客
06-03 574
[2019红帽]easyRE
[buuctf][2019红帽]easyRE
逆向萌新的博客
07-02 593
[buuctf][2019红帽]easyRE
BUUCTF----红帽easyre
qq_64558075的博客
12-09 443
1.拿到文件,老规矩,查壳 收集信息,无壳,64位程序(使用64位ida) 2.拖入ida 寻找main函数 没找到,那就换种方式,我们找字符串 发现可疑字符串 跟进该字符串 发现了类似主函数的东西 分析它 写个异或脚本,解出v12 这个时候得到一个提示:求的最后的flag的前四位为“flag”(好像没什么用) 接下来继续分析 可以看到接下来off_6cc090是一个字符串base64加密10次的结果 写个脚本,把0ff_6CC90里面...
BUUCTF-[2019红帽]easyRE
weixin_61154173的博客
11-30 693
BUUCTF-2019红帽easyRE
BUUCTF-reverse-五道较简单题
feng_2016的博客
05-14 2058
[GWCTF 2019]xxor 比较简单,就是Tea加密变种 Tea加密可以到ctfwiki学习,解密原理是逆向求解 解密最好用c语言写,python写有点麻烦 [GUET-CTF2019]re 逻辑很简单,就是比对 注意v[16]和v[17]位置调换了 少个v[6]爆破即可 [V&N2020 公开赛]strangeCpp 关注不合理的夹杂数据 通过welcome字符串中不合理的夹杂数据定位到关键函数 __int64 sub_140013580() { __int64 *v0; // rdi
BUUCTF逆向的一些WP(4)
qq_62188797的博客
07-06 694
目录[GWCTF 2019]pyre[ACTF新生赛2020]easyre[ACTF新生赛2020]romeCrackRTF[FlareOn4]login[2019红帽]easyRE是pyc文件,可以用反编译工具,我这里是在线反编译,地址。 直接写脚本: [ACTF新生赛2020]easyre upx壳脱掉后 v6 = "ACTF{}",v5为括号中的内容,至于为什么是,我认为是靠猜和经验,伪代码本身不难。_data_start是字符串(这样伪代码才合理),其中有几个十六进制数要转为字符脚本
buuctf刷题记录
mackilo的博客
02-19 4205
2022-1-16 reverse2 扔到IDA64里解析, F5生成伪代码 通过分析得出经过一定的变换后与flag进行比较的 查看flag的值,是{hacking_for_fun} 再返回前面看如何对flag进行变换的,将105、114、49转换成值, 箭头所指的函数功能为,把flag中存在的’i’以及’r’转换成’1’,进而得出正确flag。 2022-1-17 内涵的软件 下载好以后发现是乱码的exe文件,拖到ExeinfoPE里查看信息, 没有加壳,用IDA打开,查看main函数 可以看到跳
re学习笔记(25)BUUCTF-re-[2019红帽]easyRE
逆向随笔
01-12 4016
[2019红帽]easyRE 新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:BUUCTF-re-[2019红帽]childRE 题目下载:点击下载 IDA64位载入,shift+F12查看字符串,然后双击过去 "x"键交叉引用,切换到关键代码 F5反汇编显示 截取的部分代码 int i; // [rsp+Ch] [rbp-114h] char str0[36]; // [r...
BUUCTF-[2019红帽]easyRE(Reverse逆向)
最新发布
书山有路勤为径,学海无涯苦作舟
10-13 1145
(29条消息) 2019 红帽 easyRE_[2019红帽]easyre_mishixiaodai的博客-优快云博客(29条消息) BUUCTF-re-[2019红帽]easyRE_T1M@的博客-优快云博客2019 红帽 Re WP - Hk_Mayfly - 博客园 (cnblogs.com)(29条消息) re学习笔记(25)BUUCTF-re-[2019红帽]easyRE_buuctf re题_Forgo7ten的博客-优快云博客再写是因为自己再复现了一遍,希望加深印象,增强理解。
[2019红帽]easyRE 分析与自省
Tokameine的博客
06-24 568
稍微......有那么一点离谱 程序无壳,可以直接放入IDA,通过字符串找到如下函数: __int64 sub_4009C6() { __int64 result; // rax int i; // [rsp+Ch] [rbp-114h] __int64 v2; // [rsp+10h] [rbp-110h] __int64 v3; // [rsp+18h] [rbp-108h] __int64 v4; // [rsp+20h] [rbp-100h] __int...
[2019红帽]easyRE writeup
HLi1219的博客
11-25 209
很想挑战难题,发现自己连writeup也看不懂 用64bit的ida打开,查找字符 找到函数: signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8 __int64 v5; // ST30_8 __int64 v6; // ST.
[BUUCTF]REVERSE——[2019红帽]easyRE
mcmuyanga的博客
11-15 1418
[2019红帽]easyRE 附件 步骤: ida载入,没有main函数,就先检索了程序里的字符串 发现了base64加密的特征字符串,双击you found me跟进,找到了调用它的函数,函数很长,我们分开看 首先我们输入的数据与它下表异或后等于数组a 数组a里的值,一开始ida分析出来是v17这种的参数,我改了一部分,太多了没有全部修改完,它这边定义了一个长度为36的数组,数值看图 先写个异或脚本,看一下我们输入的字符串是什么 a = [73,111,100,108,62,81,110,98
[攻防世界]EasyRE
逆向萌新的博客
06-23 595
[攻防世界]EasyRE
easyre-153 WP
qq_41252520的博客
09-01 702
前言 这个程序逆向起来还是挺懵逼的。一向我都是习惯了程序有提示输入,然后输出结果。程序的路径很多,找到正确路径花费了比较长的时间,我就直接说正确的做法了。 分析 IDA打开,动态调试,跟踪到: 需要强制执行 if 里的代码块,当执行到(注意:此句代码还未执行): 将同目录下生成的 AAAAA 开头的文件拖入IDA: 程序会创建一个管道,然后开启一个子进程进行进程间通信。子进程将 698...
BUUCTF [ACTF新生赛2020]easyre 从0开始
weixin_51660080的博客
01-11 1032
[ACTF新生赛2020]easyre 从0开始
EasyRE
怪味巧克力的博客
06-03 660
0x01 首先拿到一个exe执行程序,无壳,我们先运行一下,发现只要输入结果后就会退出,那看来是我们输入的不正确就会退出 由于是exe程序,所以我首先进行的是debug动态调试,因为有输入就会有与正确密码的对比,所以我先看看它的正确密码有没有进行加密算法加密 0x02 动态调试: 一、搜索字符串 我们看到有right,有pause,所以这个上面肯定有对比,然后我们可以在这个上面函数入口处下断,经过调试发现,这里的密码是被算法加密过的,所以无法直接看到。 二、跟进函数 进去主函数,是上图的这段代码,那么
【BUGKU】easy_re
chen64515的博客
03-25 653
【BUGKU】easy_re尝试IDA 提示: flag格式:DUTCTF{xxxx} Hint: 1.逆向常用的工具有IDA 、ollydbg 地址 尝试 要输入一个flag串,尝试输入失败,根据提示使用IDA查找flag。 IDA 将文件拖入IDA中,按F5进行反编译(提示没有Decompiler,是安装的IDA不带反编译插件,找带的版本重新安装)得到c代码: int __cdecl m...
红帽HornetQ中文手册详尽指南
红帽HornetQ是一款开源的企业级消息传递系统,它提供了高性能、可扩展和可靠的解决方案。HornetQ是一个完全支持JMS规范的消息代理,支持同步和异步消息传递,并且其设计目标是提供高可用性和容错性。它在企业中用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

chneft

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值