CTF-RE-What

最新推荐文章于 2024-12-11 19:41:06 发布
原创 最新推荐文章于 2024-12-11 19:41:06 发布 · 818 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

首先我们用FileAnalysisv判断文件可能的格式,可知极有可能是win32下的Exe文件,于是我们加上拓展名.exe,于是可以正常打开这个程序,如下:

然后把它扔进ida进行反汇编,根据伪代码的特性可以大致断定是一个C++写出的程序,其中main函数的伪代码如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp+1Ch] [ebp-48h]
  int v5; // [esp+20h] [ebp-44h]
  char v6[32]; // [esp+24h] [ebp-40h]
  char v7; // [esp+44h] [ebp-20h]
  int v8; // [esp+45h] [ebp-1Fh]
  __int16 v9; // [esp+49h] [ebp-1Bh]
  char v10; // [esp+4Bh] [ebp-19h]
  int k; // [esp+4Ch] [ebp-18h]
  int j; // [esp+50h] [ebp-14h]
  int i; // [esp+54h] [ebp-10h]
  int v14; // [esp+58h] [ebp-Ch]
  int v15; // [esp+5Ch] [ebp-8h]

  __main();
  v8 = 0;
  v9 = 0;
  v10 = 0;
  memset(v6, 0, sizeof(v6));
  v7 = 0;
  v5 = 0;
  v4 = 0;
  v15 = 0;
  v14 = 0;
  printf("Please input your luck string:");
  scanf("%s", &v8);
  if ( strlen((const char *)&v8) != 6 )//限制输入的luckstring长度为6
    return 0;
  for ( i = 0; i <= 5; ++i )
  {
    if ( *((_BYTE *)&v8 + i) <= 96 || *((_BYTE *)&v8 + i) > 122 )
      return 0;
  }//限制luckstring全部由小写字母组成
  getMD5((char *)&v8, v6);//对luckstring进行md5加密存进V6数组
  for ( j = 0; j <= 31; ++j )//可初步断定加密后数组长度为32位
  {
    if ( v6[j] == 48 )//v15记录为0的位置个数
    {//v14记录所有为0的位置编号的和
      ++v15;
      v14 += j;
    }
  }
  if ( 10 * v15 + v14 == 403 )//表达式为403的时候进行加密和decode函数
  {
    for ( k = 0; k <= 3; ++k )
    {
      *((_BYTE *)&v5 + k) = v6[k];
      *((_BYTE *)&v4 + k) = v6[k + 28];
    }
    decode((unsigned __int8 *)&v4);
  }
  check((unsigned __int8 *)&v5);
  return 0;
}

虽然我们不知道flag是什么时候出现的,但是decode函数是编码函数这一点没有问题。所以我们首先探索什么样的luck string满足if表达式中的条件。

首要的任务是md5加密。这里有两种方法,第一种是点getMD5函数然后用C++逐层分析出来加密源代码,然后分6层枚举luckstring。但是由于本人代码能力较弱,还原出来的getMD5函数BUG太多,所以我选择了用Java里面自带的MD5加密方法:

package md5;
 
import java.math.BigInteger;
import java.security.MessageDigest;
 
public class AppMD5Util {
    public static String MD5(String s) {
        char hexDigits[]={'0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f'};   
        try {
            byte[] btInput = s.getBytes();
            MessageDigest mdInst = MessageDigest.getInstance("MD5");
            mdInst.update(btInput);
            byte[] md = mdInst.digest();
            int j = md.length;
            char str[] = new char[j * 2];
            int k = 0;
            for (int i = 0; i < j; i++) {
                byte byte0 = md[i];
                str[k++] = hexDigits[byte0 >>> 4 & 0xf];
                str[k++] = hexDigits[byte0 & 0xf];
            }
            return new String(str);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }
         public static void main(String[] args) {
              for(int i1=97;i1<=122;i1++)
            	  for(int i2=97;i2<=122;i2++)
            		  for(int i3=97;i3<=122;i3++)
            		  	  for(int i4=97;i4<=122;i4++)
            		  		  for(int i5=97;i5<=122;i5++)
            		  			  for(int i6=97;i6<=122;i6++) {
            		  				  char a=(char)i1,b=(char)i2,c=(char)i3;
            		  				  char d=(char)i4,e=(char)i5,f=(char)i6;
            		  				  String temp=a+""+b+""+c+""+d+""+e+""+f;
            		  				  String code=MD5(temp);
            		  				  char[] Code=code.toCharArray();
            		  				  int cnt2=0,cnt1=0;
            		  				  for(int i=0;i<=31;i++)
            		  					  if(Code[i]==48) {
            		  						  cnt2++;cnt1+=i;
            		  					  }
            		  				  System.out.println(temp);
            		  				  if(10*cnt2+cnt1==403) {
            		  					  System.out.println(temp);
            		  					  System.exit(0);
            		  				  }
            		  					
            		  			  }
        	 /*String temp="ozulmt";
        	 System.out.println(MD5(temp));*/
    }
}

等待的时间可能比较长,但是跑出来"ozulmt"还是没问题的,这就是我们需要的luckstring。在输入之后,程序又提示我们输入flag。

我们首先打印出md5加密后的luckstring(被程序存在v6中):0ec448d42dbf0000c020c0000048010e

接着我们把main函数里面的v4,v5数组计算出来,这个很容易知道他们分别是v6开头4个元素和结尾4个元素

v4="010e",v5="0ec4"

然后我们自然会想到点进后面的decode和check函数里面,但是进入decode之后我们发现它使用了check函数的指针,点进check函数之后发现竟然只有一个return。我们再来分析decode函数

// write access to const memory has been detected, the output may be wrong!
signed int __cdecl decode(unsigned __int8 *a1)
{
  signed int result; // eax
  signed int j; // [esp+24h] [ebp-14h]
  signed int i; // [esp+28h] [ebp-10h]
  unsigned int v4; // [esp+2Ch] [ebp-Ch]

  v4 = 0;
  for ( i = 0; i <= 3; ++i )
    v4 += a1[i];
  srand(v4);//种子是一定的,产生随机数的顺序是一定的,说明check函数在以后的进程中可以被还原
  *(_BYTE *)check ^= 0x96u;
  for ( j = 1; ; ++j )
  {
    result = j;
    if ( j >= 305 )
      break;
    *((_BYTE *)check + j) ^= rand();
  }
  return result;
}

我们发现这个decode函数居然是给check函数还原用的……不过总归找到了方向,我们在x32dbg中动态调试,跟到decode函数内部,并且密切关注Check函数地址。最后我们终于能够进入check函数的汇编代码

0040262 | 55                      | push ebp                                |
0040262 | 89 E5                   | mov ebp,esp                             |
0040262 | 57                      | push edi                                |
0040262 | 53                      | push ebx                                |
0040262 | 83 C4 80                | add esp,FFFFFF80                        |
0040262 | C7 45 F4 00 00 00 00    | mov dword ptr ss:[ebp-C],0              |
0040263 | C7 45 F0 00 00 00 00    | mov dword ptr ss:[ebp-10],0             |
0040263 | 83 7D F0 03             | cmp dword ptr ss:[ebp-10],3             |
0040264 | 7F 17                   | jg what.402659                          |
0040264 | 8B 55 F0                | mov edx,dword ptr ss:[ebp-10]           |
0040264 | 8B 45 08                | mov eax,dword ptr ss:[ebp+8]            |
0040264 | 01 D0                   | add eax,edx                             |
0040264 | 0F B6 00                | movzx eax,byte ptr ds:[eax]             |
0040264 | 0F B6 C0                | movzx eax,al                            |
0040265 | 01 45 F4                | add dword ptr ss:[ebp-C],eax            |
0040265 | 83 45 F0 01             | add dword ptr ss:[ebp-10],1             |
0040265 | EB E3                   | jmp what.40263C                         |
0040265 | 8B 45 F4                | mov eax,dword ptr ss:[ebp-C]            |
0040265 | 89 04 24                | mov dword ptr ss:[esp],eax              | [esp]:0ec40ec448d42dbf0000c020c0000048010e
0040265 | E8 C6 FD FF FF          | call what.40242A                        |
0040266 | 8D 45 95                | lea eax,dword ptr ss:[ebp-6B]           |
0040266 | B9 21 00 00 00          | mov ecx,21                              |
0040266 | BB 00 00 00 00          | mov ebx,0                               |
0040267 | 89 18                   | mov dword ptr ds:[eax],ebx              |
0040267 | 89 5C 08 FC             | mov dword ptr ds:[eax+ecx-4],ebx        |
0040267 | 8D 50 04                | lea edx,dword ptr ds:[eax+4]            |
0040267 | 83 E2 FC                | and edx,FFFFFFFC                        |
0040267 | 29 D0                   | sub eax,edx                             |
0040267 | 01 C1                   | add ecx,eax                             |
0040268 | 83 E1 FC                | and ecx,FFFFFFFC                        |
0040268 | C1 E9 02                | shr ecx,2                               |
0040268 | 89 D7                   | mov edi,edx                             |
0040268 | 89 D8                   | mov eax,ebx                             |
0040268 | F3 AB                   | rep stosd dword ptr es:[edi],eax        |
0040268 | C7 04 24 01 00 00 00    | mov dword ptr ss:[esp],1                | [esp]:0ec40ec448d42dbf0000c020c0000048010e
0040269 | E8 32 FD FF FF          | call what.4023CB                        |
0040269 | 8D 45 B6                | lea eax,dword ptr ss:[ebp-4A]           |
0040269 | 89 04 24                | mov dword ptr ss:[esp],eax              | [esp]:0ec40ec448d42dbf0000c020c0000048010e
0040269 | E8 AD FD FF FF          | call what.402451                        |
004026A | 8D 45 B6                | lea eax,dword ptr ss:[ebp-4A]           |
004026A | 89 04 24                | mov dword ptr ss:[esp],eax              | [esp]:0ec40ec448d42dbf0000c020c0000048010e
004026A | E8 BE FD FF FF          | call what.40246D                        |
004026A | C7 45 EC 00 00 00 00    | mov dword ptr ss:[ebp-14],0             |
004026B | 83 7D EC 1F             | cmp dword ptr ss:[ebp-14],1F            |
004026B | 7F 25                   | jg what.4026E1                          |
004026B | C7 04 24 10 00 00 00    | mov dword ptr ss:[esp],10               | [esp]:0ec40ec448d42dbf0000c020c0000048010e
004026C | E8 76 FD FF FF          | call what.40243E                        |
004026C | 0F B6 80 60 60 40 00    | movzx eax,byte ptr ds:[eax+406060]      | eax+406060:"0123456789abcdef"
004026C | 89 C1                   | mov ecx,eax                             |
004026D | 8D 55 95                | lea edx,dword ptr ss:[ebp-6B]           |
004026D | 8B 45 EC                | mov eax,dword ptr ss:[ebp-14]           |
004026D | 01 D0                   | add eax,edx                             |
004026D | 88 08                   | mov byte ptr ds:[eax],cl                |
004026D | 83 45 EC 01             | add dword ptr ss:[ebp-14],1             |
004026D | EB D5                   | jmp what.4026B6                         |
004026E | C7 45 F4 00 00 00 00    | mov dword ptr ss:[ebp-C],0              |
004026E | C7 45 E8 00 00 00 00    | mov dword ptr ss:[ebp-18],0             |
004026E | 8D 45 B6                | lea eax,dword ptr ss:[ebp-4A]           |
004026F | 89 04 24                | mov dword ptr ss:[esp],eax              | [esp]:0ec40ec448d42dbf0000c020c0000048010e
004026F | E8 BE FC FF FF          | call what.4023B8                        |
004026F | 3B 45 E8                | cmp eax,dword ptr ss:[ebp-18]           |
004026F | 0F 9F C0                | setg al                                 |
0040270 | 84 C0                   | test al,al                              |
0040270 | 74 2A                   | je what.40272E                          |
0040270 | 8D 55 B6                | lea edx,dword ptr ss:[ebp-4A]           |
0040270 | 8B 45 E8                | mov eax,dword ptr ss:[ebp-18]           |
0040270 | 01 D0                   | add eax,edx                             |
0040270 | 0F B6 10                | movzx edx,byte ptr ds:[eax]             |
0040270 | 8D 4D 95                | lea ecx,dword ptr ss:[ebp-6B]           |
0040271 | 8B 45 E8                | mov eax,dword ptr ss:[ebp-18]           |
0040271 | 01 C8                   | add eax,ecx                             |
0040271 | 0F B6 00                | movzx eax,byte ptr ds:[eax]             |
0040271 | 38 C2                   | cmp dl,al                               |
0040271 | 75 06                   | jne what.402724                         |
0040271 | 83 45 F4 01             | add dword ptr ss:[ebp-C],1              |
0040272 | EB 04                   | jmp what.402728                         |
0040272 | 83 45 F4 64             | add dword ptr ss:[ebp-C],64             |
0040272 | 83 45 E8 01             | add dword ptr ss:[ebp-18],1             |
0040272 | EB C1                   | jmp what.4026EF                         |
0040272 | 83 7D F4 20             | cmp dword ptr ss:[ebp-C],20             |
0040273 | 75 09                   | jne what.40273D                         |
0040273 | C7 45 F4 02 00 00 00    | mov dword ptr ss:[ebp-C],2              |
0040273 | EB 07                   | jmp what.402744                         |
0040273 | C7 45 F4 03 00 00 00    | mov dword ptr ss:[ebp-C],3              |
0040274 | 8B 45 F4                | mov eax,dword ptr ss:[ebp-C]            |
0040274 | 89 04 24                | mov dword ptr ss:[esp],eax              | [esp]:0ec40ec448d42dbf0000c020c0000048010e
0040274 | E8 7C FC FF FF          | call what.4023CB                        |
0040274 | 90                      | nop                                     |
0040275 | 83 EC 80                | sub esp,FFFFFF80                        |
0040275 | 5B                      | pop ebx                                 |
0040275 | 5F                      | pop edi                                 |
0040275 | 5D                      | pop ebp                                 |
0040275 | C3                      | ret                                     |

这段代码,确实特别恶心……但是这也确实是最后一个我们需要攻克的难关。这里我借鉴一下吾爱破解的一筐萝卜用户的check函数伪代码:

我们看到check函数内部有几个新的函数,不过这些函数都是没有加密的,在ida里可以直接进入这些函数(即便check函数没有恢复)。printfs函数根据参数的值输出不同的字符串提示内容,checkht函数是检查我们输入的flag的格式是否正确……这些都是小问题了(对比前面的过程)

最后大概就可以愉快的拿到flag辣!

总之,CTF比赛和OI比赛区别还是很大的,但是CTF比赛有的时候也需要OI功底。十分庆幸我选择了RE方向,还算不错的算法能力给我带来了很多的好处,但是知识面单一的问题也很限制我的发展。

170920 逆向-CTF练习平台(RE-love)
whklhhhh的博客
09-21 3243
1625-5 王子昂 总结《2017年9月20日》 【连续第353天总结】 A. CTF练习平台-RE B.love偶然看到这个平台,找了下RE,只有四题 看起来都很简单 粗略观察了一下Solves数,前三题都高达数百,最后一题却只有五个解决 嗯……有挑战性!做了!下下来先查壳,果然没有 拖入IDA 没有找到main函数,start里也没有东西Shift+f12查看字符串,发现了”pl
CTF】攻防世界·Reverse(二)open-source
nailaoi的博客
12-02 502
Hello,又是我,我又双叒叕被催更了...... 首先看一下题目给我们的c语言的源代码: #include <stdio.h> #include <string.h> int main(int argc, char *argv[]) { if (argc != 4) { printf("what?\n"); exit(1); } unsigned int first = atoi(argv[1]); if (first
CTF What-is-this
热门推荐
艺博东的博客
10-01 1万+
题目描述: 找到FLAG 题目附件: 附件1 1、附件1 链接:https://pan.baidu.com/s/1hiGglfTDAssjdm-apC4xLw 提取码:82le 2、文件 3、把文件拷贝到kail Linux 4、tar -xvf e66ea8344f034964ba0b3cb9879996ff.gz 5、拷贝到win—>用“Stegsolve”软件打开这两张图片 6、OK AZADI TOWER (温馨提示:这题答案的形式为裸交) ...
CTF-RE 笔记汇总
逆向随笔
04-02 2987
做了笔记从来不看系列……丢云端清本地了 文章目录滴水2015-01-12(进制01)2015-01-13(进制01)2015-01-14(数据宽度_逻辑运算)2015-01-15(通用寄存器_内存读写)2015-01-16(内存地址_堆栈)2015-01-19(标志寄存器)2015-01-20(JCC补录)2015-01-23(C语言完整版)2015-01-26 (c语言02_数据类型)2015-02-05 (结构体 字节对齐)2015-02-06 (switch语句反汇编)指针位运算汇编笔记第二章 寄存器
[CTF-攻防世界]What-is-this
Luistin的博客
01-14 824
1.下载完发现后缀名为gz,我们将后缀名直接修改为zip,就可以在windows里面打开了,然后发现zip里面还有个zip,最后一个zip里面有两张图片。2.使用StegSolve的Image Combiner,选择pic2.jpg。
RE-CTF_100
iris的博客
10-11 1073
安装并打开apk之后,发现题目为爬到指定的楼层然后才能显示FLAG: 先使用JEB2反编译apk查看逻辑: 爬一层楼的点击事件:首先已爬楼层数+1并更新已爬楼层数,紧接着判断是否达到要爬楼层数,如果达到,就设置爬到了,看FLAG的点击结果为true。 最终看到FLAG按钮的点击事件,可以看到最终的返回FLAG方法在native层实现。我们可以使用IDA进行分析。 onCreate方法的实现...
CTF|BugkuCTF-WEB解题思路
这里是一处长期不更新的博客
06-15 2325
截止至练习题【login4】,仅提供解题思路。 WEB2 按F12直接可得flag 计算器: 直接按F12,将maxlength修改,输入正确结果即可得到flag web基础$_GET URL输入:http://123.206.87.240:8002/get/?what=flag web基础$_POST 使用hackbar工具,按F12,打开Post data,传递what=flag。 矛盾 这里是使用is_numeric遇到%00截断的漏洞,这里构造 http://120.24.86.145:8002.
攻防世界-re4-unvm-me
qq_70851535的博客
11-14 608
逆向题目分析
攻防世界Reverse进阶区-re4-unvm-me-writeup
y4ung
11-05 1045
1. 介绍 本题是xctf攻防世界中Reverse的进阶区的题re4-unvm-me 题目来源: alexctf-2017 2. 分析 文件是一个pyc文件,将该文件上传到pyc反编译网站中,得到源代码: # uncompyle6 version 3.5.0 # Python bytecode 2.7 (62211) # Decompiled from: Python 2.7.5 (default, Aug 7 2019, 00:51:29) # [GCC 4.8.5 20150623 (Re
CTF.SHOW刷题-CRYPTO
weixin_52108340的博客
02-22 1482
CRTPTO板块。
2018南宁ctf RE题目
12-18
2018年4道南宁CTF RE题目,有Windows逆向也有linux逆向
ctf逆向解题——re1-附件资源
03-05
ctf逆向解题——re1-附件资源
CTF-----RE新手练习(一)
qq_45671431的博客
04-17 3239
学习打卡篇七 ** IDA ** IDA是一款交互式反汇编工具,亦是是典型的递归下降反汇编器,是逆向学习的必备工具之一,IDA全称为Interactive Disassembler Professional。 官方下载地址 IDA常用快捷键: 空格键:切换文本视图与图表视图 ESC:返回上一个操作地址 G:搜索地址和符号 N:对符号,或变量进行重命名 分号键:在反汇编后的界面中写下注释 Alt...
re,从0开始的ctf世界
最新发布
2402_88421802的博客
12-11 272
发现其中与flag相似,使用凯撒密码进行解密,得到flag。下载插件,并将其放入ida中,使用f5查看伪代码。
2017nsctf RE
snowleopard_bin的博客
03-17 759
第一次不看任何参考资料的情况下(关键是在网上找writeup也找不到)做出一道逆向题,特此记录直接拖进IDA找到关键字符串Congrs,点进去看函数理解下函数逻辑:v13=10-&gt;循环10次Congras后面的v4应该就是结果要使v14!=0,就要是37行中v9==v12^v8v12的形成过程就是循环i次计算v8可以理解成v4,就是结果v9是byte_6B4270字符串,进去看看是什么好了,...
[CTF Re] easyxor.exe
輚至消亡
08-01 693
这是adword的一道题目。
CTF-RE-JustRE (2019第三届强网杯)
SuperGate的博客
06-06 1911
首先IDA点开进行静态分析: 发现判断函数sub_401610,点进去看之后发现很长一串……前面比较好说,是将前8位字符变hex放入eax寄存器中,第9,10位变hex放入ch(还是dh?)中 然后再往下面拉,可以看到很多SSE指令集,但是不是很复杂,网上可以搜到,发现都是一些比较基础数位操作。 这个地方的v27在后面会频繁用到,值为第9,10位变hex后的128位填充 这里是对...
CTF-RE-Evil exe(Jarvis OJ)
SuperGate的博客
03-02 597
做此题需要的预备知识:ESP定律脱壳。如下网站介绍的比较详细且易懂,适合初学者了解: https://blog.youkuaiyun.com/qiurisuixiang/article/details/7649799 扔进ida发现没有函数,只有一堆乱码。于是猜测可能有壳。用OD打开分析一波: 根据 esp定律,我们f8到pushad的下一条指令,记录此时esp的值,并在此处下硬件访问断点。 ...
CTF_RE典例
2302_79135465的博客
05-29 660
macOS 系统中的一个隐藏文件夹,通常在压缩文件(如 ZIP)中会出现。这个文件夹主要用于存储与文件系统相关的元数据,例如资源派生信息、文件权限等。0,1,2,3 不变, 4 , 5 ,6,7只异或Str[0], 8,9,10,11要先后异或Str[0],Str[1]有时候uncompyle6后会报错,可能是文件头的问题,要找到对应python版本对应的。最近好几个题都遇到了二叉树 ,嗯,明天学了再继续写。看了一下别人的wp:发现是数独游戏,不能一样嘛。需要conda工具创建环境。
CTF-RE活动中Android平台的首次出题经验分享
资源摘要信息:"CTF-RE第一次出题记录" 知识点概述: 本次记录是关于为CTF(Capture The Flag,夺旗赛)竞赛设计的逆向工程(RE)题目。CTF竞赛中的逆向工程题目通常要求参赛者分析和理解特定的应用程序或程序的二...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值