CISCN RE 部分wp

最新推荐文章于 2024-06-10 18:26:28 发布
最新推荐文章于 2024-06-10 18:26:28 发布
阅读量332 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lucky_boyQAQ/article/details/117003979
版权

CISCN re 部分wp

glass

jeb打开,发现加密过程在so文件里面

ida看so文件

查看自己的加密函数

解密1


	unsigned char flag[39]={ 0xA3, 0x1A, 0xE3, 0x69, 0x2F, 0xBB, 0x1A, 0x84, 0x65, 0xC2, 
	  0xAD, 0xAD, 0x9E, 0x96, 0x05, 0x02, 0x1F, 0x8E, 0x36, 0x4F, 
	  0xE1, 0xEB, 0xAF, 0xF0, 0xEA, 0xC4, 0xA8, 0x2D, 0x42, 0xC7, 
	  0x6E, 0x3F, 0xB0, 0xD3, 0xCC, 0x78, 0xF9, 0x98, 0x3F,};
	char key[]="12345678";
	#include<stdio.h>
	
	int main()
	{
		int i,j,k,a,b,c;
		int len_key=8,len_flag=39;
		unsigned char *p=flag;
		
		for ( j = 0; j < len_flag; j += len_key )
		{
			for ( k = 0; (len_key & ~(len_key >> 31)) != k && j + k < len_flag; ++k )
		      p[k]^=key[k];
		    p += len_key;
		}
		
		for(i=0;i<len_flag;i+=3)
		{
		    a = flag[i];
		    b = flag[i+1];
		    c = flag[i+2];
		    
	//	    flag[i] = a ^ c;
	//	    flag[i+1] = b ^ a ^ c;
	//	    flag[i+2] = c ^ b;
	
		    flag[i+1] = b ^ a;
		    flag[i+2]=flag[i+2] ^  flag[i+1];
		    flag[i] = flag[i]^flag[i+2];
	  
		}
		for(i=0;i<39;i++)
		{
			printf("0x%02x,",flag[i]);
		}
	 } 
	//0xf8,0xba,0x6a,0x97,0x47,0xca,0xe8,0x91,0xc5,0x07,0x6e,0xf7,0x92,0x0b,0x39,0x92,0x14,0xa8,0xaf,0x7e,0xaa,0x50,0x45,0x8d,0x6d,0x2d,0xb6,0x86,0x6e,0x9f,0x86,0x5e,0xdf,0xb3,0x1e,0x52,0xa6,0x62,0x6a

rc4解密,也可以动调出要异或的对应值,回头学学怎么动调so文件


	#include<stdio.h>
	#include<string.h>
	typedef unsigned longULONG;
	
	void rc4_init(unsigned char*s, unsigned char*key, unsigned long Len)
	{
	    int i = 0, j = 0;
	    char k[256] = { 0 };
	    unsigned char tmp = 0;
	    for (i = 0; i<256; i++)
	    {
	        s[i] = i;
	        k[i] = key[i%Len];
	    }
	    for (i = 0; i<256; i++)
	    {
	        j = (j + s[i] + k[i]) % 256;
	        tmp = s[i];
	        s[i] = s[j];
	        s[j] = tmp;
	    }
	}
	
	
	void rc4_crypt(unsigned char*s, unsigned char*Data, unsigned long Len)
	{
	    int i = 0, j = 0, t = 0;
	    unsigned long k = 0;
	    unsigned char tmp;
	    for (k = 0; k<Len; k++)
	    {
	        i = (i + 1) % 256;
	        j = (j + s[i]) % 256;
	        tmp = s[i];
	        s[i] = s[j];
	        s[j] = tmp;
	        t = (s[i] + s[j]) % 256;
	        Data[k] ^= s[t];
	    }
	}
	
	int main()
	{
	    unsigned char s[256] = { 0 }, s2[256] = { 0 };//S-box
	    char key[256] = { "12345678" };
	    char pData[512] = {0xf8, 0xba, 0x6a, 0x97, 0x47, 0xca, 0xe8, 0x91, 0xc5, 0x07, 0x6e, 0xf7, 0x92, 0x0b, 0x39, 0x92, 0x14, 0xa8, 0xaf, 0x7e, 0xaa, 0x50, 0x45, 0x8d, 0x6d, 0x2d, 0xb6, 0x86, 0x6e, 0x9f, 0x86, 0x5e, 0xdf, 0xb3, 0x1e, 0x52, 0xa6, 0x62, 0x6a};
	    unsigned long len = strlen(pData);
	    int i;
	
	    rc4_init(s, (unsigned char*)key, strlen(key));
	    for (i = 0; i<256; i++)
	    {
	        s2[i] = s[i];
	    }
	
	    rc4_crypt(s2, (unsigned char*)pData, len);
	    printf("pData=%s", pData);
	    return 0;
	}
	//CISCN{6654d84617f627c88846c172e0f4d46c}

baby_bc

bc文件为llvm字节码的二进制形式。

通过下面的指令转为elf


	clang -S -fobj-arc xxx.bc -o xxx.s
	
	clang xxx.s -o xxx

然后动调分析流程,发现是一个5*5的数独数组来作为flag,要满check里面的条件。

fill_number()
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tx3NDpNx-1621353964787)(https://i.loli.net/2021/05/18/KqyRZPi4L1XMVsb.png)]
docheck(),这个函数就是限制函数,行列的数必须满足一些大小关系


	__int64 docheck()
	{
	  char v1; // [rsp+2Eh] [rbp-9Ah]
	  __int64 v2; // [rsp+30h] [rbp-98h]
	  __int64 v3; // [rsp+40h] [rbp-88h]
	  __int64 v4; // [rsp+50h] [rbp-78h]
	  __int64 v5; // [rsp+58h] [rbp-70h]
	  char *v6; // [rsp+68h] [rbp-60h]
	  __int64 v7; // [rsp+70h] [rbp-58h]
	  char v8; // [rsp+7Fh] [rbp-49h]
	  char *v9; // [rsp+88h] [rbp-40h]
	  __int64 v10; // [rsp+90h] [rbp-38h]
	  __int64 v11; // [rsp+98h] [rbp-30h]
	  __int64 v12; // [rsp+A8h] [rbp-20h]
	  char v13[6]; // [rsp+BCh] [rbp-Ch] BYREF
	  char v14[6]; // [rsp+C2h] [rbp-6h] BYREF
	
	  v12 = 0LL;
	  do
	  {
	    v10 = v12;
	    sub_401050(v14, 0LL, 6LL);
	    v9 = &v14[(unsigned __int8)map[5 * v12]];
	    if ( *v9
	      || (*v9 = 1, v14[(unsigned __int8)map[5 * v12 + 1]])
	      || (v14[(unsigned __int8)map[5 * v12 + 1]] = 1, v14[(unsigned __int8)map[5 * v12 + 2]])
	      || (v14[(unsigned __int8)map[5 * v12 + 2]] = 1, v14[(unsigned __int8)map[5 * v12 + 3]])
	      || (v14[(unsigned __int8)map[5 * v12 + 3]] = 1, v14[(unsigned __int8)map[5 * v12 + 4]]) )
	    {
	      v8 = 0;
	      return v8 & 1;
	    }
	    ++v12;
	  }
	  while ( v10 + 1 < 5 );
	  v11 = 0LL;
	  while ( 1 )
	  {
	    v7 = v11;
	    sub_401050(v13, 0LL, 6LL);
	    v6 = &v13[(unsigned __int8)map[v11]];
	    if ( *v6 )
	      break;
	    *v6 = 1;
	    if ( v13[(unsigned __int8)byte_404055[v11]] )
	      break;
	    v13[(unsigned __int8)byte_404055[v11]] = 1;
	    if ( v13[(unsigned __int8)byte_40405A[v11]] )
	      break;
	    v13[(unsigned __int8)byte_40405A[v11]] = 1;
	    if ( v13[(unsigned __int8)byte_40405F[v11]] )
	      break;
	    v13[(unsigned __int8)byte_40405F[v11]] = 1;
	    if ( v13[(unsigned __int8)byte_404064[v11]] )
	      break;
	    ++v11;
	    if ( v7 + 1 >= 5 )
	    {
	      v5 = 0LL;
	      while ( 1 )
	      {
	        v4 = v5;
	        if ( row[4 * v5] == 1 )                 // v5=1 v5=4
	        {
	          if ( (unsigned __int8)map[5 * v5] < (unsigned __int8)map[5 * v5 + 1] )
	            goto LABEL_27;
	        }
	        else if ( row[4 * v5] == 2 && (unsigned __int8)map[5 * v5] > (unsigned __int8)map[5 * v5 + 1] )// v5=2
	        {
	LABEL_27:
	          v8 = 0;
	          return v8 & 1;
	        }
	        if ( byte_404071[4 * v5] == 1 )         // no
	        {
	          if ( (unsigned __int8)map[5 * v5 + 1] < (unsigned __int8)map[5 * v5 + 2] )
	            goto LABEL_27;
	        }
	        else if ( byte_404071[4 * v5] == 2 && (unsigned __int8)map[5 * v5 + 1] > (unsigned __int8)map[5 * v5 + 2] )// no
	        {
	          goto LABEL_27;
	        }
	        if ( byte_404072[4 * v5] == 1 )         // v5=4
	        {
	          if ( (unsigned __int8)map[5 * v5 + 2] < (unsigned __int8)map[5 * v5 + 3] )
	            goto LABEL_27;
	        }
	        else if ( byte_404072[4 * v5] == 2 && (unsigned __int8)map[5 * v5 + 2] > (unsigned __int8)map[5 * v5 + 3] )// no
	        {
	          goto LABEL_27;
	        }
	        if ( byte_404073[4 * v5] == 1 )         // v5=2 v5=0
	        {
	          if ( (unsigned __int8)map[5 * v5 + 3] < (unsigned __int8)map[5 * v5 + 4] )
	            goto LABEL_27;
	        }
	        else if ( byte_404073[4 * v5] == 2 && (unsigned __int8)map[5 * v5 + 3] > (unsigned __int8)map[5 * v5 + 4] )// no
	        {
	          goto LABEL_27;
	        }
	        ++v5;
	        if ( v4 + 1 >= 5 )
	        {
	          v3 = 0LL;
	          while ( 1 )
	          {
	            v2 = v3 + 1;
	            if ( col[5 * v3] == 1 )             // no
	            {
	              v1 = 0;
	              if ( (unsigned __int8)map[5 * v3] > (unsigned __int8)map[5 * v2] )
	                goto LABEL_26;
	            }
	            else if ( col[5 * v3] == 2 )        // no
	            {
	              v1 = 0;
	              if ( (unsigned __int8)map[5 * v3] < (unsigned __int8)map[5 * v2] )
	              {
	LABEL_26:
	                v8 = v1;
	                return v8 & 1;
	              }
	            }
	            if ( byte_404091[5 * v3] == 1 )     // v3=3
	            {
	              v1 = 0;
	              if ( (unsigned __int8)map[5 * v3 + 1] > (unsigned __int8)map[5 * v2 + 1] )
	                goto LABEL_26;
	            }
	            else if ( byte_404091[5 * v3] == 2 )// no
	            {
	              v1 = 0;
	              if ( (unsigned __int8)map[5 * v3 + 1] < (unsigned __int8)map[5 * v2 + 1] )
	                goto LABEL_26;
	            }
	            if ( byte_404092[5 * v3] == 1 )     // no
	            {
	              v1 = 0;
	              if ( (unsigned __int8)map[5 * v3 + 2] > (unsigned __int8)map[5 * v2 + 2] )
	                goto LABEL_26;
	            }
	            else if ( byte_404092[5 * v3] == 2 )// v3=0 v2=1
	            {
	              v1 = 0;
	              if ( (unsigned __int8)map[5 * v3 + 2] < (unsigned __int8)map[5 * v2 + 2] )
	                goto LABEL_26;
	            }
	            if ( byte_404093[5 * v3] == 1 )     // v3=2
	            {
	              v1 = 0;
	              if ( (unsigned __int8)map[5 * v3 + 3] > (unsigned __int8)map[5 * v2 + 3] )
	                goto LABEL_26;
	            }
	            else if ( byte_404093[5 * v3] == 2 )// no
	            {
	              v1 = 0;
	              if ( (unsigned __int8)map[5 * v3 + 3] < (unsigned __int8)map[5 * v2 + 3] )
	                goto LABEL_26;
	            }
	            if ( byte_404094[5 * v3] == 1 )     // v3=3
	            {
	              v1 = 0;
	              if ( (unsigned __int8)map[5 * v3 + 4] > (unsigned __int8)map[5 * v2 + 4] )
	                goto LABEL_26;
	            }
	            else if ( byte_404094[5 * v3] == 2 )// v3=0
	            {
	              v1 = 0;
	              if ( (unsigned __int8)map[5 * v3 + 4] < (unsigned __int8)map[5 * v2 + 4] )
	                goto LABEL_26;
	            }
	            ++v3;
	            v1 = 1;
	            if ( v2 >= 4 )
	              goto LABEL_26;
	          }
	        }
	      }
	    }
	  }
	  v8 = 0;
	  return v8 & 1;
	}

分析前面的一部分应该是判断,每一行,每一列都是1~5构成,后面的if判断就是大小比较,我注释的v2,v3,v5的值可以找到5*5数独表中相应数字的位置,然后进行大小关系限制,no就代表这个if没什么用。

大概判断限定如下

用z3来解


from z3 import *
s = Solver()

flag=[0]*36

for i in range(25):
    flag[i] = Int('flag['+str(i)+']')
for i in range(25):
    s.add(flag[i]>=1)
    s.add(flag[i]<=5)

s.add(flag[12]==4)
s.add(flag[18]==3)


s.add(flag[2]>flag[7])
s.add(flag[3]>flag[4])
s.add(flag[4]>flag[9])
s.add(flag[5]>flag[6])
s.add(flag[11]>flag[10])
s.add(flag[13]>flag[14])
s.add(flag[18]>flag[13])
s.add(flag[21]>flag[16])
s.add(flag[24]>flag[19])
s.add(flag[20]>flag[21])

for i in range(5):
    s.add(flag[i * 5] != flag[i * 5 + 1])
    s.add(flag[i * 5] != flag[i * 5 + 2])
    s.add(flag[i * 5] != flag[i * 5 + 3])
    s.add(flag[i * 5] != flag[i * 5 + 4])
    s.add(flag[i * 5 + 1] != flag[i * 5 + 2])
    s.add(flag[i * 5 + 1] != flag[i * 5 + 3])
    s.add(flag[i * 5 + 1] != flag[i * 5 + 4])
    s.add(flag[i * 5 + 2] != flag[i * 5 + 3])
    s.add(flag[i * 5 + 2] != flag[i * 5 + 4])
    s.add(flag[i * 5 + 3] != flag[i * 5 + 4])

i=0
for j in range(5):
    s.add(flag[j] != flag[1 * 5 + j])
    s.add(flag[j] != flag[2 * 5 + j])
    s.add(flag[j] != flag[3 * 5 + j])
    s.add(flag[j] != flag[4 * 5 + j])
    s.add(flag[5 + j] != flag[4 * 5 + j])
    s.add(flag[5 + j] != flag[3 * 5 + j])
    s.add(flag[5 + j] != flag[4 * 5 + j])
    s.add(flag[10 + j] != flag[3 * 5 + j])
    s.add(flag[10 + j] != flag[4 * 5 + j])
    s.add(flag[15 + j] != flag[4 * 5 + j])

if s.check() == sat:
    model = s.model()
    str = [model[flag[i]].as_long().real for i in range(25)]
    for i in range(25):
        print(str[i],end='')
else:
    print("no_sat")
#CISCN{MD5(1425353142350212150442315)}

CISCN_gift

涉及到了没学过的知识点,后面学了来补

The_Itach1
关注
linux渗透测试常用命令
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
08-07 361
【代码】linux渗透测试常用命令。
[AI in security]-216 开源威胁情报线索【仅供学习研究使用】
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
08-08 1797
暗网大屏:https://gcokedsa123.grafana.net/dashboard/snapshot/2OJ9OtmtitwiGcIqwIVhvzgmTKDBtTkF?9.深信服安全中心 https://wiki.sec.sangfor.com.cn/index/abroad。微步测绘:https://x.threatbook.com/v5/mapping。火花:https://ti.venuseye.com.cn/#/home。
全国大学生信息安全竞赛(CISCN)-reverse-复现(部分
ookami6497的博客
06-06 1202
CISCN
CISCN部分WP
qq_51425032的博客
05-17 1160
(1)easy_sql 打开环境,是一个登录界面,因为直接告诉了是sql注入,那么就先测试注入点是哪个 然后可以测试出注入点为psswd 用bp抓包老样子然后保存在本地 sqlmap扫库 sqlmap -r 2.txt --dbs 跑到数据名为:security 然后跑表, sqlmap -r 2.txt -D security -tables 发现有两张表user和`flag,没办法继续按常用的方法进行解题,因此表名无法直接爆出来,但是可以进行猜测表明然后根据无列名...
2021CISCN RE WP
qq_45739995的博客
05-17 499
逆向题质量太高了,菜鸡比赛只做出来两个题。 其他的题会在赛后继续复现出来。 持续更新中… glass jeb打开主函数发现调用了native层 ida打开 输入长度39位 第一个函数跟进发现调用了rc4 第二个函数用v7对flag加密(数组移位+异或) 第三个直接对flag加密(三位一组进行加密处理+异或) 大体思路:根据已有的字符串,首先逆掉第三个函数 得到用rc4数组加密后的 然后求出rc4的数组 最后在第二个函数里进行异或拿到flag (变量名用的有点乱) #include<stdio.h&
2023CISCN部分wp
qq_51862722的博客
05-29 954
2023ciscn部分wp
2022CISCN初赛 WP
Lum1n0us's Blog
05-29 1392
文章目录Crypto签到电台 Crypto 签到电台 在公众号找到提示 在“标准电码表”找“弼时安全到达了”所对应的7个电码,再跟“密码本”的前7*4个数字分别逐位进行“模十算法”(加不进位、减不借位),所得到的就是要发送的电码。 发送电码前先发送“s”启动,即按3个“.”,这个发送电报的过程可以使用抓包软件进行抓取,可方便输入电报。 “弼时安全到达了”所对应的7个电码: 1732 2514 1344 0356 0451 6671 0055 模十算法示例:1732与6378得到7000 发包示例:/sen
【掌握Cisco Visio图标版本控制】:追踪图标变更与管理技巧
[【掌握Cisco Visio图标版本控制】:追踪图标变更与管理技巧](https://viso.ai/wp-content/uploads/2022/02/viso-suite-build-ai-vision-1060x597.png) # 摘要 本文深入探讨了Cisco Visio图标版本控制的全面概述、...
IP电话频繁发生单向语音情况,请教?
xwchen的专栏
11-05 3334
现在的电话系统:CCM4.1+IPT_7902+C2811+4FXO,路由器的IOS version c2800nm-spservicesk9-mz.124-3f.bin,交换机是CE500-24T。 故障描述:平时的7902使用正常,但是偶尔会在通话过程中突然只听到对方的声音,而对方听不见我的声音了。把电话挂断后重拨,有没有了问题,但是总会不定时地发生,真烦!请教高手!
爬虫学习笔记(十)数据存储——xml、json、csv 2020.5.9
闵行小鱼塘
05-09 1479
本节学习数据存储的xml、json、csv
2021CISCN-Re-gift
m0_51713041的博客
06-20 284
gift 拿到题目之后查壳发现是go语言编写的程序 运行发现会打印出flag的前面几个字节 CISCN{4b445b324 拖入IDA进行调试,发现那几个函数(main_CISCN6666666,main_CISCN66666666,main_CISCN6666666666)都执行很慢,查看发现调用了sleep函数 写个IDAPython脚本将其patch掉 for i in range(0x000000000054A265,0x000000000054A272): ida_bytes.patch
2022 CISCN全国初赛-wp
qq_45603443的博客
05-30 2570
2022 CISCN全国初赛-wpWebEzpoponline_crtMiscez_usbCrypto签到基于挑战码的双向认证基于挑战码的双向认证2基于挑战码的双向认证3Pwnpwn1重点来了 Web Ezpop <?php namespace think{ abstract class Model{ private $lazySave = false; private $data = []; private $exists = false; protected $table; private $wi
CISCN——2024——re——app-debug
Nike_name的博客
05-28 332
二进制插桩
2018 CISCN reverse
weixin_30735745的博客
05-10 157
2018 CISCN reverse 这题比赛的时候没做出来,主要是心态崩了看不下去。。赛后看了下网上的wp发现不难,是自己想复杂了。这里将我的思路和exp放出来,希望大家一起交流学习。 main函数 它首先是check了输入的前六个字符是否与“CISCN{”匹配,接着使用strtok函数将字符串以“_”分割为三部分,然后分别对这三部分check。 sub_4012DE函数 关键部分如下 将...
CISCN2024 初赛 wp 部分复现(Re
最新发布
Pisces50002的博客
06-10 1559
成功率比较玄学,有的版本就不行,我用nexus5x真机也是会崩溃,这里是雷电9.0模拟的OPPO 9。字符串收集信息,可以猜测是利用seed生成randint、random之类的随机数进行了处理。密文长度是56,base64是3->4,转回来flag是42个字符(猜测)借助GPT对几个关键函数进行分析,忽略一些异常处理,看一下主要的逻辑。输入的内容base64编码之后,与通过randint生成的随机数异或。首先是unidbg的环境配置,这个特别麻烦,建议使用。讲的蛮好的,就是挺麻烦,基本功要求高。
2021年CISCN初赛re
寻梦&之璐
05-23 6373
文章目录baby.bc.bc转换为可执行程序fill_number(__int64)input)docheck(input, input):z3约束 baby.bc .bc转换为可执行程序 第一次拿到.bc的文件 查了一下,LLVM IR bitcode,二进制文件。想办法转换成.s,然后再转成可执行文件。(windows里面无法转成elf,最后编译成elf时,需要在linux里面进行 fill_number(__int64)input) docheck(input, input):z3约束 ..
buuctf ciscn_2019_c_1 wp
n1ptune__的博客
05-02 445
记录下学习pwn的过程(感觉比re难多了,我太菜了) 查看保护 64位程序,64位程序 的前六个参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9,多的参数再通过栈传递 在encrypt函数里使用了gets函数,可能有栈溢出 发现对输入进行了加密 可以使用“\0”绕过 构造rop链,需要使用到rdi传递参数,又因为是ubuntu18所以需要栈对齐,使用到一个ret from pwn import * from LibcSearcher import * p=remote("node
CISCN2021 部分逆向WP
jinxxxxxx的博客
05-21 704
glass 调用了native-lib libnative.so拖入ida 第二次变化 写脚本 from Crypto.Cipher import ARC4 data = [0xA3, 0x1A, 0xE3, 0x69, 0x2F, 0xBB, 0x1A, 0x84, 0x65, 0xC2, 0xAD, 0xAD, 0x9E, 0x96, 0x05, 0x02, 0x1F, 0x8E, 0x36, 0x4F, 0xE1, 0xEB, 0xAF, 0xF0, 0xEA, 0xC4, 0xA
2020 ciscn 东北分区赛 re题解
Air_cat的博客
09-19 475
唉,居然没师傅出re题,悲伤 此题考点在于抓取或解密出迷宫,这里我用的原函数进行生成,改改几个定义就可以输出迷宫了: #include<stdio.h> #include<string.h> #include<windows.h> #include<string.h> #include<tchar.h> #include<stdint.h > //#+OXJ xnB1 QWT4 9cnW cGFB ZOjn yfZo ZV1m 7+/
获取Cisco思科标准Visio图标包
思科(Cisco)是一家全球知名的网络技术公司,其产品广泛应用于网络硬件设备和网络解决方案。在信息技术和网络设计领域,Cisco的产品和解决方案一直走在行业的前沿。为了便于网络工程师和设计师在规划网络架构和制作...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值