2021年强网杯 逆向部分WP

最新推荐文章于 2024-11-04 23:16:24 发布
原创 最新推荐文章于 2024-11-04 23:16:24 发布 · 939 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了一道涉及调和级数缩放的数学问题,并揭示了隐藏在代码中的字符串操作、RSA加密和Base64换表谜题,展示了从逆向工程到密码学的步步解析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今年的逆向很🐶

ezmath

一道数学题,关键在于函数式的缩放化简。

第15行的公式是整个程序的关键

f(n) = e - nf(n)

是一个调和级数的缩放题目

最后当n较大时易知:n = e / f(n)

脚本:

#include<stdio.h>

#include<math.h>

double dbl_4020[19] =

{

   0.00009794904266317233,

   0.00010270456917442,

   0.00009194256152777895,

   0.0001090322021913372,

   0.0001112636336217534,

   0.0001007442677411854,

   0.0001112636336217534,

   0.0001047063607908828,

   0.0001112818534005219,

   0.0001046861985862495,

   0.0001112818534005219,

   0.000108992856167966,

   0.0001112636336217534,

   0.0001090234561758122,

   0.0001113183108652088,

   0.0001006882924839248,

   0.0001112590796092291,

   0.0001089841164633298,

   0.00008468431512187874

};





int main()

{

double e = 2.718281828459045;

int n;



for (int i = 0; i < 20; i++)

{

n = (int)(e / dbl_4020[i]);

double tmp1 = n * i;

double watch = tmp1 - e;

double tmp2 = (n - 1) * i;

double watch2 = tmp2 - e;

if (fabs(watch) >= fabs(watch2))

n -= 1;

printf("%s", &n);

}

return 0;

}

 

得到flag

 

 

StandOnGiants

Ida打开源文件查看,发现有.so字样,改后缀为zip

提出libnative.so进行分析

 

分析主要的检查函数

逆序字符串+rsa+换表base64

其中base64表有多个+ -, 所以需要爆破

 

 

 

代码如下

from base64 import *

from Crypto.Util.number import *



n = 0x1321D2FDDDE8BD9DFF379AFF030DE205B846EB5CECC40FA8AA9C2A85CE3E992193E873B2BC667DABE2AC3EE9DD23B3A9ED9EC0C3C7445663F5455469B727DD6FBC03B1BF95D03A13C0368645767630C7EABF5E7AB5FA27B94ADE7E1E23BCC65D2A7DED1C5B364B51

p = 33372027594978156556226010605355114227940760344767554666784520987023841729210037080257448673296881877565718986258036932062711

q = 64135289477071580278790190170577389084825014742943447208116859632024532344630238623598752668347708737661925585694639798853367

e = 65537



def replace(r, k, Csource, T1, T2):

    Count = 0

    r = "0"*(k.count(Csource)-r.bit_length())+bin(r)[2:]

    list4k = list(k)

    for i in range(len(list4k)):

        if list4k[i] == Csource:

            if r[Count] == '1':

                list4k[i] = T1

            else:

                list4k[i] = T2

            Count += 1

    return ''.join(list4k)



a ="bborOT+ohG*,U:;@/gVIAZ-,t++LaZkOrk?UcSOKJ?p-J+vuSN?:e,Kc/?h-oH?:tthoqYYSPp-ZC+Yw:*jrxPymGYO/PvDOIivNYtvJ?Mi*GG+/lmqEysrTdSD+eP+moP+l?+Np/oK="

#10个加号和4个减号  总共2^14种可能

table1 = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ*+,-./:;?@+-"

table2 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"

def change(a):

    tmp = ""

    for i in range(len(a)):

        if a[i]=="-" or a[i]=="+":

            tmp += a[i]

            continue

        for j in range(len(table1)):

            if a[i] == table1[j]:

                tmp += table2[j]

                break

    return tmp



def db64(s):

    try:

        return bytes_to_long(b64decode(s.encode()))

    except:

        try:

            return bytes_to_long(b64decode((s+"=").encode()))

        except:

            print("wrong!")

            return 0



f = open("data", "w")

ans = ''

for i in range(2**10):

    for j in range(2**4):

        if i%50 == 0 and j == 0:

            print(i/(2**10)*100)

        b64ans = change(a)

        b64ans = replace(i, b64ans, '+', '+', '1')

        b64ans = replace(j, b64ans, '-', '3', '/')

        c = db64(b64ans)

        if c == 0:

            continue;

        m = pow(c, inverse(e, (p-1)*(q-1)), n)

        flag = long_to_bytes(m)

        if flag[0] < 'f':

            f.writelines(str(flag))

f.close()

 

 

得到flag

 

LongTimeAgo

前面做了一个操作,将64位字符,转换成了32个字节。

每四个字节倒序,然后经过四个函数生成了四个key。

继续调试,发现了xtea加密算法的痕迹,但是魔数和sum被改了,然后发现前4个4字节经过xtea加密,后4个4字节经过tea加密,最后密文也被修改了。

直接dump或者计算

 

脚本如下

def TEAdecode(c, key):

    tmp_0 = c[0]

    tmp_1 = c[1]

    sum = 0xa6a53780

    delta = 0x3d3529bc

    for i in range(32):

        tmp_1 -= ((tmp_0<<4) + key[2]) ^ (tmp_0 + sum) ^ ((tmp_0>>5) + key[3])

        tmp_1 &= 0xffffffff

        tmp_0 -= ((tmp_1<<4) + key[0]) ^ (tmp_1 + sum) ^ ((tmp_1>>5) + key[1])

        tmp_0 &= 0xffffffff

        sum -= delta

    return (tmp_0, tmp_1)



def XTEAdecode(circle, c, key):

    tmp_0 = c[0]

    tmp_1 = c[1]

    delta = 0x70C88617

    sum = 0xE6EF3D20

    for i in range(circle):    

        tmp_1 -= (((tmp_0 << 4) ^ (tmp_0 >> 5)) + tmp_0) ^ (sum + key[(sum>>11) & 3])

        tmp_1 &= 0xffffffff        

        sum += delta;  

        tmp_0 -= (((tmp_1 << 4) ^ (tmp_1 >> 5)) + tmp_1) ^ (sum + key[sum & 3])

        tmp_0 &= 0xffffffff

    return (tmp_0, tmp_1)







c = [0x1F306772, 0xB75B0C29, 0x4A7CDBE3, 0x2877BDDF, 0x1354C485, 0x357C3C3A, 0x738AF06C, 0x89B7F537]

key = [0xfffd,0x1fffd,0x3fffd,0x7fffd]







for i in range(0, 4, 2):

    c[i] ^= 0xfd

    c[i+1] ^= 0x1fd

for i in range(4, 8, 2):

    c[i] ^= 0x3fd

    c[i+1] ^= 0x7fd





flag = ''  

for i in range(0, 4, 2):

    ans = XTEAdecode(32, c[i:], key)

    flag += hex(ans[0])[2:] + hex(ans[1])[2:]

for i in range(4, 8, 2):

    ans = TEAdecode(c[i:], key)

    flag += hex(ans[0])[2:] + hex(ans[1])[2:]

print("QWB{"+flag.upper()+"}")

得到flag

[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章202010月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
第五届强网全国网络安全挑战赛writeup
渗透测试研究中心
12-23 1万+
Web1.[强网先锋]寻宝下发赛题,访问链接如下:该题需要你通过信息 1 和信息 2 分别获取两段 Key 值,输入 Key1 和 Key2 然后解密。Key1之代码审计点击“信息1”,发现是代码审计:完整源码如下:<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highlight_file(__...
2017强网hide逆向
码农的无聊日常
06-19 291
1.先用file命令查看文件基本信息,文件为64位ELF文件,剥去了符号表信息。 2.用checksec查看文件,文件加了upx壳。 3.ida静态分析,大概只看到了几个地址和长度。 4.gbd动态调试一下,发现起始地址是从0x400000开始的,一运行程序自动退出,应该是开启了反调试,那么下面直接运行程序,把内存dump出来看看。 5.直接运行程序,从0x400000开始,尝...
强网2021——wp
m0_46296905的博客
11-30 4207
文章目录一、MISC(一)ISO1995(二)BlueTeaming(三)EzTime(四)Cipherman(五)threebody 一、MISC (一)ISO1995 题目描述:We follow ISO1995. ISO1995 has many problems though. One known problem is a time. 压缩包解压密码:fantasicqwb2021 光看文件头辨别不出什么文件,file命令看一下发现是Linux Debian的磁盘文件 binwalk提取出一个I
强网2021 ctf线上赛ezmath wp(#超详细,带逆向新手走过一个又一个小坑)
漫小牛的博客
06-21 4451
文章目录引言第一步、分析文件类型1.可执行文件判断 引言 这是强网2021中的一道Reverse题,将附件进行下载,名称为ezmath,名称为chall,说明这道题跟数学有关,都说ctf比赛三大谎言:ez、eazy和baby,名称简单,实则并不简单。做出这道题,需要的数学知识远远大于逆向知识。 题目附件: 链接:https://pan.baidu.com/s/13TheaHB7XcbGnBp-M1N5Rg 提取码:k4pm 第一步、分析文件类型 1.可执行文件判断 使用Exeinfo PE查看文件的类型,
强网-Just RE-3DES逆向分析
playmaker的博客
06-02 1150
强网just re z3求解 题目流程很简单,查找字符串找到主函数 int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int *v3; // edi signed int v4; // eax _BYTE *v5; // edx int v6; // eax int resu...
强网2018】逆向hide
weixin_30364147的博客
04-06 153
这是事后才做出来的,网上没有找到现成的writeup,所以在这里记录一下 UPX加壳,而且linux下upx -d无法解,也无法gdb/ida attach 因为是64位,所以没有pushad,只能挨个函数进入,退出,看看程序是否恢复。 当运行到一0x400dd0,发现此时已经可以看见字符串了 用dumphex的脚本来dump出内存,见hide_dump static mai...
2021强网 Web寻宝 WP
热门推荐
weixin_46245411的博客
06-14 1万+
前言:大佬们太强了、队友太强了,我只能写写被大佬们打爆的题来摸鱼 文章目录寻宝一、KEY1获取方式bypass二、KEY2获取总结 寻宝 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、KEY1获取方式bypass 具体步骤: 第一层:要求非纯数字,利用PHP的格式转换(字符串比较读取)$num1=1025a即可 第二层:绕过intv
强网wp
Sentiment的博客
07-22 1154
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 强网wp PWN PWN no_output 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import nu
广东省强网逆向题 SimpleGame writeup
weixin_43090100的博客
09-06 1284
在i春秋平台上找到的这题,200分的题就是不一样哈:) 地址:reverse 题目SimpleGame 先运行一下,看起来还挺简单的(然而虐了我好长时间),输入flag,然后给出结果。加载到ida,一上来发现有壳。然后就查了下壳:upx 脱壳一开始用的esp定律,因为在程序开头发现一个pusha,然后alt+t搜索popa 跟进到jmp目的地址发现应该还不是oep,继续跟进 直到一...
2021强网ezmath
SCP000111的博客
06-18 607
强网ezmath wp学习复现前言过程思路1思路2总结 前言 博主是渣渣,通过写文章来分析与学习,最近参加强网,比较菜,打完之后学习复习一下,感谢来自https://www.yuque.com/fosusec/writeup/2021qwb#aldCs的wp,NU1L战队的wp,来自https://cdcq.github.io/2021/06/15/20210615a/的wp。 过程 拿到附件,放到die里面看下 正常类型。无壳,64位,ELF文件 放到64位IDA中进行查看。 main函数如下
2021强网-强网先锋-赌徒-WP
weixin_44499757的博客
06-15 708
1、打开网页显示如下: 2、进行目录扫描,发现www.zip文件。 3、进行源代码审计 <meta charset="utf-8"> <?php //hint is in hint.php error_reporting(1); class Start { public $name='guest'; public $flag='syst3m("cat 127.0.0.1/etc/hint");'; public function __construct.
2022强网WP
CK_0ff的博客
08-08 3171
2022强网WP
第二届强网wp
03-29 310
web web签到 利用了md5碰撞 payload为 param1 =%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%6...
攻防世界superspl[强网]WP
m0_73718199的博客
11-12 331
攻防世界superspl[强网]WP
2024强网 Web WP
最新发布
GKDf1sh
11-04 1811
qwb 2024 QWB 强网 2024 writeup WP 题解 WEB web 发现在text经过了,从而实现绕过黑名单。源码的大概意思是向blockly_json接口Post需要发的Block参数,flask接受到参数后进行黑名单查询,然后进行拼接语句形成代码将代码写入run.py,然后执行run.py,五秒后删除run.py。
2021强网 ezmath
u010883831的博客
06-15 893
2021强网 reverse ezmath 奇怪的思路,但也算是出了flag。 bdl_4020是一个double数组,内容是19个小数。 sub_13F3函数如图: v3的初值是0.2021,但是在运行过程中修改成了0.000483 v3是一个递推的关系,递推公式是an+1=e−n×ana_{n+1}=e-n\times a_nan+1​=e−n×an​ 用python简单的打一个表,可以发现v3初值无论为多少,经过80次左右的循环后,都会在正负无穷之间跳跃。 >>> v3 = [
2023第七届强网初赛 WP
渗透测试研究中心
12-22 8283
最坏情况下,前5次全输,需要87步即可达到260分,即第92轮时,因此可以通过本题。利用SQL注入修改data数据的值,本题data是数组,且会插入数据库,最终的payload需要改一下让前后闭合,且TP5,在网上找一个链子的EXP改一下。当然,前一题的SQL注入点依然存在,不过依然需要鉴权进入后台,这意味着,只需要我们能进入后台,就能通过load_file的方式读取flag。简单来说,就是能set任意的值,例如下方的payload,就能注入一个snowwolf的键,且值为wolf,4代表数据长度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值