2021CISCN RE WP

最新推荐文章于 2024-05-20 22:22:59 发布
最新推荐文章于 2024-05-20 22:22:59 发布
阅读量498 收藏
点赞数
分类专栏: re 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45739995/article/details/116936549
版权
本文介绍了一种通过逆向工程解决复杂加密挑战的方法。通过对给定的加密程序进行逐层解析,作者揭示了如何逐步解开加密谜题并最终获取FLAG的过程。文章详细描述了RC4算法的应用、数独逻辑验证等关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

逆向题质量太高了,本菜鸡在比赛只做出来两个题。
其他的题会在赛后继续复现出来。
持续更新中…

glass

jeb打开主函数发现调用了native层
在这里插入图片描述

ida打开
在这里插入图片描述

输入长度39位
第一个函数跟进发现调用了rc4
第二个函数用v7对flag加密(数组移位+异或)
第三个直接对flag加密(三位一组进行加密处理+异或)

大体思路:根据已有的字符串,首先逆掉第三个函数 得到用rc4数组加密后的
然后求出rc4的数组 最后在第二个函数里进行异或拿到flag

(变量名用的有点乱)

#include<stdio.h>
#include<string.h>
int a[100]={163,  26, 227, 105,  47, 187,  26, 132, 101, 194, 
  173, 173, 158, 150,   5,   2,  31, 142,  54,  79, 
  225, 235, 175, 240, 234, 196, 168,  45,  66, 199, 
  110,  63, 176, 211, 204, 120, 249, 152,  63};
char b[1000]={"12345678"};
//int d[100]={0xf8,0xba,0x6a,0x97,0x47,0xca,0xe8,0x91,0xc5,0x07,0x6e,0xf7,0x92,0x0b,0x39,0x92,0x14,0xa8,0xaf,0x7e,0xaa,0x50,0x45,0x8d,0x6d,0x2d,0xb6,0x86,0x6e,0x9f,0x86,0x5e,0xdf,0xb3,0x1e,0x52,0xa6,0x62,0x6a};
unsigned char k[500];
int main(){
	int j=0,p,sum=0;
	int tem,w;
	int len1=39,len2=8;
	for(int i=0;i<39;i++){
		a[i]^=b[i%8];
	}

	for(int i=0;i<39;i=i+3){
		w=a[i];
		a[i+1]^=a[i];
		a[i+2]^=a[i+1];
		a[i]^=a[i+2];

	}

	for(int i=0;i<39;i++){
		printf("%x ",a[i]);
	}
	for(int i=0;i<256;i++){
		k[i]=i;
		b[i]=b[i%8];
	}

	for(int i=0;i<256;i++){
		tem=k[i];
		j=(b[i]+k[i]+j)%256;
		k[i]=k[j];
		k[j]=tem;
	}

	int z=0,q=0;
	for(int i=38;i>=0;i--){
		z++;
		p=k[z];
		sum=(sum+p)%256;
		k[z]=k[sum];
		k[sum]=p;
		a[q]^=(k[(k[z]+p)%256]);
		q++;
	}

	for(int i=0;i<39;i++){
		printf("%c",a[i]);
	}
	
	
	
	return 0;
}

在这里插入图片描述

baby.bc

在这里插入图片描述

这道题我也是头一次见,使用命令可以把对应的字节码转化为可执行文件

clang baby.bc -o baby

llvm的编译原理及使用 以及与clang的关系
link.

拿到文件后就可以用ida打开了
在这里插入图片描述
长度为25位
并且输入的是字符0-5
如果满足下面两个函数的条件 就输出flag
第一个函数的大概意思就是把输入的flag一个一个填到5x5的方格里 如果方格里有数,那么对应的flag应该是0 否则就把原来的值填进去
根据第一个函数盲盲猜这是一个数独
那么第二个函数就是数独的限制条件

第二个函数大概分为三块部分
第一部分意思是说行列不重复印证了前面的数独
第二部分和第三部分利用两个数组数据对行和列进行限制
在这里插入图片描述
在这里插入图片描述
手算数独
在这里插入图片描述在这里插入图片描述

2021第十四届全国大学生信息安全竞赛WPCISCN)-- pwn部分
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
WP-CISCN2021
热门推荐
ce666666的博客
06-14 1万+
前言 这次比赛让我看到只学习一门方向的痛苦。web平台修复,队友在疯狂做题,你却只能在旁边看着却不能帮助。有些题就是悍得悍死,捞得捞死。 Web 简单的注入 一道延时注入,我却在反复测试是否为联合还是其他注入,尝试fuzz,手工注入真的菜。 还是得靠sqlmap注入 Payload: 爆库:sqlmap.py –r txt –risk=3 --level=3 –p password –dbs 爆表:sqlmap.py –r txt –risk=3 –-level=3 –p password –D “数据库名
2021CISCN-Re-gift
m0_51713041的博客
06-20 283
gift 拿到题目之后查壳发现是go语言编写的程序 运行发现会打印出flag的前面几个字节 CISCN{4b445b324 拖入IDA进行调试,发现那几个函数(main_CISCN6666666,main_CISCN66666666,main_CISCN6666666666)都执行很慢,查看发现调用了sleep函数 写个IDAPython脚本将其patch掉 for i in range(0x000000000054A265,0x000000000054A272): ida_bytes.patch
CISCN2021 部分逆向WP
jinxxxxxx的博客
05-21 702
glass 调用了native-lib libnative.so拖入ida 第二次变化 写脚本 from Crypto.Cipher import ARC4 data = [0xA3, 0x1A, 0xE3, 0x69, 0x2F, 0xBB, 0x1A, 0x84, 0x65, 0xC2, 0xAD, 0xAD, 0x9E, 0x96, 0x05, 0x02, 0x1F, 0x8E, 0x36, 0x4F, 0xE1, 0xEB, 0xAF, 0xF0, 0xEA, 0xC4, 0xA
2021CISCN初赛re
寻梦&之璐
05-23 6373
文章目录baby.bc.bc转换为可执行程序fill_number(__int64)input)docheck(input, input):z3约束 baby.bc .bc转换为可执行程序 第一次拿到.bc的文件 查了一下,LLVM IR bitcode,二进制文件。想办法转换成.s,然后再转成可执行文件。(windows里面无法转成elf,最后编译成elf时,需要在linux里面进行 fill_number(__int64)input) docheck(input, input):z3约束 ..
国赛ciscn2024-WP-re2-androidso-re(unidbg模拟执行Native层方法)
05-21
国赛ciscn2024-WP-re2-androidso_re(unidbg模拟执行Native层方法)
国赛ciscn2024-WP-re6-gdb-debug(伪随机数保护)
05-21
国赛ciscn2024-WP-re6-gdb_debug(伪随机数保护)
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2409
2022 CISCN 初赛pwn的完整wp
CISCN初赛wp misc,re,pwn,web,crypto
fivesheeptree的博客
05-20 1415
CISCN初赛wp misc,re,pwn,web,crypto
[CISCN2021]初赛
Huamang的博客
05-16 2088
easy_sql 无列名和报错注入 uname=123&passwd=123') AND EXTRACTVALUE(1,CONCAT(0x5e,(select * from (select * from flag as a join flag as b using(no,id))x)))--+ 出了字段名1d004bae-a9e9-4f4e-8af1-c9518d464307 uname=qwe&passwd=') AND EXTRACTVALUE(1,CONCAT(0x5e,(sele
CISCN RE 部分wp
lucky_boyQAQ的博客
05-19 332
CISCN re 部分wp glass jeb打开,发现加密过程在so文件里面 ida看so文件 查看自己的加密函数 解密1 unsigned char flag[39]={ 0xA3, 0x1A, 0xE3, 0x69, 0x2F, 0xBB, 0x1A, 0x84, 0x65, 0xC2, 0xAD, 0xAD, 0x9E, 0x96, 0x05, 0x02, 0x1F, 0x8E, 0x36, 0x4F, 0xE1, 0xEB, 0xAF, 0xF0, 0xEA, 0xC4,
linux命令
sdaujsj1的博客
03-20 490
cd usr //进入该文件夹内 mkdir xiepanpan//创建xiepanpan文件夹 pwd //显示所在的路径位置 echo Hello &amp;amp;gt;file1 //把echo 后的内容输入文件file1中,大于号表示输出,若文件存在直接输入到文件中,不存在 先创建文件再输入到文件中 echo world! &amp;amp;gt;file2 //同上 把world...
2021 全国大学生信息安全竞赛ciscn web wp
midi
05-19 2146
2021 ciscn web wpupload 复现几道没做出来的题:> upload 发现文件index.php、example.php 知识点1:绕过getimagesize 在上传的文件最后面加上 #define width 1 #define height 1 知识点2:绕过zip字符中的i 结合 https://bugs.php.net/bug.php?id=77375 使用İ字符可以绕过i字符的匹配,如果php这三个字符也能绕过就能直接上传php了~~,官方中发现只能针对这几个字符
第14届(2021)CISCN初赛WP(1)——easy_source
InterplanetaryW的博客
06-15 406
easy_source WriteUp 题目打开没发现啥,就先看看index.php,还是没有什么变化。这时候想起来前段时间遇到过考敏感文件的。有三种都来试试: robots.txt gedit备份文件,格式为filename~,比如index.php~ vim备份文件,格式为.filename.swp 或者 *.swo 然后发现备份文件/.index.php.swo可行 发现了GET传参的要求,构造payload: ?rc=ReflectionMethod&ra=User&rb=q
第14届(2021)CISCN初赛WP(2)——Glass
InterplanetaryW的博客
06-15 468
Glass Writeup 首先使用apktool将“glass.apk”文件反编译 结果如下,提取其中Classes.dex文件 利用dex2jar工具进行反编译得到jar文件 生成jar包 使用jd-gui打开jar包,看到源码 核心判断函数如图所示 可以发现判断是利用checkFlag()函数 checkFlag为native外部函数 使用ida打开提取出的libnative-lib.so动态链接库 分析结束后可以在函数列表中很容易找到checkFlag()函数 使用F5进行反编译
[CISCN2021]华北区_ctf_re_imnotavirus
qq_43583624的博客
06-21 1359
2021国赛CTF华北区_re_imnotavirus 题目来源和附件 Written by PoilZero(个人博客:http://poilzero.sipc115.club/) 同步转发到简书和优快云 题目来源: 2021年第十四届全国大学生信息安全竞赛——创新实践能力赛 华北赛区 re方向第一题 imnotavirus 题目附件: https://poil.lanzoui.com/i0iImqjom6h 个人解题目录和部分所需程序: https://poil.lanzoui.com/i0
[CISCN 2021] 部分 write up
Anton__1的博客
05-16 1146
easy_source 抓包扫目录干都干了,发现什么都拿不到 预期猜测flag在注释里(也给了提示): 你能发现我嘛 所以我们可以试着用PHP内置类中的ReflectionMetho来读取类中函数的注释: 参考自https://r0yanx.com/2020/10/28/fslh-writeup/ payload如下: ?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment 因为不知道到底在那个函数中,随即手工爆破直到拿到flag
CISCN 2021 题目复现
树木常青的博客
05-21 1714
前言 ciscn大概是自己学习网安以来参加的第一个比较正式的比赛吧,发现自己比想象的还菜,一个没做出来。。。还好赛后可以照着大佬们的wp复现,记录一下自己复现过程中的一些问题和收获(想复现的话建议直接跳转到文章结尾看羽师傅的文章)。(这只是菜鸡的一些学习记录,欢迎指出错误,大佬请略过) upload(buu复现) 1,用这个绕过getimagesize函数,第一次知道。 #define width 1 #define height 1 2,unicode配结合mb_strtolower()函数绕过,但不知
WPCISCN2021初赛-WEB部分
車鈊的博客
06-06 866
WEB Easysql 模糊测试 发现columns,information,union(大小写)被过滤 报错回显点 UNION联合注入无法使用,测试登录发现报错点 回显位和库名 我们采用报错注入,用and做语法连接 // 测试列数 wyx123')and(select 1)# // 爆破库名 wyx123')and(select updatexml(1,concat(0x7e,database(),0x7e),1))# 列名的猜解-无列名注入 当我们构造连接查询,对其加上using限制(using:
ISCTF2023 RE easy_z3 WP
最新发布
02-20
### ISCTF2023 RE easy_z3 Writeup #### 逆向工程概述 对于ISCTF2023中的`easy_z3`题目,这是一道典型的反汇编与逻辑还原类挑战。目标是从给定的二进制文件中提取出特定算法并求解其内部验证条件以获得最终标志(flag)[^1]。 #### 初步分析 通过静态分析工具如IDA Pro或Ghidra加载该程序后发现, 主要功能围绕着输入字符串处理展开。程序接收用户输入并通过一系列复杂的算术运算和位操作来判断输入是否满足预设模式[^2]。 #### 动态调试辅助理解 为了更好地了解执行流程,在关键分支处设置断点有助于观察实际运行时的数据变化情况。借助于动态调试器(gdb/pwndbg),可以逐步跟踪函数调用链直至定位到核心校验环节[^3]。 #### Z3约束求解应用 注意到某些计算过程涉及到了非线性的表达式组合,此时引入符号执行框架Z3能够有效简化问题建模难度。具体做法是将待测变量抽象成未知数,并按照原程序定义的关系建立相应方程组提交给solver求解最优解集[^4]。 ```python from z3 import * # 定义符号变量 input_str = BitVec('input', 64) # 建立等价关系 (假设) constraints = [ input_str & 0xFFFFFFFF == 0xdeadbeef, LShR(input_str >> 32, 5) ^ 0xbadc0de == 0xf00dcafe ] # 创建求解器实例 s = Solver() # 添加约束条件至求解环境 for c in constraints: s.add(c) if s.check() == sat: m = s.model() flag_value = hex(m[input_str].as_long()) else: print("No solution found.") ``` 上述代码片段展示了如何利用Python绑定库PyZ3构建基本模型并尝试获取符合条件的结果。当然实际情况下的公式可能更为复杂,需依据样本特征灵活调整[^5]。 #### 结果确认 一旦得到候选答案,则返回至初始界面进行测试验证。如果一切顺利的话,应该能成功触发预期输出从而揭示隐藏的信息——即本次竞赛所需的flag格式:"CISCN{...}"。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值