[BUUCTF]reverse_3

原创 已于 2023-01-04 13:18:03 修改 · 351 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++ #算法

于 2023-01-04 11:02:25 首次发布
文章描述了对一个32位无壳程序的分析过程,使用IDAPro打开并搜索base64相关字符串,发现了sub_411AB0加密函数。通过查看main函数的伪代码,进行了字符串解密操作,解密后的结果为e2lfbDB2ZV95b3V9。作者还推荐了一个解密网站CyberChef3。

目录

分析

放入exeinfope中查看,32位无壳

在这里插入图片描述

用IDA打开后shift + F12 搜索字符串发现有base64加密特征的字符串
在这里插入图片描述

双击后按 X 查看引用

在这里插入图片描述

进入后发现是 sub_411AB0函数进行base64加密

在这里插入图片描述

从左侧函数名称 ctrl + f 搜索main函数并进入,F5进行伪代码查看,进行图中的分析

在这里插入图片描述

脚本

#include<iostream>
#include<algorithm>
#include<cstdio>
#include<cmath>
#include<map>
#include<vector>
#include<queue>
#include<stack>
#include<set>
#include<string>
#include<cstring>
#include<list>
#include<stdlib.h>
using namespace std;
typedef int status;
typedef int selemtype;


int main()
{
	char s2[] = "e3nifIH9b_C@n@dH";
	char dest[] = {};
	
	for(int i = 0; i < strlen(s2); i++){
		dest[i] = s2[i] - i;
	}	
	cout << dest;
	return 0;
 } 
 //输出 e2lfbDB2ZV95b3V9

此处计算出的是destination的值,所以我们还需要一次base64解密

很好用的解密网站(戳我直接进入)https://ctf.mzy0.com/CyberChef3/

在这里插入图片描述

故flag为 flag{i_l0ve_you}
其实很早就做完了没有发

BUUCTF Reverse 3
qq_42921782的博客
12-11 907
逆向之判断base64
buuctf-逆向-reverse3
m0_52343643的博客
04-21 3236
题目 BUUCTF在线评测 reverse3 思路 Exeinfo PE查看程序为32位,无壳 打开IDA ,找到有main_0函数,F5得C伪码,分析如何得到 right flag! 查看Str2的内容为 e3nifIH9b_C@n@dH 知道了Str2,也知道Dest经过变化的代码,我们可以写脚本得到原来变化前的Dest,但是变化前的Dest从v4来,得到v4的sub_4110BE有什么作用我们不清楚,就动态调试看看 字符串查找到程序输入入口,F2下断点,运行输入.
BUUCTF 逆向工程(reverse)之reverse3
weixin_44632787的博客
08-22 2330
用的IDA打开,然后进入的主函数_main_0 __int64 __cdecl main_0() { int v0; // eax const char *v1; // eax size_t v2; // eax int v3; // edx __int64 v4; // ST08_8 signed int j; // [esp+DCh] [ebp-ACh] signed int i; // [esp+E8h] [ebp-A0h] signed int v8; // [esp
BUUCTF--reverse3
weixin_30876945的博客
09-05 457
测试文件:https://buuoj.cn/files/aa4f6c7e8d5171d520b95420ee570e79/a9d22a0e-928d-4bb4-8525-e38c9481469e.rar?token=eyJ0ZWFtX2lkIjpudWxsLCJ1c2VyX2lkIjoxOTAzLCJmaWxlX2lkIjoxNTl9.XXCjMA.QBNzEL8Ujfk_QRbQYa6...
buuctf--reverse 3
2301_80216972的博客
01-04 551
【代码】buuctf--reverse 3
BUUCTF——Reverse——reverse3
计算机硕士的博客
12-30 720
BUUCTF——Reverse——reverse3,详细解题步骤。
BUUCTF-reverse-reverse3(超级详细)
weixin_62387234的博客
10-28 4670
涉及到base64编码,具体原理放在了专栏“CTF逆向的加密与解密”里面,不懂的可以去看一下。
BUUCTF逆向题reverse3
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
08-25 2235
根据伪代码不难分析出:先对字符串进行了 base64 的加密,然后再通过加法运算又对字符串进行了修改,所以我们可以写一个脚本把过程逆一下就可以得到加密的flag。这样就把经 base64 加密的flag得到了 e2lfbDB2ZV95b3V9 ,然后通过网上在线工具将这段字符串解密即可得到真正的 flag。再双击 sub_411AB0 查看行数的大致实现步骤,不过太复杂,不需要去理会,进去之后双击数组查看内容。进去之后会发现一串字符,这里基本可以判断采用了base64加密(判断技巧:字符串里有个等号)
BUUCTF-reverse3
半岛铁盒的博客
05-01 313
一个比较基本的逆向分析题 可知 str2 的值为 再来分析sub4110BE 点开aAbcdefghijklmn 是base64加密了; 写出逆向解题脚本即可 import base64 s="e3nifIH9b_C@n@dH" x="" for i in range(0,len(s)): x+=chr(ord(s[i])-i) print(base64.b64decode(x)) ...
[Buuctf] reverse3
Bileton的博客
02-26 788
但是这还不是最终的flag,往上看有一个sub_4110BE函数,双击查看一下。这个函数的作用是base64加密,我们用一下base64解密就可以了。这里我就不详细解释base64了,想要了解的可以去搜一下学习。循环对Destination`进行了修改,写脚本。找到main函数,F5查看伪代码。32位exe文件,没有壳。
BUUCTF reverse_3
doudoudedi
06-28 1278
今天考计算机组成原理被老师一顿讲,诶还是自己太菜了 我感觉都要挂科了~~~~~ 中午做了一个逆向分享一下 main函数: __int64 main_0() { int v0; // eax const char *v1; // eax size_t v2; // eax int v3; // edx __int64 v4; // ST08_8 signed int j; /...
buuctf reverse3
2301_79809688的博客
08-30 230
我们发现他是先对我们的输入进行base64加密,然后我们可以看他又对base64的加密做了一个for循环进行了二次加密最后destination与str2做比较,从中我们可以得知,str2即为最终的机密结果。我们可以看到有ABCDEFG..........的字符串,这是很明显的base64的编码。我们可是逆向,先对str2进行处理将他还原成base64加密后的状态。在进行base64解码我们就得到了flag{i_l0ve_you}之后我们进行ida解析,进行字符串的查询。
buuctf_reverse3
qq_45951598的博客
04-25 429
reverse3 每日一道reverse的题,可多不能少 打开题目先检查有无壳,以及多少位的,这题是没有壳的就不做过多的演示了,所以我们直接进入主题。 打开IDA,用shift+F12搜索字符串 发现其中的关键字 然后双击进入 这里我们首先要先选中一个函数然后按ctrl+X,然后再按F5进入反汇编,这里可以很直观的看到这里应该就是一个main函数。 这里我们先来分析一下这一段程序的简单逻辑 首先接收一个输入的字符串 然后要经过一个加密函数 这里我们跟进一下这个加密函数 源代码 int __cde
BUUCTF_reverse_3
weixin_46009088的博客
10-16 1921
** BUUCTF_reverse_3 ** 用IDA载入,寻找_main函数 点击main_0跟进,来到主函数,如下(重要的语句已经做好了标记): 接下来先查看一下Str2这个字符串是啥,点进去,如图: 然后再看看sub_4110BE函数是啥,如图: 再跟进sub_411AB0函数,如下(太长了…): void *__cdecl sub_411AB0(char *a1, unsigned int a2, int *a3) { int v4; // STE0_4 int v5; // STE
【逆向 | CTF】BUUCTF reverse3
weixin_46301214的博客
09-28 1026
吐槽一下:那个base64函数编码,都不知道大神是怎么看出来base64编码的,我放进文心千帆的AI也判断不出来,反编译都乱成这样,你们居然也能看出来,NB啊。为什么要强调,因为我以为是跟第一二题一样,是没有后缀的东西,直接扔进去IDA。读完源代码,其实就是把我们输入的内容首先经过base64加密。然后发现报错,以为有壳,扔进OD手动脱壳,发现OD也打不开。解压出来后,ctrl+F12,搜索flag。搞了一大轮,很多代码是重复来干扰你的,下载附件,第一件事,看后缀名。我把代码搬过来,写备注分析。
BUUCTF Reverse reverse3
A_dmin的博客
07-21 5484
BUUCTF Reverse reverse3 一天一道CTF题目,能多不能少 下载文件,无壳,直接使用ida(32)打开,找到主函数: 看上去简单易懂,输入一个字符串然后经过sub_4110BE函数进行加密 然后再通过一个for循环进行变换,然后与str进行比较 直接查看Str2的字符串: 可以~继续查看加密的函数: while ( v11 > 0 ) { byte_41A...
BUUCTF reverse3
最新发布
c7777127_的博客
11-26 275
进入sub_4110BE函数,精确发现讯在大量的2,4移位,自己了解过base64加密解密,可得知其为类似base64加密,点击黄色区域查看base64表为ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=其中Str2e3nifIH9b_C@n@dH已知,for循环将字符串还原,还原后直接在线转换。IDA32位打开,找main函数,看反汇编有点麻烦,F5查看伪C代码,查看到关键位置。PE查壳,无壳,且为32为程序。
buuctf reverse reverse3
09-27
BUUCTF Reverse Reverse3是一个题目,通过对给定的字符串进行逆运算,解密出一个flag。首先,给出的字符串经过了base64加密和按位加的操作,得到了"e3nifIH9b_C@n@dH"这个结果。要得到flag,我们需要进行逆运算。...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值