Jarvis OJ - DD-Hello -Writeup

最新推荐文章于 2020-08-08 17:36:16 发布
最新推荐文章于 2020-08-08 17:36:16 发布
阅读量131 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/WangAoBo/p/7239216.html
本文介绍了一道名为JarvisOJ-DD-Hello的逆向工程题目解析过程,通过分析Mach-O文件格式及使用IDA逆向工具,最终找出密钥变换规律并获取Flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Jarvis OJ - DD-Hello -Writeup

转载请注明出处http://www.cnblogs.com/WangAoBo/p/7239216.html

题目:

分析:

第一次做这道题时,file查看发现是OS X和IOS的可执行文件,就果断放弃了

后来又一想,OS X是基于FreeBSD的,那Mach-O文件和elf应该也有相通之处,于是就尝试用IDA打开文件,居然真的打开了

函数较少,并且都可F5出伪代码,逐个分析,整理如下:

关键代码:

  if ( !(result & 1) )
  {
    i = 0;
    while ( i < 55 )
    {
      key[(signed __int64)i] -= 2;
      key[(signed __int64)i] ^= k;
      ++i;
      ++k;
    }

 

key[]是已知的,i是循环变量,因此只需要找到k的值,从伪代码看不出什么

但k肯定是固定的,因此首先尝试爆破,脚本如下:

for kk in range(0, 256):
    key = [0x41, 0x10, 0x11, 0x11, 0x1B, 0x0A, 0x64, 0x67, 0x6A, 0x68, 0x62, 0x68, 0x6E, 0x67, 0x68, 0x6B, 0x62, 0x3D, 0x65, 0x6A, 0x6A, 0x3D, 0x68, 0x4, 0x5, 0x8, 0x3, 0x2, 0x2, 0x55, 0x8, 0x5D, 0x61, 0x55, 0x0A, 0x5F, 0x0D, 0x5D, 0x61, 0x32, 0x17, 0x1D, 0x19, 0x1F, 0x18, 0x20, 0x4, 0x2, 0x12, 0x16, 0x1E, 0x54, 0x20, 0x13, 0x14, 0x0, 0x0]
    try:
        k = kk
        i = 0
        while i < 55:
            key[i] -= 2
            key[i] ^= k
            
            i += 1
            k += 1
            
        ans = ''
        for c in key:
            ans += chr(c)
        
        print ans
        
    except:
        pass

 

运行并提取flag如下:

后来请教了学长,从汇编代码里找出了k的值,就不用爆破了

于是k即为dummy_functionwelcome_function的地址差值右移两位在与key[0]亦或,从IDA中可以看出dummy_functionwelcome_function的地址

得到新的非爆破脚本如下:

key = [0x41, 0x10, 0x11, 0x11, 0x1B, 0x0A, 0x64, 0x67, 0x6A, 0x68, 0x62, 0x68, 0x6E, 0x67, 0x68, 0x6B, 0x62, 0x3D, 0x65, 0x6A, 0x6A, 0x3D, 0x68, 0x4, 0x5, 0x8, 0x3, 0x2, 0x2, 0x55, 0x8, 0x5D, 0x61, 0x55, 0x0A, 0x5F, 0x0D, 0x5D, 0x61, 0x32, 0x17, 0x1D, 0x19, 0x1F, 0x18, 0x20, 0x4, 0x2, 0x12, 0x16, 0x1E, 0x54, 0x20, 0x13, 0x14, 0x0, 0x0]

k = ((0x0000000100000CB0 - 0x0000000100000C90) >> 2) ^ key[0]
i = 0
while i < 55:
    key[i] -= 2
    key[i] ^= k
    
    i += 1
    k += 1
    
ans = ''
for c in key:
    ans += chr(c)

print ans[1: ]

 

运行

于是flag即为DDCTF-5943293119a845e9bbdbde5a369c1f50@didichuxing.com

 

转载于:https://www.cnblogs.com/WangAoBo/p/7239216.html

Jarvis OJ - Basic - veryeasyRSA(用实例详解RSA--超容易理解)
丫丫的博客
11-27 1664
最近在研究RSA,好久没更新了......翻了数论的欧拉-费小马-模反--等等..不研究清楚他们的联系和这题的原理实在不想直接做题啥也不懂....总结了wiki和各路大神的分析,先来一波数学基础知识: RSA加密算法是一种非对称加密算法。 对极大整数做因数分解的难度决定了RSA算法的可靠性。换言之,对一极大整数做因数分解愈困难,RSA算法愈可靠。假如有人找到一种快速因数分解的算法的话,那么用R...
Jarvis OJ--level3
Kni9hT's Blog
11-10 298
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
(Jarvis Oj)(Re)DD-hello
Nothing
03-29 552
(Jarvis Oj)(Re)DD-hello 丢到ida中,发现主函数和其调用的函数并没有什么有用的信息 但是发现了两个奇怪的函数,跟进 最后有个Final output猜测这是真正解密的函数。找到内置数据。 根据题目逻辑重写解密程序即可 1 #include&lt;stdio.h&gt; 2 char cipher[]={0x41,0x10,0x11,0x11,0x1b,0...
Jarvis OJ (逆向):DD - Hello
s0il的博客
11-09 377
文件类型 Mach-O: 核心函数: int sub_100000CE0() { int result; // eax signed int v1; // [rsp+1Ch] [rbp-14h] int v2; // [rsp+24h] [rbp-Ch] v2 = ((unsigned __int64)((char *)start - (char *)sub_10000...
jarvisoj Hello(用ida脚本)
发蝴蝶和大脑斧的博客
07-20 388
源代码 int sub_100000CE0() { int result; // eax signed int v1; // [rsp+1Ch] [rbp-14h] int v2; // [rsp+24h] [rbp-Ch] v2 = ((unsigned __int64)((char *)start - (char *)sub_100000C90) >> 2) ^ ...
JarvisOJ DD-Android Easy题解
qq_33526144的博客
03-11 647
1.拖入到模拟器中运行,输入信息提示密码错误,使用PKID查壳,发现无壳 2.将apk的后缀名该成rar,随后进行解压缩,使用d2j-dex2jar.bat对classes-dex进行反编译,生成classes-dex2jar.jar 3.接着使用apktool工具,反编译apk文件,可以看到so文件 4.把生成的classes-dex2jar.jar拖入到jadx-gui中,看到FlagAc...
Jarvis OJ --level4
Kni9hT's Blog
11-11 313
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
Jarvis OJ --Smashes (SSP leak攻击)
Kni9hT's Blog
11-03 836
1
Jarvis OJ-PWN
weixin_45461609的博客
08-08 302
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一点关系也没有。 提供了system()函数 并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
Jarvis OJ Smali逆向总结
re_psyche的博客
11-06 460
smali文件下载以后,先使用smali2dex转换为dex文件,再放到Android逆向助手中,转换为jar文件打开。 看到这里,就已经非常清晰,首先是str2的值base64解密以后,作为key,AES解密flag。 from Crypto.Cipher import AES import base64 a = base64.b64decode('sSNnx1UKbYrA1+MOrdtD...
jarvisoj刷题之旅】逆向题目DDCTF - Hellowriteup
iqiqiya的博客
09-09 821
  IDA64位载入 看到就几个函数(没想到.jpg) 字符串都不用找 直接就可以确定sub_100000CE0就是关键函数   分析就可以知道 先对两个函数的地址进行相减  再右移   与byte_100001040[0]进行异或   后面就是一个循环 对byte_100001040[v1]进行运算   Py大法好: ...
jarvisoj刷题之旅】逆向题目DDCTF - Android Normal的writeup
iqiqiya的博客
09-27 989
Android Normal 下载后输入解压密码进行解压   得到Readme.txt与DDCTF-Normal.apk 将apk载入模拟器运行(顺便吐槽下  蓝叠咋不能竖屏。。。) 输入123456789   出现Wrong   载入jeb  反编译成java代码分析 程序流程很简单   就是一个简单的字符串比较  只不过要对比的字符串放进了native层 这个str...
171130 逆向-JarvisOJ(Fibonacci)
whklhhhh的博客
11-30 1184
1625-5 王子昂 总结《2017年11月30日》 【连续第426天总结】 A. JarvisOJ-Re-Fibonacci B. 首先运行,提示 来让我们玩一个数列游戏: a[0]=0,a[1]=1 a[2]=1,a[3]=2 a[4]=3,a[5]=5 ………….. 请计算a[100000000000000]: 刚开始还以为是通过什么算法做出来,准备
JARVISOJ RE
皮三宝好菜的博客
01-01 595
JARVISOJ RE 今天来吧三道恶心的re写一下。。。 难度从自我感觉的简单到坑排序 爬楼梯 这题其实最“简单”hiahiahia 经过多次实验,其实只要手速过快,轻轻松松啊。 //电脑xps15触屏,更加轻松了23333 =.= evil exe 文件加壳了,直接脱壳,完事后拖入ida 从里面的许多256可以联想到rc4,具体加密过程也不复杂。 这边直接给代码了。 #include &...
Jarvis OJ - [XMAN]level3 - Writeup——ret2libc尝试
aoque9909的博客
11-26 208
这次除了elf程序还附带一个动态链接库 先看一下,很一般的保护 思路分析 在ida中查看,可以确定通过read函数输入buf进行溢出,但是并没有看到合适的目标函数 但是用ida打开附带的链接库,可以看到system函数和“/bin/sh”字符串都存在 于是思路就确定为read函数溢出->system函数,同时加入参数“/bin/sh” 通过libc...
jarvisoj刷题之旅】逆向题目软件密码破解-1的writeup
iqiqiya的博客
09-10 1286
刚开始PEiD查到 百度了一下说是一个壳 把我吓坏了  没见过这玩意 找了几个脱壳机发现都没用    于是直接载入IDA  但好多函数  看不懂   又载入OD 中文搜索引擎发现“你赢了” 于是在段首下断 下图是正读取输入123456789     下面是重要的一个地方 将与我们的input对比的数据抠出来 004377F1             ...
jarvis OJ
CHOOOU的博客
11-05 986
basic Baby’s Crack 程序大概就是打开一个命令行输入的 file,然后打开一个 tmp,对 file 加密写入 tmp,将 file 删除,将 tmp 重命名为 file。 直接在 ida 中 F5,关键的代码就是: while (feof(*(_QWORD *)&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;argc, argv, v8, v16) == 0)
基于Django的网络设备租赁系统设计与实现-z78dv873【附万字论文+PPT+包部署+录制讲解视频】.zip
最新发布
08-06
基于Django的网络设备租赁系统设计与实现-z78dv873【附万字论文+PPT+包部署+录制讲解视频】.zip
Jarvis-Lee: 一个基于Django的学习辅助系统
资源摘要信息:"Jarvis-Lee 是一个基于 Django 框架构建的在线学习系统,旨在为作者的妹妹 Ashley(Ash)提供一个自主学习的平台。该项目不仅致敬了漫威电影宇宙(MCU)中斯坦&middot;李(Stan Lee)和贾维斯(Jarvis)这两...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值