xctf BABYRE

最新推荐文章于 2025-05-04 18:37:39 发布
最新推荐文章于 2025-05-04 18:37:39 发布
阅读量599 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45701079/article/details/109002555
版权

xctf BABYRE

第一次做smc类型题目,利用idapython把源代码补全
首先确保idapro里有python插件(一般都有的),打开文件

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [rsp+0h] [rbp-20h]
  int v5; // [rsp+18h] [rbp-8h]
  int i; // [rsp+1Ch] [rbp-4h]

  for ( i = 0; i <= 181; ++i )
  {
    envp = (const char **)(*((unsigned __int8 *)judge + i) ^ 0xCu);
    *((_BYTE *)judge + i) ^= 0xCu;
  }
  printf("Please input flag:", argv, envp);
  __isoc99_scanf("%20s", &s);
  v5 = strlen(&s);
  if ( v5 == 14 && (unsigned int)judge((__int64)&s) )
    puts("Right!");
  else
    puts("Wrong!");
  return 0;
}

看代码逻辑,判断需要进入judge函数,然而发现这个函数有问题,看前面发现他把从judge函数开始后的181字节异或 0xc,其实也就是说从judge函数开始,异或0xc,然后形成的数据才能形成一个有效的代码段,这种方法可以给静态调试一定的困难(如果用动态调试。可以看到这里内存的变化,而且不用这么麻烦,但是我为了学习这种手法,所以选择静态调试),所以这里需要一个idapython(不懂的百度)其实就是利用python脚本把judge处的代码补全,先贴上补丁脚本

import sys
from idautils import *
from idc import *
import idaapi
if __name__ =="__main__":
	start_addr=0x600B00
	for i in range(182):
		PatchByte(start_addr+i,Byte(start_addr+i)^0xC)

之后f5,重新反汇编,生成c语言,可以看到judge函数就变成了代码段

signed __int64 __fastcall judge(__int64 a1)
{
  char v2; // [rsp+8h] [rbp-20h]
  char v3; // [rsp+9h] [rbp-1Fh]
  char v4; // [rsp+Ah] [rbp-1Eh]
  char v5; // [rsp+Bh] [rbp-1Dh]
  char v6; // [rsp+Ch] [rbp-1Ch]
  char v7; // [rsp+Dh] [rbp-1Bh]
  char v8; // [rsp+Eh] [rbp-1Ah]
  char v9; // [rsp+Fh] [rbp-19h]
  char v10; // [rsp+10h] [rbp-18h]
  char v11; // [rsp+11h] [rbp-17h]
  char v12; // [rsp+12h] [rbp-16h]
  char v13; // [rsp+13h] [rbp-15h]
  char v14; // [rsp+14h] [rbp-14h]
  char v15; // [rsp+15h] [rbp-13h]
  int i; // [rsp+24h] [rbp-4h]

  v2 = 102;
  v3 = 109;
  v4 = 99;
  v5 = 100;
  v6 = 127;
  v7 = 107;
  v8 = 55;
  v9 = 100;
  v10 = 59;
  v11 = 86;
  v12 = 96;
  v13 = 59;
  v14 = 110;
  v15 = 112;
  for ( i = 0; i <= 13; ++i )
    *(_BYTE *)(i + a1) ^= i;
  for ( i = 0; i <= 13; ++i )
  {
    if ( *(_BYTE *)(i + a1) != *(&v2 + i) )
      return 0LL;
  }
  return 1LL;
}

如果和上图不一样,请自行百度ida中 p,c,d,这三个快捷键的用法,你会发现新天地,之后的逻辑就很简单了
直接贴脚本了

text=[102,109,99,100,127,107,55,100,59,86,96,59,110,112]
s=''
for i in range(len(text)):
    s+=chr(text[i]^i)
print(s)
BUUCTF [RCTF2019]babyre1
weixin_53349587的博客
01-01 1040
1.先分析一下大致的流程: 1)输入flag,先进行长度判断,是不是16位 2)sub_562AB8800C00函数:判断输入的flag是否为16进制数 3)sub_562AB8801180函数:xxtea解密(无填充模式),密钥是unk_562AB8A02010 4)sub_562AB88013D0函数:CRC16校验,具体可以参考CRC校验码简介及CRC16的计算方法 - 21ic电子网 5)最后将解密后的数据与0x17异或,最终得到"Bingo!" 2.分析具体的解密过程 1)先
网鼎杯-第三场-逆向-babyre
08-27
2018年8月27日网鼎杯第三场逆向题-babyre
XCTF BABYRE
lhk124的博客
08-04 404
用exeinfo查出是个elf文件,把后缀去了丢linux系统里 看汇编代码和F5(在judge函数里) 直接写脚本 运行至运算结束部分,直接查看寄存器。 """ 正向思路: 1.判断长度 2.逐位与i进行异或运算 逆向思路: 1.逐位异或回去 """ str_list =[0x66, 0x6D, 0x63, 0x64, 0x7F, 0x6B, 0x37, 0x64, 0x3B, 0x56, 0x60, 0x3B, 0x6E, 0x70] flag = list.
xctf Web_python_template_injection
最新发布
Furukawado的博客
05-04 1072
先看题,翻译了一下是模版注入,然后使用插件看一下发现是flask框架,注入点应该是这个。百度搜了一下大概有两个一个xss一个文件读取/命令执行有两篇较为详细的文章(虽然我没看太明白,但是确实详细,鄙人只会简单的开发知道flask框架下传值是需要{{}}的。那么先按照xss试一下,不可行但是可以发现有报错回显,开始尝试文件读取/命令执行结果如下开始找类的对象:{{''.__class__}}继续寻找基类:{{''.__class__.__mro__}}
XCTF_BABYRE
TA不懒,但还没有添加简介
01-17 333
XCTF_BABYRE
xctf攻防世界 REVERSE 高手进阶区 BABYRE
l8947943的博客
04-13 2368
0x01. 进入环境,下载附件 给出的babyRE后缀文件,不懂是什么玩意,按照常规流程进行操作吧 0x02. 问题分析 使用IDA打开,找到main函数,F5反编译,得到代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h]
2017WHCTF REVERSE babyRE
ACdream
10-07 2982
这个题其实比较简单,考察点是GDB调试与逆向分析 拖入OD分析,main无法F5,于是查看汇编代码以及汇编流程图 查看逻辑,很明显字符串的长度为0x0E(14个字符),然后调用了judge函数,判断字符串合法性 然后发现,IDA解析不了judge函数,肯定是有某些绕过静态反汇编的手段,于是开始GDB 直接在scanf的地方下断,开始进入judge的判断单步 注意这里0x4
170916 逆向-WHCTF(BabyRe/CrackMe)
whklhhhh的博客
09-16 3774
1625-5 王子昂 总结《2017年9月16日》 【连续第349天总结】 A. XCTF-Reverse B.CRACKME无壳,C++ 打开是一个简单的输入框和注册按钮 点击注册按钮会弹框“哎,注册码错了,你得换个新的哟!”IDA没有main函数,看起来是MFC写的 查找字符串、断GetDlgText等API都没有结果 说明字符串都被加密过了IDA逐个函数查找,发现有两个函数调用了
WHCTF2017-ONLINE逆向题目BabyREwriteup
iqiqiya的博客
10-19 842
题目链接:http://oj.xctf.org.cn/media/task/2b0a8eaf-72ee-4893-bd4e-304f145cc970.babyRE IDAx64载入  很容易找到关键就在main() int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+...
BABYRE XCTF 4th-WHCTF-2017
qq_41071646的博客
04-27 815
简单的 smc题 import sys from idautils import * from idc import * import idaapi if __name__ =="__main__": start_addr=0x600B00 for i in range(182): PatchByte(start_addr+i,Byte(start_addr+i)^0xC) ...
XCTF攻防世界BABYRE逆向
云舒的博客
04-19 910
攻防世界BABYRE逆向 拿到题目,查壳如下: 拖拽IDA Pro7.5打开,查看main函数,代码如下: 可以看到: (*(unsigned int (__fastcall **)(char *))judge)(s), 再一看上面的judge是一个数组的形式,心想:这是哪门子的写法,,,。强制转换unsigned int????这不是函数返回结果才能这么写嘛,再看到后面的**__fastcall**猜测是函数的动态生成。。。写法高档,作者🐂就完事了。。。查看judge汇编代码,按下C(编码),P(
XCTF-BABYREXCTF-simple-check-100
weixin_61154173的博客
12-19 291
xctf-BABYRE,simple-check-100,这不是数组吗,为什么是函数?由于前面对judge数组进行异或后,这些数据可以定义为一个新的函数,并且是本题的关键函数。通过对其他wp参考可以通过快捷键“shift+f2”使用IDApython对judge数组进行操作让他的数据在IDA中更改。当然也可以通过远程调试,让judge先自己进行完异或操作然后直接生成函数查看。对操作后的judge数组按c变为汇编代码,在按p变为函数,就可以查看内容了。跟进judge再把他变为函数,查看代码也是可以的。
XCTF babymips
qq_41071646的博客
05-10 1078
这个题 一看就有点不对劲。 拖入ida 里面这个指令有感觉有点问题。 这是啥。。。。 后来 看了一下官方的题解 说是另一种 架构 mips 什么鬼 然后说是ida 有一个插件 但是我没有搞定。。。 要是有大佬搞定了 还麻烦指教一下 然后我们就下载另一个插件 jeb(这玩意还挺难搞定的) 搞成之后 看起来就舒服很多了 不过 还是要吐槽这个 东西确实不是很好用。(或许我没有g...
XCTF|RE-高手区-BABYRE
l2645470582_的博客
03-09 242
1.检查有没有壳 2.用64位IDA打开该文件 1.shift+f12查看关键字符串,我们看到输入flag关键词和正确的关键词 2.进入main函数 3.进入judge(),发现点开函数是一些字符串 猜测对函数进行加密了:这是加密语句 对judge进行解密:插入脚本 shift+f12或者 编译前: 编译后: 然后点击judge函数按C,再按P就可以的出加密函数了 3.加密函数judge EXP #enco...
xctf_Baby_web
bring_coco的博客
07-11 523
Baby_web [目标] 从初始页面获得flag [环境] Windows [工具] 浏览器 [分析] 1.题目提到首页,因此尝试index.php,但是一直显示1.php,说明此处发生了跳转。 2.通过开发者工具查看index.php的网络 可看到此处用到location,这是一个跳转,同时得到flag。 ...
XCTF-baby_web
weixin_45613760的博客
08-04 365
XCTF-baby_web查看题目描述打开链接,跳转到1.php输入index.php后发现跳转到1.php使用dirsearch扫描没有其他地址F12查看index.php的响应包,找到了flag 查看题目描述 想想初始页面是哪个 打开链接,跳转到1.php 根据题目推测需要转到index.php 输入index.php后发现跳转到1.php 使用dirsearch扫描没有其他地址 F12查看index.php的响应包,找到了flag ...
WHCTF-babyre
weixin_30666753的博客
01-31 131
首先执行file命令得到如下信息 ELF 64-bit LSB executable, x86-64 尝试用IDA64打开,定位到关键函数main发现无法F5,尝试了修复无果,于是用gdb动态调试一发。 在scanf处下断点 b *0x0400660 输入12346789之后next => 0x40066c <main+102>: call 0x4004c0 <strl...
[QCTF2018]babyre
qq_37439229的博客
05-07 676
一道一般般的题。。。 打开ida,调试到这里 发现长度为0x20,于是输入“ABCDEFGHIJKLMNOPQRSTUVWXYZ[]^-`” 第一个函数 打乱我的输入顺序,第二个函数从第三个数开始,每四个为一组分别加一些数,第三个函数从第9个开始,每四个一组进行一些位运算 写出脚步 flag=[0xda,0xd8,0x3d,0x4c,0xe3,0x63,0x97,0x3d,0xc1,0x91,...
XCTF的Three
03-21
### XCTF Three 题目解析 关于 XCTF 中与 “Three” 相关的题目或技术细节,虽然当前引用未直接提及具体名为 “Three” 的题目,但从已有的参考资料可以推测可能涉及的内容领域和技术方向。 #### 可能的技术领域 根据现有的引用内容分析,“Three” 类型的题目可能会覆盖以下几大类别之一: 1. **网络流量分析 (Network Traffic Analysis)** 如果题目名称为 “Three”,它可能是一个基于 pcap 文件的网络数据分析挑战。例如,在引用中提到通过 `tshark` 工具提取数据包中的隐藏信息[^2]。如果该题目属于此类,则需要掌握如何利用工具(如 Wireshark 或 tshark)以及编写脚本来处理特定协议的数据流。 ```python from os import system as get_hex # 使用 tshark 提取 ICMP 数据包中的有效载荷 get_hex("tshark -r three_data.pcap -Y \"icmp && icmp.type==8\" -T fields -e data > extracted_flag.txt") with open('extracted_flag.txt', 'r') as file: flag = ''.join([chr(int(line.strip(), 16)) for line in file]) print(flag) ``` 2. **密码学加密算法 (Cryptography Algorithms)** 若 “Three” 是一道密码学相关的题目,那么其核心可能是 RSA 加密机制或其他公钥基础设施的应用场景。正如引用中描述到的 p、q、e 和 c 参数组合提示这是一道典型的 RSA 解码问题[^3]。解决这类问题通常依赖于因数分解或者寻找私钥 d 来完成最终解密过程。 3. **反序列化漏洞 (Deserialization Vulnerabilities)** 对象反序列化的安全风险也是 CTF 比赛常见的考点之一。比如某个 PHP 序列化字符串存在多余字段的情况可能导致绕过某些保护措施而触发危险函数调用[^5]。假设此题命名为 “Three”,则需注意是否存在类似的逻辑缺陷可被攻击者利用。 4. **逆向工程 Reverse Engineering** 这种类型的竞赛项目往往要求参赛选手深入理解目标程序内部结构及其运行原理。尽管目前没有明确指出是否有这样的实例存在于 XCTF 系列赛事之中,但考虑到比赛整体难度设置合理全面的特点来看可能性依然较大。 --- ### 示例代码片段展示 以下是针对上述几种情况分别提供的一些简单实现方式作为参考学习用途: #### 方法一:使用 PyShark 处理 PCAP 文件 ```python import pyshark def extract_icmp_payload(pcap_file): capture = pyshark.FileCapture(pcap_file, display_filter='icmp') result = [] for packet in capture: try: layer = packet['data'] hex_str = str(layer.data).replace(':', '') ascii_char = bytes.fromhex(hex_str.decode()).decode() result.append(ascii_char) except AttributeError: continue return ''.join(result) print(extract_icmp_payload('three_data.pcap')) ``` #### 方法二:模拟 RSA 密钥恢复 ```python from Crypto.Util.number import inverse # 输入参数 n = int(...) # 给定模数 n=p*q e = ... # 公钥指数 e ciphertext = ... # 加密后的消息 c # 计算 phi(n)=(p-1)*(q-1),这里省略了质因子求法部分 phi_n = ... d = inverse(e, phi_n) # 私钥计算 plaintext = pow(ciphertext, d, n) # 明文还原 print(f"Plaintext is {plaintext}") ``` #### 方法三:检测 PHP 反序列化漏洞 ```php class Xctf { public $value; function __construct($val){ $this->value=$val; } } // 构造恶意输入使 __wakeup 不被执行 $payload=serialize(new Xctf(array())); echo urldecode($payload); ``` --- ### 结论总结 综上所述,“XCTF Three” 很有可能围绕着以上几个方面展开设计思路。无论是哪一类别的考题形式都需要扎实的基础理论支撑加上灵活运用技巧才能顺利解答成功拿到 Flag!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值