BUUCTF_[V&N2020 公开赛]strangeCpp

最新推荐文章于 2024-07-06 23:13:27 发布
最新推荐文章于 2024-07-06 23:13:27 发布
阅读量327 收藏
点赞数 1
分类专栏: # BUUCTF CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46009088/article/details/109616644
版权
本文分析了一个名为strangeCpp的比赛题目,通过逆向工程揭示了其内部逻辑并使用Python脚本破解了关键数值。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

BUUCTF_[V&N2020 公开赛]strangeCpp

照例打开IDA,翻了翻函数没有找到main函数,那就shift + F12 查找字符串,看看有没什么敏感字符,如图:

在这里插入图片描述
点进去查看字符串的交叉引用(按 x ),如图:

在这里插入图片描述
找到sub_140013AA0用F5,如图:

__int64 __fastcall sub_140013AA0(__int64 a1, __int64 a2, __int64 *a3)
{
  char *v3; // rdi
  signed __int64 i; // rcx
  __int64 v5; // rax
  __int64 v6; // rax
  __int64 v7; // rax
  __int64 v8; // rax
  char v10; // [rsp+0h] [rbp-20h]
  struct _SYSTEM_INFO SystemInfo; // [rsp+28h] [rbp+8h]
  __int64 *j; // [rsp+78h] [rbp+58h]
  __int64 v13; // [rsp+98h] [rbp+78h]
  __int64 *v14; // [rsp+1A0h] [rbp+180h]

  v14 = a3;
  v3 = &v10;
  for ( i = 94i64; i; --i )
  {
    *(_DWORD *)v3 = -858993460;
    v3 += 4;
  }
  sub_1400110AA((__int64)&unk_140027033);
  GetSystemInfo(&SystemInfo);
  putchar(byte_140021004);
  putchar(byte_140021005);
  putchar(byte_140021006);
  putchar(byte_140021007);
  putchar(byte_140021019);
  putchar(byte_14002101A);
  putchar(byte_140021005);
  putchar(10);
  puts("Let me have a look at your computer...");
  for ( j = v14; *j; ++j )
  {
    v13 = *j;
    sub_140011226((__int64)"%s\n", v13);
  }
  std::basic_ostream<char,std::char_traits<char>>::operator<<(std::cout, sub_140011127);
  dword_140021190 = SystemInfo.dwNumberOfProcessors;
  sub_140011226((__int64)"now system cpu num is %d\n", SystemInfo.dwNumberOfProcessors);
  if ( dword_140021190 < 8 )
  {
    puts("Are you in VM?");
    _exit(0);
  }
  if ( GetUserNameA(Str1, &pcbBuffer) )
  {
    v5 = sub_140011172(std::cout, "this is useful");
    std::basic_ostream<char,std::char_traits<char>>::operator<<(v5, sub_140011127);
  }
  v6 = std::basic_ostream<char,std::char_traits<char>>::operator<<(std::cout, sub_140011127);
  v7 = sub_140011172(v6, "ok,I am checking...");
  std::basic_ostream<char,std::char_traits<char>>::operator<<(v7, sub_140011127);
  if ( !j_strcmp(Str1, "cxx") )
  {
    v8 = sub_140011172(std::cout, "flag{where_is_my_true_flag?}");
    std::basic_ostream<char,std::char_traits<char>>::operator<<(v8, sub_140011127);
    _exit(0);
  }
  system("pause");
  sub_1400113E3((__int64)&v10, (__int64)&unk_14001DE50);
  return 0i64;
}

好复杂,不过点进各种字符串查看交叉引用都没有其他的交叉引用,唯有下图有点东西:

在这里插入图片描述
点进去看,很奇怪的发现中间那段有点不太一样.

在这里插入图片描述
按x查看一下交叉引用.

在这里插入图片描述
来到sub_140013580用F5大法,发现关键函数!!!

在这里插入图片描述
红框的语句为关键函数,进入sub_140011384看看.

在这里插入图片描述
到现在为止已经将整个程序的逻辑看完了,现在来理一下逻辑sub_140011384 把 dword_140021190 当成实参传进去,也就是说a1就是dword_140021190,接着 a1 又给了 v8 ,接下来v8进行移位操作等于 v7 , v7 又乘与 291,接下来就返回 result ,也就是说 dword_140021190 -> a1 ->v8 -> v7 ->result,接下来要求result = 607052314 ,dword_140021190 <= 14549743,进入 if 后将 dword_140021190 与 byte_140021008 异或,那么现在只要爆破出 dword_140021190 的值,再进行异或就结束了.

分析完了,开始写python脚本

str = [0x26,0x2C,0x21,0x27,0x3B,0x0D,0x04,0x75,0x68,0x34,0x28,0x25,0x0E,0x35,0x2D,0x69,0x3D]
result = 607052314
flag = ''
num = 0

for i in range(14549743):
    v7 = (i << 8) ^ (i >> 12)
    v7 *= 291
    v7 = v7 & 0xFFFFFFFF
    if v7 ==  result:
        num = i
        print(i)
        break

for i in str:
    flag += chr((num ^ i) &0xFF)

print(flag)

在这里插入图片描述答案还要对爆破的值进行MD5加密,那直接上脚本:

import hashlib
def getMd5(str):
    #获取一个MD5的加密算法对象
    md5_value = hashlib.md5()
    #得到MD5消息摘要
    md5_value.update(str.encode('utf-8'))
    #以16进制返回消息
    print(md5_value.hexdigest())
if __name__=="__main__":
    getMd5('123456')

在这里插入图片描述至此,程序分析结束!!!

小结:

①再亿次提醒自己看字符串要再Hew View里面看,在 IDA View真的很容易漏!!!
②python需要对字符串进行截断 unsigned int 就是4个字节,不截断就如下图一样,没有爆破出来.

在这里插入图片描述

buuctf——[V&N2020 公开赛]strangeCpp && buuctf——[BJDCTF2020]easy && buuctf——[ACTF新生赛2020]usualCrypt
Dicked的博客
12-06 362
[V&N2020 公开赛]strangeCpp 交叉引用,看伪c,应该是mian函数 24-31输出了字符串 welcome,应该就是这里了。。多了byte_140021008 就这个函数,看到putchar函数里面有刚刚看见的字符串,有flag那味儿了。 从尾开始搞,打印的肯定是flag了,就是dword_140021190这一段和刚刚找到的字符串逐个异或,然后就是找dword_140021190这一段是啥了 这里应该是对dword_140021190进行了操作的,进去看看sub_1
BUUCTF [V&N2020 公开赛]simpleHeap
BengDouLove的博客
04-17 1210
保护机制全开的程序,也无法利用got表,,只能覆盖 malloc_hook 或者 free_hook 堆的题要好好分析代码 T T 1.add sub_AB2 是到heap_got (储存堆指针的表)里面找第一个空着的堆序号返回给v1,没有可用的就返回-1,最多申请10个堆 之后输入堆的大小,最大是 111,也就是0x6F,,加上chunk头是0x7F ,也就是申请的堆只能fastbin...
[BUUCTF]REVERSE——[V&N2020 公开赛]strangeCpp
mcmuyanga的博客
11-28 330
[V&N2020 公开赛]strangeCpp 附加 步骤 查壳,无壳,64位程序 64位ida载入,没有main函数,根据程序里的字符串,去查看函数 __int64 __fastcall sub_140013AA0(__int64 a1, __int64 a2, __int64 *a3) { char *v3; // rdi signed __int64 i; // rcx __int64 v5; // rax __int64 v6; // rax __int64 v7;
re学习笔记(47)BUUCTF-re-[V&N2020 公开赛]strangeCpp
逆向随笔
03-01 1686
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 main()函数没啥东西…… 找好久… putchar字节这里,中间夹杂着数据…… 然后交叉引用,来到这里 其中sub_140011384()函数,将dword_140021190操作得到result 然后result要等于607052314,dword_140021190要小于等于14549743 缩小爆破范围…… 写脚本 ...
[V&N2020 公开赛] strangeCpp
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
04-06 570
[V&N2020 公开赛]strangeCpp 同步滚动:开 #include <stdio.h> int main(int argc, char const *argv[]) { int i,j,result = 0x242EE21A; unsigned int tmp = 0; unsigned char ida_chars[] = ...
BUUCTF--[V&N2020 公开赛]strangeCpp
Hk_Mayfly的博客
04-01 380
测试文件:https://www.lanzous.com/iauqjsd 代码分析 先找到程序运行显示处的代码 1 // 个数,数组,环境变量 2 __int64 __fastcall sub_140013AA0(__int64 a1, __int64 a2, __int64 *a3) 3 { 4 char *v3; // rdi 5 signed __int64...
BUUCTF [V&N2020 公开赛]babybabypwn
BengDouLove的博客
04-10 1141
先看一下,,所有保护机制都开启了 进入main的第二个函数,里面是这一堆东西 查了一下这个是沙盒机制,seccomp ,,这个seccomp_rule_add函数是给这个沙盒添加规则,意思是这个函数不能调用 这个函数的第三个参数,是代表函数的number,,别的不太清楚,网上也没有查到。。但是 59号代表的是execve函数 所以这个函数不能被调用,,也就是说无法得到系统权限了(吧) 所以这样...
BUUCTF--[V&N2020 公开赛]warmup
A13837377363的博客
05-30 356
在不指定rsi的情况,open会直接将rsi里面的值作为flag值,而rsi里面有时候存着地址,是一个极大值,可能会引起一些意想不到的问题。例如这题中,执行rop的时候rsi存着的是buf的地址,是一个极大值,一开始我没有pop rsi为0,导致执行了好几遍都没法orw成功,加上了pop rsi 0才成功读出flag。有沙盒,分析了一下,write的count不等于0x10就可以,0x30什么的都可以。怎么办呢,细心的小伙伴会发现我们知道libc的基址,那可以写在libc的bss上面啊。
BUUCTF [V&N2020 公开赛]warmup
BengDouLove的博客
04-14 886
sub_80A函数进去是初始化设置缓冲区没啥用 sub_84D进去是这样的 进去之后一大堆变量。。。不太想看,,就挑重点的吧 这个prctl 函数简单来说也是设置了沙箱规则 #include <sys/prctl.h> int prctl(int option, unsigned long arg2, unsigned long arg3, unsigned long ar...
[V&N2020 公开赛]strangeCpp
2301_80048347的博客
07-06 284
根据12-15行的算法,加上上一张图里的dword_140021190 <= 14549743,可以穷举暴力破解出result里的值。看着挺奇怪的,然后想动调,出现了一点错误。然后观察,最开始有一堆数据,不知道干嘛的。对welcome中间的数据交叉引用发现。然后根据flag提示,找个网站md5加密。每天水一道题计划,打卡第三天。沉默,反思,不解,疑惑。
buu [V&N2020 公开赛]strangeCpp
YenKoc的博客
04-15 560
拖入ida,静态调试一下,本来想动调的,发现一直缺dll。没办法,只能头铁,静态 找到主函数,然后并没有发现什么,找了半天,没结果,后面也是看了大佬wp,才找到解决方式,感觉这种只能通过动调来找到关键函数,靠这种找字符串的,有点不靠谱,不过这种在没思路的情况下,是真的香。 先打印出welcome,后面一堆没啥用的,还有个函数检查cpu数量的。。。。,然后这种没思路的情况,感觉还是从出题人的角度去...
BUU_re_[V&N2020 公开赛]strangeCpp
weixin_52034946的博客
01-30 143
64位,进入ida,查看字符串, 我是从这里跟进来的,进入主函数,有一堆putchar,一般来说,这就是输出的是flag,猜的,纯属猜测 进入字符看一看,注意后面的DATA XREF 就会发现.这些字符都用了同一个函数,但是有一个用的是另外一个,这个就很奇怪了对吧,就顺理成章的进去看一看发生了什么 sub_140013580 这里从下往上看 result == 607052314 然后 result = sub_140011384((unsigned int)dword_140021190) 猜测这个
新手ctf逆向-----BUU [V&N2020 公开赛]strangeCpp WP
HardDebugger的博客
09-12 357
新手ctf逆向-----[V&N2020 公开赛]strangeCpp WP 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变## 标题 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中
BUUCTF V&N2020 公开赛 Misc(复现)
LYJ20010728的博客
08-10 852
BUUCTF V&N2020 公开赛 Misc(复现)真·签到拉胯的三条命令ML 第一步内存取证Final Game 真·签到 CV大法题 Flagflag{welcome_to_vn} 拉胯的三条命令 根据说明文档中的内容,可以发现流量包应该是和Nmap扫描有关 参考文章:https://www.hackingarticles.in/understanding-nmap-scan-wireshark/ 找到相关端口号:3306、22、21、801、631 Flagflag
BUUCTF [V&N2020 公开赛]simpleHeap
wuyvle的博客
03-01 277
又是一个堆题 sub_AB2 是到heap_got (储存堆指针的表)里面找第一个空着的堆序号返回给v1,没有可用的就返回-1,最多申请10个堆 之后输入堆的大小,最大是 111,也就是0x6F,,加上chunk头是0x7F ,也就是申请的堆只能fastbin大小 之后是填写 heap_got ,并且写入堆,没有溢出 (但是申请不是0x10整数倍而是多出8字节,比如 0x18 0x28,多出的8字节会在下一个chunk的presize里使用,,这是presize的复用,堆的一个机制,后面会说到,利用这个机
[V&N2020 公开赛]warmup[BUUCTF]
moonlightsunshin的博客
05-08 504
因为是64位的程序,参数的传递需要用到堆栈,64位与32位函数调用在这里就不再赘述,所以我们还需要rdi,rsi,rdx来传递参数,一块空的内存用来存放我们flag。给了我们puts函数的地址所以可以泄露出libc基址,通过libc基址泄露出write,read,open三个函数的地址。execve被禁止了,这类沙箱一般都可以通过write,open,read这三函数来实现flag读进去写出来。这个函数定义了很多局部变量,不太懂看了其他师傅的wp,这个函数是用于设置沙箱机制。sub_9A1()可以溢出。
BuuCTF难题详解| Misc | V&N 2020 公开赛 内存取证
pone2233的博客
10-29 3841
题目介绍 这道题目,我们要在Buu上面做需要的步骤需要调整,先下载链接内容,然后在下载附加。 BuuCTF难题详解| Misc | V&N 2020 公开赛 内存取证 P1 我们使用volatility,进行镜像分析 volatility -f mem.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on
BUUCTF reverse:xor
qq_43786458的博客
10-08 787
1.查壳 64位文件
re学习笔记(49)BUUCTF-re-[GUET-CTF2019]number_game
逆向随笔
03-02 1841
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:[GUET-CTF2019]number_game IDA64位载入,进入main函数 函数sub_4006D6()函数是验证用户输入长度和字符范围 看了一下判断条件sub_400917()函数,明显的5*5数独游戏的规则 看下sub_400881(v7)函数 将25个数中为#号的替换为v7中的数值 input中的...
BUUCTF_刮开有奖改c语言伪代码教学
最新发布
02-22
### 关于BUUCTF刮开有奖题目C语言伪代码的教学 #### 问题背景介绍 在BUUCTF竞赛中,“刮开有奖”类型的题目通常涉及模拟某种特定逻辑或流程,通过编写程序来解决问题。这类题目往往要求参赛者理解给定场景并将其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值