buuctf刷题记录18 [WUSTCTF2020]level3

最新推荐文章于 2025-03-30 18:09:56 发布
最新推荐文章于 2025-03-30 18:09:56 发布
阅读量829 收藏
点赞数
分类专栏: ctf 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ytj00/article/details/107734841
版权

经典无壳,拖进ida

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fy0biVpE-1596277470791)(D:\markdown\文件\图片\7.10.1.png)]

最后输出的里面有衣穿加密字符串,一看就知道是base加密的,然后提上又提示是base64加密,拿去解密发现不对,感觉应该是吧base64的码表改了

然后找半天没找到那个函数,

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lRCFeCae-1596277470794)(D:\markdown\文件\图片\7.10.2.png)]

然后找到这个奇怪的函数,果然是吧码表换了

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KaK0I8c3-1596277470795)(D:\markdown\文件\图片\7.10.3.png)]

写出脚本,得到改变的码表

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0jOCkUJP-1596277470797)(D:\markdown\文件\图片\7.10.4.png)]

然后根据之前的加密字符串,再写脚本

import base64
import string

str1 = "d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD=="

string1 = "TSRQPONMLKJIHGFEDCBAUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
string2 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"

print (base64.b64decode(str1.translate(str.maketrans(string1,string2))))

得到flag: flag{Base64_is_the_start_of_reverse}

buu-[WUSTCTF2020]level3
qaq517384的博客
03-07 297
64位GCC 查看字符串,base甩脸上 看一眼main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // ST0F_1 const char *v4; // rax char v6; // [rsp+10h] [rbp-40h] unsigned __int64 v7; // [rsp+48h] [rbp-8h] v7 = __readfsqword(0x28u);
BUUCTF逆向】[WUSTCTF2020]level3(魔改base64编码表)
Power的博客
02-13 913
Base64、魔改编码表、Start、不在main函数中、ELF远程调试、随波逐流Base64解码
[buuctf][WUSTCTF2020]level3
逆向萌新的博客
07-13 1097
[buuctf][WUSTCTF2020]level3
buuctf——(WUSTCTF2020level3
yhfgs的博客
06-06 417
1.查壳。 无壳,64位。
[WUSTCTF2020]level3-buuctf
Lenard404的博客
03-15 1060
buuctf记录 查壳 64位无壳 IDA分析 main函数很明显的给了一个密文d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD==和提示:这是一个特殊的base64加密。 给了这样的提示,推测是base64换表 那么查看加密函数: 加密表点进去: 是正常的表,直接用原表解密解不出flag,右键查看表的引用,发现除了加密函数之外还有一个函数对表进行了操作: 点进去查看,果然是改了表: 简单写个脚本解出更改后的表: #include&
[BUUCTF]REVERSE——[WUSTCTF2020]level3
mcmuyanga的博客
12-16 541
[WUSTCTF2020]level3 附件 步骤: 例行检查,64位程序,无壳 64位ida载入,找到关键函数 看样子是个base64加密,但又感觉没那么简单,再翻翻左边的函数,找到了base64加密变表的函数 将加密表变换一下写个解密exp import base64 table = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=' model = list("ABCDEFGHIJKLMNOPQRSTUVWX
buuctf记录
mackilo的博客
02-16 3033
2022-1-16 reverse2 扔到IDA64里解析, F5生成伪代码 通过分析得出经过一定的变换后与flag进行比较的 查看flag的值,是{hacking_for_fun} 再返回前面看如何对flag进行变换的,将105、114、49转换成值, 箭头所指的函数功能为,把flag中存在的’i’以及’r’转换成’1’,进而得出正确flag。 2022-1-17 内涵的软件 下载好以后发现是乱码的exe文件,拖到ExeinfoPE里查看信息, 没有加壳,用IDA打开,查看main函数 可以看到跳
buuctf记录(6)
weixin_53409153的博客
08-03 358
[MRCTF2020]Xor 查壳: 拖入IDA中: 跟进,但是我们无法对关键函数sub_401090查看伪代码: 然后我们就直接看: 再函数中可以看到v0和byte_4212c0按位异或,最后得到byte_41EA08就会输出right,然后再查看: 最后再写脚本: a="MSAWB~FXZ:J:`tQJ\"N@ bpdd}8g" s="" for i in range(len(a)): s+=chr(i^ord(a[i])) print (s) 运行得到: MRCTF{@_R3@
BUUCTF-PWN记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1936
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
[BUUCTF]记录6
Huamang的博客
04-04 518
[WUSTCTF2020]朴实无华 目录扫描 intval函数的科学记数法绕过 MD5加密后与加密前相等 直接去扫目录,扫到了fl4g.php if (isset($_GET['num'])){ $num = $_GET['num']; if(intval($num) < 2020 && intval($num + 1) > 2021){ echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.&lt
WUSTCTF(2020)level3
HLi1219的博客
11-09 1380
快比赛了,老害怕了,我什么都不会,真就去体验? 打开PE查找相关信息 可以用Ubuntu打开,在kali里面打开后找到信息语句 接着用ida打开后找到相关的句子定位到了main函数,F5反编译 直接看最后那段base64的语句,尝试利用正常的base64表解密,发现不行,联想到了可能是换表了,点击上面的base_encode函数,找加密表 我擦,正常的base64表,那可能是对这个表进行了置换,Crrl+X 查看调用情况 慢慢找到了0_0LookAtYou函数 ...
BUUCTF [WUSTCTF2020]level3
liulala987的博客
08-23 771
于是直接把字符串拉去base64解密 但是解密出来有乱码 感觉应该是一种变形的base64编码 结合And I get a strange string from my program which is different from the standard base64这句话更加确定编码表被做了修改 于是继续回到主函数。进入主函数 F5查看伪c代码 能够看到很明显的base64编码 还能看到一串可疑字符串。,这实际上是将原始值放回了它在对称操作后被覆盖的位置。索引对称的元素的原始索引。
BUUCTF Reverse/[WUSTCTF2020]level3
ookami6497的博客
07-26 335
BUUCTF Reverse/[WUSTCTF2020]level3 没有加壳 用IDA64位打开,分析代码 int __cdecl main(int argc, const char **argv, const char **envp) { char *v3; // rax char v5; // [rsp+Fh] [rbp-41h] char v6[56]; // [rsp+10h] [rbp-40h] BYREF unsigned __int64 v7; // [rsp+4
BUU-[WUSTCTF2020]level3
qq_45771413的博客
04-19 297
查壳 无壳 ida F5伪代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // ST0F_1 char *v4; // rax char v6; // [rsp+10h] [rbp-40h] unsigned __int64 v7; // [rsp+48h] [rbp-8h] v7 = __readfsqword(0x28u); printf("Try my base
[WUSTCTF2020]level3
最新发布
qq_32304353的博客
03-30 308
得到flag:wctf2020{Base64_is_the_start_of_reverse}这里有个O_OLookAtYou函数,想必是被换表了。一眼顶针,一眼base64编码。这里直接利用大佬的exp解密。Shift+F12看字符串。没给密码表肯定是不可能。64位无壳elf文件。然后就没有更多信息了。
[WUSTCTF 2020]level3
2301_81713863的博客
11-24 243
正确的码表:TSRQPONMLKJIHGFEDCBAUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/发现一个码表,进行base64解密,但肯定不会这么简单。果然,在这里找到一个base64码表转换。果然解码的结果是错的,重新分析源码。跟进base64_encode.分析到这里就简单多了。下载附件,ida打开。再次进行base64解密。发现一串可疑的字符串。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值