Jarvis OJ - Baby's Crack - Writeup

M4x原创,欢迎转载,转载请表明出处

这是我第一次用爆破的方法做reverse,值得记录一下

题目:

文件下载

分析:

  • 下载后解压有exe和flag.enc两个文件,初步推测flag.enc是用exe加密后的文件,我们只需要分析exe的加密算法,还原flag.enc的明文即可

  • exe无壳,拖到IDA中用F5大法,找到关键代码:

     // local variable allocation has failed, the output may be wrong!
    
 int __cdecl main(int argc, const char **argv, const char **envp)
    
 {
    
   int result; // eax@16
    
   char Dest; // [sp+20h] [bp-80h]@16
    
   FILE *v5; // [sp+88h] [bp-18h]@5
    
   FILE *File; // [sp+90h] [bp-10h]@4
    
   char v7; // [sp+9Fh] [bp-1h]@6
    
   int v8; // [sp+B0h] [bp+10h]@1
    
   const char **v9; // [sp+B8h] [bp+18h]@1

   v8 = argc;
    
   v9 = argv;
    
   _main(*(_QWORD *)&argc, argv, envp);
    
   if ( v8 <=  )
    
   {
    
     printf("Usage: %s [FileName]\n", *v9);
    
     printf("FileName是待加密的文件");
    
     exit();
    
   }
    
   File = fopen(v9[], "rb+");
    
   if ( File )
    
   {
    
     v5 = fopen("tmp", "wb+");
    
     while ( feof(File) ==  )
    
     {
    
       v7 = fgetc(File);
    
       if ( v7 != - && v7 )
    
       {
    
         if ( v7 >  && v7 <=  )
    
         {
    
           v7 += ;
    
         }
    
         else if ( v7 <=  )
    
         {
    
           v7 += v7 % ;
    
         }
    
         else
    
         {
    
           v7 -= v7 % ;
    
         }
    
         fputc(v7, v5);
    
       }
    
     }
    
     fclose(v5);
    
     fclose(File);
    
     sprintf(&Dest, "del %s", v9[]);
    
     system(&Dest);
    
     sprintf(&Dest, "ren tmp %s", v9[]);
    
     system(&Dest);
    
     result = ;
    
   }
    
   else
    
   {
    
     printf("无法打开文件%s\n", v9[]);
    
     result = -;
    
   }
    
   return result;
    
 }

  • 代码的逻辑很简单,exe读取文件中的每一个字符,经过加密存储到flag.enc中,加密的方式有三种:

      if ( v7 != - && v7 )
    
      {
    
        if ( v7 >  && v7 <=  )
    
        {
    
          v7 += ;
    
        }
    
        else if ( v7 <=  )
    
        {
    
          v7 += v7 % ;
    
        }
    
        else
    
        {
    
          v7 -= v7 % ;
    
        }
    
        fputc(v7, v5);
    
      }

  • 刚开始是想跟进加密的算法推出明文,但后来发现flag.enc中的字符只有52位,而三种加密的算法又很简单,因此完全可以爆破

  • 附上爆破脚本

 #coding:utf-8

 import string

 #将密文转化为ascii码值便于处理,当然没有这一步也是可以的

 cipher = 'jeihjiiklwjnk{ljj{kflghhj{ilk{k{kij{ihlgkfkhkwhhjgly'

 l = map(ord, cipher)

 #l = [106, 101, 105, 104, 106, 105, 105, 107, 108, 119, 106, 110, 107, 123, 108, 106, 106, 123, 107, 102, 108, 103, 104, 104, 106, 123, 105, 108, 107, 123, 107, 123, 107, 105, 106, 123, 105, 104, 108, 103, 107, 102, 107, 104, 107, 119, 104, 104, 106, 103, 108, 121]

 #爆破的范围为所有可打印字符

 dic = string.printable

 #三种加密方式

 f1 = lambda x: chr(x - 53)

 def f2(x):

     for i in dic:

         if ord(i) + ord(i) % 11 == x:

             return chr(i)

 def f3(x):

     for i in dic:

         if ord(i) - ord(i) % 61 == x:

             return chr(i)

 #爆破函数,逐位对密文进行爆破

 def crack():

     ans = ''

     for i in l:

         try:

             ans += f1(i)

         except:

             pass

         try:

             ans += f2(i)

         except:

             pass

         try:

             ans += f3(i)

         except:

             pass

     return ans

 #爆破出的明文是16进制的,还要进行解码

 # print crack()

 print crack().decode('hex')

  • 运行得到flag

Jarvis OJ - Baby's Crack - Writeup的更多相关文章

  1. Jarvis OJ - [XMAN]level1 - Writeup

    Jarvis OJ - [XMAN]level1 - Writeup M4x原创,转载请表明出处http://www.cnblogs.com/WangAoBo/p/7594173.html 题目: 分 ...

  2. Jarvis OJ - class10 -Writeup

    Jarvis OJ - class10 -Writeup 转载请注明出处:http://www.cnblogs.com/WangAoBo/p/7552266.html 题目: Jarivs OJ的一道 ...

  3. Jarvis OJ - 栈系列部分pwn - Writeup

    最近做了Jarvis OJ的一部分pwn题,收获颇丰,现在这里简单记录一下exp,分析过程和思路以后再补上 Tell Me Something 此题与level0类似,请参考level0的writeu ...

  4. Jarvis OJ - 软件密码破解-1 -Writeup

    Jarvis OJ - 软件密码破解-1 -Writeup 转载请标明出处http://www.cnblogs.com/WangAoBo/p/7243801.html 记录这道题主要是想记录一下动态调 ...

  5. Jarvis OJ - DD-Hello -Writeup

    Jarvis OJ - DD-Hello -Writeup 转载请注明出处http://www.cnblogs.com/WangAoBo/p/7239216.html 题目: 分析: 第一次做这道题时 ...

  6. Jarvis OJ - 爬楼梯 -Writeup

    Jarvis OJ - 爬楼梯 -Writeup 本来是想逆一下算法的,后来在学长的指导下发现可以直接修改关键函数,这个题做完有种四两拨千斤的感觉,记录在这里 转载请标明出处:http://www.c ...

  7. Jarvis OJ部分逆向

    Jarvis OJ部分逆向题解 很久没有写博客了,前天上Jarvis OJ刷了几道逆向,保持了一下感觉.都是简单题目,写个writeup记录一下. easycrackme int __cdecl ma ...

  8. jarvis OJ WEB题目writeup

    0x00前言 发现一个很好的ctf平台,题目感觉很有趣,学习了一波并记录一下 https://www.jarvisoj.com 0x01 Port51 题目要求是用51端口去访问该网页,注意下,要用具 ...

  9. Jarvis OJ - [XMAN]level3 - Writeup——ret2libc尝试

    这次除了elf程序还附带一个动态链接库 先看一下,很一般的保护 思路分析 在ida中查看,可以确定通过read函数输入buf进行溢出,但是并没有看到合适的目标函数 但是用ida打开附带的链接库,可以看 ...

随机推荐

  1. BZOJ3926&&lg3346 ZJOI诸神眷顾的幻想乡(广义后缀自动机)

    BZOJ3926&&lg3346 ZJOI诸神眷顾的幻想乡(广义后缀自动机) 题面 自己找去 HINT 我们可以把题目拆解成几个部分,首先我们手玩一个结论,从所有的叶子节点出发,遍历整 ...

  2. Django 上下文管理器,为父模板添加动态数据

    1.摘要:模板继承可以减少页面内容的重复定义,实现页面内容的重用. 但是当父模板中有动态数据的话,这些动态数据在子模版中是不会显示的.我们可以通过自定义上下文处理器来解决 2.Django上下文处理器 ...

  3. 统计redis大key信息(前topN)

    相关包下载链接 https://github.com/sripathikrishnan/redis-rdb-tools/releaseshttps://pypi.org/project/python- ...

  4. 一些PC小软件/工具/神器备份

    小巧.有用的工具,提升工作效率. 以下所有软件均在吾爱破解可以找到(善用搜索) everything(本机文件搜索神器) 天若OCR文字识别(强无敌) QQ拼音截屏工具(从QQ拼音/QQ中独立拿出来的 ...

  5. Piggy-Bank HDU - 1114 完全背包

    #include<iostream> #include<cstring> using namespace std; const int INF=0x3f3f3f3f; ]; s ...

  6. setTimeout(call,0)作用

    setTimeout(call,0)作用  经常看到setTimeout延时0ms的javascript代码,感到很迷惑,难道延时0ms和不延时不是一个道理吗?后来通过查资料以及实验得出以下两个作用, ...

  7. SSH、telnet配置以及它们之间区别

    命令: SSH ip domain-name www.baidu.com --配置主机名(用来远程访问) user privilege secret --配置账户名和密码 line vty --配置端 ...

  8. PM2的参数配置

    https://github.com/jawil/blog/issues/7 配置项: name  应用进程名称:script  启动脚本路径:cwd  应用启动的路径,关于script与cwd的区别 ...

  9. 【做题笔记】洛谷P1506 拯救oibh总部

    跑一遍染色法,最后判断哪些位置没被染色即可 一些技巧: 为了判断方便,把字符转换成 int 型的数字. 注意边界问题 详细解释见代码 #include <iostream> #includ ...

  10. python3练习100题——036

    原题链接:http://www.runoob.com/python/python-exercise-example36.html 题目:求100之内的素数. 之前有类似的题,所以这次遇到觉得很容易了, ...