Jarvis OJ - Baby's Crack - Writeup

M4x原创,欢迎转载,转载请表明出处

这是我第一次用爆破的方法做reverse,值得记录一下

题目:

文件下载

分析:

  • 下载后解压有exe和flag.enc两个文件,初步推测flag.enc是用exe加密后的文件,我们只需要分析exe的加密算法,还原flag.enc的明文即可

  • exe无壳,拖到IDA中用F5大法,找到关键代码:

     // local variable allocation has failed, the output may be wrong!
    
 int __cdecl main(int argc, const char **argv, const char **envp)
    
 {
    
   int result; // eax@16
    
   char Dest; // [sp+20h] [bp-80h]@16
    
   FILE *v5; // [sp+88h] [bp-18h]@5
    
   FILE *File; // [sp+90h] [bp-10h]@4
    
   char v7; // [sp+9Fh] [bp-1h]@6
    
   int v8; // [sp+B0h] [bp+10h]@1
    
   const char **v9; // [sp+B8h] [bp+18h]@1

   v8 = argc;
    
   v9 = argv;
    
   _main(*(_QWORD *)&argc, argv, envp);
    
   if ( v8 <=  )
    
   {
    
     printf("Usage: %s [FileName]\n", *v9);
    
     printf("FileName是待加密的文件");
    
     exit();
    
   }
    
   File = fopen(v9[], "rb+");
    
   if ( File )
    
   {
    
     v5 = fopen("tmp", "wb+");
    
     while ( feof(File) ==  )
    
     {
    
       v7 = fgetc(File);
    
       if ( v7 != - && v7 )
    
       {
    
         if ( v7 >  && v7 <=  )
    
         {
    
           v7 += ;
    
         }
    
         else if ( v7 <=  )
    
         {
    
           v7 += v7 % ;
    
         }
    
         else
    
         {
    
           v7 -= v7 % ;
    
         }
    
         fputc(v7, v5);
    
       }
    
     }
    
     fclose(v5);
    
     fclose(File);
    
     sprintf(&Dest, "del %s", v9[]);
    
     system(&Dest);
    
     sprintf(&Dest, "ren tmp %s", v9[]);
    
     system(&Dest);
    
     result = ;
    
   }
    
   else
    
   {
    
     printf("无法打开文件%s\n", v9[]);
    
     result = -;
    
   }
    
   return result;
    
 }

  • 代码的逻辑很简单,exe读取文件中的每一个字符,经过加密存储到flag.enc中,加密的方式有三种:

      if ( v7 != - && v7 )
    
      {
    
        if ( v7 >  && v7 <=  )
    
        {
    
          v7 += ;
    
        }
    
        else if ( v7 <=  )
    
        {
    
          v7 += v7 % ;
    
        }
    
        else
    
        {
    
          v7 -= v7 % ;
    
        }
    
        fputc(v7, v5);
    
      }

  • 刚开始是想跟进加密的算法推出明文,但后来发现flag.enc中的字符只有52位,而三种加密的算法又很简单,因此完全可以爆破

  • 附上爆破脚本

 #coding:utf-8

 import string

 #将密文转化为ascii码值便于处理,当然没有这一步也是可以的

 cipher = 'jeihjiiklwjnk{ljj{kflghhj{ilk{k{kij{ihlgkfkhkwhhjgly'

 l = map(ord, cipher)

 #l = [106, 101, 105, 104, 106, 105, 105, 107, 108, 119, 106, 110, 107, 123, 108, 106, 106, 123, 107, 102, 108, 103, 104, 104, 106, 123, 105, 108, 107, 123, 107, 123, 107, 105, 106, 123, 105, 104, 108, 103, 107, 102, 107, 104, 107, 119, 104, 104, 106, 103, 108, 121]

 #爆破的范围为所有可打印字符

 dic = string.printable

 #三种加密方式

 f1 = lambda x: chr(x - 53)

 def f2(x):

     for i in dic:

         if ord(i) + ord(i) % 11 == x:

             return chr(i)

 def f3(x):

     for i in dic:

         if ord(i) - ord(i) % 61 == x:

             return chr(i)

 #爆破函数,逐位对密文进行爆破

 def crack():

     ans = ''

     for i in l:

         try:

             ans += f1(i)

         except:

             pass

         try:

             ans += f2(i)

         except:

             pass

         try:

             ans += f3(i)

         except:

             pass

     return ans

 #爆破出的明文是16进制的,还要进行解码

 # print crack()

 print crack().decode('hex')

  • 运行得到flag

Jarvis OJ - Baby's Crack - Writeup的更多相关文章

  1. Jarvis OJ - [XMAN]level1 - Writeup

    Jarvis OJ - [XMAN]level1 - Writeup M4x原创,转载请表明出处http://www.cnblogs.com/WangAoBo/p/7594173.html 题目: 分 ...

  2. Jarvis OJ - class10 -Writeup

    Jarvis OJ - class10 -Writeup 转载请注明出处:http://www.cnblogs.com/WangAoBo/p/7552266.html 题目: Jarivs OJ的一道 ...

  3. Jarvis OJ - 栈系列部分pwn - Writeup

    最近做了Jarvis OJ的一部分pwn题,收获颇丰,现在这里简单记录一下exp,分析过程和思路以后再补上 Tell Me Something 此题与level0类似,请参考level0的writeu ...

  4. Jarvis OJ - 软件密码破解-1 -Writeup

    Jarvis OJ - 软件密码破解-1 -Writeup 转载请标明出处http://www.cnblogs.com/WangAoBo/p/7243801.html 记录这道题主要是想记录一下动态调 ...

  5. Jarvis OJ - DD-Hello -Writeup

    Jarvis OJ - DD-Hello -Writeup 转载请注明出处http://www.cnblogs.com/WangAoBo/p/7239216.html 题目: 分析: 第一次做这道题时 ...

  6. Jarvis OJ - 爬楼梯 -Writeup

    Jarvis OJ - 爬楼梯 -Writeup 本来是想逆一下算法的,后来在学长的指导下发现可以直接修改关键函数,这个题做完有种四两拨千斤的感觉,记录在这里 转载请标明出处:http://www.c ...

  7. Jarvis OJ部分逆向

    Jarvis OJ部分逆向题解 很久没有写博客了,前天上Jarvis OJ刷了几道逆向,保持了一下感觉.都是简单题目,写个writeup记录一下. easycrackme int __cdecl ma ...

  8. jarvis OJ WEB题目writeup

    0x00前言 发现一个很好的ctf平台,题目感觉很有趣,学习了一波并记录一下 https://www.jarvisoj.com 0x01 Port51 题目要求是用51端口去访问该网页,注意下,要用具 ...

  9. Jarvis OJ - [XMAN]level3 - Writeup——ret2libc尝试

    这次除了elf程序还附带一个动态链接库 先看一下,很一般的保护 思路分析 在ida中查看,可以确定通过read函数输入buf进行溢出,但是并没有看到合适的目标函数 但是用ida打开附带的链接库,可以看 ...

随机推荐

  1. [CF1303F] Number of Components - 并查集,时间倒流

    有一个 \(n \times m\) 矩阵,初态下全是 \(0\). 如果两个相邻元素(四连通)相等,我们就说它们是连通的,且这种关系可以传递. 有 \(q\) 次操作,每次指定一个位置 \((x_i ...

  2. 使用git将本地项目上传至git仓库

    个人博客 地址:https://www.wenhaofan.com/article/20190508220440 介绍 一般来说开发过程中都是先在git创建远程仓库,然后fetch到本地仓库,再进行c ...

  3. 安卓android eclipse运行提示no compatible targets were found

    在eclipse中开发安卓应用,运行项目时,右击项目名称---Run As---Android Application时, 系统提示"No compatible targets were f ...

  4. mysql常用函数及关键字汇总

    关键字 1...mysql包含之in SELECT count(1) as count FROM 表名 a,表名 b WHERE a.主键 = b.外键  and a.字段 in('1','2,'3' ...

  5. mysql空数据的处理

    1.统计分析时,统计值为null则转为0 //统计婚姻接口调用次数select count ,(zsj/count) as pjdysjfrom(-- 实时调用量 评论返回时间差(取平均值)selec ...

  6. Python获取时间范围

    import datetime def dateRange(beginDate, endDate): dates = [] dt = datetime.datetime.strptime(beginD ...

  7. Codeforces Round #617 (Div. 3) 题解

    又是隔了一年才来补题的我 A.B水题就不用说了 C - Yet Another Walking Robot C题我居然卡了一会,最后决定用map水,结果出来看了看题解,居然真的是map...没想到会出 ...

  8. [AtCoder Code Festival 2017 QualB C/At3574] 3 Steps - 二分图染色,结论

    给你一个n个点m条边的无向图,进行以下操作 如果存在两个点u和v,使得从u走三步能恰好到达v,那么在u和v之间连接一条边 重复这个操作直到不能再连接新的边,问最后有多少条边? n, m <= 1 ...

  9. Sulley安装手记

    Sulley折腾手记 序言:sulley是有名的模糊测试架构,可是他的安装十分繁琐,容易出错,以致这么好的工具不被太多人关注,本人大一小白一枚,想入坑sulley,可是网上资料太少,且不连贯,费了九牛 ...

  10. 2019-08-13 纪中NOIP模拟B组

    T1 [JZOJ1534] rank 题目描述 小h和小R正在看之前的期末&三校联考成绩,小R看完成绩之后很伤心,共有n个学生,第i个学生有一个总成绩Xi,因为他的排名是倒数第k个,于是小R想 ...