0x01 arguement

下载链接:https://www.lanzous.com/i7atyhc

1.准备

获取到信息:

  1. 32位的文件
  2. upx加密文件

在控制台打开文件

使用"upx -d reverse.exe"解密

2.IDA打开

直接在String中,找到引用"Input Your Flag:"的位置

int __usercall sub_415280@<eax>(int xmm0_4_0@<xmm0>, int a1, int a2)

{

  int v3; // edx

  FILE *v4; // eax

  int v5; // edx

  int v6; // ecx

  char *v7; // eax

  int v8; // edx

  int v9; // ecx

  int v10; // ST04_4

  int v11; // ST08_4

  char v13; // [esp+0h] [ebp-134h]

  char Buf; // [esp+D0h] [ebp-64h]

  size_t i; // [esp+100h] [ebp-34h]

  FILE *File; // [esp+10Ch] [ebp-28h]

  char v17; // [esp+118h] [ebp-1Ch]

  int v18; // [esp+130h] [ebp-4h]

  int savedregs; // [esp+134h] [ebp+0h]

  sub_411208((int)&unk_41C008);

  printf("Input Your Flag:\n", v13);

  sub_41137F("%19s", (unsigned int)&v17);       // v12大小为24

  if ( a1 !=  )

  {

    printf("Input error!\n", v13);

    exit();

  }

  printf("%s\n", *(_DWORD *)(a2 + ));          // 在执行文件时,执行的第一个参数

  for ( i = ; i < j_strlen(*(const char **)(a2 + )); ++i )// 遍历执行文件时输入的字符串

    *(_BYTE *)(*(_DWORD *)(a2 + ) + i) += i;   // 每一位 str[i] += i

  if ( !j_strcmp(Str1, *(const char **)(a2 + )) )// 和“fmcj2y~{”比较

  {

    v4 = fopen(*(const char **)(a2 + ), "r");  // 下面两句文件操作,应该是获取输入的

    File = (FILE *)sub_411212(v6, v5, &v13 == &v13, (int)v4, xmm0_4_0);

    if ( File )

    {

      v7 = fgets(&Buf, , File);

      sub_411212(v9, v8, &v13 == &v13, (int)v7, xmm0_4_0);

      if ( j_strlen(&Buf) !=  || j_strlen(&Buf) %  ==  )// 输入长度应该是32

        exit();

      sub_4113B1(xmm0_4_0, &Buf, (int)&unk_41A4E0);

      if ( sub_4113B6(xmm0_4_0, (int)&unk_41A4E0) )

        printf("flag{%s}", (unsigned int)&Buf);

      else

        printf("Input Error!\n", v13);

    }

    else

    {

      printf("Input Error!\n", v13);

    }

  }

  else

  {

    printf("Input Error!\n", v13);

  }

  sub_411235(&savedregs, dword_4154C4, , v3);

  return sub_411212((unsigned int)&savedregs ^ v18, v11, , v10, xmm0_4_0);

}

因此在运行时文件我们要在后面带一个参数,这个参数通过分析代码,我们可以写个脚本解出

str1 = 'fmcj2y~{'

str2 = ''

for i in range(len(str1)):

    str2 += chr(ord(str1[i]) - i)

print (str2

3.代码分析

通过分析,可以知道关键的函数是sub_4113B1sub_4113B6

3.1 sub_4113B1函数

int __usercall sub_414E50@<eax>(int a1@<xmm0>, char *Str, int a3)

{

  unsigned int v3; // eax

  int v4; // edx

  int v5; // ecx

  char v7; // [esp+0h] [ebp-E4h]

  int v8; // [esp+D0h] [ebp-14h]

  signed int i; // [esp+DCh] [ebp-8h]

  sub_411208((int)&unk_41C008);

  dword_41A078[] = 0xA7;

  dword_41A078[] = 0xDE;

  dword_41A078[] = 0xDA;

  dword_41A078[] = 0x46;

  dword_41A078[] = 0xAB;

  dword_41A078[] = 0x2E;

  dword_41A078[] = 0xFF;

  dword_41A078[] = 0xDB;

  for ( i = ; ; i +=  )                       // 0开始,2跳

  {

    v3 = j_strlen(Str);                         // v3为Buf长度32

    if ( i >= v3 )

      break;

    if ( Str[i] >=  && Str[i] <=  )         // '0'~'9'

    {

      *(_DWORD *)(a3 +  * (i / )) = Str[i] - ;// 字符转换为整型

    }

    else

    {

      if ( Str[i] <  || Str[i] >  )        // 非'a'~'f',说明组成的字符是'0'~'9'||'a'~'f',十六进制啊

      {

        printf("Input Error!\n", v7);

        exit();

      }

      *(_DWORD *)(a3 +  * (i / )) = Str[i] - ;// 十六进制啊!'a'~'f'就是10~15

    }

    *(_DWORD *)(a3 +  * (i / )) *= ;        // 最后还要乘16

    if ( Str[i + ] >=  && Str[i + ] <=  ) // i=1,3,5...如果为数字

    {

      v8 = Str[i + ] - ;                     // v8=字符转数字

    }

    else

    {

      if ( Str[i + ] <  || Str[i + ] >  )

      {

        printf("Input Error!\n", v7);

        exit();

      }

      v8 = Str[i + ] - ;                     // i=1,3,5...如果是'a'~'f'字符转数字,10~15

    }

    *(_DWORD *)(a3 +  * (i / )) += v8;        // a3[i]+=v8

  }

  return sub_411212(v5, v4, , v3, a1);

}

这个函数有两个作用:

  1. 对dword_41A078后8双字节赋值
  2. 将输入的字符串,两两字符转换为数字,存入v4,例如:输入"a1b2c3"将会转换为0xa1b2c3

3.2 sub_4113B6函数

int __usercall sub_411D90@<eax>(int a1@<xmm0>, int a2)

{

  int v2; // edx

  int v3; // ecx

  int v4; // eax

  signed int i; // [esp+D0h] [ebp-8h]

  sub_411208((int)&unk_41C008);

  for ( i = ; i < ; ++i )

  {

    v3 = a2;                                    // v3赋值为之前得到的整数

    v2 = *(_DWORD *)(a2 +  * i) + ;           // v2=v2[i]+1

    if ( v2 != dword_41A078[i] )

    {

      v4 = ;

      return sub_411212(v3, v2, , v4, a1);

    }

  }

  v4 = ;

  return sub_411212(v3, v2, , v4, a1);

}

这个函数将我们转换输入字符串得到的v4。每一位加1之后与已知的dword_41A078数组比较。

dword_41A078

50h 0C6h 0F1h 0E4h 0E3h 0E2h 9Ah 0A1h 0A7h 0DEh 0DAh 46h 0ABh 2Eh 0FFh 0DBh

因此我们只要将dword_41A078每一位减1,就能得到v4,从而输入的Buf也得到了了

v4

4fc5f0e3e2e199a0a6ddd945aa2dfeda

Buf

"4fc5f0e3e2e199a0a6ddd945aa2dfeda"

而回到主函数

if ( sub_4113B6(xmm0_4_0, (int)&unk_41A4E0) )

    printf("flag{%s}", (unsigned int)&Buf);

flag就是flag{Buf}

4.get flag!

flag{4fc5f0e3e2e199a0a6ddd945aa2dfeda}

0x02 EzRE

下载链接:https://www.lanzous.com/i7atzwd

原题:

https://www.jianshu.com/p/7fdfe2333123

http://www.pianshen.com/article/8985544588/

flag{#FFRFFF####ZZRZZZ##FF#FFFF}

0x03 icekey

下载链接:https://www.lanzous.com/i7atzwd

使用dnSpy打开之后,找到main函数打开

这通过观察反编译的C#代码,能够知道这段代码就是将我们输入的字符串经过加密后,与b="3ACF8D62AAA0B630C4AF43AF327CE129D46F0FEB98D9040F713BE65502A5107A"比较,相同则返回true否则返回false。

并且这段代码还很贴心的在下面写出了解密函数,因此只需要在我们调试中,输入字符串并加密后,将调试窗口处的array数组和bytes数组改为与b数组相等即可(因为在加密和比较中用到了这两个数组)

最终,调试至程序结束,我们能够在内存窗口追踪到bytes解密后的字符数组,即为我们正确的输入:

5acb06231724c8c369bae711166dbe85

0x04 android

下载链接:https://www.lanzous.com/i7au7pe

2019中国杭州网络安全技能大赛 预选赛原题,不过没解完。

https://xhyeax.github.io/2019/04/07/2019-hzwas-wp/

0x05 总结

湖湘杯又被吐槽了...Reverse基本都是签到题,菜鸡做着还是舒服。

2019 湖湘杯 Reverse WP的更多相关文章

  1. 【CTF】2019湖湘杯 miscmisc writeup

    题目来源:2019湖湘杯 题目链接:https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id= ...

  2. CTF 湖湘杯 2018 WriteUp (部分)

    湖湘杯 2018 WriteUp (部分),欢迎转载,转载请注明出处! 1.  CodeCheck(WEB) 测试admin ‘ or ‘1’=’1’# ,php报错.点击登录框下面的滚动通知,URL ...

  3. 2017湖湘杯复赛writeup

    2017湖湘杯复赛writeup 队伍名:China H.L.B 队伍同时在打 X-NUCA  和 湖湘杯的比赛,再加上周末周末周末啊,陪女朋友逛街吃饭看电影啊.所以精力有点分散,做出来部分题目,现在 ...

  4. 2017湖湘杯Writeup

    RE部分 0x01 Re4newer 解题思路: Step1:die打开,发现有upx壳. Step2:脱壳,执行upx -d 文件名即可. Step3:IDA打开,shift+F12看字符串. 点进 ...

  5. Bugku Writeup —文件上传2(湖湘杯)

    我们先来看下题目,题目说明是文件上传 我们可以尝试通过构造payload来进行测试 php://filter/read=convert.base64-encode/resource=flag 获取到f ...

  6. 2018湖湘杯web、misc记录

    1.题目名 Code Check 打开题目,右键发现有id参数的url,简单base64解码以后发现不是明文,说明利用了其他的加密方式,那么应该会有具体的加密方式给我们,于是试试常见的文件泄露,可以发 ...

  7. 湖湘杯2020_ReMe

    查壳后发现是由Python2.7环境下编译得到的exe可执行文件 由此想到可将exe转为pyc文件再反编译成py文件 且该方法只适用于py2 无混淆 因为py3的字节码结构有些许变化 step1: 在 ...

  8. 湖湘杯2020 writeup

    这个平台中间卡的离谱,卡完过后交了flag分还掉了 Web 题目名字不重要 也算是非预期吧,赛后y1ng师傅也说了因为要多端口环境必须这样配,预期解很难 NewWebsite 后台弱口令admin a ...

  9. 2019 安洵杯 Re 部分WP

    0x01.EasyEncryption 测试文件:https://www.lanzous.com/i7soysb 1.IDA打开 int sub_416560() { int v0; // eax i ...

随机推荐

  1. 【java工具类】POI导出excel

    POI的maven依赖:<dependency> <groupId>org.apache.poi</groupId> <artifactId>poi&l ...

  2. 浅谈BSGS(大步小步)及其扩展

    用途: 一般用来求\(a^x\equiv b\,\,(mod\,p)\)的最小正整数解,其中gcd(a,p)=1 设\(u=\lceil sqrt(p)\rceil\),则式子可以转化为\(a^{iu ...

  3. 【canvas学习笔记六】状态保存和变换

    save()和restore() save() 保存当前状态,将当前canvas的状态存入栈中. restore() 恢复之前save的一个状态,将之前的状态从栈中弹出. 保存的当前状态包含以下信息: ...

  4. es之路由:进一步提高Elasticsearch的检索效率(适用大规模数据集)

    1:一条数据是如何落地到对应的shard上的 当索引一个文档的时候,文档会被存储到一个主分片中. Elasticsearch 如何知道一个文档应该存放到哪个分片中呢? 首先这肯定不会是随机的,否则将来 ...

  5. java语言对比,jvm,垃圾回收

    1.java/c++/ruby/python集中语言的对比 java和c++ 1,没有指针 2,没有多继承 3,没有const 4,在实现多态上的区别    tc++里面的虚函数,纯续函数和java里 ...

  6. 分享页(把末尾的JS函数换成这个)

    function jsApiStart(obj) { wx.config({ debug: false, // 开启调试模式,调用的所有api的返回值会在客户端alert出来,若要查看传入的参数,可以 ...

  7. 打开远程桌面时总提示无法打开连接文件default.rdp

    删除C:\Users\Administrator\Documents\default.rdp,再启动远程就好了 http://www.chahushequ.com/read-topic-94-2fa9 ...

  8. 【HTTP/FTP客户端库】

    [HTTP/FTP客户端库]资料来源:http://curl.haxx.se/libcurl/competitors.html Free Software and Open Source projec ...

  9. RF通过命令执行用例及自定义报告与日志的位置

    1.执行整个项目下的所有用例: pybot 项目路径.例如: pybot D:\robotPS:robot项目里面所有用例 2.执行某个suit中的所有用例: pybot 项目路径\suit文件名称. ...

  10. leetcode 102.Binary Tree Level Order Traversal 二叉树的层次遍历

    基础为用队列实现二叉树的层序遍历,本题变体是分别存储某一层的元素,那么只要知道,每一层的元素都是上一层的子元素,那么只要在while循环里面加个for循环,将当前队列的值(即本层元素)全部访问后再执行 ...