0x01 arguement

下载链接:https://www.lanzous.com/i7atyhc

1.准备

获取到信息:

  1. 32位的文件
  2. upx加密文件

在控制台打开文件

使用"upx -d reverse.exe"解密

2.IDA打开

直接在String中,找到引用"Input Your Flag:"的位置

int __usercall sub_415280@<eax>(int xmm0_4_0@<xmm0>, int a1, int a2)

{

  int v3; // edx

  FILE *v4; // eax

  int v5; // edx

  int v6; // ecx

  char *v7; // eax

  int v8; // edx

  int v9; // ecx

  int v10; // ST04_4

  int v11; // ST08_4

  char v13; // [esp+0h] [ebp-134h]

  char Buf; // [esp+D0h] [ebp-64h]

  size_t i; // [esp+100h] [ebp-34h]

  FILE *File; // [esp+10Ch] [ebp-28h]

  char v17; // [esp+118h] [ebp-1Ch]

  int v18; // [esp+130h] [ebp-4h]

  int savedregs; // [esp+134h] [ebp+0h]

  sub_411208((int)&unk_41C008);

  printf("Input Your Flag:\n", v13);

  sub_41137F("%19s", (unsigned int)&v17);       // v12大小为24

  if ( a1 !=  )

  {

    printf("Input error!\n", v13);

    exit();

  }

  printf("%s\n", *(_DWORD *)(a2 + ));          // 在执行文件时,执行的第一个参数

  for ( i = ; i < j_strlen(*(const char **)(a2 + )); ++i )// 遍历执行文件时输入的字符串

    *(_BYTE *)(*(_DWORD *)(a2 + ) + i) += i;   // 每一位 str[i] += i

  if ( !j_strcmp(Str1, *(const char **)(a2 + )) )// 和“fmcj2y~{”比较

  {

    v4 = fopen(*(const char **)(a2 + ), "r");  // 下面两句文件操作,应该是获取输入的

    File = (FILE *)sub_411212(v6, v5, &v13 == &v13, (int)v4, xmm0_4_0);

    if ( File )

    {

      v7 = fgets(&Buf, , File);

      sub_411212(v9, v8, &v13 == &v13, (int)v7, xmm0_4_0);

      if ( j_strlen(&Buf) !=  || j_strlen(&Buf) %  ==  )// 输入长度应该是32

        exit();

      sub_4113B1(xmm0_4_0, &Buf, (int)&unk_41A4E0);

      if ( sub_4113B6(xmm0_4_0, (int)&unk_41A4E0) )

        printf("flag{%s}", (unsigned int)&Buf);

      else

        printf("Input Error!\n", v13);

    }

    else

    {

      printf("Input Error!\n", v13);

    }

  }

  else

  {

    printf("Input Error!\n", v13);

  }

  sub_411235(&savedregs, dword_4154C4, , v3);

  return sub_411212((unsigned int)&savedregs ^ v18, v11, , v10, xmm0_4_0);

}

因此在运行时文件我们要在后面带一个参数,这个参数通过分析代码,我们可以写个脚本解出

str1 = 'fmcj2y~{'

str2 = ''

for i in range(len(str1)):

    str2 += chr(ord(str1[i]) - i)

print (str2

3.代码分析

通过分析,可以知道关键的函数是sub_4113B1sub_4113B6

3.1 sub_4113B1函数

int __usercall sub_414E50@<eax>(int a1@<xmm0>, char *Str, int a3)

{

  unsigned int v3; // eax

  int v4; // edx

  int v5; // ecx

  char v7; // [esp+0h] [ebp-E4h]

  int v8; // [esp+D0h] [ebp-14h]

  signed int i; // [esp+DCh] [ebp-8h]

  sub_411208((int)&unk_41C008);

  dword_41A078[] = 0xA7;

  dword_41A078[] = 0xDE;

  dword_41A078[] = 0xDA;

  dword_41A078[] = 0x46;

  dword_41A078[] = 0xAB;

  dword_41A078[] = 0x2E;

  dword_41A078[] = 0xFF;

  dword_41A078[] = 0xDB;

  for ( i = ; ; i +=  )                       // 0开始,2跳

  {

    v3 = j_strlen(Str);                         // v3为Buf长度32

    if ( i >= v3 )

      break;

    if ( Str[i] >=  && Str[i] <=  )         // '0'~'9'

    {

      *(_DWORD *)(a3 +  * (i / )) = Str[i] - ;// 字符转换为整型

    }

    else

    {

      if ( Str[i] <  || Str[i] >  )        // 非'a'~'f',说明组成的字符是'0'~'9'||'a'~'f',十六进制啊

      {

        printf("Input Error!\n", v7);

        exit();

      }

      *(_DWORD *)(a3 +  * (i / )) = Str[i] - ;// 十六进制啊!'a'~'f'就是10~15

    }

    *(_DWORD *)(a3 +  * (i / )) *= ;        // 最后还要乘16

    if ( Str[i + ] >=  && Str[i + ] <=  ) // i=1,3,5...如果为数字

    {

      v8 = Str[i + ] - ;                     // v8=字符转数字

    }

    else

    {

      if ( Str[i + ] <  || Str[i + ] >  )

      {

        printf("Input Error!\n", v7);

        exit();

      }

      v8 = Str[i + ] - ;                     // i=1,3,5...如果是'a'~'f'字符转数字,10~15

    }

    *(_DWORD *)(a3 +  * (i / )) += v8;        // a3[i]+=v8

  }

  return sub_411212(v5, v4, , v3, a1);

}

这个函数有两个作用:

  1. 对dword_41A078后8双字节赋值
  2. 将输入的字符串,两两字符转换为数字,存入v4,例如:输入"a1b2c3"将会转换为0xa1b2c3

3.2 sub_4113B6函数

int __usercall sub_411D90@<eax>(int a1@<xmm0>, int a2)

{

  int v2; // edx

  int v3; // ecx

  int v4; // eax

  signed int i; // [esp+D0h] [ebp-8h]

  sub_411208((int)&unk_41C008);

  for ( i = ; i < ; ++i )

  {

    v3 = a2;                                    // v3赋值为之前得到的整数

    v2 = *(_DWORD *)(a2 +  * i) + ;           // v2=v2[i]+1

    if ( v2 != dword_41A078[i] )

    {

      v4 = ;

      return sub_411212(v3, v2, , v4, a1);

    }

  }

  v4 = ;

  return sub_411212(v3, v2, , v4, a1);

}

这个函数将我们转换输入字符串得到的v4。每一位加1之后与已知的dword_41A078数组比较。

dword_41A078

50h 0C6h 0F1h 0E4h 0E3h 0E2h 9Ah 0A1h 0A7h 0DEh 0DAh 46h 0ABh 2Eh 0FFh 0DBh

因此我们只要将dword_41A078每一位减1,就能得到v4,从而输入的Buf也得到了了

v4

4fc5f0e3e2e199a0a6ddd945aa2dfeda

Buf

"4fc5f0e3e2e199a0a6ddd945aa2dfeda"

而回到主函数

if ( sub_4113B6(xmm0_4_0, (int)&unk_41A4E0) )

    printf("flag{%s}", (unsigned int)&Buf);

flag就是flag{Buf}

4.get flag!

flag{4fc5f0e3e2e199a0a6ddd945aa2dfeda}

0x02 EzRE

下载链接:https://www.lanzous.com/i7atzwd

原题:

https://www.jianshu.com/p/7fdfe2333123

http://www.pianshen.com/article/8985544588/

flag{#FFRFFF####ZZRZZZ##FF#FFFF}

0x03 icekey

下载链接:https://www.lanzous.com/i7atzwd

使用dnSpy打开之后,找到main函数打开

这通过观察反编译的C#代码,能够知道这段代码就是将我们输入的字符串经过加密后,与b="3ACF8D62AAA0B630C4AF43AF327CE129D46F0FEB98D9040F713BE65502A5107A"比较,相同则返回true否则返回false。

并且这段代码还很贴心的在下面写出了解密函数,因此只需要在我们调试中,输入字符串并加密后,将调试窗口处的array数组和bytes数组改为与b数组相等即可(因为在加密和比较中用到了这两个数组)

最终,调试至程序结束,我们能够在内存窗口追踪到bytes解密后的字符数组,即为我们正确的输入:

5acb06231724c8c369bae711166dbe85

0x04 android

下载链接:https://www.lanzous.com/i7au7pe

2019中国杭州网络安全技能大赛 预选赛原题,不过没解完。

https://xhyeax.github.io/2019/04/07/2019-hzwas-wp/

0x05 总结

湖湘杯又被吐槽了...Reverse基本都是签到题,菜鸡做着还是舒服。

2019 湖湘杯 Reverse WP的更多相关文章

  1. 【CTF】2019湖湘杯 miscmisc writeup

    题目来源:2019湖湘杯 题目链接:https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id= ...

  2. CTF 湖湘杯 2018 WriteUp (部分)

    湖湘杯 2018 WriteUp (部分),欢迎转载,转载请注明出处! 1.  CodeCheck(WEB) 测试admin ‘ or ‘1’=’1’# ,php报错.点击登录框下面的滚动通知,URL ...

  3. 2017湖湘杯复赛writeup

    2017湖湘杯复赛writeup 队伍名:China H.L.B 队伍同时在打 X-NUCA  和 湖湘杯的比赛,再加上周末周末周末啊,陪女朋友逛街吃饭看电影啊.所以精力有点分散,做出来部分题目,现在 ...

  4. 2017湖湘杯Writeup

    RE部分 0x01 Re4newer 解题思路: Step1:die打开,发现有upx壳. Step2:脱壳,执行upx -d 文件名即可. Step3:IDA打开,shift+F12看字符串. 点进 ...

  5. Bugku Writeup —文件上传2(湖湘杯)

    我们先来看下题目,题目说明是文件上传 我们可以尝试通过构造payload来进行测试 php://filter/read=convert.base64-encode/resource=flag 获取到f ...

  6. 2018湖湘杯web、misc记录

    1.题目名 Code Check 打开题目,右键发现有id参数的url,简单base64解码以后发现不是明文,说明利用了其他的加密方式,那么应该会有具体的加密方式给我们,于是试试常见的文件泄露,可以发 ...

  7. 湖湘杯2020_ReMe

    查壳后发现是由Python2.7环境下编译得到的exe可执行文件 由此想到可将exe转为pyc文件再反编译成py文件 且该方法只适用于py2 无混淆 因为py3的字节码结构有些许变化 step1: 在 ...

  8. 湖湘杯2020 writeup

    这个平台中间卡的离谱,卡完过后交了flag分还掉了 Web 题目名字不重要 也算是非预期吧,赛后y1ng师傅也说了因为要多端口环境必须这样配,预期解很难 NewWebsite 后台弱口令admin a ...

  9. 2019 安洵杯 Re 部分WP

    0x01.EasyEncryption 测试文件:https://www.lanzous.com/i7soysb 1.IDA打开 int sub_416560() { int v0; // eax i ...

随机推荐

  1. JPA学习(三、JPA_API)

    框架学习之JPA(三) JPA是Java Persistence API的简称,中文名Java持久层API,是JDK 5.0注解或XML描述对象-关系表的映射关系,并将运行期的实体对象持久化到数据库中 ...

  2. Codeforces 1203F1 Complete the Projects (easy version)

    cf题面 Time limit 2000 ms Memory limit 262144 kB 解题思路 看见这题觉得贪心可做,那就贪吧.(昨天真是贪心的一天,凌晨才被这两道贪心题虐,下午多校又来,感觉 ...

  3. HDU 2612 Find a way(双向bfs)

    题目代号:HDU 2612 题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=2612 Find a way Time Limit: 3000/1000 M ...

  4. Python爬虫黑科技(经验)

    "作为一名爬虫工程师,你最需要关注的,是数据的来源" 原文:https://www.jb51.net/article/90114.htm 霍夫曼编码压缩算法 1.最基本的抓站   ...

  5. 大数据笔记(二十七)——Spark Core简介及安装配置

    1.Spark Core: 类似MapReduce 核心:RDD 2.Spark SQL: 类似Hive,支持SQL 3.Spark Streaming:类似Storm =============== ...

  6. 火狐使用阿里云OOS上传图片报错:“XML 解析错误:找不到根元素”

    问题描述: 使用阿里云OOS上传图片在火狐浏览器报错 "XML 解析错误:找不到根元素",但不影响功能的使用.阿里云返回信息: <Error> <Code> ...

  7. python基础之 数据格式化

    %还是format 皇城PK Python中格式化字符串目前有两种阵营:%和format,我们应该选择哪种呢? 自从Python2.6引入了format这个格式化字符串的方法之后,我认为%还是form ...

  8. 梯度、Hessian矩阵、平面方程的法线以及函数导数的含义

    本文转载自: Xianling Mao的专栏 =========================================================================== 想 ...

  9. 【零售小程序】—— webview嵌套web端项目(原生开发支付功能)

    index → index.wxml  套webwiew // url 活动url bindmessage 接收信息 <web-view src='{{url}}' bindmessage='m ...

  10. 树链剖分&咕咕咕了好久好久的qtree3

    前言 显然qtree系列都是树链剖分辣 发现自己没有专门整理过树链剖分耶 辣么就把这篇博客魔改成树链剖分好辣(貌似除了树剖也没什么好写的) 正文 废话了辣么多终于开始了 一.树剖怎么写鸭 二.树剖有什 ...