0x01 arguement

下载链接:https://www.lanzous.com/i7atyhc

1.准备

获取到信息:

  1. 32位的文件
  2. upx加密文件

在控制台打开文件

使用"upx -d reverse.exe"解密

2.IDA打开

直接在String中,找到引用"Input Your Flag:"的位置

int __usercall sub_415280@<eax>(int xmm0_4_0@<xmm0>, int a1, int a2)

{

  int v3; // edx

  FILE *v4; // eax

  int v5; // edx

  int v6; // ecx

  char *v7; // eax

  int v8; // edx

  int v9; // ecx

  int v10; // ST04_4

  int v11; // ST08_4

  char v13; // [esp+0h] [ebp-134h]

  char Buf; // [esp+D0h] [ebp-64h]

  size_t i; // [esp+100h] [ebp-34h]

  FILE *File; // [esp+10Ch] [ebp-28h]

  char v17; // [esp+118h] [ebp-1Ch]

  int v18; // [esp+130h] [ebp-4h]

  int savedregs; // [esp+134h] [ebp+0h]

  sub_411208((int)&unk_41C008);

  printf("Input Your Flag:\n", v13);

  sub_41137F("%19s", (unsigned int)&v17);       // v12大小为24

  if ( a1 !=  )

  {

    printf("Input error!\n", v13);

    exit();

  }

  printf("%s\n", *(_DWORD *)(a2 + ));          // 在执行文件时,执行的第一个参数

  for ( i = ; i < j_strlen(*(const char **)(a2 + )); ++i )// 遍历执行文件时输入的字符串

    *(_BYTE *)(*(_DWORD *)(a2 + ) + i) += i;   // 每一位 str[i] += i

  if ( !j_strcmp(Str1, *(const char **)(a2 + )) )// 和“fmcj2y~{”比较

  {

    v4 = fopen(*(const char **)(a2 + ), "r");  // 下面两句文件操作,应该是获取输入的

    File = (FILE *)sub_411212(v6, v5, &v13 == &v13, (int)v4, xmm0_4_0);

    if ( File )

    {

      v7 = fgets(&Buf, , File);

      sub_411212(v9, v8, &v13 == &v13, (int)v7, xmm0_4_0);

      if ( j_strlen(&Buf) !=  || j_strlen(&Buf) %  ==  )// 输入长度应该是32

        exit();

      sub_4113B1(xmm0_4_0, &Buf, (int)&unk_41A4E0);

      if ( sub_4113B6(xmm0_4_0, (int)&unk_41A4E0) )

        printf("flag{%s}", (unsigned int)&Buf);

      else

        printf("Input Error!\n", v13);

    }

    else

    {

      printf("Input Error!\n", v13);

    }

  }

  else

  {

    printf("Input Error!\n", v13);

  }

  sub_411235(&savedregs, dword_4154C4, , v3);

  return sub_411212((unsigned int)&savedregs ^ v18, v11, , v10, xmm0_4_0);

}

因此在运行时文件我们要在后面带一个参数,这个参数通过分析代码,我们可以写个脚本解出

str1 = 'fmcj2y~{'

str2 = ''

for i in range(len(str1)):

    str2 += chr(ord(str1[i]) - i)

print (str2

3.代码分析

通过分析,可以知道关键的函数是sub_4113B1sub_4113B6

3.1 sub_4113B1函数

int __usercall sub_414E50@<eax>(int a1@<xmm0>, char *Str, int a3)

{

  unsigned int v3; // eax

  int v4; // edx

  int v5; // ecx

  char v7; // [esp+0h] [ebp-E4h]

  int v8; // [esp+D0h] [ebp-14h]

  signed int i; // [esp+DCh] [ebp-8h]

  sub_411208((int)&unk_41C008);

  dword_41A078[] = 0xA7;

  dword_41A078[] = 0xDE;

  dword_41A078[] = 0xDA;

  dword_41A078[] = 0x46;

  dword_41A078[] = 0xAB;

  dword_41A078[] = 0x2E;

  dword_41A078[] = 0xFF;

  dword_41A078[] = 0xDB;

  for ( i = ; ; i +=  )                       // 0开始,2跳

  {

    v3 = j_strlen(Str);                         // v3为Buf长度32

    if ( i >= v3 )

      break;

    if ( Str[i] >=  && Str[i] <=  )         // '0'~'9'

    {

      *(_DWORD *)(a3 +  * (i / )) = Str[i] - ;// 字符转换为整型

    }

    else

    {

      if ( Str[i] <  || Str[i] >  )        // 非'a'~'f',说明组成的字符是'0'~'9'||'a'~'f',十六进制啊

      {

        printf("Input Error!\n", v7);

        exit();

      }

      *(_DWORD *)(a3 +  * (i / )) = Str[i] - ;// 十六进制啊!'a'~'f'就是10~15

    }

    *(_DWORD *)(a3 +  * (i / )) *= ;        // 最后还要乘16

    if ( Str[i + ] >=  && Str[i + ] <=  ) // i=1,3,5...如果为数字

    {

      v8 = Str[i + ] - ;                     // v8=字符转数字

    }

    else

    {

      if ( Str[i + ] <  || Str[i + ] >  )

      {

        printf("Input Error!\n", v7);

        exit();

      }

      v8 = Str[i + ] - ;                     // i=1,3,5...如果是'a'~'f'字符转数字,10~15

    }

    *(_DWORD *)(a3 +  * (i / )) += v8;        // a3[i]+=v8

  }

  return sub_411212(v5, v4, , v3, a1);

}

这个函数有两个作用:

  1. 对dword_41A078后8双字节赋值
  2. 将输入的字符串,两两字符转换为数字,存入v4,例如:输入"a1b2c3"将会转换为0xa1b2c3

3.2 sub_4113B6函数

int __usercall sub_411D90@<eax>(int a1@<xmm0>, int a2)

{

  int v2; // edx

  int v3; // ecx

  int v4; // eax

  signed int i; // [esp+D0h] [ebp-8h]

  sub_411208((int)&unk_41C008);

  for ( i = ; i < ; ++i )

  {

    v3 = a2;                                    // v3赋值为之前得到的整数

    v2 = *(_DWORD *)(a2 +  * i) + ;           // v2=v2[i]+1

    if ( v2 != dword_41A078[i] )

    {

      v4 = ;

      return sub_411212(v3, v2, , v4, a1);

    }

  }

  v4 = ;

  return sub_411212(v3, v2, , v4, a1);

}

这个函数将我们转换输入字符串得到的v4。每一位加1之后与已知的dword_41A078数组比较。

dword_41A078

50h 0C6h 0F1h 0E4h 0E3h 0E2h 9Ah 0A1h 0A7h 0DEh 0DAh 46h 0ABh 2Eh 0FFh 0DBh

因此我们只要将dword_41A078每一位减1,就能得到v4,从而输入的Buf也得到了了

v4

4fc5f0e3e2e199a0a6ddd945aa2dfeda

Buf

"4fc5f0e3e2e199a0a6ddd945aa2dfeda"

而回到主函数

if ( sub_4113B6(xmm0_4_0, (int)&unk_41A4E0) )

    printf("flag{%s}", (unsigned int)&Buf);

flag就是flag{Buf}

4.get flag!

flag{4fc5f0e3e2e199a0a6ddd945aa2dfeda}

0x02 EzRE

下载链接:https://www.lanzous.com/i7atzwd

原题:

https://www.jianshu.com/p/7fdfe2333123

http://www.pianshen.com/article/8985544588/

flag{#FFRFFF####ZZRZZZ##FF#FFFF}

0x03 icekey

下载链接:https://www.lanzous.com/i7atzwd

使用dnSpy打开之后,找到main函数打开

这通过观察反编译的C#代码,能够知道这段代码就是将我们输入的字符串经过加密后,与b="3ACF8D62AAA0B630C4AF43AF327CE129D46F0FEB98D9040F713BE65502A5107A"比较,相同则返回true否则返回false。

并且这段代码还很贴心的在下面写出了解密函数,因此只需要在我们调试中,输入字符串并加密后,将调试窗口处的array数组和bytes数组改为与b数组相等即可(因为在加密和比较中用到了这两个数组)

最终,调试至程序结束,我们能够在内存窗口追踪到bytes解密后的字符数组,即为我们正确的输入:

5acb06231724c8c369bae711166dbe85

0x04 android

下载链接:https://www.lanzous.com/i7au7pe

2019中国杭州网络安全技能大赛 预选赛原题,不过没解完。

https://xhyeax.github.io/2019/04/07/2019-hzwas-wp/

0x05 总结

湖湘杯又被吐槽了...Reverse基本都是签到题,菜鸡做着还是舒服。

2019 湖湘杯 Reverse WP的更多相关文章

  1. 【CTF】2019湖湘杯 miscmisc writeup

    题目来源:2019湖湘杯 题目链接:https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id= ...

  2. CTF 湖湘杯 2018 WriteUp (部分)

    湖湘杯 2018 WriteUp (部分),欢迎转载,转载请注明出处! 1.  CodeCheck(WEB) 测试admin ‘ or ‘1’=’1’# ,php报错.点击登录框下面的滚动通知,URL ...

  3. 2017湖湘杯复赛writeup

    2017湖湘杯复赛writeup 队伍名:China H.L.B 队伍同时在打 X-NUCA  和 湖湘杯的比赛,再加上周末周末周末啊,陪女朋友逛街吃饭看电影啊.所以精力有点分散,做出来部分题目,现在 ...

  4. 2017湖湘杯Writeup

    RE部分 0x01 Re4newer 解题思路: Step1:die打开,发现有upx壳. Step2:脱壳,执行upx -d 文件名即可. Step3:IDA打开,shift+F12看字符串. 点进 ...

  5. Bugku Writeup —文件上传2(湖湘杯)

    我们先来看下题目,题目说明是文件上传 我们可以尝试通过构造payload来进行测试 php://filter/read=convert.base64-encode/resource=flag 获取到f ...

  6. 2018湖湘杯web、misc记录

    1.题目名 Code Check 打开题目,右键发现有id参数的url,简单base64解码以后发现不是明文,说明利用了其他的加密方式,那么应该会有具体的加密方式给我们,于是试试常见的文件泄露,可以发 ...

  7. 湖湘杯2020_ReMe

    查壳后发现是由Python2.7环境下编译得到的exe可执行文件 由此想到可将exe转为pyc文件再反编译成py文件 且该方法只适用于py2 无混淆 因为py3的字节码结构有些许变化 step1: 在 ...

  8. 湖湘杯2020 writeup

    这个平台中间卡的离谱,卡完过后交了flag分还掉了 Web 题目名字不重要 也算是非预期吧,赛后y1ng师傅也说了因为要多端口环境必须这样配,预期解很难 NewWebsite 后台弱口令admin a ...

  9. 2019 安洵杯 Re 部分WP

    0x01.EasyEncryption 测试文件:https://www.lanzous.com/i7soysb 1.IDA打开 int sub_416560() { int v0; // eax i ...

随机推荐

  1. 【gym102394B】Binary Numbers(DP)

    题意:From https://blog.csdn.net/m0_37809890/article/details/102886956 思路: 可以发现转移就是右上角的一个区间前缀和 std只要开1倍 ...

  2. SPFA算法的SLF优化 ——loj#10081. 「一本通 3.2 练习 7」道路和航线

    今天做到一道最短路的题,原题https://loj.ac/problem/10081 题目大意为给一张有n个顶点的图,点与点之间有m1条道路,m2条航线,道路是双向的,且权值非负,而航线是单向的,权值 ...

  3. [CSP-S模拟测试]:Six(数学)

    题目传送门(内部题85) 输入格式 一个正整数$N$. 输出格式 一个数表示答案对$1000000007$取模后的结果 样例 样例输入1: 样例输出1: 样例输入2: 样例输出2: 样例输入3: 样例 ...

  4. ZXing使用详解与范例(C#)

    介绍 ZXing是一个开放源码的,用Java实现的多种格式的1D/2D条码图像处理库,它包含了联系到其他语言的端口.Zxing可以实现使用手机的内置的摄像头完成条形码的扫描及解码.(引自百度百科) 用 ...

  5. Nginx+Php不支持并发,导致curl请求卡死(Window环境)

    1.问题描述:项目中开发很多对外接口,于是在本项目中写了测试脚本来验证接口.然鹅,发现Curl请求出现卡死情况,没有响应. 2.具体原因:在window环境下配置的nginx+php环境时,windo ...

  6. ES6数组的拓展

    扩展运算符 扩展运算符(spread)是三个点(...).它好比 rest 参数的逆运算,将一个数组转为用逗号分隔的参数序列. console.log(...[1, 2, 3]) // 1 2 3 c ...

  7. java网络通信:netty

    Netty提供异步的.事件驱动的网络应用程序框架和工具,用以快速开发高性能.高可靠性的网络服务器和客户端程序. 也就是说,Netty 是一个基于NIO的客户,服务器端编程框架,使用Netty 可以确保 ...

  8. laravel 多字段登录

    protected function validateChinaPhoneNumber($number) { return preg_match('/^1[34578]\d{9}$/', $numbe ...

  9. netcat命令用法

    1,端口扫描nc -z -v -n 172.31.100.7 21-25 2,聊天Server:nc -l 1567Client:nc 172.31.100.7 1567 3,文件传输Server:n ...

  10. spring扩展点之PropertyPlaceholderConfigurer

    原理机制讲解 https://leokongwq.github.io/2016/12/28/spring-PropertyPlaceholderConfigurer.html 使用时多个配置讲解 ht ...