Windows_Reverse2   2019_DDCTF

查壳:

寻找oep-->dump-->iat修复   便可成功脱壳

int __cdecl main(int argc, const char **argv, const char **envp)

{

  char Dest; // [esp+8h] [ebp-C04h]

  char v5; // [esp+9h] [ebp-C03h]

  char myinput; // [esp+408h] [ebp-804h]

  char Dst; // [esp+409h] [ebp-803h]

  char tg; // [esp+808h] [ebp-404h]

  char v9; // [esp+809h] [ebp-403h]

  myinput = 0;

  memset(&Dst, 0, 0x3FFu);

  tg = 0;

  memset(&v9, 0, 0x3FFu);

  printf("input code:");

  scanf("%s", &myinput);

  if ( !firstcheck_4011F0(&myinput) )

  {

    printf("invalid input\n");

    exit(0);

  }

  maincheck_401240(&myinput, &tg);

  Dest = 0;

  memset(&v5, 0, 0x3FFu);

  sprintf(&Dest, "DDCTF{%s}", &tg);             // ADEBDEAEC7BE

  if ( !strcmp(&Dest, "DDCTF{reverse+}") )

    printf("You've got it !!! %s\n", &Dest);

  else

    printf("Something wrong. Try again...\n");

  return 0;

}

先进入第一处验证:

char __usercall firstcheck_4011F0@<al>(const char *myinput@<esi>)

{

  signed int lens; // eax

  signed int v2; // edx

  int v3; // ecx

  char v4; // al

  lens = strlen(myinput);

  v2 = lens;

  if ( lens && lens % 2 != 1 )                  // 2的倍数位

  {

    v3 = 0;

    if ( lens <= 0 )

      return 1;

    while ( 1 )

    {

      v4 = myinput[v3];

      if ( (v4 < '0' || v4 > '9') && (v4 < 'A' || v4 > 'F') )// 0-9 A-F

        break;

      if ( ++v3 >= v2 )

        return 1;

    }

  }

  return 0;

}

输入为0-9 A-F 之中的字符,2的倍数位

再看下面的验证:

int __usercall maincheck_401240@<eax>(const char *myinput@<esi>, char *tg)

{

  signed int lens; // edi

  signed int i; // edx

  char t_; // bl

  char c; // al

  char v6; // al

  unsigned int v7; // ecx

  char t; // [esp+Bh] [ebp-405h]

  char v10; // [esp+Ch] [ebp-404h]

  char Dst; // [esp+Dh] [ebp-403h]

  lens = strlen(myinput);

  v10 = 0;

  memset(&Dst, 0, 0x3FFu);

  i = 0;

  if ( lens > 0 )//下面主要进行输入的转换,将输入的字符串按字面值存储,'0'-->0  ‘A’-->0x10

  {

    t_ = t;

    do

    {

      c = myinput[i];

      if ( (unsigned __int8)(myinput[i] - '0') > 9u )

      {

        if ( (unsigned __int8)(c - 'A') <= 5u )

          t = c - '7';

      }

      else

      {

        t = myinput[i] - '0';

      }

      v6 = myinput[i + 1];

      if ( (unsigned __int8)(myinput[i + 1] - '0') > 9u )

      {

        if ( (unsigned __int8)(v6 - 'A') <= 5u )

          t_ = v6 - 55;

      }

      else

      {

        t_ = myinput[i + 1] - '0';

      }

      v7 = (unsigned int)i >> 1;

      i += 2;

      *(&v10 + v7) = t_ | 16 * t;

    }

    while ( i < lens );

  }

  return base64_encode_401000(lens / 2, tg);

}
base64_encode_401000
int __cdecl base64_encode_401000(int size, void *tg)

{

  char *v2; // ecx

  int v3; // ebp

  char *v4; // edi

  signed int v5; // esi

  unsigned __int8 v6; // bl

  signed int v7; // esi

  int v8; // edi

  int v9; // edi

  size_t v10; // esi

  void *v11; // edi

  const void *v12; // eax

  unsigned __int8 Dst; // [esp+14h] [ebp-38h]

  unsigned __int8 v15; // [esp+15h] [ebp-37h]

  unsigned __int8 v16; // [esp+16h] [ebp-36h]

  char v17; // [esp+18h] [ebp-34h]

  char v18; // [esp+19h] [ebp-33h]

  char v19; // [esp+1Ah] [ebp-32h]

  char i; // [esp+1Bh] [ebp-31h]

  void *v21; // [esp+1Ch] [ebp-30h]

  char v22; // [esp+20h] [ebp-2Ch]

  void *Src; // [esp+24h] [ebp-28h]

  size_t Size; // [esp+34h] [ebp-18h]

  unsigned int v25; // [esp+38h] [ebp-14h]

  int v26; // [esp+48h] [ebp-4h]

  v3 = size;

  v4 = v2;

  v21 = tg;

  std::basic_string<char,std::char_traits<char>,std::allocator<char>>::basic_string<char,std::char_traits<char>,std::allocator<char>>(&v22);

  v5 = 0;

  v26 = 0;

  if ( size )

  {

    do

    {

      *(&Dst + v5) = *v4;

      v6 = v15;

      ++v5;

      --v3;

      ++v4;

      if ( v5 == 3 )

      {

        v17 = Dst >> 2;

        v18 = (v15 >> 4) + 16 * (Dst & 3);

        v19 = (v16 >> 6) + 4 * (v15 & 0xF);

        i = v16 & 0x3F;

        v7 = 0;

        do

          std::basic_string<char,std::char_traits<char>,std::allocator<char>>::operator+=(

            &v22,

            (unsigned __int8)(a745230189[(unsigned __int8)*(&v17 + v7++)] ^ 0x76));// ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/

        while ( v7 < 4 );

        v5 = 0;

      }

    }

    while ( v3 );

    if ( v5 )

    {

      if ( v5 < 3 )

      {

        memset(&Dst + v5, 0, 3 - v5);

        v6 = v15;

      }

      v18 = (v6 >> 4) + 16 * (Dst & 3);

      v17 = Dst >> 2;

      v19 = (v16 >> 6) + 4 * (v6 & 0xF);

      v8 = 0;

      for ( i = v16 & 0x3F; v8 < v5 + 1; ++v8 )

        std::basic_string<char,std::char_traits<char>,std::allocator<char>>::operator+=(

          &v22,

          (unsigned __int8)(a745230189[(unsigned __int8)*(&v17 + v8)] ^ 0x76));

      if ( v5 < 3 )

      {

        v9 = 3 - v5;

        do

        {

          std::basic_string<char,std::char_traits<char>,std::allocator<char>>::operator+=(&v22, '=');

          --v9;

        }

        while ( v9 );

      }

    }

  }

  v10 = Size;

  v11 = v21;

  memset(v21, 0, Size + 1);

  v12 = Src;

  if ( v25 < 0x10 )

    v12 = &Src;

  memcpy(v11, v12, v10);

  v26 = -1;

  return std::basic_string<char,std::char_traits<char>,std::allocator<char>>::~basic_string<char,std::char_traits<char>,std::allocator<char>>();

}

发现有点像base64编码,编码表^ 0x76,脚本跑出来发现正好是标准密码表

最后的验证即 输入为大写16进制字符串,base64编码,验证结果是否为‘reverse+’

base64 解码‘reverse+ ’  便可得到输入

wp(python2):

import base64

s='reverse+'

print base64.b64decode(s).encode('hex').upper()

ADEBDEAEC7BE

flag{ADEBDEAEC7BE}

攻防世界 reverse Windows_Reverse2的更多相关文章

  1. 攻防世界 reverse 进阶 10 Reverse Box

    攻防世界中此题信息未给全,题目来源为[TWCTF-2016:Reverse] Reverse Box 网上有很多wp是使用gdb脚本,这里找到一个本地还原关键算法,然后再爆破的 https://www ...

  2. 攻防世界 reverse evil

    这是2017 ddctf的一道逆向题, 挑战:<恶意软件分析> 赛题背景: 员工小A收到了一封邮件,带一个文档附件,小A随手打开了附件.随后IT部门发现小A的电脑发出了异常网络访问请求,进 ...

  3. 攻防世界 reverse tt3441810

    tt3441810 tinyctf-2014 附件给了一堆数据,将十六进制数据部分提取出来, flag应该隐藏在里面,(这算啥子re,) 保留可显示字符,然后去除填充字符(找规律 0.0) 处理脚本: ...

  4. 攻防世界 reverse 进阶 APK-逆向2

    APK-逆向2 Hack-you-2014 (看名以为是安卓逆向呢0.0,搞错了吧) 程序是.net写的,直接祭出神器dnSpy 1 using System; 2 using System.Diag ...

  5. 攻防世界 reverse BabyXor

    BabyXor     2019_UNCTF 查壳 脱壳 dump 脱壳后 IDA静态分析 int main_0() { void *v0; // eax int v1; // ST5C_4 char ...

  6. 攻防世界 reverse parallel-comparator-200

    parallel-comparator-200 school-ctf-winter-2015 https://github.com/ctfs/write-ups-2015/tree/master/sc ...

  7. 攻防世界 reverse 进阶 8-The_Maya_Society Hack.lu-2017

    8.The_Maya_Society Hack.lu-2017 在linux下将时间调整为2012-12-21,运行即可得到flag. 下面进行分析 1 signed __int64 __fastca ...

  8. 攻防世界 reverse easy_Maze

    easy_Maze 从题目可得知是简单的迷宫问题 int __cdecl main(int argc, const char **argv, const char **envp) { __int64 ...

  9. 攻防世界 reverse seven

    seven  hctf2018 这是一个驱动文件 ida载入,查找字符串 根据字符串来到函数:sub_1400012F0 __int64 __fastcall sub_1400012F0(__int6 ...

随机推荐

  1. 如何实现一个简易版的 Spring - 如何实现 @Component 注解

    前言 前面两篇文章(如何实现一个简易版的 Spring - 如何实现 Setter 注入.如何实现一个简易版的 Spring - 如何实现 Constructor 注入)介绍的都是基于 XML 配置文 ...

  2. 【GitChat首秀:限时免费】互联网测试岗校招的那些事儿

    2020 校园秋招即将结束,2021 校招春招即将开始. 作为一名扎根互联网近十年的资深测试开发,我刚经历过数十个测试岗位的校招笔试和面试选拔.在 2020 年秋招面试过程中,我深深地感受到" ...

  3. autocode & API

    autocode & API https://autocode.com/app/ https://autocode.com/lib/ api-service https://dashboard ...

  4. how to config custom process.env in node.js

    how to config custom process.env in node.js process.env APP_ENV NODE_ENV https://nodejs.org/api/proc ...

  5. macOS & Nginx

    macOS & Nginx ngnix # 使用 brew 安装(如果没有 brew 命令,需要自行安装 brew) $ brew install nginx $ nginx -h # 查看 ...

  6. 开始 nx

    官网 video 详解Nx, 必读 配置代理 每次创建lib都要重启编辑器 创建项目 选择empty,然后选择Angular CLI 因为可以使用Angular Console λ npm init ...

  7. betterscroll上拉加载

    mounted(){ var that=this; setTimeout(()=>{ let scroll = new BScroll(document.getElementById('wrap ...

  8. [转]Linux 线程实现机制分析 Linux 线程实现机制分析 Linux 线程模型的比较:LinuxThreads 和 NPTL

    转载地址:https://www.cnblogs.com/MYSQLZOUQI/p/4233630.html 自从多线程编程的概念出现在 Linux 中以来,Linux 多线应用的发展总是与两个问题脱 ...

  9. 通过setMouseTracking实现用鼠标拖动控件

    1 import sys 2 from PyQt5.Qt import * 3 4 class Mwindow(QWidget): 5 leftclick = False 6 7 def __init ...

  10. now-go时间百宝箱

    golang不像C#,Java这种高级语言,有丰富的语法糖供开发者很方便的调用.所以这便催生出很多的开源组件,通过使用这些第三方组件能够帮助我们在开发过程中少踩很多的坑. 时间处理是所有语言都要面对的 ...