定位关键函数

跟入flag找到问题位置

两行一样的代码,nop掉第二行,按p生成函数

代码审计

int __userpurge sub_4018C4@<eax>(int a1@<ebp>, int a2, int a3, int a4, int a5)

{

  size_t v5; // eax

  _WORD *v6; // edx

  DWORD v7; // eax

  int v8; // edi

  int v9; // eax

  int v10; // eax

  LPSTR v12; // [esp-454h] [ebp-454h] BYREF

  if ( strlen((const char *)String1) )

  {

    memset((void *)(a1 - 492), 0, 0x100u);

    v5 = strlen((const char *)String1);

    memcpy((void *)(a1 - 492), String1, v5);

    v12 = (LPSTR)String1;

    *v6 = __ES__;

    v7 = strlen((const char *)&v12);

    sub_40101E(String1, v7, v12);

    strcpy((char *)(a1 - 748), "0kk`d1a`55k222k2a776jbfgd`06cjjb");

    memset((void *)(a1 - 715), 0, 0xDCu);

    v8 = a1 - 715 + 220;

    *(_WORD *)v8 = 0;

    *(_BYTE *)(v8 + 2) = 0;

    strcpy((char *)(a1 - 760), "SS");

    *(_DWORD *)(a1 - 757) = 0;

    *(_WORD *)(a1 - 753) = 0;

    *(_BYTE *)(a1 - 751) = 0;

    v9 = strlen((const char *)(a1 - 748));

    sub_401005((LPCSTR)(a1 - 760), a1 - 748, v9);

    if ( _strcmpi((const char *)String1, (const char *)(a1 - 748)) )

    {

      SetWindowTextA(*(HWND *)(a1 + 8), "flag{}");

      MessageBoxA(*(HWND *)(a1 + 8), "Are you kidding me?", "^_^", 0);

      ExitProcess(0);

    }

    memcpy((void *)(a1 - 1016), &unk_423030, 0x32u);

    v10 = strlen((const char *)(a1 - 1016));

    sub_401005((LPCSTR)(a1 - 492), a1 - 1016, v10);

    MessageBoxA(*(HWND *)(a1 + 8), (LPCSTR)(a1 - 1016), 0, 0x32u);

  }

  ++dword_428D54;

  return 0;

}

关键函数

unsigned int __cdecl sub_401590(LPCSTR lpString, int a2, int a3)

{

  unsigned int result; // eax

  unsigned int i; // [esp+4Ch] [ebp-Ch]

  unsigned int v5; // [esp+54h] [ebp-4h]

  v5 = lstrlenA(lpString);

  for ( i = 0; ; ++i )

  {

    result = i;

    if ( i >= a3 )

      break;

    *(_BYTE *)(i + a2) ^= lpString[i % v5];

  }

  return result;

}unsigned int __cdecl sub_401590(LPCSTR lpString, int a2, int a3)

{

  unsigned int result; // eax

  unsigned int i; // [esp+4Ch] [ebp-Ch]

  unsigned int v5; // [esp+54h] [ebp-4h]

  v5 = lstrlenA(lpString);

  for ( i = 0; ; ++i )

  {

    result = i;

    if ( i >= a3 )

      break;

    *(_BYTE *)(i + a2) ^= lpString[i % v5];

  }

  return result;

}

对字符串进行异或

int __cdecl sub_4013A0(BYTE *pbData, DWORD dwDataLen, LPSTR lpString1)

{

  int result; // eax

  DWORD i; // [esp+4Ch] [ebp-24h]

  CHAR String2[4]; // [esp+50h] [ebp-20h] BYREF

  BYTE v6[16]; // [esp+54h] [ebp-1Ch] BYREF

  DWORD pdwDataLen; // [esp+64h] [ebp-Ch] BYREF

  HCRYPTHASH phHash; // [esp+68h] [ebp-8h] BYREF

  HCRYPTPROV phProv; // [esp+6Ch] [ebp-4h] BYREF

  if ( !CryptAcquireContextA(&phProv, 0, 0, 1u, 0xF0000000) )

    return 0;

  if ( CryptCreateHash(phProv, 0x8003u, 0, 0, &phHash) )

  {

    if ( CryptHashData(phHash, pbData, dwDataLen, 0) )

    {

      CryptGetHashParam(phHash, 2u, v6, &pdwDataLen, 0);

      *lpString1 = 0;

      for ( i = 0; i < pdwDataLen; ++i )

      {

        wsprintfA(String2, "%02X", v6[i]);

        lstrcatA(lpString1, String2);

      }

      CryptDestroyHash(phHash);

      CryptReleaseContext(phProv, 0);

      result = 1;

    }

    else

    {

      CryptDestroyHash(phHash);

      CryptReleaseContext(phProv, 0);

      result = 0;

    }

  }

  else

  {

    CryptReleaseContext(phProv, 0);

    result = 0;

  }

  return result;

}

windows签名加密函数,其中0x8003u表示md5加密

getflag

我们虽然不知道string1里面放的是什么大师通过a1-748与string1的check我们可以得到md5加密后的内容就是a1-748异或后的内容

se1 = ""

for i in '0kk`d1a`55k222k2a776jbfgd`
s = ['1','2','3','3','2','1']

b = [0x57, 0x5E, 0x52, 0x54, 0x49, 0x5F, 0x01, 0x6D, 0x69, 0x46,

  0x02, 0x6E, 0x5F, 0x02, 0x6C, 0x57, 0x5B, 0x54, 0x4C]

flag = ''

for i in range(len(b)):

    flag += chr(b[i]^ord(s[i%6]))

print(flag)


06cjjb':

  se1 += chr(ord(i) ^ ord('S'))

print(se1)

#c8837b23ff8aaa8a2dde915473ce0991








unsigned char unk_423030[] =

{

0x57, 0x5E, 0x52, 0x54, 0x49, 0x5F, 0x01, 0x6D, 0x69, 0x46,

0x02, 0x6E, 0x5F, 0x02, 0x6C, 0x57, 0x5B, 0x54, 0x4C

};




a1-1016内容




s = ['1','2','3','3','2','1']

b = [0x57, 0x5E, 0x52, 0x54, 0x49, 0x5F, 0x01, 0x6D, 0x69, 0x46,

  0x02, 0x6E, 0x5F, 0x02, 0x6C, 0x57, 0x5B, 0x54, 0x4C]

flag = ''

for i in range(len(b)):

    flag += chr(b[i]^ord(s[i%6]))

print(flag)






flag{n0_Zu0_n0_die}


												


											
BUU findkey的更多相关文章
	

    
								
  1. Buu刷题
		
    前言 希望自己能够更加的努力,希望通过多刷大赛题来提高自己的知识面.(ง •_•)ง easy_tornado 进入题目 看到render就感觉可能是模板注入的东西 hints.txt给出提示,可以看 ...
    
		
    2. 
						
  2. BUU刷题01
		
    [安洵杯 2019]easy_serialize_php 直接给了源代码 <?php $function = @$_GET['f']; function filter($img){ $filte ...
    
		
    3. 
						
  3. buu学习记录(上)
		
    前言:菜鸡误入buu,差点被打吐.不过学到了好多东西. 题目名称: (1)随便注 (2)高明的黑客 (3)CheckIn (4)Hack World (5)SSRF Me (6)piapiapia ( ...
    
		
    4. 
						
  4. BUU XSS COURSE 1 & [CISCN2019 华东北赛区]Web2
		
    BUU XSS COURSE 1 & [CISCN2019 华东北赛区]Web2 XSS的题目没怎么做过,比赛基本上也没有(=_=),总结下今天做的两题 都是看赵总视频现学现做的,这里附上学习 ...
    
		
    5. 
						
  5. BUU [GKCTF 2021]签到
		
    BUU [GKCTF 2021]签到 1.题目概述 2.解题过程 追踪HTTP流 在下面发现了一串可疑字符 Base16转base64 放到010里看看 复制下来,去转字符 好像不是,再回去找找其他的 ...
    
		
    6. 
						
  6. Buuctf | BUU LFI COURSE 1
		
    跟着赵师傅学CTF,这里是我的学习记录 ?file=/flag ?file=/var/log/nginx/access.log :包含ngnix的日志记录 在user-agent里面插入 :bbbbb ...
    
		
    7. 
						
  7. buu Crypto 刷题记录
		
    1.MD5 直接解. 2.url编码 直接解. 3.一眼就解密 base64. 4.看我回旋踢 对文本内容全部CaesarDecode. 5.摩丝 直接MorseDecode. 6.Quoted-pr ...
    
		
    8. 
						
  8. BUU re xor
		
    从13行和18行的0x21(c规定十六进制必须用0x**表示)可以知道这个字符串就是33个字符 shift+e来提取出数组中的字符: 设这个数组是global数组 global[] = { 102,  ...
    
		
    9. 
						
  9. BUU pwn cn
		
    自己不细心,人家别的博客上写的明明没有那个冒号的,把linux命令好好学一学吧! nc后 ls 发现flag文件 cat就得到flag了
    
		
    10. 
		

	


随机推荐
	

    
									
  1. php spl_autoload_register 实现自动加载
			
    spl_autoload_register (PHP 5 >= 5.1.2, PHP 7) spl_autoload_register - 注册给定的函数作为 __autoload 的实现 语法 ...
    
			
    2. 
						
  2. python中提取字典中的键值
			
    1 # 字典如下 2 movie = { 3 '妖猫传':['黄','染'], 4 '无问西东':['章','王'], 5 '超时空':['雷','佟'] 6 } 7 name = input('请输 ...
    
			
    3. 
						
  3. flag_in_your_hand1
			
    给了两个 文件 index.html 和 一个js文件 ,考察js代码审计能力首先借助浏览器来运行js 程序.用浏览器打开index.html,分析 js 代码: 首先无论在 token 输入框中输入 ...
    
			
    4. 
						
  4. REACT 使用antd Table 中rowSelection遇到的问题
			
    首先项目是尚硅谷的后台谷粒平台,在用到antd Table 中的 rowSelection时,出现了一个问题(P87时遇到的问题): 表格中的每一项前面有一个radio单选框可以选中,本来是想利用ro ...
    
			
    5. 
						
  5. smbms项目核心功能实现
			
    SMBMS 数据库: 项目如何搭建? 考虑使用不使用Maven?依赖,Jar 1.项目搭建准备工作 搭建一个maven web项目 配置Tomcat 测试项目是否能够跑起来 导入项目中会遇到的jar包 ...
    
			
    6. 
						
  6. 如何通过xstart远程连接桌面
			
    转至:https://www.cnblogs.com/LiuChang-blog/p/12324193.html 1.1.安装依赖包: (1)安装语言包: [root@slave-node2 ~]#  ...
    
			
    7. 
						
  7. [python][nginx][https] Nginx 服务器 SSL 证书安装部署
			
    目录 前言 1 申请证书 2 Nginx 服务器 SSL 证书安装部署 2.1.准备 Nginx 环境 2.2 证书部署 2.3 Nginx 配置 3 最后 参考链接 前言 博主博客中的图片,使用的是 ...
    
			
    8. 
						
  8. 怎样打开win7的IIS功能及internet信息服务(IIS)管理器在哪里
			
    1:在windows7桌面上的左下角,点击"开始",找到"控制面板",并点击进去.如下图所示: 2:进入控制面板后,首先将"查看方式"选择为 ...
    
			
    9. 
						
  9. python3中zip()的用法
			
    zip函数接受任意多个可迭代对象作为参数,将对象中对应的元素打包成一个tuple,然后返回一个可迭代的zip对象. 这个可迭代对象可以使用循环的方式列出其元素 若多个可迭代对象的长度不一致,则所返回的 ...
    
			
    10. 
						
  10. redis数据类型的使用及介绍
			
    Redis数据类型 1.Sting类型 set命令 设置键值,存在则覆盖,不存在则新建 set key value EX 秒 设置有效时长为秒 nx 如果键不存在则新建,如果存在返回nil xx 只有 ...
    
			
    11.