定位关键函数

跟入flag找到问题位置

两行一样的代码,nop掉第二行,按p生成函数

代码审计

int __userpurge sub_4018C4@<eax>(int a1@<ebp>, int a2, int a3, int a4, int a5)

{

  size_t v5; // eax

  _WORD *v6; // edx

  DWORD v7; // eax

  int v8; // edi

  int v9; // eax

  int v10; // eax

  LPSTR v12; // [esp-454h] [ebp-454h] BYREF

  if ( strlen((const char *)String1) )

  {

    memset((void *)(a1 - 492), 0, 0x100u);

    v5 = strlen((const char *)String1);

    memcpy((void *)(a1 - 492), String1, v5);

    v12 = (LPSTR)String1;

    *v6 = __ES__;

    v7 = strlen((const char *)&v12);

    sub_40101E(String1, v7, v12);

    strcpy((char *)(a1 - 748), "0kk`d1a`55k222k2a776jbfgd`06cjjb");

    memset((void *)(a1 - 715), 0, 0xDCu);

    v8 = a1 - 715 + 220;

    *(_WORD *)v8 = 0;

    *(_BYTE *)(v8 + 2) = 0;

    strcpy((char *)(a1 - 760), "SS");

    *(_DWORD *)(a1 - 757) = 0;

    *(_WORD *)(a1 - 753) = 0;

    *(_BYTE *)(a1 - 751) = 0;

    v9 = strlen((const char *)(a1 - 748));

    sub_401005((LPCSTR)(a1 - 760), a1 - 748, v9);

    if ( _strcmpi((const char *)String1, (const char *)(a1 - 748)) )

    {

      SetWindowTextA(*(HWND *)(a1 + 8), "flag{}");

      MessageBoxA(*(HWND *)(a1 + 8), "Are you kidding me?", "^_^", 0);

      ExitProcess(0);

    }

    memcpy((void *)(a1 - 1016), &unk_423030, 0x32u);

    v10 = strlen((const char *)(a1 - 1016));

    sub_401005((LPCSTR)(a1 - 492), a1 - 1016, v10);

    MessageBoxA(*(HWND *)(a1 + 8), (LPCSTR)(a1 - 1016), 0, 0x32u);

  }

  ++dword_428D54;

  return 0;

}

关键函数

unsigned int __cdecl sub_401590(LPCSTR lpString, int a2, int a3)

{

  unsigned int result; // eax

  unsigned int i; // [esp+4Ch] [ebp-Ch]

  unsigned int v5; // [esp+54h] [ebp-4h]

  v5 = lstrlenA(lpString);

  for ( i = 0; ; ++i )

  {

    result = i;

    if ( i >= a3 )

      break;

    *(_BYTE *)(i + a2) ^= lpString[i % v5];

  }

  return result;

}unsigned int __cdecl sub_401590(LPCSTR lpString, int a2, int a3)

{

  unsigned int result; // eax

  unsigned int i; // [esp+4Ch] [ebp-Ch]

  unsigned int v5; // [esp+54h] [ebp-4h]

  v5 = lstrlenA(lpString);

  for ( i = 0; ; ++i )

  {

    result = i;

    if ( i >= a3 )

      break;

    *(_BYTE *)(i + a2) ^= lpString[i % v5];

  }

  return result;

}

对字符串进行异或

int __cdecl sub_4013A0(BYTE *pbData, DWORD dwDataLen, LPSTR lpString1)

{

  int result; // eax

  DWORD i; // [esp+4Ch] [ebp-24h]

  CHAR String2[4]; // [esp+50h] [ebp-20h] BYREF

  BYTE v6[16]; // [esp+54h] [ebp-1Ch] BYREF

  DWORD pdwDataLen; // [esp+64h] [ebp-Ch] BYREF

  HCRYPTHASH phHash; // [esp+68h] [ebp-8h] BYREF

  HCRYPTPROV phProv; // [esp+6Ch] [ebp-4h] BYREF

  if ( !CryptAcquireContextA(&phProv, 0, 0, 1u, 0xF0000000) )

    return 0;

  if ( CryptCreateHash(phProv, 0x8003u, 0, 0, &phHash) )

  {

    if ( CryptHashData(phHash, pbData, dwDataLen, 0) )

    {

      CryptGetHashParam(phHash, 2u, v6, &pdwDataLen, 0);

      *lpString1 = 0;

      for ( i = 0; i < pdwDataLen; ++i )

      {

        wsprintfA(String2, "%02X", v6[i]);

        lstrcatA(lpString1, String2);

      }

      CryptDestroyHash(phHash);

      CryptReleaseContext(phProv, 0);

      result = 1;

    }

    else

    {

      CryptDestroyHash(phHash);

      CryptReleaseContext(phProv, 0);

      result = 0;

    }

  }

  else

  {

    CryptReleaseContext(phProv, 0);

    result = 0;

  }

  return result;

}

windows签名加密函数,其中0x8003u表示md5加密

getflag

我们虽然不知道string1里面放的是什么大师通过a1-748与string1的check我们可以得到md5加密后的内容就是a1-748异或后的内容

se1 = ""

for i in '0kk`d1a`55k222k2a776jbfgd`
s = ['1','2','3','3','2','1']

b = [0x57, 0x5E, 0x52, 0x54, 0x49, 0x5F, 0x01, 0x6D, 0x69, 0x46,

  0x02, 0x6E, 0x5F, 0x02, 0x6C, 0x57, 0x5B, 0x54, 0x4C]

flag = ''

for i in range(len(b)):

    flag += chr(b[i]^ord(s[i%6]))

print(flag)


06cjjb':

  se1 += chr(ord(i) ^ ord('S'))

print(se1)

#c8837b23ff8aaa8a2dde915473ce0991








unsigned char unk_423030[] =

{

0x57, 0x5E, 0x52, 0x54, 0x49, 0x5F, 0x01, 0x6D, 0x69, 0x46,

0x02, 0x6E, 0x5F, 0x02, 0x6C, 0x57, 0x5B, 0x54, 0x4C

};




a1-1016内容




s = ['1','2','3','3','2','1']

b = [0x57, 0x5E, 0x52, 0x54, 0x49, 0x5F, 0x01, 0x6D, 0x69, 0x46,

  0x02, 0x6E, 0x5F, 0x02, 0x6C, 0x57, 0x5B, 0x54, 0x4C]

flag = ''

for i in range(len(b)):

    flag += chr(b[i]^ord(s[i%6]))

print(flag)






flag{n0_Zu0_n0_die}


												


											
BUU findkey的更多相关文章
	

    
								
  1. Buu刷题
		
    前言 希望自己能够更加的努力,希望通过多刷大赛题来提高自己的知识面.(ง •_•)ง easy_tornado 进入题目 看到render就感觉可能是模板注入的东西 hints.txt给出提示,可以看 ...
    
		
    2. 
						
  2. BUU刷题01
		
    [安洵杯 2019]easy_serialize_php 直接给了源代码 <?php $function = @$_GET['f']; function filter($img){ $filte ...
    
		
    3. 
						
  3. buu学习记录(上)
		
    前言:菜鸡误入buu,差点被打吐.不过学到了好多东西. 题目名称: (1)随便注 (2)高明的黑客 (3)CheckIn (4)Hack World (5)SSRF Me (6)piapiapia ( ...
    
		
    4. 
						
  4. BUU XSS COURSE 1 & [CISCN2019 华东北赛区]Web2
		
    BUU XSS COURSE 1 & [CISCN2019 华东北赛区]Web2 XSS的题目没怎么做过,比赛基本上也没有(=_=),总结下今天做的两题 都是看赵总视频现学现做的,这里附上学习 ...
    
		
    5. 
						
  5. BUU [GKCTF 2021]签到
		
    BUU [GKCTF 2021]签到 1.题目概述 2.解题过程 追踪HTTP流 在下面发现了一串可疑字符 Base16转base64 放到010里看看 复制下来,去转字符 好像不是,再回去找找其他的 ...
    
		
    6. 
						
  6. Buuctf | BUU LFI COURSE 1
		
    跟着赵师傅学CTF,这里是我的学习记录 ?file=/flag ?file=/var/log/nginx/access.log :包含ngnix的日志记录 在user-agent里面插入 :bbbbb ...
    
		
    7. 
						
  7. buu Crypto 刷题记录
		
    1.MD5 直接解. 2.url编码 直接解. 3.一眼就解密 base64. 4.看我回旋踢 对文本内容全部CaesarDecode. 5.摩丝 直接MorseDecode. 6.Quoted-pr ...
    
		
    8. 
						
  8. BUU re xor
		
    从13行和18行的0x21(c规定十六进制必须用0x**表示)可以知道这个字符串就是33个字符 shift+e来提取出数组中的字符: 设这个数组是global数组 global[] = { 102,  ...
    
		
    9. 
						
  9. BUU pwn cn
		
    自己不细心,人家别的博客上写的明明没有那个冒号的,把linux命令好好学一学吧! nc后 ls 发现flag文件 cat就得到flag了
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Solution -「CF 1361E」James and the Chase
			
    \(\mathcal{Description}\)   Link.   给定 \(n\) 个点 \(m\) 条边的有向弱连通图.称一个点是"好点"当且仅当从该点出发,不存在到同一点 ...
    
			
    2. 
						
  2. Dubbo基础之四管理控制台 dubbo-admin
			
    Dubbo提供一个重要功能就是服务治理(SOA governance),什么是服务治理呢?企业为了确保项目顺利完成而实施的过程,需要进行各方面的管理.服务治理就是用来管理SOA的采用和实现的过程. 服 ...
    
			
    3. 
						
  3. 通过JAVA对FTP服务器连接,上传,下载,读取,移动文件等
			
    记录一次对FTP服务器文件内容 通过Java程序对FTP服务器文件处理:连接,上传,下载,读取,移动文件等. 需求描述:今天接到一个任务,在Java项目中,读取FTP服务器上的一些文件,进行一些业务操 ...
    
			
    4. 
						
  4. JVM学习——类加载机制(学习过程)
			
    JVM--类加载机制 2020年02月07日14:49:19-开始学习JVM(Class Loader) 类加载机制 类加载器深入解析与阶段分解 在Java代码中,类型的加载.连接与初始化过程中都是在 ...
    
			
    5. 
						
  5. 图解python | 基础数据类型
			
    作者:韩信子@ShowMeAI 教程地址:http://www.showmeai.tech/tutorials/56 本文地址:http://www.showmeai.tech/article-det ...
    
			
    6. 
						
  6. 自动同步bing壁纸
			
    在百度搜东西,经常出来一大坨广告:要么就是复制粘贴文章.完全没有创新,搜索越来越困难.偶尔用一下bing还挺好用. bing的壁纸是真心好看,每天不重样.决定写个脚本同步一下它的壁纸. 一.以我的Wi ...
    
			
    7. 
						
  7. python对文件夹内文件去重
			
    昨天无聊写了一个百度图片爬虫,测试了一下搜索"斗图".一下给我下了3000多个图片,关键是有一半以上重复的.what a fuck program ! 好吧,今天写一个文件去重功能 ...
    
			
    8. 
						
  8. 数据库delete from和truncate删除的区别详解
			
    一:区别 1.delete from 后面可以直接接条件,truncate不可以 2.delete from 记录是一条条删除的,所删除的每行记录都会进入日志,而truncate一次性删除整个页,因此 ...
    
			
    9. 
						
  9. Jenkins+allure集成报告构建
			
    1.点击新建item,新建一个job 对这个job进行配置 General模块,点击高级 勾选自定义的工作空间,填写项目目录 构建触发器和构建环境先不填写 构建模块,填写python main.py, ...
    
			
    10. 
						
  10. RFC2889错误帧过滤测试----网络测试仪实操
			
    一.简介 RFC 2889为LAN交换设备的基准测试提供了方法学,它将RFC 2544中为网络互联设备基准测试所定义的方法学扩展到了交换设备,提供了交换机转发性能(Forwarding Perform ...
    
			
    11.