定位关键函数

跟入flag找到问题位置

两行一样的代码,nop掉第二行,按p生成函数

代码审计

int __userpurge sub_4018C4@<eax>(int a1@<ebp>, int a2, int a3, int a4, int a5)

{

  size_t v5; // eax

  _WORD *v6; // edx

  DWORD v7; // eax

  int v8; // edi

  int v9; // eax

  int v10; // eax

  LPSTR v12; // [esp-454h] [ebp-454h] BYREF

  if ( strlen((const char *)String1) )

  {

    memset((void *)(a1 - 492), 0, 0x100u);

    v5 = strlen((const char *)String1);

    memcpy((void *)(a1 - 492), String1, v5);

    v12 = (LPSTR)String1;

    *v6 = __ES__;

    v7 = strlen((const char *)&v12);

    sub_40101E(String1, v7, v12);

    strcpy((char *)(a1 - 748), "0kk`d1a`55k222k2a776jbfgd`06cjjb");

    memset((void *)(a1 - 715), 0, 0xDCu);

    v8 = a1 - 715 + 220;

    *(_WORD *)v8 = 0;

    *(_BYTE *)(v8 + 2) = 0;

    strcpy((char *)(a1 - 760), "SS");

    *(_DWORD *)(a1 - 757) = 0;

    *(_WORD *)(a1 - 753) = 0;

    *(_BYTE *)(a1 - 751) = 0;

    v9 = strlen((const char *)(a1 - 748));

    sub_401005((LPCSTR)(a1 - 760), a1 - 748, v9);

    if ( _strcmpi((const char *)String1, (const char *)(a1 - 748)) )

    {

      SetWindowTextA(*(HWND *)(a1 + 8), "flag{}");

      MessageBoxA(*(HWND *)(a1 + 8), "Are you kidding me?", "^_^", 0);

      ExitProcess(0);

    }

    memcpy((void *)(a1 - 1016), &unk_423030, 0x32u);

    v10 = strlen((const char *)(a1 - 1016));

    sub_401005((LPCSTR)(a1 - 492), a1 - 1016, v10);

    MessageBoxA(*(HWND *)(a1 + 8), (LPCSTR)(a1 - 1016), 0, 0x32u);

  }

  ++dword_428D54;

  return 0;

}

关键函数

unsigned int __cdecl sub_401590(LPCSTR lpString, int a2, int a3)

{

  unsigned int result; // eax

  unsigned int i; // [esp+4Ch] [ebp-Ch]

  unsigned int v5; // [esp+54h] [ebp-4h]

  v5 = lstrlenA(lpString);

  for ( i = 0; ; ++i )

  {

    result = i;

    if ( i >= a3 )

      break;

    *(_BYTE *)(i + a2) ^= lpString[i % v5];

  }

  return result;

}unsigned int __cdecl sub_401590(LPCSTR lpString, int a2, int a3)

{

  unsigned int result; // eax

  unsigned int i; // [esp+4Ch] [ebp-Ch]

  unsigned int v5; // [esp+54h] [ebp-4h]

  v5 = lstrlenA(lpString);

  for ( i = 0; ; ++i )

  {

    result = i;

    if ( i >= a3 )

      break;

    *(_BYTE *)(i + a2) ^= lpString[i % v5];

  }

  return result;

}

对字符串进行异或

int __cdecl sub_4013A0(BYTE *pbData, DWORD dwDataLen, LPSTR lpString1)

{

  int result; // eax

  DWORD i; // [esp+4Ch] [ebp-24h]

  CHAR String2[4]; // [esp+50h] [ebp-20h] BYREF

  BYTE v6[16]; // [esp+54h] [ebp-1Ch] BYREF

  DWORD pdwDataLen; // [esp+64h] [ebp-Ch] BYREF

  HCRYPTHASH phHash; // [esp+68h] [ebp-8h] BYREF

  HCRYPTPROV phProv; // [esp+6Ch] [ebp-4h] BYREF

  if ( !CryptAcquireContextA(&phProv, 0, 0, 1u, 0xF0000000) )

    return 0;

  if ( CryptCreateHash(phProv, 0x8003u, 0, 0, &phHash) )

  {

    if ( CryptHashData(phHash, pbData, dwDataLen, 0) )

    {

      CryptGetHashParam(phHash, 2u, v6, &pdwDataLen, 0);

      *lpString1 = 0;

      for ( i = 0; i < pdwDataLen; ++i )

      {

        wsprintfA(String2, "%02X", v6[i]);

        lstrcatA(lpString1, String2);

      }

      CryptDestroyHash(phHash);

      CryptReleaseContext(phProv, 0);

      result = 1;

    }

    else

    {

      CryptDestroyHash(phHash);

      CryptReleaseContext(phProv, 0);

      result = 0;

    }

  }

  else

  {

    CryptReleaseContext(phProv, 0);

    result = 0;

  }

  return result;

}

windows签名加密函数,其中0x8003u表示md5加密

getflag

我们虽然不知道string1里面放的是什么大师通过a1-748与string1的check我们可以得到md5加密后的内容就是a1-748异或后的内容

se1 = ""

for i in '0kk`d1a`55k222k2a776jbfgd`
s = ['1','2','3','3','2','1']

b = [0x57, 0x5E, 0x52, 0x54, 0x49, 0x5F, 0x01, 0x6D, 0x69, 0x46,

  0x02, 0x6E, 0x5F, 0x02, 0x6C, 0x57, 0x5B, 0x54, 0x4C]

flag = ''

for i in range(len(b)):

    flag += chr(b[i]^ord(s[i%6]))

print(flag)


06cjjb':

  se1 += chr(ord(i) ^ ord('S'))

print(se1)

#c8837b23ff8aaa8a2dde915473ce0991








unsigned char unk_423030[] =

{

0x57, 0x5E, 0x52, 0x54, 0x49, 0x5F, 0x01, 0x6D, 0x69, 0x46,

0x02, 0x6E, 0x5F, 0x02, 0x6C, 0x57, 0x5B, 0x54, 0x4C

};




a1-1016内容




s = ['1','2','3','3','2','1']

b = [0x57, 0x5E, 0x52, 0x54, 0x49, 0x5F, 0x01, 0x6D, 0x69, 0x46,

  0x02, 0x6E, 0x5F, 0x02, 0x6C, 0x57, 0x5B, 0x54, 0x4C]

flag = ''

for i in range(len(b)):

    flag += chr(b[i]^ord(s[i%6]))

print(flag)






flag{n0_Zu0_n0_die}


												


											
BUU findkey的更多相关文章
	

    
								
  1. Buu刷题
		
    前言 希望自己能够更加的努力,希望通过多刷大赛题来提高自己的知识面.(ง •_•)ง easy_tornado 进入题目 看到render就感觉可能是模板注入的东西 hints.txt给出提示,可以看 ...
    
		
    2. 
						
  2. BUU刷题01
		
    [安洵杯 2019]easy_serialize_php 直接给了源代码 <?php $function = @$_GET['f']; function filter($img){ $filte ...
    
		
    3. 
						
  3. buu学习记录(上)
		
    前言:菜鸡误入buu,差点被打吐.不过学到了好多东西. 题目名称: (1)随便注 (2)高明的黑客 (3)CheckIn (4)Hack World (5)SSRF Me (6)piapiapia ( ...
    
		
    4. 
						
  4. BUU XSS COURSE 1 & [CISCN2019 华东北赛区]Web2
		
    BUU XSS COURSE 1 & [CISCN2019 华东北赛区]Web2 XSS的题目没怎么做过,比赛基本上也没有(=_=),总结下今天做的两题 都是看赵总视频现学现做的,这里附上学习 ...
    
		
    5. 
						
  5. BUU [GKCTF 2021]签到
		
    BUU [GKCTF 2021]签到 1.题目概述 2.解题过程 追踪HTTP流 在下面发现了一串可疑字符 Base16转base64 放到010里看看 复制下来,去转字符 好像不是,再回去找找其他的 ...
    
		
    6. 
						
  6. Buuctf | BUU LFI COURSE 1
		
    跟着赵师傅学CTF,这里是我的学习记录 ?file=/flag ?file=/var/log/nginx/access.log :包含ngnix的日志记录 在user-agent里面插入 :bbbbb ...
    
		
    7. 
						
  7. buu Crypto 刷题记录
		
    1.MD5 直接解. 2.url编码 直接解. 3.一眼就解密 base64. 4.看我回旋踢 对文本内容全部CaesarDecode. 5.摩丝 直接MorseDecode. 6.Quoted-pr ...
    
		
    8. 
						
  8. BUU re xor
		
    从13行和18行的0x21(c规定十六进制必须用0x**表示)可以知道这个字符串就是33个字符 shift+e来提取出数组中的字符: 设这个数组是global数组 global[] = { 102,  ...
    
		
    9. 
						
  9. BUU pwn cn
		
    自己不细心,人家别的博客上写的明明没有那个冒号的,把linux命令好好学一学吧! nc后 ls 发现flag文件 cat就得到flag了
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Python基础—基础数据类型list(Day4)
			
    基础数据类型 四.list列表  存放大量数据,大量的数据在列表中便于操作,列表示有序的,有索引值,可切片,方便取值.  1.list的增    1).append('元素') 在列表后面按元素添加  ...
    
			
    2. 
						
  2. [LeetCode]1431. 拥有最多糖果的孩子
			
    给你一个数组 candies 和一个整数 extraCandies ,其中 candies[i] 代表第 i 个孩子拥有的糖果数目. 对每一个孩子,检查是否存在一种方案,将额外的 extraCandi ...
    
			
    3. 
						
  3. RENIX发送固定个数报文——网络测试仪实操
			
    在使用RENIX软件时,有时候我们需要发送固定个数报文,那么该如何操作呢?以下为您讲解具体操作步骤. 第一步:预约测试资源 打开Renix软件,连接机箱, 预约端口 第二步:发送固定个数的报文 选中流 ...
    
			
    4. 
						
  4. linux安装ngixn
			
    卸载ngxin(第一次安装请略过) 1.检查nginx是否启动,是否安装ngxin 检查是否安装nginx命令 rpm -qa|grep nginx 检查nginx是否启动命令: pa -ef|gre ...
    
			
    5. 
						
  5. 不需要高价购买BI工具,掌握这个Excel插件就能碾压大数据
			
    ​曾几何时,EXCEL在数据界可谓是独树一帜,引领风骚,在职场中无人不知,无人不晓.但是随着大数据的出现,EXCEL便风光不再,江河日下,一度被其他大数据工具挤到了后面,逐渐被边缘化了.而我是一个EX ...
    
			
    6. 
						
  6. Kubernetes集群搭建(详细)
			
    kubernetes集群搭建(kubeadm方式) kubeadm是官方社区推出的一个用于快速部署kubernetes集群的工具.这个工具能通过两条指令完成一个kubernetes集群的部署: # 创 ...
    
			
    7. 
						
  7. Windows端口开启关闭
			
    转至:https://www.cnblogs.com/shenyiyangle/p/10503754.html netstat-a #显示所有活动的TCP连接以及计算机监听的TCP和UDP端口. ne ...
    
			
    8. 
						
  8. parquet列存储本身自带压缩 配合snappy或者lzo等可以进行二次压缩
			
    上传txt文件到hdfs,txt文件大小是74左右. 这里提醒一下,是不是说parquet加lzo可以把数据压缩到这个地步,因为我的测试数据存在大量重复.所以下面使用parquet和lzo的压缩效果特 ...
    
			
    9. 
						
  9. 通过对比语法差异,让会JAVA的你快速学会Kotlin的开源宝藏项目
			
    今天有个小伙伴来问TJ君,说自己JAVA用的贼溜,想再学习下Kotlin,问TJ君上手难不难? 怎么说呢?其实TJ君一直觉得语言这方面,是触类旁通.一通百通的,既然JAVA已经贼溜了,想必学其他的语言 ...
    
			
    10. 
						
  10. 二、python数据类型详解
			
    基本概念 迭代(iteration):如果给定一个list或tuple,我们可以通过for循环来遍历,这种遍历我们称为迭代(iteration) 可变:value改变,id不变,可变类型是不可hash ...
    
			
    11.