定位关键函数

跟入flag找到问题位置

两行一样的代码,nop掉第二行,按p生成函数

代码审计

int __userpurge sub_4018C4@<eax>(int a1@<ebp>, int a2, int a3, int a4, int a5)

{

  size_t v5; // eax

  _WORD *v6; // edx

  DWORD v7; // eax

  int v8; // edi

  int v9; // eax

  int v10; // eax

  LPSTR v12; // [esp-454h] [ebp-454h] BYREF

  if ( strlen((const char *)String1) )

  {

    memset((void *)(a1 - 492), 0, 0x100u);

    v5 = strlen((const char *)String1);

    memcpy((void *)(a1 - 492), String1, v5);

    v12 = (LPSTR)String1;

    *v6 = __ES__;

    v7 = strlen((const char *)&v12);

    sub_40101E(String1, v7, v12);

    strcpy((char *)(a1 - 748), "0kk`d1a`55k222k2a776jbfgd`06cjjb");

    memset((void *)(a1 - 715), 0, 0xDCu);

    v8 = a1 - 715 + 220;

    *(_WORD *)v8 = 0;

    *(_BYTE *)(v8 + 2) = 0;

    strcpy((char *)(a1 - 760), "SS");

    *(_DWORD *)(a1 - 757) = 0;

    *(_WORD *)(a1 - 753) = 0;

    *(_BYTE *)(a1 - 751) = 0;

    v9 = strlen((const char *)(a1 - 748));

    sub_401005((LPCSTR)(a1 - 760), a1 - 748, v9);

    if ( _strcmpi((const char *)String1, (const char *)(a1 - 748)) )

    {

      SetWindowTextA(*(HWND *)(a1 + 8), "flag{}");

      MessageBoxA(*(HWND *)(a1 + 8), "Are you kidding me?", "^_^", 0);

      ExitProcess(0);

    }

    memcpy((void *)(a1 - 1016), &unk_423030, 0x32u);

    v10 = strlen((const char *)(a1 - 1016));

    sub_401005((LPCSTR)(a1 - 492), a1 - 1016, v10);

    MessageBoxA(*(HWND *)(a1 + 8), (LPCSTR)(a1 - 1016), 0, 0x32u);

  }

  ++dword_428D54;

  return 0;

}

关键函数

unsigned int __cdecl sub_401590(LPCSTR lpString, int a2, int a3)

{

  unsigned int result; // eax

  unsigned int i; // [esp+4Ch] [ebp-Ch]

  unsigned int v5; // [esp+54h] [ebp-4h]

  v5 = lstrlenA(lpString);

  for ( i = 0; ; ++i )

  {

    result = i;

    if ( i >= a3 )

      break;

    *(_BYTE *)(i + a2) ^= lpString[i % v5];

  }

  return result;

}unsigned int __cdecl sub_401590(LPCSTR lpString, int a2, int a3)

{

  unsigned int result; // eax

  unsigned int i; // [esp+4Ch] [ebp-Ch]

  unsigned int v5; // [esp+54h] [ebp-4h]

  v5 = lstrlenA(lpString);

  for ( i = 0; ; ++i )

  {

    result = i;

    if ( i >= a3 )

      break;

    *(_BYTE *)(i + a2) ^= lpString[i % v5];

  }

  return result;

}

对字符串进行异或

int __cdecl sub_4013A0(BYTE *pbData, DWORD dwDataLen, LPSTR lpString1)

{

  int result; // eax

  DWORD i; // [esp+4Ch] [ebp-24h]

  CHAR String2[4]; // [esp+50h] [ebp-20h] BYREF

  BYTE v6[16]; // [esp+54h] [ebp-1Ch] BYREF

  DWORD pdwDataLen; // [esp+64h] [ebp-Ch] BYREF

  HCRYPTHASH phHash; // [esp+68h] [ebp-8h] BYREF

  HCRYPTPROV phProv; // [esp+6Ch] [ebp-4h] BYREF

  if ( !CryptAcquireContextA(&phProv, 0, 0, 1u, 0xF0000000) )

    return 0;

  if ( CryptCreateHash(phProv, 0x8003u, 0, 0, &phHash) )

  {

    if ( CryptHashData(phHash, pbData, dwDataLen, 0) )

    {

      CryptGetHashParam(phHash, 2u, v6, &pdwDataLen, 0);

      *lpString1 = 0;

      for ( i = 0; i < pdwDataLen; ++i )

      {

        wsprintfA(String2, "%02X", v6[i]);

        lstrcatA(lpString1, String2);

      }

      CryptDestroyHash(phHash);

      CryptReleaseContext(phProv, 0);

      result = 1;

    }

    else

    {

      CryptDestroyHash(phHash);

      CryptReleaseContext(phProv, 0);

      result = 0;

    }

  }

  else

  {

    CryptReleaseContext(phProv, 0);

    result = 0;

  }

  return result;

}

windows签名加密函数,其中0x8003u表示md5加密

getflag

我们虽然不知道string1里面放的是什么大师通过a1-748与string1的check我们可以得到md5加密后的内容就是a1-748异或后的内容

se1 = ""

for i in '0kk`d1a`55k222k2a776jbfgd`
s = ['1','2','3','3','2','1']

b = [0x57, 0x5E, 0x52, 0x54, 0x49, 0x5F, 0x01, 0x6D, 0x69, 0x46,

  0x02, 0x6E, 0x5F, 0x02, 0x6C, 0x57, 0x5B, 0x54, 0x4C]

flag = ''

for i in range(len(b)):

    flag += chr(b[i]^ord(s[i%6]))

print(flag)


06cjjb':

  se1 += chr(ord(i) ^ ord('S'))

print(se1)

#c8837b23ff8aaa8a2dde915473ce0991








unsigned char unk_423030[] =

{

0x57, 0x5E, 0x52, 0x54, 0x49, 0x5F, 0x01, 0x6D, 0x69, 0x46,

0x02, 0x6E, 0x5F, 0x02, 0x6C, 0x57, 0x5B, 0x54, 0x4C

};




a1-1016内容




s = ['1','2','3','3','2','1']

b = [0x57, 0x5E, 0x52, 0x54, 0x49, 0x5F, 0x01, 0x6D, 0x69, 0x46,

  0x02, 0x6E, 0x5F, 0x02, 0x6C, 0x57, 0x5B, 0x54, 0x4C]

flag = ''

for i in range(len(b)):

    flag += chr(b[i]^ord(s[i%6]))

print(flag)






flag{n0_Zu0_n0_die}


												


											
BUU findkey的更多相关文章
	

    
								
  1. Buu刷题
		
    前言 希望自己能够更加的努力,希望通过多刷大赛题来提高自己的知识面.(ง •_•)ง easy_tornado 进入题目 看到render就感觉可能是模板注入的东西 hints.txt给出提示,可以看 ...
    
		
    2. 
						
  2. BUU刷题01
		
    [安洵杯 2019]easy_serialize_php 直接给了源代码 <?php $function = @$_GET['f']; function filter($img){ $filte ...
    
		
    3. 
						
  3. buu学习记录(上)
		
    前言:菜鸡误入buu,差点被打吐.不过学到了好多东西. 题目名称: (1)随便注 (2)高明的黑客 (3)CheckIn (4)Hack World (5)SSRF Me (6)piapiapia ( ...
    
		
    4. 
						
  4. BUU XSS COURSE 1 & [CISCN2019 华东北赛区]Web2
		
    BUU XSS COURSE 1 & [CISCN2019 华东北赛区]Web2 XSS的题目没怎么做过,比赛基本上也没有(=_=),总结下今天做的两题 都是看赵总视频现学现做的,这里附上学习 ...
    
		
    5. 
						
  5. BUU [GKCTF 2021]签到
		
    BUU [GKCTF 2021]签到 1.题目概述 2.解题过程 追踪HTTP流 在下面发现了一串可疑字符 Base16转base64 放到010里看看 复制下来,去转字符 好像不是,再回去找找其他的 ...
    
		
    6. 
						
  6. Buuctf | BUU LFI COURSE 1
		
    跟着赵师傅学CTF,这里是我的学习记录 ?file=/flag ?file=/var/log/nginx/access.log :包含ngnix的日志记录 在user-agent里面插入 :bbbbb ...
    
		
    7. 
						
  7. buu Crypto 刷题记录
		
    1.MD5 直接解. 2.url编码 直接解. 3.一眼就解密 base64. 4.看我回旋踢 对文本内容全部CaesarDecode. 5.摩丝 直接MorseDecode. 6.Quoted-pr ...
    
		
    8. 
						
  8. BUU re xor
		
    从13行和18行的0x21(c规定十六进制必须用0x**表示)可以知道这个字符串就是33个字符 shift+e来提取出数组中的字符: 设这个数组是global数组 global[] = { 102,  ...
    
		
    9. 
						
  9. BUU pwn cn
		
    自己不细心,人家别的博客上写的明明没有那个冒号的,把linux命令好好学一学吧! nc后 ls 发现flag文件 cat就得到flag了
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Dubbo扩展点应用之一filter及@Activate自激活使用
			
    与很多框架一样,Dubbo也存在拦截(过滤)机制,可以通过该机制在执行目标程序前后执行我们指定的代码.Dubbo中Filter只是Dubbo提供的可自定义扩展的扩展点之一.通过该扩展点地理解,可以触类 ...
    
			
    2. 
						
  2. oracle-11G转10G
			
    先查询directory的地址 导出的文件必须放在此目录select * from dba_directories;找到directory_name的值 ,也可以新建一个create director ...
    
			
    3. 
						
  3. QT通过静态库调用Go
			
    ## 编写Go代码 package main import( "fmt" "C" ) //export test func test(str *C.char)  ...
    
			
    4. 
						
  4. [旧][Android] ButterKnife 浅析
			
    备注 原发表于2016.05.08,资料已过时,仅作备份,谨慎参考 前言 自上星期写 Retrofit 写吐之后 ... 我问大队长能不能换个其他什么东西写,大队长就说了个单词 ButterKnife ...
    
			
    5. 
						
  5. 如何设置IPv4和IPv6报文的DSCP值——网络测试仪实操
			
    一.操作说明 在QoS测试中,经常要设置不同优先级的报文,来验证被测设备对于优先级的调度.所以,我们就要了解如何设置IPv6和IPv6报文中的DSCP(大部分使用DSCP值,也会用到TOS值) 这里我 ...
    
			
    6. 
						
  6. IGMP协议测试-网络测试仪实操
			
    一.前言:IGMP协议用于IPv4系统向任何邻居组播路由器报告其组播成员资格.IP组播路由器自己本身也可以是一到多个组播组的成员.这时,组播路由器要实现协议的组播路由器部分. IGMP存在三个不同版本 ...
    
			
    7. 
						
  7. 思迈特软件Smartbi:传统BI被“革命”,AI是BI技术未来的发展趋势
			
    根据IDC报告,2020年中国BI软件存量市场规模为38.2亿元,到2024年,市场规模将达到78.5亿元,未来4年整体市场年复合增长率(CAGR)为19.2%.此外,还有规模达到100亿元的增量市场 ...
    
			
    8. 
						
  8. LeetCode-025-K 个一组翻转链表
			
    K 个一组翻转链表 题目描述:给你一个链表,每 k 个节点一组进行翻转,请你返回翻转后的链表. k 是一个正整数,它的值小于或等于链表的长度. 如果节点总数不是 k 的整数倍,那么请将最后剩余的节点保 ...
    
			
    9. 
						
  9. 引入的ip地址,打包以后可以随意更改
			
    我用我自己的方法,也是实验一步一步搞出来的,被我们运维打了好几顿才出现的结果.不喜勿喷. 第一步,我们把写上地址的js文件放在vue的静态文件里,老项目都是static,新项目都是放在public文件 ...
    
			
    10. 
						
  10. LGP2414题解
			
    难不成是我后缀自动机学魔怔了,AC 自动机都能套上线段树 题意:给你一颗 Trie,每次询问两个节点 \(u,v\),\(u\) 代表的字符串在 \(v\) 代表的字符串中出现了多少次. 让我们思考一 ...
    
			
    11.