Re

Factory

主函数fork了一个子进程,父进程添加了一个信号处理器用于比对input,然后死循环挂起。子进程读入input,然后调用了关键函数。

跟进关键函数,发现是从一段内存中读取数据,然后根据数据发送信号给父进程,感觉像个虚拟机。

代码很长这里就不贴了,看一眼CFG,符合一般虚拟机的流程图:

在虚拟机里面没见到对input的操作,肯定有遗漏的地方,对input查看交叉引用,在init里面发现两个函数:

第一个函数给input分配了一段内存,第二个函数设置了一堆信号处理器。

这里分配内存用的mmap,并且开了MAP_SHARED,子进程fork的是父进程指向这块内存的指针,所以这块内存是父子进程共享的。

要注意的是第一个函数中存在反调试,检查了父进程的cmdline并且加密了,只有加密后的cmdline是指定数据才分配内存:

很多人动态调试不成功就是因为这个,这题不需要动态调试。如果一定要调,attach或者把这段代码patch一下都行。

第二个函数中建立了一堆handler,根据这些代码还原opcode就行。

opcdode:

17,52,0,42,5,16,20,9,23,0,32,5,3,17,29,6,0,0,5,3,17,64,6,0,64,5,17,29,23,14,1,21,4,15,1,22,2,0,0,4,3,5,16,20,50,5,9,2,19,29,5,18,21,4,16,20,61,10,1,19,52,3,4,18,14,1,21,4,7,1,22,2,0,0,4,3,5,16,20,85,5,9,1,19,64,5,18

还原出来的伪代码(括号内是opcode,冒号前是signal的值,注释是语句含义):

0:

(17,52)42:q1[19]++;input[256+q1[19]-1]=q1[20];q1[20]=input[79]=52;//call 52

2:

(0,42)34:q1[19]++;input[256+q1[19]-1]=42;

(5)35:q1[19]--;q1[17]=input[256+q1[19]];//q1[17]=42=strlen

(16)41:q1[21]=q1[16]==q1[17];

(20,9)45:if(q1[21])q1[20]=input[79]=9;//长度不是42就退出

(0,32)34:q1[19]++;input[256+q1[19]-1]=32;

(5)35:q1[19]--;q1[17]=input[256+q1[19]];//q1[17]=32

(3)34:q1[19]++;input[256+q1[19]-1]=q1[18];//push len

(17,29)42:q1[19]++;input[256+q1[19]-1]=q1[20];q1[20]=input[79]=29;//call 29

(6)35:q1[19]--;q1[18]=input[256+q1[19]];//q1[18]=len

(0,0)34:q1[19]++;input[256+q1[19]-1]=0;

(5)35:q1[19]--;q1[17]=input[256+q1[19]];//q1[17]=0

(3)34:q1[19]++;input[256+q1[19]-1]=q1[18];/push len

(17,64)42:q1[19]++;input[256+q1[19]-1]=q1[20];q1[20]=input[79]=64;//call 64

(6)35:q1[19]--;q1[18]=input[256+q1[19]];//q1[18]=len

(0,64)34:q1[19]++;input[256+q1[19]-1]=64;

(5)35:q1[19]--;q1[17]=input[256+q1[19]];//q1[17]=64

(17,29)42:q1[19]++;input[256+q1[19]-1]=q1[20];q1[20]=input[79]=29;//call 29

(23):break

29:

(14,1)39:q1[18]-=input[79]=1;// q1[18]=41

(21)46:q1[19]++;input[256+q1[19]-1]=input[q1[18]]

(4)35:q1[19]--;q1[16]=input[256+q1[19]];//q1[16]=input[q1[18]]

(15)40:q1[16]^=q1[17];

(1)34:q1[19]++;input[256+q1[19]-1]=q1[16];

(22)47:q1[19]--;input[q1[18]]=input[256+q1[19]];//str^=32,34,36...

(2)34:q1[19]++;input[256+q1[19]-1]=q1[17];//push 32,34,36...

(0,0)34:q1[19]++;input[256+q1[19]-1]=0;

(4)35:q1[19]--;q1[16]=input[256+q1[19]];

(3)34:q1[19]++;input[256+q1[19]-1]=q1[18];

(5)35:q1[19]--;q1[17]=input[256+q1[19]];//q1[17]=q1[18]

(16)41:q1[21]=q1[16]==q1[17];//如果q[17]=0就返回

(20,50)45:if(q1[21])q1[20]=input[79]=50;//je

(5)35:q1[19]--;q1[17]=input[256+q1[19]];//q1[17]=32,34,36...

(9,2)37:q1[17]+=input[79]=2

(19,29)44:q1[20]=input[79]=29;//jmp

50:

(5)35:q1[19]--;q1[17]=input[256+q1[19]];//pop q1[17]

(18)43:q1[19]--;q1[20]=input[256+q1[19]];//retn to 2

52:

(21)46:q1[19]++;input[256+q1[19]-1]=input[q1[18]]

(4)35:q1[19]--;q1[16]=input[256+q1[19]];//q1[16]=input[q1[18]]

(16)41:q1[21]=q1[16]==q1[17];

(20,61)45:if(q1[21])q1[20]=input[79]=61;//je 当循环到字符串尾跳转

(10,1)37:q1[18]+=input[79]=1;

(19,52)44:q1[20]=input[79]=52;//jmp

61:

(3)34:q1[19]++;input[256+q1[19]-1]=q1[18];

(4)35:q1[19]--;q1[16]=input[256+q1[19]];//q1[16]=q1[18]=42

(18)43:q1[19]--;q1[20]=input[256+q1[19]];//retn goto 0

64:

(14,1)39:q1[18]-=input[79]=1;

(21)46:q1[19]++;input[256+q1[19]-1]=input[q1[18]]

(4)35:q1[19]--;q1[16]=input[256+q1[19]];

(7)36:q1[16]+=q1[17]//+=0,1,2

(1)34:q1[19]++;input[256+q1[19]-1]=q1[16];

(22)47:q1[19]--;input[q1[18]]=input[256+q1[19]];//+q1[17]=0,1,2,3,4,5...

(2)34:q1[19]++;input[256+q1[19]-1]=q1[17];

(0,0)34:q1[19]++;input[256+q1[19]-1]=0;

(4)35:q1[19]--;q1[16]=input[256+q1[19]];

(3)34:q1[19]++;input[256+q1[19]-1]=q1[18];

(5)35:q1[19]--;q1[17]=input[256+q1[19]];

(16)41:q1[21]=q1[16]==q1[17];

(20,85)45:if(q1[21])q1[20]=input[79]=85;//je

(5)35:q1[19]--;q1[17]=input[256+q1[19]];

(9,1)37:q1[17]+=input[79]=1//q1[17]++

(19,64)44:q1[20]=input[79]=64;//jmp

85:

(5)35:q1[19]--;q1[17]=input[256+q1[19]];// pop q1[17]

(18)43:q1[19]--;q1[20]=input[256+q1[19]];//retn to 2

比较容易发现,q1[16]、q1[17]、q1[18]是通用寄存器,q1[19]是栈指针,q1[20]是EIP,input[256]是栈底,算法不是很难,异或之后加一些值再异或,脚本:

#include<cstdio>

#include<cstring>

#include<cstdlib>

#include<algorithm>

#include<cmath>

using namespace std;

typedef long long LL;

#define foru(i,a,b) for(int i=a;i<=b;i++)

#define ford(i,a,b) for(int i=a;i>=b;i--)

int main(){

	unsigned char flag[]="\xaf\xd4\xb8\xbd\xbc\xb9\xfc\xf1\xf6\xa1\xf5\xfe\xf1\xe9\x0b\xf3\x22\x0f\x14\xe2\xed\xe5\xe2\x1f\x56\x54\x4b\x3a\x7e\x3e\x5a\x5a\x5d\x0b\x6b\x68\x54\x54\x64\x07\x51\x1d";

	ford(i,41,0)flag[i]^=(64+(41-i)*2);

	ford(i,41,0){flag[i]-=41-i;flag[i]=(flag[i]+128)%128;}

	ford(i,41,0)flag[i]^=(32+(41-i)*2);

	foru(i,0,41)printf("%c",(flag[i]+128)%128);

}


flag{e171a284-49e7-4817-ad8d-b704c02309e0}

吃鸡神器

是一道QT的题目,以前没做过,学了一波。

找到创建窗体之前的位置,跟进sub_402250,在330行附近发现这段代码:

这个函数把buttonclick、metaobject还有一个函数sub_402150传了进去,我猜是绑定了回调函数。

跟进sub_402150,在底部找到检查输入的代码:

get_ans逻辑很简单,可以动态调试直接获取返回值:

自己算一遍也可以:

#include<cstdio>

using namespace std;

typedef long long LL;

#define foru(i,a,b) for(int i=a;i<=b;i++)

#define ford(i,a,b) for(int i=a;i>=b;i--)

char key[]="lubenwei";

int main(){

	int x=5381;//402101

	foru(i,0,7){

		x+=32*x+key[i];

	}

	printf("%x",x);

}


flag{41d26f00}

EasyEncrypt

IDA打开,发现是平坦化:

python deflat EasyEncrypt 0x400A10

反平坦化之后再看逻辑(其实这题不反平坦化也能看个大概,毕竟从提示字符串的内容可以判断出各个块的顺序):

只加密了前16字节,key是thisisthekey!!!!

解密:

from Crypto.Cipher import AES

from binascii import b2a_hex, a2b_hex

def decrypt(text):

    key = 'thisisthekey!!!!'.encode('utf-8')

    mode = AES.MODE_ECB

    cryptor = AES.new(key, mode)

    plain_text = cryptor.decrypt(a2b_hex(text))

    return (plain_text)

if __name__ == '__main__':

    s="398A08C585DB8F7EC8F2BF7986B68782"

    d = decrypt(s)

    print(d)

发现是png,覆盖前16字节即可

EasyVM

打开之后发现真的是EasyVM,opcode都写明白啥意思了,比day1的VM简单很多。由于过于简单,这里选择angr一把梭:

import angr

import claripy

import time

def main():

    p = angr.Project('EasyVM',auto_load_libs=False)

    st = p.factory.entry_state()

    base=0x400000

    sm = p.factory.simulation_manager(st)

    sm.explore(find=base+0xB73,avoid=base+0xB81)

    print(sm.found[0].posix.dumps(0))

if __name__ == "__main__":

    before = time.time()

    print(main())

    after = time.time()

    print("Time elapsed: {}".format(after - before))

11s就出解了

flag{vm_is_not_easy}

Analysis of viruses

还真是病毒分析,出题人真他娘的是个人才。

逻辑很好懂,IDA看看结合一下高中生物知识,代码都不用读完就能知道在干啥。

主函数先把输入的RNA逆转录成DNA,然后再转录成RNA丢进链表里,接着把密码子转化出反密码子,再转化为氨基酸,最后和一段氨基酸序列对比。

由于氨基酸对应密码子不唯一,写个程序爆破:

#include<cstdio>

#include<cstring>

#include<cstdlib>

#include<string>

#include<algorithm>

#include<map>

#include<vector>

#include "md5.h"

#include<iostream>

#include<cmath>

using namespace std;

typedef long long LL;

#define foru(i,a,b) for(int i=a;i<=b;i++)

#define ford(i,a,b) for(int i=a;i>=b;i--)

const int n=16;

const int m=64;

string a[m]={"Phe","Phe","Leu","Leu","Ser","Ser","Ser","Ser","Tyr","Tyr","sto","sto","Cys","Cys","sto","Trp","Leu","Leu","Leu","Leu","Pro","Pro","Pro","Pro","His","His","Gln","Gln","Arg","Arg","Arg","Arg","Ile","Ile","Ile","Met","Thr","Thr","Thr","Thr","Asn","Asn","Lys","Lys","Ser","Ser","Arg","Arg","Val","Val","Val","Val","Ala","Ala","Ala","Ala","Asp","Asp","Glu","Glu","Gly","Gly","Gly","Gly"};

string b[n]={"Met","Cys","Leu","Ala","Arg","Leu","Phe","Ser","Ile","Leu","Asn","Val","Cys","Gly","Lys","Leu"};

string ans;

int count=0;

MD5 md5;

map<string,vector<string> > mp;

void print(int k){

	int tmp[4],cnt=0;

	while(k){

		tmp[++cnt]=k%4;

		k/=4;

	}

	ford(i,3,1)

		if(tmp[i]==0)printf("A");

		else if(tmp[i]==1)printf("G");

		else if(tmp[i]==2)printf("U");

		else if(tmp[i]==3)printf("C");

}

void dfs(int k){

	if(k==n){

	    md5.reset();

	    md5.update(ans+"UAA");

	    if(md5.toString().substr(0,8)=="e03657e0"){

	    	cout<<ans+"UAA"<<endl;

		}

	    md5.reset();

	    md5.update(ans+"UAG");

	    if(md5.toString().substr(0,8)=="e03657e0"){

	    	cout<<ans+"UAG"<<endl;

		}

	    md5.reset();

	    md5.update(ans+"UGA");

	    if(md5.toString().substr(0,8)=="e03657e0"){

	    	cout<<ans+"UGA"<<endl;

		}

		return;

	}

	std::vector<int>::size_type x= mp[b[k]].size();

	for(std::vector<int>::size_type i = 0; i !=x; i++){

		string tmps=ans;

		ans+=mp[b[k]][i];

		dfs(k+1);

		ans=tmps;

	}

}

int main(){

	foru(i,0,n-1){

		if(!mp[b[i]].empty())continue;

		foru(j,0,m-1){

			if(b[i]==a[j]){

				string tmps="";int k=j;

				int tmp[4],cnt=0;

				foru(l,1,3)tmp[l]=0;

				while(k){

					tmp[++cnt]=k%4;

					k/=4;

				}

				ford(l,3,1)

					if(tmp[l]==0)tmps+="U";

					else if(tmp[l]==1)tmps+="C";

					else if(tmp[l]==2)tmps+="A";

					else if(tmp[l]==3)tmps+="G";

				mp[b[i]].push_back(tmps);

			}

		}

	}

	dfs(0);

}

如果是6位md5有几十组解,后来联系技术支持拿8位md5跑了一下,出了两组解,第二组就是flag。

程序开O2跑了675s,c++速度比python不知道高到哪去。

flag{AUGUGCCUUGCAAGACUUUUCUCGAUACUUAACGUCUGUGGAAAACUUUAA}

i春秋2020新春公益赛WP的更多相关文章

  1. 2020新春公益赛 writeup

    简单的招聘系统 无需注册账号,admin'or 1#登陆,到blank page页面,在输入key处发现有注入点: /pages-blank.php?key=1%27+union+select+1%2 ...

  2. 2020 网鼎杯wp

    2020 网鼎杯WP 又是划水的一天,就只做出来4题,欸,还是太菜,这里就记录一下做出的几题的解题记录 AreUSerialz 知识点:反序列化 打开链接直接给出源码 <?php include ...

  3. 2020 i春秋新春战疫公益赛 misc

    0x01 code_in_morse morse decode后得到: RFIE4RYNBINAUAAAAAGUSSCEKIAAAAEUAAAAA7AIAYAAAAEPFOMTWAAABANUSRCB ...

  4. i春秋公益赛 ezpload

    题目思路:一看解出的人比较多,emmm,传个马,命令执行一下.最后读到flag文件. /readflag,可执行. 题对萌新比较友好...... 考点:Linux命令,文件上传,命令执行. http: ...

  5. i春秋公益赛之signin

    题目链接:https://buuoj.cn/challenges#gyctf_2020_signin 查看程序保护 只开了canary和NX保护,在IDA查看反编译出来的为代码时发现程序给了一个后门 ...

  6. i春秋公益赛之BFnote

    题目链接:https://buuoj.cn/challenges#gyctf_2020_bfnote 首先检查程序开的保护: 发现程序只开了canary和NX保护,接下来查看IDA反汇编出来的为代码, ...

  7. 2020 10月CUMTCTF wp

    华为杯 × 签到杯√ 论比赛过程来说没什么很大收获 但看师傅们的wp感触很多 赛后复现慢慢学吧 Web babyflask flask ssti模板注入: payload{{key}}发现[]以及类似 ...

  8. 2020 天翼杯 部分wp

    天翼杯 呜呜呜呜 是我太菜了 Web APItest 源码 const express = require("express"); const cors = require(&qu ...

  9. web赛题2

    @上海赛wp 微信 和 https://www.ctfwp.com/articals/2019unctf.html 后续公告https://unctf.buuoj.cn/notice.html 必看! ...

随机推荐

  1. CentOS7安装Jenkins与配置

    安装 将Jenkins存储库添加到yum repos,并从此安装Jenkins. sudo wget -O /etc/yum.repos.d/jenkins.repo http://pkg.jenki ...

  2. Java之集合

    前言: 在写程序当中,集合会经常使用,今天听了马老师的课,写一些自己的总结 正文: 集合最重要的就是一个图,一个类,三个知识点,六个接口 说到图就是上面的图,这个图可以帮我们理解这些接口的继承关系 1 ...

  3. bzoj 3696: 化合物

    哦,这个困惑了我好久的东西——生成函数(母函数),(然而拿这个东西去向学文化课的同学装逼并不成功...) 生成函数,就是把原来的加法组合变成乘法的指数加法,那么我们要求的值就是相应的指数的系数的值啦, ...

  4. AS-PATH(路径属性)路由路径欺骗术

    AS-PATH(路径属性)路由路径欺骗术: ①:抓取感兴趣流量——前缀与访问 ②:创建路由地图 ③:路由地图第一法则——permit 10 ④:在第一法则中,匹配(感兴趣流量) ⑤:设置 路径欺骗术— ...

  5. 分享一个php加密字符串类。

    class base64{ /** * 加密字符串 * @access static * @param string $data 字符串 * @param string $key 加密key * @r ...

  6. 使用WebClient下载文件到本地目录

    利用WebClient实现下载文件 调用 string url = "https://timgsa.baidu.com/timg?image&quality=80&size= ...

  7. 经验分享:如何搞定Personal Statement?

    最近又到申请季啦,如何自己DIY申请,如何准备文书成为众多留学生关心的问题.不管是你申请本科,硕士,还是博士,相信这篇文章都能帮助到你.下面来说一下文书中一个很重要的组成,就是个人陈述Personal ...

  8. c++程序—while猜数字游戏

    #include<iostream> using namespace std; #include<string> #include<ctime> int main( ...

  9. 51nod 1430:奇偶游戏 博弈

    1430 奇偶游戏 题目来源: CodeForces 基准时间限制:1 秒 空间限制:131072 KB 分值: 160 难度:6级算法题  收藏  关注 有n个城市,第i个城市有ai个人.Daene ...

  10. python实现微信发送服务器监控报警消息代码实现

    这篇文章主要介绍了python3.8 微信发送服务器监控报警消息代码实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 ! python版本 > ...