WKCTF

so_easy

安卓逆向,关键的check逻辑都在native层里面

主要是很多层的异或操作

除了Z3和爆破想不到其他方法了

from z3 import *

src = [  0xAE, 0x81, 0xBA, 0xC1, 0xF0, 0x95, 0x0A, 0x54, 0x14, 0x03,

  0x4A, 0xE2, 0x52, 0x4E, 0x84, 0xF8, 0xC9, 0x3E, 0x14, 0x98,

  0x8F, 0x98, 0xFD, 0x09, 0x5E, 0xAD, 0x05, 0xB4, 0x01, 0x0F,

  0xC0, 0x3F]

src1 =0x3FC00F01B405AD5E//自己扣密文

xor_value = BitVecVal(0x71234EA7D92996F5, 64)

v10 = BitVec('v10', 64)

v11=255

# 创建求解器

s = Solver()

for _ in range(v11,0,-5):

    v12 = (2 * v10) ^ xor_value

    v12 = If(v10 >= 0, 2 * v10, v12)

    v13 = (2 * v12) ^ xor_value

    v13 = If(v12 >= 0, 2 * v12, v13)

    v14 = (2 * v13) ^ xor_value

    v14 = If(v13 >= 0, 2 * v13, v14)

    v15 = (2 * v14) ^ xor_value

    v15 = If(v14 >= 0, 2 * v14, v15)

    v10 = (2 * v15) ^ xor_value

    v10 = If(v15 >= 0, 2 * v15, v10)

s.add(v10==src1)

# 检查是否有解

if s.check() == sat:

    # 如果有解,打印模型

    print("6666")

    #print chr

    print(s.model())

else:

    print("No solution exists")

print(hex(9034890700725238114))

quite_easy

调了一下主函数,这个是假的flag,其他也没啥用

TLS回调函数是很明显藏了逻辑的

这两个函数很多花指令,这里选择nop掉jz,第二个函数也一样

下断点开始调试,第一个反调试的地方,改ZF标志位

在第二个函数里面注册了一个新函数,继续下断点

先输入flag: 123456789012345678901234

对应的rand:0x97 0X91 0X51 0X37 0X82...0XFB 0X55

可以看到就是把rand的值继续放到我们输入的后面

输入的值和16次的rand加起来长度需要是48

输入长度是32位

重写开测

12345678901234567890123456789012

后面逻辑就是

前16位和rand异或

后16位与前16位异或

输入与假的flag异或 flag{ed1d665e6516a37ab09f0b7a40}

开始搓脚本

a=[  0xB1, 0x74, 0x93, 0x32, 0xD6, 0x13, 0xCC, 0x85, 0x20, 0xA8,

  0xF4, 0x96, 0x8A, 0xD2, 0x7D, 0x26]

b=[ 0x80, 0xD3, 0x6F, 0xFF, 0x15, 0x03, 0x98, 0x8C, 0xB4, 0x5B,

  0x96, 0xC0, 0x59, 0xAC, 0x18, 0xDF, 0x2D, 0xCE, 0x3F, 0xFB,

  0xC4, 0xED, 0xD8, 0xD2, 0xA8, 0x2D, 0xF8, 0x23, 0x9F, 0x22,

  0x25, 0xCE]

c=[ord(i) for i in "flag{ed1d665e6516a37ab09f0b7a40}"]

for i in range(32):

    b[i]=(b[i]+c[i] )& 0xff

for i in range(16):

    b[i]^=a[i] & 0xff

for i in range(16,32):

    b[i]^=b[i-16] & 0xff

for i in range(32):

    print(chr(b[i]),end="")

#WKCTF{08898c40064d1fc4836db94fe}

随机推荐

  1. 全国产!全志T3+Logos FPGA核心板(4核ARM Cortex-A7)规格书

    核心板简介 创龙科技SOM-TLT3F是一款基于全志科技T3四核ARM Cortex-A7处理器 + 紫光同创Logos PGL25G/PGL50G FPGA设计的异构多核全国产工业核心板,ARM C ...

  2. HIVE从入门到精通------(1)hive的基本操作

    1.开启hive 1.首先在master的/usr/local/soft/下启动hadoop: master : start-all.sh start-all.sh 2.在另一个master(2)上监 ...

  3. v-if 和 v-show 有什么区别?

    v-if 是真正的条件渲染,会控制这个 DOM 节点的存在与否.因为它会确保在切换过程中条件块内的事件监听器和子组件适当地被销毁和重建:也是惰性的:如果在初始渲染时条件为假,则什么也不做--直到条件第 ...

  4. Spring PropertySource,获取指定application.properties文件

    @PropertySource注解的使用 @PropeertySource,指定加载配置文件 配置文件映射到实体类 使用@Value映射到具体的java属性 CustomConfig.java pac ...

  5. var 和 let 在 jQuery中的区别

    下面通过代码案例来进一步解释 var 和 let 在 jQuery link 函数中的区别: (function ($) { $.fn.link = function () { // Example ...

  6. Mysql实现主从复制(一主双从)

    一.环境介绍 LNMP(centos7,mysql5.6) vmware workstation pro配置了3个虚拟机,均安装了LNMP环境: master:  192.168.0.105 slav ...

  7. [oeasy]python0092_homebrew_家酿俱乐部_比尔盖茨_保罗艾伦

    编码进化 个人电脑 intel 8080 的出现 让 人人都 可能有 一台计算机 Ed Robert 的 创业之路 从 售卖 diy 组装配件 到进军 计算器市场 计算器 毕竟不是 个人计算机 这计算 ...

  8. Pandas库学习笔记(5)---Pandas Panel

    Pandas Panel Pandas Panel基本操作 Panel数据3D容器. 术语 Panel data 源自计量经济学,名称来之于pandas − pan(el)-da(ta)-s. 3个轴 ...

  9. 暑假java自学进度总结03

    一.今日所学: 1.标识符命名规则: 必须: 1>由数字,字母,下划线,美元符组成: 2>不能以数字开头: 3>不能是关键字: 4>区分大小写: 建议: 1>命名方法,变 ...

  10. java 使用openoffice将doc、docx、ppt、pptx等转换pdf格式文件

    软件的安装与配置 链接: 官网 / C**N / 毒盘:提取码k47b 有能力的大佬可以选择c**n下载支持支持,官网下载可能有点慢 Windows下安装配置 下载安装包,安装到硬盘(这个就不截图了吧 ...