自己真的菜,然后在网上找了一篇分析pyc反编译后的文件然后进行手撸opcode,过程真痛苦

http://www.wooy0ung.me/writeup/2017/10/11/0ctf-quals-2017-py/
   names ('ctypes', 'libnum', 'n2s', 's2n', 'binascii', 'b', 'key', 'aaaa', 'aa', 'aaaaa', 'aaa', 'aaaaaa', '__name__')从这我们看到程序的大概函数和变量
   ctypes libnum n2s s2n binascii  b key aaaa aa aaaaa aaa aaaaaa  __name__

查找了一下发现 ctypes 是python 访问c 的库

连接http://python3-cookbook.readthedocs.io/zh_CN/latest/c15/p01_access_ccode_using_ctypes.html

libnum 类似 用法参考以下链接

http://www.cnblogs.com/pcat/p/7225782.html

google 了一下发现这个

Very Hard RSA

http://bestwing.me/2016/09/10/Common%20types%20of%20RSA/

基本还原前四个的代码了

import ctypes

from libnum import n2s,s2n

至于binasciipython内置模块我这里不做阐述

然后就是 b key aaaa aa aaaaa aaa aaaaaa  '__name__'

开始猜测大概函数是这样

import ctypes

from libnum import n2s,s2n

def b():
     ...

def key():
     ...

def aaaa():
     ...

def aa():
     ...

def aaaaa():
     ...

def aaa():
     ...

def aaaaaa():
     ...

def main():
     ...

if '__name__==main()'
     main()

但是再回去分析发现导出都在传key所以key几乎不可能是一个函数而且b只在a.py处出现了一次,推测b可能是一个局部变量

现在有如下结构

import ctypes

from libnum import n2s,s2n

def aaaa():
     ...

def aa():
     ...

def aaaaa():
     ...

def aaa():
     ...

def aaaaaa():
     ...

def main():
     ...

if '__name__==main()'
     main()

这时候我们通过 names vernames和name 进行还原

import ctypes

from libnum import n2s,s2n

def aaaa():
     a=lambda a:b.hexhexlify(a)
    

def aa():
     a=cdll.LoadLibrary('./a') #https://blog.csdn.net/linda1000/article/details/12623527

def aaaaa():
     s2n(a)

def aaa():
     a=cdll.LoadLibrary('./a')

def aaaaaa():
     aaa(aaaa(key))

def main():
     aaaaaa()

if '__name__==main()'
     main()

发现似乎含有bug,使得freevars段还没使用,怎么办呢google http://kdr2.com/tech/main/1012-pyc-format.html

发现这是嵌套函数使用的,好了们明白了

import ctypes

from libnum import n2s,s2n

key=***

def aaaa(key):
     a=lambda a:b.hexhexlify(a)
     return ''.join(a[i] for i in key)

def aa(key):
     a=cdll.LoadLibrary('./a') #https://blog.csdn.net/linda1000/article/details/12623527
     a(key)

def aaaaa(a):
     s2n(a)

def aaa(key):
     a=cdll.LoadLibrary('./a')
     a(key)

def aaaaaa():
     aaa(aaaa(key))

def main():
     aaaaaa()

if '__name__==main()'
     main()

程序逻辑到这里差不多清晰了,但是b还有点模糊猜测是import模块引起的,于是在修改

import ctypes

from libnum import n2s,s2n

import binascii as b

key=***

def aaaa(key):
     a=lambda a:b.hexhexlify(a)
     return ''.join(a[i] for i in key)

def aa(key):
     a=cdll.LoadLibrary('./a') #https://blog.csdn.net/linda1000/article/details/12623527
     a(key)

def aaaaa(a):
     s2n(a)

def aaa(key):
     a=cdll.LoadLibrary('./a')
     a(key)

def aaaaaa():
     aaa(aaaa(key))

def main():
     aaaaaa()

if '__name__==main()'
     main()

这里基本就复现完成,下面我们在进行解密即可,参考大牛的技术进行后面的解密即可

void decrypt(char *k){
     FILE *fp1, *fp2;
     unsigned char key[256] = {0x00};
     unsigned char sbox[256] = {0x00};
     fp1 = fopen("code.txt","r");
     fp2 = fopen("decode.txt","w");
     DataEncrypt(k, key, sbox, fp1, fp2);

}

extern "C" 

{   
    void a(char *k){
        encrypt(k);
    }
    void aa(char *k){
        decrypt(k);
    }

}

解密时python调用c函数进行解密

from ctypes import *

from libnum import n2s,s2n

import binascii as b

#key="20182018"

def aaaa(key):
     a=lambda a:b.hexlify(a)
     return "".join(a(i) for i in key)

def aa(key): #jia mi
     a=cdll.LoadLibrary("./a").a
     a(key)

def aaaaa(a):
     return s2n(a)

def aaa(key): #jie mi
     a=cdll.LoadLibrary("./a").aa
     a(key)

def brup_key():
     i=20182000
     while i<100000000:
         aaa(aaaa(str(i)))
         data=open("flag.txt","r").read()
         if "SUCTF" in data:
             print i
             break
         i=i+1

def aaaaaa():
     # aa(aaaa(key))#jia mi
     # aaa(aaaa(key)) #jie mi
     brup_key()

if __name__=="__main__":
     aaaaaa()

key为20182018

参考文章安全客suctfwp链接:https://www.anquanke.com/post/id/146419

suctf逆向部分的更多相关文章

  1. 【腾讯Bugly干货分享】移动App入侵与逆向破解技术-iOS篇

    本文来自于腾讯bugly开发者社区,非经作者同意,请勿转载,原文地址:http://dev.qq.com/topic/577e0acc896e9ebb6865f321 如果您有耐心看完这篇文章,您将懂 ...

  2. [.NET逆向] 破解NET的四大神器

     原本这篇文章可以更早一星期写出来与大家分享,由于某方面的原因耽搁到现在,心里竟有那么一点好像对不住大家的感觉.这当然与神器有关,因为我发现利用这四大神器我似乎觉得几乎所有的NET程序破解都不在话下了 ...

  3. iOS-Block总结 && 全面解析逆向传值

    1.block的特点:      block是C语言:      block是一种数据类型.可以当做参数,也可以用做返回值:--总之,对比int的用法用即可(当然,定义的时候,最好跟函数对比):   ...

  4. Reverse Core 第一部分 代码逆向技术基础

    @date: 2016/10/14 <逆向工程核心原理>笔记 记录书中较重要的知识,方便回顾 ps. 因有一些逆向基础,所以我本来就比较熟悉的知识并未详细记录 第一章 关于逆向工程 目标, ...

  5. 【DWR系列02】-DWR逆向Ajax即服务器推送

    .literal { background-color: #f2f2f2; border: 1px solid #cccccc; padding: 1px 3px 0; white-space: no ...

  6. php正则逆向引用与子模式分析

    先看一个例子: <?php $string = 'April 15, 2003'; $pattern = '/(\w+) (\d+), (\d+)/i'; $replacement = '${1 ...

  7. 【逆向篇】分析一段简单的ShellCode——从TEB到函数地址获取

    其实分在逆向篇不太合适,因为并没有逆向什么程序. 在http://www.exploit-db.com/exploits/28996/上看到这么一段最简单的ShellCode,其中的技术也是比较常见的 ...

  8. 浅谈Android应用保护(一):Android应用逆向的基本方法

    对于未进行保护的Android应用,有很多方法和思路对其进行逆向分析和攻击.使用一些基本的方法,就可以打破对应用安全非常重要的机密性和完整性,实现获取其内部代码.数据,修改其代码逻辑和机制等操作.这篇 ...

  9. iOS程序逆向Mac下常用工具——Reveal、HopperDisassemble、IDA

    原文在此 一.Reveal 1 一般使用     Reveal是ITTY BITTY发布的UI分析工具,可以很直观的查看App的UI布局.如下图所示:     Reveal是需要付费的,需要89美元, ...

随机推荐

  1. 基于多进程的Tcp套接字服务器

    服务端 import socketfrom multiprocessing import Process def task(c): print('顾客吃点啥') while True: data = ...

  2. Mybait缓存机制

    MyBatis同大多数ORM框架一样,提供了一级缓存和二级缓存的支持. 一级缓存:其作用域为session范围内,当session执行flush或close方法后,一级缓存会被清空. 二级缓存:二级缓 ...

  3. django rest framework(3)

    目录 一.版本 二.解析器 三.序列化 四.请求数据验证 一.版本 程序也来越大时,可能通过版本不同做不同的处理 没用rest_framework之前,我们可以通过以下这样的方式去获取. class ...

  4. laravel 5.6

    compact() 建立一个数组,包括变量名和它们的值 打印结果: starts_with() 函数判断给定的字符串的开头是否是指定值

  5. Spring声明式事务@Transactional 详解,事务隔离级别和传播行为

    @Transactional注解支持9个属性的设置,这里只讲解其中使用较多的三个属性:readOnly.propagation.isolation.其中propagation属性用来枚举事务的传播行为 ...

  6. (转)CSS3之pointer-events(屏蔽鼠标事件)属性说明

    我们在 HTML 开发时可能会遇到这样的情况:页面上有一些元素使用绝对定位布局,这些元素可能会遮盖住它们位置下方的某个元素的部分或者全部.默认情况下,下方元素被遮挡的部分是不会响应鼠标事件的. 但有时 ...

  7. iOS 测试之非代码获取 iPhone 型号及其他信息

    首先 安装libimobiledevice和ideviceinstaller $ brew uninstall ideviceinstaller $ brew uninstall libimobile ...

  8. Vue 添加外部的时间插件不触发v-model事件更改数据

    使用的jquery日期插件 最终问题是 在选择完成日期后并未激活 oninput事件,所以也没有激活v-model 去改变date 解决思路: 去插件js文件中,在赋值给dom的时候添加模拟输入事件便 ...

  9. 函数wait和waitpid

    函数wait 一个进程在终止时会关闭所有文件描述符,释放在用户空间释放的内存,但它的PCB还保留着,内核在其中保存一些信息:如果是正常终止时则保存着退出状态,如果是异常终止则保存着导致该进程终止的信号 ...

  10. springboot调用http方式

    1.httpclient 2.okhttp 3.feign 安装Gradle包 compile 'org.springframework.cloud:spring-cloud-starter-open ...