ez_apkk

解题过程:

  • 将apk拖入jadx,查看MainActivity,发现是简单RC4加密,密钥是“55667788”,最后再将加密结果+1

    public String Encrypt(String plainText, String key) {
    
        int[] S = new int[256];
    
        byte[] K = new byte[256];
    
        char[] cArr = {'\n', '+', 181, '*', 225, ':', 244, 147, '\'', 182, 'J', 250, '-', 25, 135, 4, 188, '-', 230, '[', 'Q', '5', 'c', 22, 220, 25};
    
        char[] cArr2 = new char[26];
    
        Character[] keySchedul = new Character[plainText.length()];
    
        KSA(S, K, key);
    
        PRGA(S, keySchedul, plainText.length());
    
    //前面是RC4算法初始化
    
        for (int i = 0; i < plainText.length(); i++) {
    
            cArr2[i] = (char) ((plainText.charAt(i) ^ keySchedul[i].charValue()) + 1);//这行代码是RC4加密当前字节后 +1
    
        }
    
        for (int i2 = 0; i2 < 26; i2++) {
    
            if (cArr[i2] != cArr2[i2]) {
    
                return "wrong!!!";
    
            }
    
        }
    
        return "right";
    
    }

解密脚本

#include <stdio.h>

void rc4_init(unsigned char* s, unsigned char* key, unsigned long Len_k)

{

	int i = 0, j = 0;

	char k[256] = { 0 };

	unsigned char tmp = 0;

	for (i = 0; i < 256; i++) {

		s[i] = i;

		k[i] = key[i % Len_k];

	}

	for (i = 0; i < 256; i++) {

		j = (j + s[i] + k[i]) % 256;

		tmp = s[i];

		s[i] = s[j];

		s[j] = tmp;

	}

}

void rc4_crypt(unsigned char* Data, unsigned long Len_D, unsigned char* key, unsigned long Len_k) //加解密

{

	unsigned char s[256];

	rc4_init(s, key, Len_k);

	int i = 0, j = 0, t = 0;

	unsigned long k = 0;

	unsigned char tmp;

	for (k = 0; k < Len_D; k++) {

		i = (i + 1) % 256;

		j = (j + s[i]) % 256;

		tmp = s[i];

		s[i] = s[j];

		s[j] = tmp;

		t = (s[i] + s[j]) % 256;

		Data[k] = Data[k] ^ s[t];

	}

}

void main()

{

	unsigned char key[] = "55667788";

	unsigned long key_len = sizeof(key) - 1;

	unsigned char data[] = {'\n', '+', 181, '*', 225, ':', 244, 147, '\'', 182, 'J', 250, '-', 25, 135, 4, 188, '-', 230, '[', 'Q', '5', 'c', 22, 220, 25};

	for (int i = 0; i < sizeof(data); i++)

	{

		data[i]-=1;

	}

	rc4_crypt(data, sizeof(data), key, key_len);

	for (int i = 0; i < sizeof(data); i++)

	{

		printf("%c", data[i]);

	}

	printf("\n");

	return;

}

运行得到flag:flag{a9k_1s_enjoy_ha6py!!}

ezdriver

解题过程:

  • IDA打开 R3-CTF.exe,发现程序调用了驱动文件 Driver_ctf.sys,用deviceIoControl函数来调用驱动程序里的功能。发送的控制代码为 0x222000

  • 逆向分析Driver_ctf.sys,发现加密代码在函数sub_1400010A0,其中里面调用的函数sub_140001590为对称加密算法,对加密数据byte_140003000再执行一次此对称加密算法即可得到原数据。

  • 但是还有一段加密算法对数据进行了加密,这里使用了求模运算,只能单字节逐个爆破

    for ( j = 1; j < 32; ++j )
    
      v12[j - 1] ^= ((unsigned __int8)v12[j - 1] % 0x12u + v12[j] + 5) ^ 0x41;

  • 我这里是使用递归算法来遍历每个可能的路径

解密算法:

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

unsigned char enc[] =

{

  0xA2, 0x23, 0x62, 0x6B, 0xDD, 0x75, 0x72, 0xD1, 0x7A, 0x88,

  0x34, 0xD0, 0x6C, 0x23, 0xCB, 0x39, 0xAC, 0xDA, 0x76, 0x6C,

  0x2E, 0x9B, 0x95, 0xC5, 0x79, 0x89, 0x39, 0x3C, 0x83, 0xC3,

  0xDA, 0x1D, 0

};

void sub_140001590(unsigned int *a1, int a2)

{

  int j; // [rsp+4h] [rbp-44h]

  int i; // [rsp+8h] [rbp-40h]

  int v4; // [rsp+Ch] [rbp-3Ch] BYREF

  int *v5; // [rsp+10h] [rbp-38h]

  int v6; // [rsp+18h] [rbp-30h]

  char v7[16]; // [rsp+20h] [rbp-28h]

  v7[1] = a2 ^ 0x24;

  v7[0] = a2 ^ 0x6A;

  v7[8] = a2 ^ 0x1A;

  v7[2] = a2 ^ 0x35;

  v7[9] = a2 ^ 0x8D;

  v7[3] = a2 ^ 0x23;

  v7[11] = a2 ^ 0x9A;

  v7[4] = a2 ^ 0xCA;

  v7[5] = a2 ^ 0x4B;

  v7[6] = a2 ^ 0x21;

  v7[7] = a2 ^ 0x35;

  v7[10] = a2 ^ 0x91;

  v7[12] = a2 ^ 0x2C;

  v7[13] = a2 ^ 0xC2;

  v7[14] = a2 ^ 0x92;

  v7[15] = a2 ^ 7;

  for ( i = 0; i < 4; ++i )

  {

    v5 = &v4;

    v4 = *a1 ^ a2;

    for ( j = 0; j < 4; ++j )

    {

    	v5 = (int *)((char *)v5 + 1);

      	*((char *)v5 - 1) ^= v7[15 - (((unsigned __int8)i + (unsigned __int8)j) & 0xF)] | ((unsigned __int8)j << j) | j | 4;

    }

    v6 = ~a2 ^ v4;

    *a1++ = v6;

  }

}

void solver(int index)

{

	for(int i = index;i >= 0;i--)

	{

		unsigned char backup = enc[index - 1];

		unsigned char t = enc[i] + 5;

		for(int j = 18;j < 144;j+=0x12)

		{

			for(int k = 0;k < 0x12;k++)

			{

                //此处存在剪枝策略,若不符合限制条件则不会遍历该节点及其所有子节点

				if(((k + t) ^ 0x41 ^ (k + j)) == enc[i - 1])

				{

					enc[i - 1] = k+j;

					solver(index-1);

					enc[i-1] = backup; //状态回溯

				}

			}

		}

		if(index == 0)

			printf("%s\n",enc); //输出符合条件的路径

	}

}

int main()

{

	unsigned int *p = (unsigned int*)enc;

	int v6 = 0;

	do{

		sub_140001590(p, v6++); //对称算法解密

		p += 4;

	}while(v6 < 2);

	//递归算法遍历所有可能的路径

	solver(31);

}

运行后发现有四个结果,很明显第二个是正确的结果

blag{zcswelsvyioostfzjskygmojew}

flag{zcswelsvyioostfzjskygmojew}

olag{zcswelsvyioostfzjskygmojew}

墏g{zcswelsvyioostfzjskygmojew}

崅g{zcswelsvyioostfzjskygmojew}

湖南省网络攻防邀请赛 RE 题解的更多相关文章

  1. 网络攻防工具介绍——Wireshark

    网络攻防工具介绍 Wireshark 简介 Wireshark(前称Ethereal)是一个网络封包分析软件.它是一个理想的开源多平台网络协议分析工具.网络封包分析软件的功能是撷取网络封包,并尽可能显 ...

  2. 2018-2019-2 20165237《网络攻防技术》Exp1 PC平台逆向破解

    2018-2019-2 20165237<网络攻防技术>Exp1 PC平台逆向破解 一.实践目标 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:main调 ...

  3. 2018-2019-2 20165206 网络攻防技术 Exp5 MSF基础应用

    - 2018-2019-2 20165206<网络攻防技术>Exp5 MSF基础应用 - 实验任务 1.1一个主动攻击实践,如ms08_067; (1分) 1.2 一个针对浏览器的攻击,如 ...

  4. 3.24网络攻防选拔题部分write up

    20175221  3.24网络攻防选拔题部分write up Q1:百度一下,你就知道 解压题目得到一个文件夹和一个网址 打开文件夹,有三张图片 用winhex和stegsolve查看三张图片,没有 ...

  5. 2018-2019-2 20165336《网络攻防技术》Exp5 MSF基础应用

    2018-2019-2 20165336<网络攻防技术>Exp5 MSF基础应用 一.攻击实例 主动攻击的实践 ms08_067(成功) payload/generic/shell_rev ...

  6. 20155219付颖卓《网络攻防》Exp4 恶意代码分析

    一.基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 可以用window7自带的schtasks ...

  7. 2018-2019-2 20165312《网络攻防技术》Exp6 信息搜集与漏洞扫描

    2018-2019-2 20165312<网络攻防技术>Exp6 信息搜集与漏洞扫描 目录 一.信息搜集技术与隐私保护--知识点总结 二.实验步骤 各种搜索技巧的应用 Google Hac ...

  8. 2018-2019-2 20165312《网络攻防技术》Exp5 MSF基础应用

    2018-2019-2 20165312<网络攻防技术>Exp5 MSF基础应用 目录 一.知识点总结 二.攻击实例 主动攻击的实践 ms08_067 payload/generic/sh ...

  9. 2018-2019-2 20165312《网络攻防技术》Exp4 恶意代码分析

    2018-2019-2 20165312<网络攻防技术>Exp4 恶意代码分析 知识点总结 1.有关schtasks schtacks的作用:安排命令和程序定期运行或在指定时间内运行.从计 ...

  10. 2018-2019-2 20165312《网络攻防技术》Exp3 免杀原理与实践

    2018-2019-2 20165312<网络攻防技术>Exp3 免杀原理与实践 课上知识点总结 1.恶意软件检测机制 基于特征码的检测(需要定期更新病毒库) 启发式恶意软件检测(实时监控 ...

随机推荐

  1. python爬虫抓取图片

    一.什么是爬虫 什么是爬虫?爬虫是蜘蛛么?是八爪鱼么?nonono. 爬虫是指请求网站并获取数据的自动化程序,又称网页蜘蛛或网络机器,最常用领域是搜索引擎,最常用的工具是八爪鱼. 它的基本流程分为以下 ...

  2. 红帽RHCE考题总结练习(8.0 ansible)

    本文是红帽RHCE考题的总结,个别题目写了多种步骤. 一.安装和配置ansible 题目: 按照下方所述,在控制节点 bastion.lab.example.com 上安装和配置 Ansible: 安 ...

  3. 9、Spring之代理模式

    9.1.环境搭建 9.1.1.创建module 9.1.2.选择maven 9.1.3.设置module名称和路径 9.1.4.module初始状态 9.1.5.配置打包方式和依赖 <?xml ...

  4. 《SQLi-Labs》02. Less 6~10

    @ 目录 索引 Less-6 题解 原理 Less-7 题解 Less-8 题解 Less-9 题解 原理 Less-10 题解 sqli.开启新坑. 索引 Less-6:布尔盲注,字符型[" ...

  5. k8s 入门到实战--部署应用到 k8s

    背景 最近这这段时间更新了一些 k8s 相关的博客和视频,也收到了一些反馈:大概分为这几类: 公司已经经历过服务化改造了,但还未接触过云原生. 公司部分应用进行了云原生改造,但大部分工作是由基础架构和 ...

  6. 15种实时uv实现方案系列(附源码)之一:Flink基于set实时uv统计

    UVStatMultiPlans(GitHub)项目持续收集各种高性能实时uv实现方案并对各种实现方案的优缺点进行对比分析! 需求描述 统计每分钟用户每个页面的uv访问量. Kafka数据格式 {&q ...

  7. 「co-examination - A」

    破壁,组合意义法: 五种颜色 \(\star,a,b,c,d\). 对于 l.h.s. 钦定 \(k\),在 \(3n+k\) 个球中选出 \(2n\) 个球染色,在靠左的 \(n\) 个球中选 \( ...

  8. Solution -「LOCAL 28731」「重庆市 2021 中学友谊赛」Rainyrabbit 爱求和

    Description Link. \(\operatorname{Rainyrabbit}\) 是一个数学极好的萌妹子,近期他发现了一个可爱的函数: \[f(n,m,k)=\sum_{d=1}^n ...

  9. 什么是 x10 开发工具?「GitHub 热点速览」

    都听过 10x 工程师,一个人顶得过十个人.但是并不是每个人都是 10x 工程师,但是有些效率工具可能让你变成 2x.3x 的工程师.比如,这周火爆的 3D 游戏引擎 FlaxEngine 有着强大的 ...

  10. Oracle中的having()函数

    having函数用在group by子句的后面,对分组结果集进行条件筛选. 1.having子句包含聚合函数 /*列出平均工资在1000之上,并且最低工资不低于800的工作信息*/select job ...