ez_apkk

解题过程:

  • 将apk拖入jadx,查看MainActivity,发现是简单RC4加密,密钥是“55667788”,最后再将加密结果+1

    public String Encrypt(String plainText, String key) {
    
        int[] S = new int[256];
    
        byte[] K = new byte[256];
    
        char[] cArr = {'\n', '+', 181, '*', 225, ':', 244, 147, '\'', 182, 'J', 250, '-', 25, 135, 4, 188, '-', 230, '[', 'Q', '5', 'c', 22, 220, 25};
    
        char[] cArr2 = new char[26];
    
        Character[] keySchedul = new Character[plainText.length()];
    
        KSA(S, K, key);
    
        PRGA(S, keySchedul, plainText.length());
    
    //前面是RC4算法初始化
    
        for (int i = 0; i < plainText.length(); i++) {
    
            cArr2[i] = (char) ((plainText.charAt(i) ^ keySchedul[i].charValue()) + 1);//这行代码是RC4加密当前字节后 +1
    
        }
    
        for (int i2 = 0; i2 < 26; i2++) {
    
            if (cArr[i2] != cArr2[i2]) {
    
                return "wrong!!!";
    
            }
    
        }
    
        return "right";
    
    }

解密脚本

#include <stdio.h>

void rc4_init(unsigned char* s, unsigned char* key, unsigned long Len_k)

{

	int i = 0, j = 0;

	char k[256] = { 0 };

	unsigned char tmp = 0;

	for (i = 0; i < 256; i++) {

		s[i] = i;

		k[i] = key[i % Len_k];

	}

	for (i = 0; i < 256; i++) {

		j = (j + s[i] + k[i]) % 256;

		tmp = s[i];

		s[i] = s[j];

		s[j] = tmp;

	}

}

void rc4_crypt(unsigned char* Data, unsigned long Len_D, unsigned char* key, unsigned long Len_k) //加解密

{

	unsigned char s[256];

	rc4_init(s, key, Len_k);

	int i = 0, j = 0, t = 0;

	unsigned long k = 0;

	unsigned char tmp;

	for (k = 0; k < Len_D; k++) {

		i = (i + 1) % 256;

		j = (j + s[i]) % 256;

		tmp = s[i];

		s[i] = s[j];

		s[j] = tmp;

		t = (s[i] + s[j]) % 256;

		Data[k] = Data[k] ^ s[t];

	}

}

void main()

{

	unsigned char key[] = "55667788";

	unsigned long key_len = sizeof(key) - 1;

	unsigned char data[] = {'\n', '+', 181, '*', 225, ':', 244, 147, '\'', 182, 'J', 250, '-', 25, 135, 4, 188, '-', 230, '[', 'Q', '5', 'c', 22, 220, 25};

	for (int i = 0; i < sizeof(data); i++)

	{

		data[i]-=1;

	}

	rc4_crypt(data, sizeof(data), key, key_len);

	for (int i = 0; i < sizeof(data); i++)

	{

		printf("%c", data[i]);

	}

	printf("\n");

	return;

}

运行得到flag:flag{a9k_1s_enjoy_ha6py!!}

ezdriver

解题过程:

  • IDA打开 R3-CTF.exe,发现程序调用了驱动文件 Driver_ctf.sys,用deviceIoControl函数来调用驱动程序里的功能。发送的控制代码为 0x222000

  • 逆向分析Driver_ctf.sys,发现加密代码在函数sub_1400010A0,其中里面调用的函数sub_140001590为对称加密算法,对加密数据byte_140003000再执行一次此对称加密算法即可得到原数据。

  • 但是还有一段加密算法对数据进行了加密,这里使用了求模运算,只能单字节逐个爆破

    for ( j = 1; j < 32; ++j )
    
      v12[j - 1] ^= ((unsigned __int8)v12[j - 1] % 0x12u + v12[j] + 5) ^ 0x41;

  • 我这里是使用递归算法来遍历每个可能的路径

解密算法:

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

unsigned char enc[] =

{

  0xA2, 0x23, 0x62, 0x6B, 0xDD, 0x75, 0x72, 0xD1, 0x7A, 0x88,

  0x34, 0xD0, 0x6C, 0x23, 0xCB, 0x39, 0xAC, 0xDA, 0x76, 0x6C,

  0x2E, 0x9B, 0x95, 0xC5, 0x79, 0x89, 0x39, 0x3C, 0x83, 0xC3,

  0xDA, 0x1D, 0

};

void sub_140001590(unsigned int *a1, int a2)

{

  int j; // [rsp+4h] [rbp-44h]

  int i; // [rsp+8h] [rbp-40h]

  int v4; // [rsp+Ch] [rbp-3Ch] BYREF

  int *v5; // [rsp+10h] [rbp-38h]

  int v6; // [rsp+18h] [rbp-30h]

  char v7[16]; // [rsp+20h] [rbp-28h]

  v7[1] = a2 ^ 0x24;

  v7[0] = a2 ^ 0x6A;

  v7[8] = a2 ^ 0x1A;

  v7[2] = a2 ^ 0x35;

  v7[9] = a2 ^ 0x8D;

  v7[3] = a2 ^ 0x23;

  v7[11] = a2 ^ 0x9A;

  v7[4] = a2 ^ 0xCA;

  v7[5] = a2 ^ 0x4B;

  v7[6] = a2 ^ 0x21;

  v7[7] = a2 ^ 0x35;

  v7[10] = a2 ^ 0x91;

  v7[12] = a2 ^ 0x2C;

  v7[13] = a2 ^ 0xC2;

  v7[14] = a2 ^ 0x92;

  v7[15] = a2 ^ 7;

  for ( i = 0; i < 4; ++i )

  {

    v5 = &v4;

    v4 = *a1 ^ a2;

    for ( j = 0; j < 4; ++j )

    {

    	v5 = (int *)((char *)v5 + 1);

      	*((char *)v5 - 1) ^= v7[15 - (((unsigned __int8)i + (unsigned __int8)j) & 0xF)] | ((unsigned __int8)j << j) | j | 4;

    }

    v6 = ~a2 ^ v4;

    *a1++ = v6;

  }

}

void solver(int index)

{

	for(int i = index;i >= 0;i--)

	{

		unsigned char backup = enc[index - 1];

		unsigned char t = enc[i] + 5;

		for(int j = 18;j < 144;j+=0x12)

		{

			for(int k = 0;k < 0x12;k++)

			{

                //此处存在剪枝策略,若不符合限制条件则不会遍历该节点及其所有子节点

				if(((k + t) ^ 0x41 ^ (k + j)) == enc[i - 1])

				{

					enc[i - 1] = k+j;

					solver(index-1);

					enc[i-1] = backup; //状态回溯

				}

			}

		}

		if(index == 0)

			printf("%s\n",enc); //输出符合条件的路径

	}

}

int main()

{

	unsigned int *p = (unsigned int*)enc;

	int v6 = 0;

	do{

		sub_140001590(p, v6++); //对称算法解密

		p += 4;

	}while(v6 < 2);

	//递归算法遍历所有可能的路径

	solver(31);

}

运行后发现有四个结果,很明显第二个是正确的结果

blag{zcswelsvyioostfzjskygmojew}

flag{zcswelsvyioostfzjskygmojew}

olag{zcswelsvyioostfzjskygmojew}

墏g{zcswelsvyioostfzjskygmojew}

崅g{zcswelsvyioostfzjskygmojew}

湖南省网络攻防邀请赛 RE 题解的更多相关文章

  1. 网络攻防工具介绍——Wireshark

    网络攻防工具介绍 Wireshark 简介 Wireshark(前称Ethereal)是一个网络封包分析软件.它是一个理想的开源多平台网络协议分析工具.网络封包分析软件的功能是撷取网络封包,并尽可能显 ...

  2. 2018-2019-2 20165237《网络攻防技术》Exp1 PC平台逆向破解

    2018-2019-2 20165237<网络攻防技术>Exp1 PC平台逆向破解 一.实践目标 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:main调 ...

  3. 2018-2019-2 20165206 网络攻防技术 Exp5 MSF基础应用

    - 2018-2019-2 20165206<网络攻防技术>Exp5 MSF基础应用 - 实验任务 1.1一个主动攻击实践,如ms08_067; (1分) 1.2 一个针对浏览器的攻击,如 ...

  4. 3.24网络攻防选拔题部分write up

    20175221  3.24网络攻防选拔题部分write up Q1:百度一下,你就知道 解压题目得到一个文件夹和一个网址 打开文件夹,有三张图片 用winhex和stegsolve查看三张图片,没有 ...

  5. 2018-2019-2 20165336《网络攻防技术》Exp5 MSF基础应用

    2018-2019-2 20165336<网络攻防技术>Exp5 MSF基础应用 一.攻击实例 主动攻击的实践 ms08_067(成功) payload/generic/shell_rev ...

  6. 20155219付颖卓《网络攻防》Exp4 恶意代码分析

    一.基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 可以用window7自带的schtasks ...

  7. 2018-2019-2 20165312《网络攻防技术》Exp6 信息搜集与漏洞扫描

    2018-2019-2 20165312<网络攻防技术>Exp6 信息搜集与漏洞扫描 目录 一.信息搜集技术与隐私保护--知识点总结 二.实验步骤 各种搜索技巧的应用 Google Hac ...

  8. 2018-2019-2 20165312《网络攻防技术》Exp5 MSF基础应用

    2018-2019-2 20165312<网络攻防技术>Exp5 MSF基础应用 目录 一.知识点总结 二.攻击实例 主动攻击的实践 ms08_067 payload/generic/sh ...

  9. 2018-2019-2 20165312《网络攻防技术》Exp4 恶意代码分析

    2018-2019-2 20165312<网络攻防技术>Exp4 恶意代码分析 知识点总结 1.有关schtasks schtacks的作用:安排命令和程序定期运行或在指定时间内运行.从计 ...

  10. 2018-2019-2 20165312《网络攻防技术》Exp3 免杀原理与实践

    2018-2019-2 20165312<网络攻防技术>Exp3 免杀原理与实践 课上知识点总结 1.恶意软件检测机制 基于特征码的检测(需要定期更新病毒库) 启发式恶意软件检测(实时监控 ...

随机推荐

  1. go-zero 是如何实现令牌桶限流的?

    原文链接: 上一篇文章介绍了 如何实现计数器限流?主要有两种实现方式,分别是固定窗口和滑动窗口,并且分析了 go-zero 采用固定窗口方式实现的源码. 但是采用固定窗口实现的限流器会有两个问题: 会 ...

  2. DAY001_二进制运算

    左移和右移 无符号左移? Java没有无符号左移 无符号右移 左边补0 有符号右移 左边用原符号位补位 即正数补0效果同无符号右移.负数补1 有符号左移 右边补0 import org.junit.T ...

  3. SpringBoot3安全管理

    目录 一.简介 二.工程搭建 1.工程结构 2.依赖管理 三.配置管理 1.核心配置类 2.认证数据源 3.认证流程 4.身份过滤器 四.核心功能 1.登录退出 2.权限校验 五.参考源码 标签:Se ...

  4. 转 致创业者:APP已死 服务永生

    前几日,有位创业者和我讲他在带领团队做一个将爱踢球的人集中在一起的App,我告诉他你的创业方向错了.原因在于你的目的是要为爱踢球的人提供服务,而你现在却在竭尽全力的做App,你应该做的是设计你为爱踢球 ...

  5. 行行AI人才直播第16期:【无界AI首席研究员】刘秋衫《AI创新设计:AIGC赋能设计行业的新思维》

    在这一轮生成式AI浪潮中,设计行业是受波及最为广泛的一个行业.这是设计师们始料未及的事情,至少在此之前,人们认为以设计.艺术为首的创意产业是最难被AI改变的产业之一.而生成式AI的出现,与其说是一次冲 ...

  6. Elasticsearch之常用术语

    一. 数据库和ES简单类比 关系型数据库 表(Table) 行(Row) 列(Cloumn) Schema SQL Elasticsearch 索引(Index) 文档(Document) 字段(Fi ...

  7. SQL Server更改表字段顺序和表结构

    1.首先打开SqlServer,SSMS可视化工具.点击工具,再点选项. 2.在弹出的选项窗口中,点击Desinners,点击表设计和数据库设计器,将阻止保护勾去掉.点"确定" 3 ...

  8. 兴达易控modbus转profinet网关与温度变送器兼容转modbus tcp网口协议

    兴达易控modbus转profinet网关与流量变送器兼容转modbusTCP网口协议 本案例演示电磁流量计通过兴达易控modbus转profinet网关(XD-MDPN100)连接西门子1200PL ...

  9. Java 21 新特性:Unnamed Classes and Instance Main Methods

    Java 21引入了两个语言核心功能: 未命名的Java类你说 新的启动协议:该协议允许更简单地运行Java类,并且无需太多样板 下面一起来看个例子.通常,我们初学Java的时候,都会写类似下面这样的 ...

  10. WEB项目开发流程介绍

    web开发流程 web开发流程图 一.需求分析阶段 在需求分析阶段,即上图所述 "需求明确"之前的阶段 产品经理PM召集需要项目相关人员,开需求讨论会.讲解原型 相关人员需要以此了 ...