reverse-BUUCTF

原創 song-10 2020-06-20 17:07

1、easyre

ida中搜索字符串即可得到flag:

2、helloword

拿到是apk文件,jeb中打開,即可得到flag

3、reverse1

elf文件,IDA中打開,搜索字符串

定位到判斷函數:

查看僞代碼:

__int64 sub_1400118C0()
{
  char *v0; // rdi
  signed __int64 i; // rcx
  size_t v2; // rax
  size_t v3; // rax
  char v5; // [rsp+0h] [rbp-20h]
  int j; // [rsp+24h] [rbp+4h]
  char Str1; // [rsp+48h] [rbp+28h]
  unsigned __int64 v8; // [rsp+128h] [rbp+108h]

  v0 = &v5;
  for ( i = 82i64; i; --i )
  {
    *(_DWORD *)v0 = -858993460;
    v0 += 4;
  }
  for ( j = 0; ; ++j )
  {
    v8 = j;
    v2 = j_strlen(Str2);
    if ( v8 > v2 )
      break;
    if ( Str2[j] == 111 )
      Str2[j] = 48;
  }
  sub_1400111D1("input the flag:");
  sub_14001128F("%20s", &Str1);
  v3 = j_strlen(Str2);
  if ( !strncmp(&Str1, Str2, v3) )
    sub_1400111D1("this is the right flag!\n");
  else
    sub_1400111D1("wrong flag\n");
  sub_14001113B(&v5, &unk_140019D00);
  return 0i64;
}

很容易發現flag即爲Str2的值,即:

4、reverse2

同樣是elf文件,IDA中打開,定位主函數,查看僞代碼:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  int stat_loc; // [rsp+4h] [rbp-3Ch]
  int i; // [rsp+8h] [rbp-38h]
  __pid_t pid; // [rsp+Ch] [rbp-34h]
  char s2; // [rsp+10h] [rbp-30h]
  unsigned __int64 v8; // [rsp+28h] [rbp-18h]

  v8 = __readfsqword(0x28u);
  pid = fork();
  if ( pid )
  {
    argv = (const char **)&stat_loc;
    waitpid(pid, &stat_loc, 0);
  }
  else
  {
    for ( i = 0; i <= strlen(&flag); ++i )
    {
      if ( *(&flag + i) == 105 || *(&flag + i) == 114 )
        *(&flag + i) = 49;
    }
  }
  printf("input the flag:", argv);
  __isoc99_scanf("%20s", &s2);
  if ( !strcmp(&flag, &s2) )
    result = puts("this is the right flag!");
  else
    result = puts("wrong flag!");
  return result;
}

變量flag的值即爲flag:

5、新年快樂

拿到的是PE文件,查殼後發現UPX殼:

脫殼後IDA中打開,搜索字符串定位函數:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  char v4; // [esp+12h] [ebp-3Ah]
  __int16 v5; // [esp+20h] [ebp-2Ch]
  __int16 v6; // [esp+22h] [ebp-2Ah]

  sub_401910();
  strcpy(&v4, "HappyNewYear!");
  v5 = 0;
  memset(&v6, 0, 0x1Eu);
  printf("please input the true flag:");
  scanf("%s", &v5);
  if ( !strncmp((const char *)&v5, &v4, strlen(&v4)) )
    result = puts("this is true flag!");
  else
    result = puts("wrong!");
  return result;
}

由僞代碼可知,flag即爲v4的值即HappyNewYear!

6、xor

同樣是elf文件,IDA中打開,定位main函數查看僞代碼:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char *v3; // rsi
  int result; // eax
  signed int i; // [rsp+2Ch] [rbp-124h]
  char v6[264]; // [rsp+40h] [rbp-110h]
  __int64 v7; // [rsp+148h] [rbp-8h]

  memset(v6, 0, 0x100uLL);
  v3 = (char *)256;
  printf("Input your flag:\n", 0LL);
  get_line(v6, 256LL);
  if ( strlen(v6) != 33 )
    goto LABEL_12;
  for ( i = 1; i < 33; ++i )
    v6[i] ^= v6[i - 1];
  v3 = global;
  if ( !strncmp(v6, global, 0x21uLL) )
    printf("Success", v3);
  else
LABEL_12:
    printf("Failed", v3);
  result = __stack_chk_guard;
  if ( __stack_chk_guard == v7 )
    result = 0;
  return result;
}

大致邏輯爲:用戶輸入一個長度爲33的字符串,字符串中的字符分別和前一個字符異或(對應得ASCII碼)後和變量global的前0x21個字符比對。邏輯並不複雜,提取global的值:

提取後編寫腳本得到flag:

List=[
  0x66, 0x0A, 0x6B, 0x0C, 0x77, 0x26, 0x4F, 0x2E, 0x40, 0x11, 
  0x78, 0x0D, 0x5A, 0x3B, 0x55, 0x11, 0x70, 0x19, 0x46, 0x1F, 
  0x76, 0x22, 0x4D, 0x23, 0x44, 0x0E, 0x67, 0x06, 0x68, 0x0F, 
  0x47, 0x32, 0x4F]
flag=chr(List[0])
i=1
while True:
    if i<len(List):
        flag+=chr(List[i]^List[i-1])
        i+=1
    else:
        break
print(flag)

7、內涵的軟件

PE文件,直接在IDA中打開,定位到主函數,falg明文儲存:

這裏需要注意的是flag是: flag{DBAPP{49d3c93df25caad81232130f3d2ebfad}}

8、reverse3

PE文件,直接在IDA中打開,搜索字符串,定位函數:

查看僞代碼:

__int64 main_0()
{
  size_t v0; // eax
  const char *v1; // eax
  size_t v2; // eax
  int v3; // edx
  __int64 v4; // ST08_8
  signed int j; // [esp+DCh] [ebp-ACh]
  signed int i; // [esp+E8h] [ebp-A0h]
  signed int v8; // [esp+E8h] [ebp-A0h]
  char Dest[108]; // [esp+F4h] [ebp-94h]
  char Str; // [esp+160h] [ebp-28h]
  char v11; // [esp+17Ch] [ebp-Ch]

  for ( i = 0; i < 100; ++i )
  {
    if ( (unsigned int)i >= 0x64 )
      j____report_rangecheckfailure();
    Dest[i] = 0;
  }
  sub_41132F("please enter the flag:");
  sub_411375("%20s", &Str);
  v0 = j_strlen(&Str);
  v1 = (const char *)sub_4110BE(&Str, v0, &v11);
  strncpy(Dest, v1, 0x28u);
  v8 = j_strlen(Dest);
  for ( j = 0; j < v8; ++j )
    Dest[j] += j;
  v2 = j_strlen(Dest);
  if ( !strncmp(Dest, Str2, v2) )
    sub_41132F("rigth flag!\n");
  else
    sub_41132F("wrong flag!\n");
  HIDWORD(v4) = v3;
  LODWORD(v4) = 0;
  return v4;
}

sub_4110BE函數處理輸入的字符串之後再對處理後得到的字符串做移位操作然後再和變量Str2比對,整個邏輯並不複雜,跟蹤到函數sub_4110BE可以發現函數sub_4110BE應該是將字符串進行base64編碼,編寫腳本如下:

import base64
s='e3nifIH9b_C@n@dH'
s1=''
i=0
while i<len(s):
    s1+=chr(ord(s[i])-i)
    i+=1
flag=base64.b64decode(s1)
print(flag)

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

ciscn_2019_s_1

思路 通過off by null寫key值然後unlink寫bss段再次double free寫free_hook即可拿到shell exp: from pwn import * #p=process('./ciscn_s_1')

doudoudedi 2020-06-30 21:46:59

BUUCTF WEB [CISCN2019 華北賽區 Day2 Web1]Hack World

BUUCTF WEB [CISCN2019 華北賽區 Day2 Web1]Hack World 打開題目,看提示貌似是一個sql注入的題目~~ 進行簡單測試,貌似不是報錯注入,直接進行盲注測試,構造一波!! 抓包構造:id=1=(

A_dmins 2020-06-29 16:46:09

BUUCTF WEB [RoarCTF 2019]Easy Calc

BUUCTF WEB [RoarCTF 2019]Easy Calc 打開網頁是一個計算的!!隨便輸入可以計算,然後就沒啥了,右鍵源代碼: 存在waf,,還有個新的頁面!進行訪問,看到源代碼: <?php error_repo

A_dmins 2020-06-29 16:46:09

BUUCTF WEB [強網杯 2019]高明的黑客

BUUCTF WEB [強網杯 2019]高明的黑客 打開網頁,發現有提示~~源碼可下 下載源碼,發現3002個文件,查看一下,發現有不少的shell??? 不過都是不能用的,其實這道題目就是讓我們找到能用的shell,考察

A_dmins 2020-06-29 16:46:09

BUUCTF WEB(2020-2月刷題~)

BUUCTF WEB(2020-2月刷題~) 開學遙遙無期,不知道該幹些什麼,上一個月完全沒有碰過題目 也是時候做一做題目了,不然真的玩了一個寒假,,,,,, 畢竟知識點也是需要鞏固的,,,,總是覺得自己還是太菜,,也不知道該怎麼

A_dmins 2020-06-29 16:46:05

BJDCTF 2nd WEB

BJDCTF 2nd WEB emmm,比賽做了幾道題,賽後官方給了wp,把沒做出來的復現一下,,,, [BJDCTF 2nd]fake google 一個SSTI,發現是jinja2的,直接用payload打就行: {% for

A_dmins 2020-06-29 16:46:05

CTF題記——再戰GK、BUU

前言 沒事做一些雜項和密碼學的題,記下沒見過的,總結思路。擴大腦洞。 本文目錄前言Crypto🍖[GKCTF2020]漢字的祕密[MRCTF2020]古典密碼知多少[MRCTF2020]keyboard[WUSTCTF2020]佛

m0re 2020-06-29 07:37:14

suctf2018_heap

suctf2018_heap 這道題會一次性申請2個相同大小的chunk做的時候有點邏輯混亂深深的懷疑本來是ubuntu16的環境… 思路 : off by one打成堆重疊寫到指針段寫atoi爲system拿shell exp:

doudoudedi 2020-06-28 23:41:06

others_easyheap

思路 堆溢出構造堆塊重疊打free_hook爲system exp: from pwn import * #p=process('./easyheap') elf=ELF('./easyheap') libc=elf.libc p

doudoudedi 2020-06-28 23:41:05

BUUCTF zctf_2016_note3

一道典型的unlink題目整形溢出因爲i是無符號長整型如果輸入-1就會變得巨大實現堆溢出這裏應該可以用unlink泄露libc基址然後用fastbin attack打malloc_hook但是這裏有多次寫入的edit功能就很好做了

doudoudedi 2020-06-28 23:41:05

BUUCTF ciscn_2019_ne_5

這道題是一道典型的ROP一開始沒找到參數~~ 直接溢出emem exp(其實我寫的很麻煩了很簡單的) #!/usr/bin/python2 from pwn import * local=1 if local==1: p=pro

doudoudedi 2020-06-28 23:41:05

noxctf2018_grocery_list&&actf_2019_message

noxctf2018_grocery_list 先是觀察函數發現有一個可以泄露棧地址然後通過tcache attack打到棧上泄露libcbase然後再次寫入free_hook拿到shell exp: #!/usr/bin/pyt

doudoudedi 2020-06-28 23:41:05

actf_2019_actfnote

思路 通過溢出將topchunk的位置向上提然後申請堆塊即可完成一次任意地址寫入 exp: #!/usr/bin/python2 from pwn import * #p=process('./ACTF_2019_ACTFNOTE

doudoudedi 2020-06-28 23:40:54

部分WP(補)-GKCTF2020

本篇內容 MISC: [GKCTF2020]Harley Quinn [GKCTF2020]Sail a boat down the river Crypto: [GKCTF2020]Backdoor Web: [G

~空舵~ 2020-06-28 12:10:27

BUUCTF not_the_same_3dsctf_2016

還是靜態鏈接的,一個文件,自己玩,所以打開IDA找找能用到的函數就可以了,題目也非常簡單,棧溢出 from pwn import * context(log_level='debug', arch='i386') proc

、moddemod 2020-06-16 12:20:49