BUUCTF逆向工程-2
BUUCTF逆向工程-2
相册
打开后可以找到发送邮件的函数原型:
根据交叉引用找到调用它的地方:
可以知道C2.MAILSERVER应当为邮箱,根据交叉引用可以找到:
这个函数加载了一个core文件,然后调用里面的NativeMethod.m()函数,查看它的Library:
有一个libcore.so文件,将它用IDA打开,在java_com_net_cn_NativeMethod_m()函数中可以看见:
查看base64方法中的shared可以拿到加密表:
解密得到flag:18218465125@163.com
[MRCTF2020]hello_world_go
代码写得根本看不懂在干什么,但是瞎点一通发现unk_4D3C58里就是flag:hello_world_gogogo
从结果来看应该是一个go语言,无语。。。
[WUSTCTF2020]level3
打开看见它想让我破译一个base64:
点进加密函数可以跟踪到密码表:
用这个密码表解码发现解出来是乱码......想到密码表可能被修改过,查看它的交叉引用:
写个简单的脚本得到flag:Base64_is_the_start_of_reverse
[GWCTF 2019]xxor
打开看见:
前面一段对输入进行TEA,之后判断结果,解码脚本在此:
#include <stdio.h>
#include <stdint.h>
void decrypt (int *v, int *k)
{
unsigned int v0 = v[0], v1 = v[1], i;
int delta = 1166789954;
int sum = 0;
for(i = 0; i < 64; i++)
{
sum += delta;
}
for (i = 0; i < 64; i++)
{
v1 -= (v0 + sum + 20) ^ ((v0 << 6) + k[2]) ^ ((v0 >> 9) + k[3]) ^ 0x10;
v0 -= (v1 + sum + 11) ^ ((v1 << 6) + k[0]) ^ ((v1 >> 9) + k[1]) ^ 0x20;
sum -= delta;
}
v[0] = v0;
v[1] = v1;
return;
}
int main()
{
int v[2] = {}, k[4] = {2,2,3,4};
unsigned int a1[6] = {-548868226, 550153460, 3774025685, 1548802262, 2652626477, -2064448480};
int i, j;
for(i = 0; i <= 2; i++)
{
v[0] = a1[i*2];
v[1] = a1[i*2+1];
decrypt(v, k);
a1[i*2] = v[0];
a1[i*2+1] = v[1];
}
for(i = 0; i <= 5; i++)
{
for(j = 2; j >= 0; j--)
{
printf("%c", *((char *)&a1[i] + j));
}
}
return 0;
}
得到flag:re_is_great!
说实话,写完这题我仍然不是很理解HIDWORD、LODWORD和ELF的逆序存储,全靠IDA动调测算出数据的存储方式,然后进行逆推,再根据输出调整顺序。。。
虽说篇幅不长,但是这个b干了我将近4个小时
[FlareOn4]IgniteMe
打开IDA,果然,C++写出来的程序最恶心了(虽然我喜欢用C++):
sub_4010F0是输入函数,sub_401050是加密函数:
其中sub401000函数里面是一个__ROL4__函数,百度了半天我也没看明白,但是IDA动调之后可以看见最后v4=4,所以也可以写出脚本:
#include <iostream>
using namespace std;
int main()
{
int ans[99] = {13, 38, 73, 69, 42, 23, 120, 68, 43, 108,
93, 94, 69, 18, 47, 23, 43, 68, 111, 110,
86, 9, 95, 69, 71, 115, 38, 10, 13, 19,
23, 72, 66, 1, 64, 77, 12, 2, 105};
int flag[99];
int i;
int v4 = 4;
for(i = 38; i >= 0; i--)
{
flag[i] = v4 ^ ans[i];
v4 = flag[i];
}
for(i = 0; i <= 38; i++)
{
cout << char(flag[i]);
}
return 0;
}
得出flag:R_y0u_H0t_3n0ugH_t0_1gn1t3@flare-on.com
[WUSTCTF2020]Cr0ssfun
没啥技术含量
flag:cpp_@nd_r3verse_@re_fun
[FlareOn6]Overlong
IDA中代码很短,理论上运行一遍就有答案:
其中unk_402008是给定的175空间的数组,但是sub_401160中对于次数组的调用最多只有28*4=112空间,因此推测所传参数28太小,所以拖入x32dbg修改对应二进制值1C为AE:
之后运行起来,即可得到结果:
得到flag:I_a_M_t_h_e_e_n_C_o_D_i_n_g@flare-on.com
[UTCTF2020]basic-re
shift+F12:
得到flag:str1ngs_1s_y0ur_fr13nd
[FlareOn3]Challenge1
简单的变表base64,得到flag:sh00ting_phish_in_a_barrel@flare-on.com
[ACTF新生赛2020]Oruga
这是一道比较抽象的迷宫题:
由这个可以推出地图是一个16*16的空间,长这个样子:
看一看它的校验部分:
它的v2在校验中就进行了更改,而下一次循环又不会对v2进行回溯,因此它走迷宫的路线会变成直来直去的样子。一直向某个方向走到底直到遇见非空的格子,同时还不能越界,因此路线为:
得到flag:MEWEMEWJMEWJM
[BJDCTF2020]BJD hamburger competition
下载之后非常懵逼,是一个Unity的游戏,打开Visual Studio发现Unity的游戏使用C#写的,所以我们要在它给的一大坨东西里面找一个C#写的dll文件。发现在BJD hamburger competition_Data\Managed下有一个Assembly-CSharp.dll,使用dnSpy打开它,找到加密部分:
跟踪Md5(),发现它截取了答案的前20位:
写出脚本:
import hashlib
str = "DD01903921EA24941C26A48F2CEC24E0BB0E8CC7"
for i in range (10000000000000):
if hashlib.sha1(i.__str__().encode()).hexdigest().upper() == str:
break
print('flag{' + hashlib.md5(i.__str__().encode()).hexdigest().upper()[0:20] + '}')
得到flag:B8C37E33DEFDE51CF91E
特殊的 BASE64
简单的变表base64,不得不说,C++的逆向代码看起来确实恶心
得到flag:Special_Base64_By_Lich
[Zer0pts2020]easy strcmp
主函数内只有这些,提交发现这不是正确答案:
返回去看看init函数有没有进行一些什么操作:
发现它其实调用了一些函数,只不过是通过直接访问地址的形式调用的,双击funcs_889可以看到:
它调用了两个函数sub_6E0和函数sub_795,其中第一个没什么卵用,跟进第二个:
发现这个函数很神奇,将strcmp函数的地址传给了qword_201090,将sub_6EA函数的地址传给了off_201028,双击sub_6EA查看:
发现sub_6EA对参数做了一通操作,然后返回地址在qword_201090的函数的值,而这个函数恰好就是刚赋完值的strcmp函数。在sub_795函数里将sub_6EA函数的地址传给了off_201028,双击off_201028查看:
发现off_201028地址上的函数恰好又是strcmp函数。所以主函数里执行strcmp时其实先执行了sub_6EA函数,再执行strcmp函数,可以写出脚本:
#include <iostream>
using namespace std;
int main()
{
char p[99] = "zer0pts{********CENSORED********}";
long long k[4] = {0, 0x410A4335494A0942, 0x0B0EF2F50BE619F0, 0x4F0A3A064A35282B};
for (int i = 0; i < 4; i++)
{
*(long long *)&(p[i * 8]) += k[i];
}
cout << p;
}
得到flag:l3ts_m4k3_4_DETOUR_t0d4y
[ACTF新生赛2020]Universe_final_answer
是个简单的z3,此题大多数时间用在了z3的安装和调查使用教程,算出key的值之后用IDA动调一下即可:
得到flag:F0uRTy_7w@_42
[WUSTCTF2020]level4
这是个算法题,给出二叉树的中序遍历和后序遍历,求先序遍历。有一点神奇的是在IDA里静态或者动调的时候都没有找到它存放这些数据的地方......
得到flag:This_IS_A_7reE
crackMe
代码逻辑非常清晰,但是代码很长,很恶心:
先后输入用户名和密码,根据用户名在sub_401090()中创建byte_416050[],在loc_4011A0()中创建Format[]和v4[],跟进loc_4011A0()会有一个花指令,nop掉之后可以得知Format是正确提示且v3恒等于1,因此需要sub_401830()返回true,跟进sub_401830():
第一部分将password当成16进制数两两一组分割,存入v14[]。第二部分用v14[]和byte_416050[]创建v16[],最后再用v16创建v13,进行判断。根据v5<8可以得知v14[]长度为8。在sub_410470()中可以得知v16的值是“dbappsec”。跟进sub_401710():
虽然它判断了一堆情况,但是v4是用户名“welcomebeijing”的长度,v3最大为8,因此它只会执行else if的内容。将sub_401830()中第二部分内的两次反动调在汇编码中将jz改为jmp绕过,动调得到创建v16时的byte_416050[]的值。要注意在汇编码中,程序将byte_416050[v12+v7]的值传给了v12,再用v12进行异或,所以如果只看伪代码手动生成是不对的。写出脚本:、
#include <iostream>
using namespace std;
int main()
{
char ans[99] = "dbappsec";
char name[99] = "welcomebeijing";
int XOR[99] = {0x2A, 0xD7, 0x92, 0xE9, 0x53, 0xE2, 0xC4, 0xCD};
int i, j;
for(i = 0; i < 8; i++)
{
ans[i] ^= name[i];
}
for(i = 0; i < 8; i++)
{
ans[i] ^= XOR[i];
}
for(i = 0; i < 8; i++)
{
printf("%x", ans[i] & 255);
}
return 0;
}
得到密码:39d09ffa4cfcc4cc,将程序中所有反动调全部patch掉然后动调检验,或者直接运行程序会看见程序退出证明成功(因为失败会让你继续输入):
将其md5之后提交显示不正确。百度搜索得知“正确”的解答中并没有分析sub_401710(),得到密码4eb5f3992391a1ae,很明显它不正确:
得到
可以通过提交的flag:d2be2981b84f2a905669995873d6a36c
可以通过程序的flag:84ab2835640e510eb81f86e0ced4d91c
[网鼎杯 2020 青龙组]signal
这个东西滴加密比较复杂,有一张加密流程表,根据表单内容对输入进行各种赋值、异或、加减乘除。逆过来的话有一定的难度,所以,我决定请出angr:
import angr
p = angr.Project('signal.exe', auto_load_libs = False)
init_state = p.factory.entry_state()
s = p.factory.simgr(init_state)
s.explore(find = 0x0040179E, avoid = 0x00401539)
print(s.found[0].posix.dumps(0))
得到flag:757515121f3d478
超!这angr真nm好用!
[GUET-CTF2019]number_game
很奇妙的一道题:
不是很能理解为什么sub_400758()返回值明明是个指针,但在其内部却可以把指针变量赋值给整型变量。在sub_400917()内查看矩阵的样子:
得到flag:1134240024
findKey
又一个非常恶心的C++,主函数东西很少,shift+F12找到关键词“flag{}”,双击跟进发现花指令,nop掉:
之后进入真正恶心的地方,关注函数sub_40101E:
和sub_401005
sub_40101E进去发现:
0x8003u是MD5加密的特征值,因此判定整个函数用于MD5。
对于第一个sub_401005,就是将那一长串绿色的东西每一位异或‘S’,得到的东西应该为MD5之后的输入,在线解密得到123321。而第二个sub_401005并没有找到v5-492对应的值,猜测就是输入,结果证明我猜对了。附上解密脚本
#include <iostream>
using namespace std;
int main()
{
int key[99] = {87, 94, 82, 84, 73, 95, 1, 109, 105, 70, 2, 110, 95, 2, 108, 87, 91, 84, 76};
char ans[99] = "0kk`d1a`55k222k2a776jbfgd`06cjjb";
int i;
for(i = 0; i <= 31; i++)
{
ans[i] ^= 'S';
cout << char(ans[i]);
}
cout << endl;
char k[9] = "123321";
for(i = 0; i <= 18; i++)
{
key[i] ^= k[i % 6];
cout << char(key[i]);
}
return 0;
}
得到flag:n0_Zu0_n0_die
确实,no zuo no die,没事别碰逆向,这个b又干了我4个小时。
[羊城杯 2020]easyre
这个没啥,就是繁,encodeone进行base64,encodetwo乾坤大挪移,encodethree凯撒,逆过来就行
得到flag:672cc4778a38e80cb362987341133ea2
[网鼎杯 2020 青龙组]jocker
打开看见SMC,所以它前面的东西一定是假的,看都不用看。修改完之后得到两个被隐藏的函数encrypt()和Finally()。
encrypt()函数逻辑很清晰,用输入去异或Buffer得到unk_403040。
但是这个Finally()函数中以time(0)作为种子取随机数,也就是说,你是极大概率得不到出题人当时的情况的。经百度,这里需要你去猜,同样也是异或加密,而且是跟v2异或。
根据猜到的结果写出脚本:
#include <stdio.h>
#include <iostream>
using namespace std;
int main()
{
int ans[999] = {14, 0, 0, 0, 13, 0, 0, 0, 9, 0,
0, 0, 6, 0, 0, 0, 19, 0, 0, 0,
5, 0, 0, 0, 88, 0, 0, 0, 86, 0,
0, 0, 62, 0, 0, 0, 6, 0, 0, 0,
12, 0, 0, 0, 60, 0, 0, 0, 31, 0,
0, 0, 87, 0, 0, 0, 20, 0, 0, 0,
107, 0, 0, 0, 87, 0, 0, 0, 89, 0,
0, 0, 13};
char XOR1[99] = "hahahaha_do_you_find_me?";
char XOR2[99] = "%tp&:";
int flag[99], temp;
int i;
for(i = 0; i < 19; i++)
{
flag[i] = ans[i*4] ^ XOR1[i];
}
temp = '}' ^ ':';
for(i = 0; i < 5; i++)
{
flag[i+19] = temp ^ XOR2[i];
}
for(i = 0; i < 24; i++)
{
printf("%c", flag[i]);
}
return 0;
}
得到flag:d07abccf8a410cb37a
不是很认可这种本地打不通的题。。。
[FlareOn5]Minesweeper Championship Registration
是个java的程序,没逆过,但是拖进IDA就能得到flag:GoldenTicket2018@flare-on.com
firmware
固件逆向,不想学,看这里吧。
得到flag:33a422c45d551ac6e4756f59812a954b
[ACTF新生赛2020]SoulLike
一起来感受3000行屎山代码的美,没有含金量,flag:b0Nf|Re_LiT!
[GWCTF 2019]re3
第一次见,代码自修改问题:
在file/Script command中编写idc脚本:
转成代码并构造函数,得到被隐藏的内容:
使用findcrypt插件可以得知sub_400A71()和sub_40196E()和AES加密有关。unk_603170为秘钥。找到生成它的地方:
插件提示sub_401CF9()为md5加密。从伪代码来看秘钥只与第一和第五个md5有关,然而手动生成与动调结果并不一致。写出解密脚本:
from Crypto.Cipher import AES
from Crypto.Util.number import *
a = [0xBC, 0x0A, 0xAD, 0xC0, 0x14, 0x7C, 0x5E, 0xCC, 0xE0, 0xB1, 0x40, 0xBC, 0x9C, 0x51, 0xD5, 0x2B, 0x46, 0xB2, 0xB9, 0x43, 0x4D, 0xE5, 0x32, 0x4B, 0xAD, 0x7F, 0xB4, 0xB3, 0x9C, 0xDB, 0x4B, 0x5B]
k = [0xCB, 0x8D, 0x49, 0x35, 0x21, 0xB4, 0x7A, 0x4C, 0xC1, 0xAE, 0x7E, 0x62, 0x22, 0x92, 0x66, 0xCE]
ans = ""
key = ""
for i in range(len(a)):
ans += "{:02x}".format(a[i])
for i in range(len(k)):
key += "{:02x}".format(k[i])
ans = int(ans, 16)
key = int(key, 16)
aes = AES.new(long_to_bytes(key), mode = AES.MODE_ECB)
flag = aes.decrypt(long_to_bytes(ans))
print(flag)
得到flag:924a9ab2163d390410d0a1f670
[GXYCTF2019]simple CPP
今天也是讨厌C++逆向的一天呢~
异或的东西可以通过动调得到
然后是
接着是
最后那一大坨考虑使用z3:
from z3 import *
s = Solver()
x = BitVec('x', 64)#用Int进行不了~运算
y = BitVec('y', 64)
z = BitVec('z', 64)
w = BitVec('w', 64)
s.add(z & (~x) == 0x11204161012)
s.add(0x3E3A4717373E7F1F ^ w == 0x3E3A4717050F791F)
s.add(0x11204161012 | (x & y) | (z & (~y)) | (x & (~y)) == 0x3E3A4717373E7F1F)
s.add((z & (~y)) & x | z & ((x & y) | y & ~x | ~(y | x)) == 0x8020717153E3013)
s.add(0x11204161012 | (x & y) | y & z == ~x & z | 0xC00020130082C0C)
if s.check():
r = s.model()
for i in r:
print(i, hex(r[i].as_long()))
将得到的答案在异或回去:
#include <stdio.h>
int main()
{
long long ans[99];
char XOR[] = "i_will_check_is_debug_or_not";
long long i, j, flag[99];
ans[1] = 865872043546520588;
ans[0] = 4483973367147818765;
ans[3] = 842073600;
ans[2] = 577031497978884115;
for(i = 0; i < 4; i++)
{
if(i == 3)
{
for(j = 0; j < 4; j++)
{
flag[i*8+j] = (ans[i] & 0xFF000000) >> 24;
ans[i] = ans[i] << 8;
}
}
else
{
for(j = 0; j < 8; j++)
{
flag[i*8+j] = (ans[i] & 0xFF00000000000000) >> 56;
ans[i] = ans[i] << 8;
}
}
}
for(i = 0; i < 27; i++)
{
flag[i] ^= XOR[i];
printf("%c", flag[i]);
}
return 0;
}
然后就可以得到乱码We1l_D0ndaQbg�_Slgebra_am_i
经百度,是题错了,z3解出来不止一组解。挺神奇的,5个条件约束不住4个数。
得到flag:We1l_D0ne!P0or_algebra_am_i
[FlareOn5]Ultimate Minesweeper
get了一个dnSpy的新玩法。拖进去容易找到加密函数:
但是仔细看一看发现它用revealedCells作为种子生成了一个随机数数组array,之后在加密输出。因此想法是动调,查看一下会让我们失败的函数:
根据英文提示,第一个if就是失败判定,把它右键、编辑方法,给它注释掉:
右下角编译之后Ctrl+shift+s保存为新程序,运行新程序,找到三个非雷地块:
之后再在正常的程序里点击这三个地块,得到flag:Ch3aters_Alw4ys_W1n@flare-on.com
[MRCTF2020]PixelShooter
附件是一个apk,但是里面有很多unity的关键字,所以去找Assembly-CSharp.dll:
导出后拖进dnSpy,在UIControler方法中找到:
得到flag:Unity_1S_Fun_233
[FlareOn1]Bob Doge
又是一个C#的程序,拖入dnSpy,容易找到加密函数:
发现需要寻找dat_secret,可惜找不到(话说,这玩意儿是怎么藏起来的?),所以准备动调:
在数据栏中得到flag:3rmahg3rd.b0b.d0ge@flare-on.com
[2019红帽杯]xx
红帽杯的题总能让我眼前一黑
首先判断输入位数为19位,然后判断输入的值是不是在特定字符串里。
然后构造key,发现key保留了输入的前4个,其余的赋0,再将其转为4个32位数用于XXTEA。然后你需要坚定不移地猜输入的前4个就是"flag"。XXTEA的代码是真心没看懂,但好在他是标准的。通过动调可以知道如果输入为1234,在XXTEA中input会变成34333231,解密时要注意大小端序。
对加密结果进行打乱,并且进行了一个离谱的异或。解异或需要从后往前解。
最后进行对比,这种赋值方式也会产生大小端序的问题,算不过来的话......动调吧!骚年!
写出脚本:
#include <stdio.h>
#define DELTA 0x9e3779b9
#define MX (((z>>5^y<<2) + (y>>3^z<<4)) ^ ((sum^y) + (key[(p&3)^e] ^ z)))
void XXTEA(unsigned int *v, int n, unsigned int key[4])
{
unsigned int y, z, sum;
unsigned p, rounds, e;
rounds = 6 + 52 / n;
sum = rounds * DELTA;
y = v[0];
do
{
e = (sum >> 2) & 3;
for (p = n - 1; p > 0; p--)
{
z = v[p - 1];
y = v[p] -= MX;
}
z = v[n - 1];
y = v[0] -= MX;
sum -= DELTA;
}
while (--rounds);
}
int main()
{
int ans[99] = {206, 188, 64, 107, 124, 58, 149, 192, 239, 155, 32, 32, 145, 247, 2, 53, 35, 24, 2, 200, 231, 86, 86, 250}, enc[99];
int v21 = 23, v22 = 23, i, j;
for(; v21 >= 1; v22--)
{
int v23 = 0;
if(v21 / 3 > 0)
{
do
{
ans[v22] ^= ans[v23];
v23++;
} while (v23 < v21 / 3);
}
v21--;
}
enc[2] = ans[0];
enc[0] = ans[1];
enc[3] = ans[2];
enc[1] = ans[3];
enc[6] = ans[4];
enc[4] = ans[5];
enc[7] = ans[6];
enc[5] = ans[7];
enc[10] = ans[8];
enc[8] = ans[9];
enc[11] = ans[10];
enc[9] = ans[11];
enc[14] = ans[12];
enc[12] = ans[13];
enc[15] = ans[14];
enc[13] = ans[15];
enc[18] = ans[16];
enc[16] = ans[17];
enc[19] = ans[18];
enc[17] = ans[19];
enc[22] = ans[20];
enc[20] = ans[21];
enc[23] = ans[22];
enc[21] = ans[23];
unsigned int flag[99];
for(i = 0; i < 6; i++)
{
for(j = 3; j >= 0; j--)
{
flag[i] = (flag[i] << 8) + enc[i*4+j];
}
}
unsigned int key[4] = {0x67616c66, 0, 0, 0};
XXTEA(flag, 6, key);
for(i = 0; i < 6; i++)
{
for(j = 0; j < 4; j++)
{
printf("%c", flag[i] & 0xFF);
flag[i] >>= 8;
}
}
return 0;
}
得到flag:CXX_and_++tea
[CFI-CTF 2018]IntroToPE
这道题就比较水了,打开找到判断函数:
可以看出,应当使validatePassword.verifyPassword()返回真值,双击跟踪:
看见是一个base64,理论上应该接着去找加密使用的对应表,可惜没找到,就用默认的吧。
得到flag:.NetC#_1s_@w3s0m3
equation
非常sb的一道题,先jsfuck,再z3。
得到flag:A_l0ng_10NG_eqU4Ti0n_1s_E4Sy_W1Th_z3
