美文网首页
攻防世界进阶Re(三)

攻防世界进阶Re(三)

作者: Adam_0 | 来源:发表于2019-07-13 19:56 被阅读0次

0x00 APK-逆向2


用PEID查看,发现是c#,.net,用dnSpy打开得到如下代码。前面是一个TCP链接,看到IP和端口分别为127.0.0.1,31337。后面就是通过read()和search()函数对字符串“Super Secret Key”计算flag。但是我看不懂下面的计算方法,直接对字符串 i*1337%256 结果不对,看了WP用http.server来监控http服务得到flag。不得不赞叹大佬太强了!运行脚本再运行exe文件得到flag。Python BaseHTTPServer 模块解析 
using System;
using System.Diagnostics;
using System.IO;
using System.Net.Sockets;
using System.Text;

namespace Rev_100
{
    // Token: 0x02000002 RID: 2
    internal class Program
    {
        // Token: 0x06000001 RID: 1 RVA: 0x00002050 File Offset: 0x00000250
        private static void Main(string[] args)
        {
            string hostname = "127.0.0.1";
            int port = 31337;
            TcpClient tcpClient = new TcpClient();
            try
            {
                Console.WriteLine("Connecting...");
                tcpClient.Connect(hostname, port);
            }
            catch (Exception)
            {
                Console.WriteLine("Cannot connect!\nFail!");
                return;
            }
            Socket client = tcpClient.Client;
            string text = "Super Secret Key";
            string text2 = Program.read();
            client.Send(Encoding.ASCII.GetBytes("CTF{"));
            string text3 = text;
            for (int i = 0; i < text3.Length; i++)
            {
                char x = text3[i];
                client.Send(Encoding.ASCII.GetBytes(Program.search(x, text2)));
            }
            client.Send(Encoding.ASCII.GetBytes("}"));
            client.Close();
            tcpClient.Close();
            Console.WriteLine("Success!");
        }

        // Token: 0x06000002 RID: 2 RVA: 0x0000213C File Offset: 0x0000033C
        private static string read()
        {
            string fileName = Process.GetCurrentProcess().MainModule.FileName;
            string[] array = fileName.Split(new char[]
            {
                '\\'
            });
            string path = array[array.Length - 1];
            string result = "";
            using (StreamReader streamReader = new StreamReader(path))
            {
                result = streamReader.ReadToEnd();
            }
            return result;
        }

        // Token: 0x06000003 RID: 3 RVA: 0x000021B0 File Offset: 0x000003B0
        private static string search(char x, string text)
        {
            int length = text.Length;
            for (int i = 0; i < length; i++)
            {
                if (x == text[i])
                {
                    int value = i * 1337 % 256;
                    return Convert.ToString(value, 16).PadLeft(2, '0');
                }
            }
            return "??";
        }
    }
}
脚本如下:
import http.server

server_address = ('127.0.0.1', 31337)
handler_class = http.server.BaseHTTPRequestHandler
httpd = http.server.HTTPServer(server_address, handler_class)
httpd.serve_forever()

0x01 notsequence

这道题有点意思哟,IDA打开,F5大法。

signed int __cdecl sub_80486CD(int a1)
{
  int j; // [esp+0h] [ebp-14h]
  int v3; // [esp+4h] [ebp-10h]
  int i; // [esp+8h] [ebp-Ch]
  int v5; // [esp+Ch] [ebp-8h]

  v5 = 0;
  for ( i = 0; i <= 1024 && *(_DWORD *)(4 * i + a1); i = v5 * (v5 + 1) / 2 )
  {

    v3 = 0;

    for ( j = 0; j <= v5; ++j )
      v3 += *(_DWORD *)(4 * (j + i) + a1);
    if ( 1 << v5 != v3 )
      return -1;
    ++v5;
  }
  return v5;
}

话不多说,先进check1的函数,发现是以 i= v5*(v5+1)/2 来循环的,又点奇怪啊。我们提出来试一试这种循环是怎样的,发现这打印出来是一个三角形啊,继续看下面的 ( 1 << v5 != v3 ) 是判断 三角形一行的数之和是否是2的幂。
在分析下check2,脑瓜子嗡嗡嗡的,看了WP,发现这是杨辉三角啊!!,还是太菜了。那么check2应该就是检查杨辉三角的性质了:上一行的左边加上一行的值为当前的值,即 a[ i ][ j ] = a[ i-1 ][ j-1 ] + a[ i-1 ][ j ]。又看到v2==20,所以这是有20行的杨辉三角。

# -*- coding: utf-8 -*-
v5=0
for i in range(21):
    if i==int(v5*(v5+1)/2):
        v5+=1
        print('\n')
    print(i,end=' ')
image.png

得到杨辉三角的值,去掉 多余符号和换行再计算MD5加上RCTF{}得到flag。

杨辉三角脚本如下:

# -*- coding: utf-8 -*-
def triangles():
    p = [1]
    while True:
        yield p#generator函数与普通函数的差别:在执行过程中,遇到yield就中断,下次又继续执行
        p = [1] + [p[i] + p[i+1] for i in range(len(p)-1)] + [1]
n = 0
for t in triangles():
    print(t)
    n = n + 1
    if n == 21:
        break

0x02 Catch-Me

下载的文件被压缩了两次,使用 file 命令查看文件,解压之后再使用file查看还是压缩包,这两次解压可以使用unzip和tar 命令,也可以直接再windows里改后缀名zip来解压。得到ELF文件用IDA打开。


image.png

F5主函数,分析到这里是关键代码。从下往上看,对haystack进行了异或,并且v4 & 7是八位一循环。在看到if的条件,getenv()函数是取环境变量。这里的逻辑是CTF和ASIS的环境变量异或v3后等于0xfeebfeeb,不然后面就会输出假的flag。

  v3 = sub_400820((unsigned int)dword_6012B4, a2, a3);
  byte_6012A8[0] = HIBYTE(v3);
  byte_6012A9 = BYTE2(v3) & 0xFD;
  byte_6012AA = BYTE1(v3) & 0xDF;
  byte_6012AB = v3 & 0xBF;
  if ( getenv("ASIS") && (*(_DWORD *)getenv("CTF") ^ v3) == -18088213 )
    dword_6012AC = *(_DWORD *)getenv("ASIS");
  v4 = 0LL;
  do
  {
    haystack[v4] ^= byte_6012A8[v4 & 7];
    ++v4;
  }

现在就是要找v3的值来求环境变量的值。使用gdb在sub_400820()下断点,查看寄存器rax的值为0xb11924e1。所以异或得到环境变量的值 0xb11924e1^0xfeebfeeb=0x4ff2da0a。


image.png

现在设置CTF,ASIS的环境变量为0x4ff2da0a。注意这里要从低位到高位设置。

export ASIS="$(printf "\x0a\xda\xf2\x4f")"
export CTF="$(printf "\x0a\xda\xf2\x4f")"

在使用IDA远程调试,运行得到flag。我也不知道为什么直接运行得不到flag。这道题我最先是用IDA动态调试,强行跳转,输出的是接近正确flag的值,但是有乱码,想了想其中有个异或操作,因为没有环境变量寄存器的值空的,我把它nop掉了,导致后面对haystack异或操作出现了部分乱码。这也是这道题出的比较巧妙的地方吧。


image.png

相关文章

  • 攻防世界进阶Re(三)

    0x00 APK-逆向2 脚本如下: 0x01 notsequence 这道题有点意思哟,IDA打开,F5大法。 ...

  • 攻防世界进阶Re(二)

    感觉难度越来越大了,把进阶题分为几篇来写,以便查看。 0x00 reverse-box 感觉都是没有看到过的题型,...

  • 攻防世界进阶Re(一)

    0x00 re2-cpp-is-awesome IDA,f5主函数,找到关键判断。 看到主要是判断v8和off_6...

  • 攻防世界 Re wp

    hello ctf sprintf():int sprintf( char *buffer, const char...

  • 攻防世界-Web_php_unserialize

    高手进阶区,Web_php_unserialize 题目来源:攻防世界[https://adworld.xctf....

  • 攻防世界-unserialize3

    高手进阶区,unserialize3 题目来源:攻防世界[https://adworld.xctf.org.cn/...

  • IgniteMe_攻防世界RE【4】

    题目描述: 下载附件拖入ida,发现是win32 console Application。 解题过程: 拖入IDA...

  • 攻防世界高手进阶pwn

    歇了很长一段时间,终于开始了我的攻防世界pwn之路。立一个flag:每日一题,只能多不能少。 0x00 dice_...

  • easyRE1_攻防世界_RE【2】

    题目描述 下载下来是两个文件,随便找一个拖入ida发现是elf文件。 解题过程 题目也太简单了,使用ida 转为C...

  • 流浪者_攻防世界_RE【1】

    题目描述 下载附件后发现是一个exe,根据图标判断是mfc写的,题目要求输入flag。 解题过程 拖入IDA,查找...

网友评论

      本文标题:攻防世界进阶Re(三)

      本文链接:https://www.haomeiwen.com/subject/vmimkctx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|攻防世界进阶Re(三)|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!