2. 程式人生 > 其它 >2021 蓮城杯 Reverse WP

2021 蓮城杯 Reverse WP

阿新 發佈:2021-11-24

作者cxing,轉載請註明出處。

baby_rust

不知道用了什麼演算法,生成了一張256個位元組的表,動態生成了一系列的索引(似乎是用隨機數種子)取表中的值。我們取32個值即可,然後與加密資料異或即可得到flag,但奇怪的是題目自身無法驗證通過。

enc = [
    0xDE, 0xA5, 0x70, 0x9D, 0x74, 0xD0, 0x20, 0xA9, 0x60, 0xE8,
    0xA5, 0xF7, 0x3F, 0xE9, 0x1E, 0x2A, 0xB0, 0x45, 0xB5, 0x39,
    0xC1, 0x80, 0x26, 0xDF, 0xB7, 0xA7, 0x94, 0xE0, 0x9B, 0x03,
    0xD2, 0x3A
]
table = [0xE9,0x9C,0x40,0xF9,0x47,0xE2,0x19,0xCC,0x06,0xDB,0x97,0xC6,0x0E,0xDD,0x2A,0x4F,0xD3,0x71,0x81,0x5F,0xF2,0xB7,0x42,0xEE,0x8F,0x9E,0xA5,0xD9,0xF9,0x37,0xE3,0x02]
for i in range(len(enc)):
    enc[i] ^= table[i]
print(''.join(map(chr,enc))) #790d329ef321144ec44f37d18919b418

babybf

brainfuck用指令碼解析出C語言程式碼,執行即可。

int main(_In_ int argc, _In_reads_(argc) _Pre_z_ char** argv, _In_z_ char** envp)
{

	uint8_t ptr[40] = { 0 };
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	while (ptr[1]) {
		ptr[0] += 10;
		ptr[1] -= 1;
	}
	while (ptr[0]) {
		ptr[0] -= 1;
		ptr[10] += 1;
		ptr[20] += 1;
	}
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	while (ptr[1]) {
		ptr[0] += 8;
		ptr[1] -= 1;
	}
	while (ptr[0]) {
		ptr[0] -= 1;
		ptr[2] += 1;
		ptr[3] += 1;
		ptr[5] += 1;
		ptr[7] += 1;
		ptr[30] += 1;
	}
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	while (ptr[1]) {
		ptr[0] += 9;
		ptr[1] -= 1;
	}
	while (ptr[0]) {
		ptr[0] -= 1;
		ptr[4] += 1;
		ptr[6] += 1;
		ptr[16] += 1;
		ptr[22] += 1;
		ptr[23] += 1;
		ptr[24] += 1;
	}
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	while (ptr[1]) {
		ptr[0] += 10;
		ptr[1] -= 1;
	}
	while (ptr[0]) {
		ptr[0] -= 1;
		ptr[9] += 1;
		ptr[11] += 1;
		ptr[12] += 1;
		ptr[13] += 1;
		ptr[14] += 1;
		ptr[17] += 1;
		ptr[18] += 1;
		ptr[19] += 1;
		ptr[21] += 1;
		ptr[25] += 1;
		ptr[28] += 1;
		ptr[29] += 1;
	}
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	ptr[1] += 1;
	while (ptr[1]) {
		ptr[0] += 11;
		ptr[1] -= 1;
	}
	while (ptr[0]) {
		ptr[0] -= 1;
		ptr[8] += 1;
		ptr[15] += 1;
		ptr[26] += 1;
		ptr[27] += 1;
		ptr[31] += 1;
		ptr[32] += 1;
		ptr[33] += 1;
	}
	ptr[2] += 1;
	ptr[2] += 1;
	ptr[2] += 1;
	ptr[2] += 1;
	ptr[3] += 1;
	ptr[4] += 1;
	ptr[4] += 1;
	ptr[5] += 1;
	ptr[5] += 1;
	ptr[5] += 1;
	ptr[6] += 1;
	ptr[6] += 1;
	ptr[6] += 1;
	ptr[7] += 1;
	ptr[7] += 1;
	ptr[7] += 1;
	ptr[7] += 1;
	ptr[7] += 1;
	ptr[7] += 1;
	ptr[8] += 1;
	ptr[8] += 1;
	ptr[9] -= 1;
	ptr[9] -= 1;
	ptr[10] += 1;
	ptr[11] -= 1;
	ptr[11] -= 1;
	ptr[11] -= 1;
	ptr[12] += 1;
	ptr[12] += 1;
	ptr[12] += 1;
	ptr[12] += 1;
	ptr[12] += 1;
	ptr[13] += 1;
	ptr[13] += 1;
	ptr[13] += 1;
	ptr[13] += 1;
	ptr[13] += 1;
	ptr[13] += 1;
	ptr[13] += 1;
	ptr[13] += 1;
	ptr[13] += 1;
	ptr[13] += 1;
	ptr[14] += 1;
	ptr[14] += 1;
	ptr[15] -= 1;
	ptr[15] -= 1;
	ptr[15] -= 1;
	ptr[15] -= 1;
	ptr[16] += 1;
	ptr[16] += 1;
	ptr[16] += 1;
	ptr[16] += 1;
	ptr[16] += 1;
	ptr[16] += 1;
	ptr[16] += 1;
	ptr[17] += 1;
	ptr[17] += 1;
	ptr[17] += 1;
	ptr[17] += 1;
	ptr[17] += 1;
	ptr[17] += 1;
	ptr[17] += 1;
	ptr[18] -= 1;
	ptr[18] -= 1;
	ptr[18] -= 1;
	ptr[18] -= 1;
	ptr[18] -= 1;
	ptr[19] += 1;
	ptr[19] += 1;
	ptr[19] += 1;
	ptr[19] += 1;
	ptr[19] += 1;
	ptr[20] += 1;
	ptr[20] += 1;
	ptr[20] += 1;
	ptr[21] -= 1;
	ptr[21] -= 1;
	ptr[21] -= 1;
	ptr[21] -= 1;
	ptr[21] -= 1;
	ptr[22] += 1;
	ptr[22] += 1;
	ptr[22] += 1;
	ptr[22] += 1;
	ptr[22] += 1;
	ptr[23] += 1;
	ptr[23] += 1;
	ptr[23] += 1;
	ptr[23] += 1;
	ptr[23] += 1;
	ptr[24] += 1;
	ptr[24] += 1;
	ptr[24] += 1;
	ptr[24] += 1;
	ptr[24] += 1;
	ptr[25] += 1;
	ptr[26] -= 1;
	ptr[26] -= 1;
	ptr[26] -= 1;
	ptr[26] -= 1;
	ptr[26] -= 1;
	ptr[26] -= 1;
	ptr[26] -= 1;
	ptr[28] -= 1;
	ptr[28] -= 1;
	ptr[28] -= 1;
	ptr[28] -= 1;
	ptr[28] -= 1;
	ptr[29] += 1;
	ptr[31] -= 1;
	ptr[31] -= 1;
	ptr[31] -= 1;
	ptr[31] -= 1;
	ptr[31] -= 1;
	ptr[31] -= 1;
	ptr[33] += 1;
	ptr[33] += 1;
	ptr[33] += 1;
	ptr[33] += 1;

	printf("%s", &ptr[2]); //DASCTF{b3ainfuXk_i5_VVVery_e@sy}

	return 0;
}

LongTime

go程式逆向,先patch Sleep函式。程式主要利用一個等式,v1 = i + 4 * v1 + 1取索引作為斐波那契數列的項數取餘16作為16進位制符號的索引,相當於有兩層對映關係,第一層是一個等式,第二層斐波那契數列的值,最終從16進位制字串中取字元,一個32個。
處理數列相關的實際問題,通常是列出一些項來觀察規律,因此可知斐波那契數列取餘16的數列是在每隔24項重複。

因此等式產生的32個值就可以在24內取餘,作為斐波那契數列的項數,第三層對映非常簡單就不說了,因此問題就解決了。

def get_flag():
    table = "0123456789abcdef"
    fib = [0,1,1,2,3,5,8,13,5,2,7,9,0,9,9,2,11,13,8,5,13,2,15,1]
    idxs = []
    v0 = 0
    v1 = 1
    while v0 < 32:
        idxs.append(v1 % 24)
        v16 = v0
        v15 = v1
        v0 = v16 + 1
        v1 = v16 + 4 * v15 + 1
    for e in idxs:
        print(table[fib[e]],end='')
get_flag()  # 15f559713195b57dd1f9b91d3df55971
to be or not to be, is a question.

相關推薦

2021 Reverse WP

作者cxing,轉載請註明出處。 baby_rust 不知道用了什麼演算法,生成了一張256個位元組的表,動態生成了一系列的索引(似乎是用隨機數種子)取表中的值。我們取32個值即可,然後與加密資料異或即可得到flag,但奇怪的

Reverse & Mobile Writeup(WP)

Mobile AreYouRich 安卓層逆向,但用實際上是可能存在多解的,這點令人有些困惑。主要是輸入使用者名稱和密碼,然後有一系列校驗,以及一堆亂七八糟的操作,很多可能是用來迷惑眼睛的,但這並不重要的,主要演算法在

2021-鶴wp-PWN

onecho 控memcpy引數,把ROP鏈讀到bss段,ROP鏈構造orw,注意清棧 from pwn import * from pwn import p64, u64, p32, u32, p8

深育 Reverse WP

press 直接除錯黑盒分析演算法輸入輸出,發現下一個位元組的依賴於上一個位元組來確定。可以直接將press程式作為一個輸入輸出的模組,從第一個位元組開始列舉比對密文,匹配再進入下一個位元組。以下程式碼需要在指

2021西湖論劍 Reverse(Re) Writeup(WP)

ROR 二進位制位線性變換,直接上z3。 from z3 import * box = [ 0x65, 0x08, 0xF7, 0x12, 0xBC, 0xC3, 0xCF, 0xB8, 0x83, 0x7B,

2021年春秋網路安全聯賽秋季賽 勇者山峰部分wp

1.簽到題-Crypto Vigenere 根據題目Vigenere可看出是維吉尼亞密碼 使用線上網站破解 https://guballa.de/vigenere-solver

2020 天翼 部分wp

天翼 嗚嗚嗚嗚 是我太菜了 Web APItest 原始碼 const express = require("express");

2020首屆釣魚

veryeasy 這題保護全開,不太好利用。 漏洞 在free後沒用清空指標,存在UAF。 這裡需要注意的是存在對free次數的檢查,但是if語句中是無符號數的比較。通過Add 9個以上的chunk使DAT_00302010的值為-1繞過檢查。

ctfshow_1024部分wp

查殺病毒 查殼,貌似有殼 krnkn.fnr易語言核心庫,就是說 易語言的特徵碼在這裡面可以使用

2021年藍橋第一次訓練賽

A TAG:簽到題 題面及程式碼見校內 第一屆ACM校賽——熱身賽 A題 B More Info中有詳細的提示,即注意不要讀入行末的換行符,在此不作過多解釋。

2021強網 [強網先鋒]賭徒

2021強網 [強網先鋒]賭徒 考點: 構造pop鏈 進去就一句話 I think you need /etc/hint . Before this you need to see the source code

2021強網 [強網先鋒]尋寶

2021強網 [強網先鋒]尋寶 考點:1. php原始碼審計2. 指令碼的編寫 給了我們兩個資訊,分邊對應2個KEY,得到2個KEY後就可以獲得flag了

2021強網-賭徒-pop鏈的構造

知識點 pop鏈的構造 前言 第一次在比賽裡做出題!!!好激動哈哈哈 [賭徒]是現學現做的一道php反序列化web題,之前對反序列化漏洞的瞭解只停留在繞過__wakeup魔法方法,和群裡的大佬交流發現原來pwn也有。

2021強網-尋寶

PS:看到WP後血壓拉滿 part 1 <?php header(\'Content-type:text/html;charset=utf-8\'); error_reporting(0);

2021強網的一道題學習docx檔案操作

[強網先鋒]尋寶 啊對就是這道題,大佬們都賊快,菜如我還得慢慢整 key1 大佬們都一筆帶過,哎,雖然簡單,但是也別這麼虐我們啊

buuctf reverse wp(11-13)

Java逆向解密 jd-gui 開啟,檢視核心程式碼 呼叫了 encrypt,在 encrypt 裡會對輸入的內容進行一個 +64^0x20 的操作然後與 key 對比,如果一致就輸出 \"Congratulations!\"

2021"MINIEYE"中超(3)補題

2021\"MINIEYE\"中超(3) 1003 Forgiving Matching 不會fft,會了再補 1004 Game on Plane 首先兩條直線存在交點當且僅當兩條直線斜率不同,所以Alice的最優策略就是最小化斜率出現次數最多的數目,Bob的最優策略就

[2021強網] 賭徒

簡單的pop鏈構造 <?php error_reporting(1); class Start { public $name=\'guest\'; public $flag=\'syst3m(\"cat 127.0.0.1/etc/hint\");\';

2020美亞團體賽WP

為慶祝軟考結束+EDG奪冠,三個人安排五小時打了一波團體,小累~ 2020美亞團體賽WP

2021-安洵-pwn ezstack

ezstack 檢視保護 發現是64位保護全開。 拖進ida檢視 可以看到明顯的格式化字串漏洞和棧溢位