【BUUCTF】RE WP

题目地址:https://buuoj.cn/challenges


0x01 easyre

拖入ida看代码,得到flag{this_Is_a_EaSyRe}

分析代码,如果局部变量分配没有失败,输入两个相等的整型数也是可以得到flag的

0x02 reverse1

文件打不开,拖入ida,shift+f12,搜索flag,跟进,交叉引用列表,f5来到源代码

前面str2的'o'换为‘0’,跟进str2为{hello_world},替换后{hell0_w0rld}

后面若输入的str1等于str2,提示这就是flag,flag{hell0_w0rld}

0x03 reverse2

拖入ida,来到关键代码,跟进&flag为 hacking_for_fun}

'i' 和 'r' 换为 '1' ,flag{hack1ng_fo1_fun}

0x04 helloword

拖入exeinfope发现为zip,改后缀名解压,一筹莫展

在kali里strings一波,提交flag{hello_world}显示错误,一筹莫展

拖入android killer反编译,发现flag{7631a988259a00816deda84afb29430a}

0x05 新年快乐

拖入peid查壳,upx壳,在kali里脱壳:upx -d 新年快乐.exe

再拖入ida看代码,得到flag{HappyNewYear!}

0x06 内涵的软件

拖入ida看代码,得到flag{49d3c93df25caad81232130f3d2ebfad}

0x07 xor

拖入ida看代码,分析,v6经异或运算得到global,所以只要将global反推回去就是flag

跟进,找到global

写脚本,得到flag{QianQiuWanDai_YiTongJiangHu}

0x08 reverse3

拖入ida看代码,str先经过sub_4110BE函数变为v1,再经过for函数变为Dest,跟进str2为'e3nifIH9b_C@n@dH'

跟进sub_4110BE函数,发现aAbcdefghijklmn[ ]数组变换,再跟进,发现原来是base64加密

先写脚本将Dest变回v1:e2lfbDB2ZV95b3V9

再base64解密得到flag{{i_l0ve_you}

0x09 不一样的flag

拖入ida看代码,1234对应上下左右,迷宫题,shift+f12找到迷宫

边界为‘1’,终点为'#'

走迷宫,flag{222441144222}

0x0A 刮开有奖

拖入ida看代码,string长度为8,v9到v19进行了转换

跟进sub_4010F0函数,带入数组运行代码,得到:3CEHJNSZagn

跟进sub_401000,再跟进byte_407830,发现v6v7进行了base64加密

string就是flag,第1位是转换后的v9+34='U',第2位是转换后的v13='J'

将v6,v7解密得到jMp,WP1,那3~8位对应位置是什么呢?

跟进发现v6对应6~8位,v7对应3~5位,所以flag{UJWP1jMp}

0x0B SimpleRev

拖入ida来到关键函数Decry,由23行知道text=killshadow,24 25行知道key=ADSFKNDCLS

由30~35行知道对key进行处理,由48~59行知道多次输入的v1若满足条件,就对str2进行处理,最后若str2与text相等则依次输入的字符v1就是flag

写脚本,得到flag{KLDQCUDFZO}

0x0C Java逆向解密

得到class文件,拖入jd-gui看java代码

8~14行代码:输入字符串str,带入Encrypt函数

20~22行代码:通过for循环对str进行或运算,存入Resultlist

24~27行代码:将数组KEY存入KEYList

30~31行代码:若Resultlist=KEYList,则输入的str正确

写脚本,得到flag{This_is_the_flag_!}

0x0D findit

拖入apkIDE,看到两组16进制数

分别转ascii得到:ThisIsTheFlagHome,pvkq{m164675262033l4m49lnp7p9mnk28k75}

凯撒解密得到flag{c164675262033b4c49bdf7f9cda28a75}

0x0E rsa

一个公钥,一个加密,改后缀名txt就能看到

用openssl解析公钥

模数(n):C0332C5C64AE47182F6C1C876D42336910545A58F7EEFEFC0BCAAF5AF341CCDD

指数(e):65537

将n转为10进制再解析,p=285960468890451637935629440372639283459

q=304008741604601924494328155975272418463

用rsatool生成私钥private.txt

用openssl解密,得到:flag{decrypt_256}

0x0F CrackRTF

总体思路:程序中输入两段字符串,若满足对应条件,就会生成一个含有flag的rtf文档

拖入ida看代码,第一部分,输入字符串长度为6,且大于100000(atoi函数是将字符串数字变为整型数字),猜测输入的是6个数字

第二部分,在输入后加上"@DBApp",再进入40100A函数处理后与

"6E32D0943418C2C33385BC35A1470250DD8923A9"进行比较,跟进发现是哈希加密,加密后字符串40位,猜测SHA1加密,写脚本爆破得到:123321@DBApp

第三部分,输入字符串长度为6,后面加上“123321@DBApp”,再经过401019函数处理后与

"27019e688a4e62a649fd99cadaafdb4e"进行对比,跟进发现是哈希加密,加密后字符串32位,猜测MD5加密,因为输入不一定是数字了,所以这里不能爆破

第四部分,跟进40100F,先找到“AAA”文件,再将“AAA”的数据与字符串传入401005函数进行处理,最后得到sbapp.rtf文件,跟进发现就是字符串与“AAA”数据循环异或

(其中v5是字符串长度,a3是“AAA”长度,a2是“AAA”的数据)

我们用ResourceHacker打开exe,找到"AAA"的数据

先搜索rtf文件格式,“{/rtf1/ansi/ansicpg936....”,然后我们将不能爆破的那6个字符异或出来,就是 “~!3a@0”

至此破解过程结束,打开程序输入字符串,找到rtf文件,得到:flag{N0_M0re_Free_Bugs}

0x11 [GUET-CTF2019]re

脱壳

看代码,输入为v4,如果4009AE返回非0,则就是flag

跟进,v4从前往后若满足if里的等式,就返回0

试着用WPS修改代码,写脚本,运行,得到:flagze65421110b0a3089a1c039337P

猜测flag{e65421110b0a3089a1c039337},提交失败。。

之后看别人的wp,才知道可能计算那里有误差,而且出题人漏了一个a[6]=49(也就是字符“1”)

用z3解出每个a[i]的值,z3安装教程:https://www.jianshu.com/p/c923cbfd67c5

运行算出a1[i]的值,加上a[6]=49,再转字符串,flag{e165421110ba03099a1c039337}

0x12 [SUCTF2019]SignIn

看代码,输入为v8,v8处理后传给v9。分别得到v4,v5,v7的值,v6的值由v9得来。

__gmpz_init_set_str(a,b,c)函数是指将b以c进制的方式存入a

跟进处理v8的函数,跟进byte_202010,这组数对应ascii的‘0’到‘f’,所以函数大概意思就是将字符串a1(v8)转为十六进制a2(v9)

__gmpz_powm(a,b,c,d)函数是指将b的c次方*mod(d)存于a。最后v6再与v7进行比较,联想到rsa加密

这里v7是密文,v5是e,v4是N,可以求得v6。先将N分解得到  p =  282164587459512124844245113950593348271   q =  366669102002966856876605669837014229419

脚本解密,v6=185534734614696481020381637136165435809958101675798337848243069

转为16进制,v9=0x73756374667b50776e5f405f68756e647265645f79656172737d

转为字符串就是v8,suctf{Pwn_@_hundred_years}

0x13 [GWCTF 2019]pyre

在线反编译,得到代码,从input1[0]到input[22]进行异或就能得到code

先将code转ascii码,再异或:

再逆运算,GWHT{Just_Re_1s_Ha66y!}

0x14 [2019红帽杯]easyRE

化简代码,如果input1长度为36,亦或后与栈上的数据对比

运行脚本,得到input1Info:The first four chars are `flag`

如果input2长度为39,进行10次400E4的函数处理(跟进后发现是base64加密),与字符串比较0x

解密10次,得到input2:https://bbs.pediy.com/thread-254172.htm,访问网址....(黑人问号??)

后来发现off_6CC090下面还有一个常量,由400D35调用

跟进400D35,对v3进行两次异或处理,第一次异或后就是v6,可以通过“flag”反推得到v6(包含4个字符)

第二次用一个数组与v6异或,跟进可以得到数组

化简代码

写脚本,得到v0:flag{Act1ve_Defen5e_Test}

0x15 [GXYCTF2019]luck_guy

输入lucky number,作为函数参数

输入为偶数才执行get_flag

四次随机取数,只有1,4,5才能输出flag,还要考虑顺序

s为f2赋值,for循环为f2处理,f1+f2就是flag了

得到flag{do_not_hate_me}

0x16 [BJDCTF2020]JustRE

来到关键代码,sprintf语句

aBjdDD2069a4579=“BJD{%d%d2069a45792d233ac}”,再将两个数字填入

最后SetWindowTextA弹框显示String,BJD{1999902069a45792d233ac}

0x17 [ACTF新生赛2020]easyre

upx脱壳,分析代码

flag的ascii码值减1为坐标,v4与_data_start__作比较,ACTF{U9X_1S_W6@T?}

0x18 [BJDCTF2020]easy

发现flag输出是在_ques函数(地址0x00401520),调试

修改EIP地址即可,flag{HACKIT4FUN}

0x19 [GWCTF 2019]xxor

input为v6(6个数字),每次对两个数字进行处理,跟进得unk_601060=[2,2,3,4],再进行一个if判断

先跟进sub_400770,要返回1才行

用z3算出v11[2],v11[3],v11[4]

再根据for循环的异或处理,逆算回去即可

flag{re_is_great!}

0x1A [ACTF新生赛2020]usualCrypt

跟进sub_401080,先执行sub_401000函数,byte_40E0AA和BASE64_table_40E0A0偏移为10,使base64的密钥表在一定范围的字符两两交换

再执行base64加密,最后sub_401030函数是大小写交换

写逆向脚本,运行,flag{bAse64_h2s_a_Surprise}

0x1B [WUSTCTF2020]level1

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,378评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,356评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,702评论 0 342
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,259评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,263评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,036评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,349评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,979评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,469评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,938评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,059评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,703评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,257评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,262评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,485评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,501评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,792评论 2 345

推荐阅读更多精彩内容