2020第二届网鼎杯 青龙组部分writeup
目录
- Reverse
- jocker
- signal
- bang
Reverse
jocker
前面是一个假的flag,直接跳过omg函数
下面这段代码把0x401500-0x4015ba都亦或了0x41(也就是说在运行时修改了text段的encrypt函数),从而得到真正的encrypt函数
这段代码会把输入与字符串hahahaha_do_you_find_me?
亦或,如果等于0x403040的那一串值,就通过
这串是0x403040:[0x0e, 0x0d, 9, 6, 0x13, 5, 0x58, 0x56, 0x3e, 6, 0x0c, 0x3c, 0x1f, 0x57, 0x14, 0x6b, 0x57, 0x59, 0x0d]
长度为19
我们求出前19个为flag{d07abccf8a410c
然后我们进入final函数,发现压进去5个byte,猜测为剩下的flag
由于剩下的flag中最后一个一定是},我们用}(0x7d)和0x3a亦或,得到0x47
然后用0x47和剩下的4个亦或即可得到flag
最终Exp:
'''fake flag
s = [0x66, 0x6b, 0x63, 0x64, 0x7f, 0x61, 0x67, 0x64, 0x3b, 0x56, 0x6b, 0x61, 0x7b, 0x26, 0x3b, 0x50, 0x63, 0x5f, 0x4d, 0x5a, 0x71, 0x0c, 0x37, 0x66]
flag = ''
for i in range(24):if i % 2 == 1:s[i] += ielse:s[i] ^= iflag += chr(s[i])print flag
'''
part1 = [0x0e, 0x0d, 9, 6, 0x13, 5, 0x58, 0x56, 0x3e, 6, 0x0c, 0x3c, 0x1f, 0x57, 0x14, 0x6b, 0x57, 0x59, 0x0d, 0x25, 0x74, 0x70, 0x26, 0x3a]
part1_s = 'hahahaha_do_you_find_me?'
flag = ''
for i in range(19):flag += chr(part1[i]^ord(part1_s[i]))
guess = ord('}') ^ 0x3a
for i in range(19, 24):flag += chr(part1[i]^guess)print flag
signal
这题有点类似虚拟机吧,反正就是操作码+操作数,F5还是很清晰的
人肉翻译结果如下:
0A 00 00 00 read
04 00 00 00 v5 = 0x10^input[0]
10 00 00 00 pass
08 00 00 00 input[0] = v5
03 00 00 00 v5 = input[0] - 5
05 00 00 00 pass
01 00 00 00 check[0]=v5
04 00 00 00 v5 = 0x20^input[1]
20 00 00 00 pass
08 00 00 00 input[1]=v5
05 00 00 00 v5 = 3 * input[1]
03 00 00 00 pass
01 00 00 00 check[1]=v5
03 00 00 00 v5 = input[2] - 2
02 00 00 00 pass
08 00 00 00 input[2] = v5
0B 00 00 00 v5 = input[2] - 1
01 00 00 00 check[2] = v5
0C 00 00 00 v5 = input[3] + 1
08 00 00 00 input[3] = v5
04 00 00 00 v5 = 4 ^ input[3];
04 00 00 00
01 00 00 00 check[3] = v5
05 00 00 00 v5 = 3 * input[4]
03 00 00 00
08 00 00 00 input[4] = v5
03 00 00 00 v5 = input[4] - 0x21
21 00 00 00
01 00 00 00 check[4] = v5
0B 00 00 00 v5 = input[5] - 1
08 00 00 00 input[5] = v5
0B 00 00 00 v5 = input[5] - 1
01 00 00 00 check[5] = v5
04 00 00 00 v5 = 9 ^input[6]
09 00 00 00
08 00 00 00 input[6] = v5
03 00 00 00 v5 = input[6] - 0x20
20 00 00 00
01 00 00 00 check[6] = input[6]
02 00 00 00 v5 = 0x51 + input[7]
51 00 00 00
08 00 00 00 input[7] = v5
04 00 00 00 input[7] ^= 0x24
24 00 00 00
01 00 00 00 check[7] = input[7]
0C 00 00 00 v5 = input[8] + 1
08 00 00 00
0B 00 00 00
01 00 00 00 same
05 00 00 00 v5 = input[9] * 2
02 00 00 00
08 00 00 00
02 00 00 00 input[9] + 0x25
25 00 00 00
01 00 00 00
02 00 00 00 input[10] + 0x36
36 00 00 00
08 00 00 00
04 00 00 00 input[10] ^ 0x41
41 00 00 00
01 00 00 00
02 00 00 00 v5 = input[11] + 0x20
20 00 00 00
08 00 00 00
05 00 00 00 input[11] * 1
01 00 00 00
01 00 00 00
05 00 00 00 v5 = input[12] * 3
03 00 00 00
08 00 00 00
02 00 00 00 input[12] + 0x25
25 00 00 00
01 00 00 00
04 00 00 00 v5 = input[13] ^ 9
09 00 00 00
08 00 00 00
03 00 00 00 input[13] - 0x20
20 00 00 00
01 00 00 00
02 00 00 00 v5 = input[14] + 0x41
41 00 00 00
08 00 00 00
0C 00 00 00 input[14] + 1
01 00 00 00
操作完之后,操作码7就是check了,根据check的值和上面翻译的操作来逆向,exp如下:
res = [0x22,0x3f,0x34,0x32,0x72,0x33,0x18,0xFFFFFFA7,0x31,0xFFFFFFF1,0x28,0xFFFFFF84,0xFFFFFFC1,0x1e,0x7a]
flag = 'flag{'
flag += chr((res[0]+5)^0x10)
flag += chr((res[1]/3)^0x20)
flag += chr(res[2]+3)
flag += chr((res[3]^4)-1)
flag += chr((res[4]+0x21)/3)
flag += chr(res[5]+2)
flag += chr((res[6]+0x20)^9)
flag += chr(((res[7]&0xff)^0x24)-0x51)
flag += chr((res[8]))
flag += chr(((res[9]&0xff)-0x25)/2)
flag += chr((res[10]^0x41)-0x36)
flag += chr(((res[11]&0xff)-0x20))
flag += chr(((res[12]&0xff)-0x25)/3)
flag += chr((res[13]+0x20)^9)
flag += chr((res[14]-0x42))
flag += '}'
print flag
至于提取操作码和操作数,这里给一个IDA python脚本供大家参考
addr = 0x403040
offset = 0x403208-addr
ans = []
for i in range(offset/4):print(hex(get_wide_dword(addr+i*4)))
bang
使用APK-Scan查壳,发现为梆梆加固
战队的大佬介绍了frida-dexdump的一个脱壳工具,非常方便使用,接下来我们就使用这个工具进行脱壳
首先我们打开模拟器(我这里用的是雷电)
adb shell连接上去
使用adb push 把frida-server文件放到/data/local/tmp目录下,server下载地址
这里有个值得注意的地方,server一定要和你的模拟器或者手机架构一致,电脑上的模拟器(雷电什么的)一般是x86架构,而手机一般是arm的
如果server不对可能会出现:
frida.NotSupportedError: unable to inject library into process without libc
chmod 755,然后启动server
adb forwad 设置转发,然后frida-ps查看启动的进程
frida安装步骤
pip3 install frida
pip3 install frida-tools
用adb install signed.apk安装,运行app
然后使用工具把真正的dex文件导出,地址:https://github.com/hluwa/FRIDA-DEXDump
然后就是dex2jar转为jar文件
最后使用jd-gui打开,发现flag
2020第二届网鼎杯 青龙组部分writeup相关推荐
- CTF 2020 第二届 网鼎杯 第一道 Misc 签到
这是我在超正式的比赛(网鼎杯)中做出的第一道CTF题(甭提有多高兴了) 题目地址: http://29ec1ba945124a9b827414b38f4e29030d0e0910e64e466c.cl ...
- [re]符号执行一把梭:2020网鼎杯青龙组re_signal_wp
[re]符号执行一把梭:2020网鼎杯青龙组re_signal_wp 这道题是2020网鼎杯青龙组的一道逆向提signal,一道虚拟机逆向题目,题目本身不难,可以直接分析也可以符号执行秒掉. 题目分析 ...
- 2020网鼎杯青龙组部分题目writeup
2020网鼎杯青龙组部分题目writeup 0x00 Crypto之boom 0x00 Crypto之boom 下载下来是个exe文件,拖到cmd运行(切记一定不要双击,用cmd打开,双击运行后最后程 ...
- 2022网鼎杯青龙组wp
本次网鼎杯的Crypto部分其实还是比较简单的,解出的人数也较多.感觉405题略难一些,花了比较多的时间,恰巧最后几小时给出的162所用到的求解方式之前遇到过,有幸作为一个CTF新手把这次的比赛密码学 ...
- 【CTF WriteUp】网鼎杯 青龙组 Misc题解复现(整理,WP非原创)
(原本还打算四场Crypto全刷的,结果第四场被教做人了,算了整理点别的当补偿了) (另:求白虎组 Misc-boot 的 WP) Misc 虚幻2 图片在RGB信道各有一张图,提出来 R: G: B ...
- 2020年第二届网鼎杯,青龙队伍题目,共十八道
1.题目选择界面 2.题目内容 最后附上题主保存的部分相关题目附件,有需要的可做参考. 题目附件综合 提取码:bad3 3.答案汇总,收集 来自吾爱破解Steven_David 签到+boom解题方案 ...
- 第二届网鼎杯(第一场:青龙组)web WriteUp
学校战队总排名五十几,web和pwn各拿了一个一血,只能说师傅太强了,不过后来的排名有点起飞,最后半小时,直接从前十名飞出去了~~ filejava 这道题主要考察的是java的xxe漏洞,这个题目总 ...
- 2020网鼎杯青龙组部分题目WP
0x00 Crypto之boom 下载下来是个exe文件,拖到cmd运行(切记一定不要双击,用cmd打开) 找个md5网站解密,得到明文 输入后得到一个方程组,解方程组(找个就不用说了,初中知识) 输 ...
- 网鼎杯青龙组 web题-AreUSerialz
//复现地址:https://buuoj.cn/challenges //开启环境后获得源码一份. <?phpinclude("flag.php");highlight_fi ...
最新文章
- android开发教程
- VC/VS开发问题集锦
- 修改工程生成的文件类型
- 正则 指定开头结尾_Python核心知识系列:正则表达式与JSON
- 10种用户友好的验证码
- apache php mysql_PHP环境搭建(php+Apache+mysql)
- 顺序存储结构与链式存储结构的比较
- CAS实现单点登录SSO执行原理探究超详细
- 剑指offer(28)—数组中出现次数超过一半的数字
- java基于springboot高校后勤报修管理系统
- 第四章 维纳滤波原理及自适应算法
- 武大李星星团队开源的GNSS UPD估计模块(GREAT-UPD)window 下调试
- spire.pdf使用
- Python3+wxPython3+robotframwork+ride3安装步骤
- 什么决定你的江湖地位
- 【机器学习之随机森林】
- Linux进程的详细内容
- 【历史上的今天】8 月 2 日:字节跳动收购 Musical.ly;PlayStation 之父诞生;早期的女性计算机先驱
- ChatGPT和GPT-3.5生成人工智能存在的五个急需解决的缺陷
- java 静态分析_静态代码分析与代码质量安全