re 2021强网杯复现

最新推荐文章于 2025-04-09 13:57:53 发布
最新推荐文章于 2025-04-09 13:57:53 发布
阅读量298 收藏 1
点赞数 2
CC 4.0 BY-SA版权
文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75098930/article/details/134487064
文章讲述了对一种看似简单的64位elf加密算法的深入解析,涉及到xtea和tea加密技术,发现其实际上是利用积分操作进行加密,并且有复杂的轮数和额外的xor操作。解密过程需要恢复额外的xor值并使用特定的解密函数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ezmath

64位elf,看起来逻辑挺简单,接受38位的输入

但是,最开始我以为是个很简单的对称加密,仔细看了看比较绕,实现了类似数列的一种吧

v3的初值是在运行中修改了的,静态的时候看着是0.2021

如果直接解密,很容易发现,用不了几轮,v3 的值就溢出了,这里很明显是两位输入用的int16来接受的

结合师傅的wp,发现这里是一个求积分的操作,没看出来,确实厉害

那直接把数据提取出来就行了

def fun(an,i):
    v3=0.0004829108052495089
    an_1=2.718281828459045 -an*i
    if an_1>0 and an_1<0.00015:
        #print(hex(i))
        print(chr(int("0x" + hex(i)[4:6],16)-1), end="")
        print(chr(int("0x" + hex(i)[2:4],16)), end="")

for j in range(len(encode)):
    for i in range(8225,65535):
        fun(encode[j],i)

flag{saam_dim_gei_lei_jam_caa_sin_laa}

longtimeago

有点像一个xtea

for i in range(100):
    a-=0x70C88617
    a&=0xffffffff
    #print(hex(a))
    if a==0xE6EF3D20:
        print(i)

确定轮数为32轮,xtea比较容易识别,但是tea确实有点难看

这里v7+=a3这一行,是加delta的操作

v6=0,a3+v6+4就是0x3D3529BC

这是左移4位

这是右移5位

最后,对tea加密分析的结果是

混淆得太厉害了,只能照着师傅们的wp恢复

其中,每一个加密中有一个额外的xor,还得恢复这个,分别异或的是0xfd,0x1fd,0x3fd,0x7fd

解密代码如下

#include <stdio.h>
#include <stdint.h>


//解密函数
void decrypt_xtea(unsigned int num_rounds, uint32_t v[2], uint32_t const key[4]) {
	unsigned int i;
	uint32_t v0 = v[0]^0xfd, v1 = v[1]^0x1fd, delta = 0x70C88617, sum = 0xE6EF3D20;
	for (i = 0; i < num_rounds; i++) {
		v1 -= (((v0 << 4) ^ (v0 >> 5)) + v0) ^ (sum + key[(sum >> 11) & 3]);
		sum += delta;
		v0 -= (((v1 << 4) ^ (v1 >> 5)) + v1) ^ (sum + key[sum & 3]);
	}
	v[0] = v0; v[1] = v1;
}


//加密函数

//解密函数
void decrypt_tea(uint32_t* v, uint32_t* k) {

	uint32_t delta = 0x3D3529BC;
	uint32_t v0 = v[0]^0x3fd, v1 = v[1]^0x7fd, sum = 32*delta, i;
	
	uint32_t k0 = k[0], k1 = k[1], k2 = k[2], k3 = k[3];
	for (i = 0; i < 32; i++) {
		v1 -= ((v0 << 4) + k2) ^ (v0 + sum) ^ ((v0 >> 5) + k3);
		v0 -= ((v1 << 4) + k0) ^ (v1 + sum) ^ ((v1 >> 5) + k1);
		sum -= delta;
	}
	v[0] = v0; v[1] = v1;
}



int main()
{
	// v为要加解密的数据,两个32位无符号整数
	uint32_t v[] = { 
0x1F306772,0xB75B0C29,0x4A7CDBE3,0x2877BDDF,0x1354C485,0x357C3C3A,0x738AF06C,0x89B7F537
 };
	// k为加解密密钥,4个32位无符号整数,密钥长度为128位
	uint32_t k[4] = { 0x0FFFD, 0x1FFFD, 0x3FFFD, 0x7FFFD };
	//uint32_t k[4] = { 2, 0x0FFFD, 0x420800,0 };
	int n = sizeof(v) / sizeof(uint32_t);
	// num_rounds,建议取值为32
	unsigned int r = 32;
	//printf("加密前原始数据:0x%x 0x%x\n", v[0], v[1]);
	//encrypt(r, v, k);
	//printf("加密后的数据:0x%x 0x%x\n", v[0], v[1]);
	decrypt_xtea(32, v, k);
	decrypt_xtea(32, &v[2], k);
	decrypt_tea(&v[4], k);
	decrypt_tea(&v[6], k);
	
	for (int i = 0; i < 8; i++) {
		printf("%X", v[i]);
	}
	printf("\n");
	return 0;
}

CD402B6A139283822F0DEA49E65794356F44EA9B3F56652F2DA39881EC491878

[网络安全提高篇] 一一〇.CTF的Web Write-Up(上) 寻宝、赌徒、EasyWeb、pop_master
杨秀璋的专栏
06-15 3万+
作为国内最好的CTF比赛之一,搞安全的博友和初学者都可以去尝试下。整体而言,比赛题目的水准仍然非常高,尤其是RE和PWN,包括Web,所以还是有很多知识点值得我们学习的。最后,非常感谢参考文献的大佬们,尤其是Nu1L战队(推荐VX关注他们),也感谢许多参加比赛的伙伴和博友们。如果您是一名安全初学者,不妨多参加比赛,每一次CTF比赛都能让我们学到很多东西,即使是赛后的WP,也能成长不少。同时有个遗憾,比赛完后题目不能打开复现,将就看吧。
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
热门推荐
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
-JustRe
40KO的博客
05-28 1854
Windows32位程序,无壳,编译器版本还算高。 主函数除了CFG有点诡异外,流程十分简单。 进入第一个check函数,可以看到大量SSE指令,前面一些基本的判断很不好看,直接调试看结果 .text:00401682 060 movd xmm0, eax .text:00401686 060 pshufd xmm5,...
2021】Write-Up真题PWN和RE部分(推)
kali_Ma的博客
06-16 1576
前言 不得不说的反作弊做的真心不错 re 不一样 真心可以 话不多说,请往下看: baby_diary 参考实现堆块复用,后面就是常规题目 EXP # encoding:utf-8 from pwn import * libc=ELF('./libc-2.31.so') def add(size,data='a'): p.recvuntil('>> ') p.sendline('1') p.recvuntil('ize: ') p.sendline(str(size)) p.
2021 LongTimeAgo
VRMEI的博客
06-20 833
我们这题被锤了,理由是与摘星实验室wp重合度高 重合度有多高我不知道,但是我们所有人都压根没听说过这个实验室 所以我这里放一个更加细致的wp,不想让几十个小时的努力
2023
2202_75317918的博客
01-20 1529
当时看到这个题目 也是觉得易懂 并且可以解出来的但是数字实在是过大了兄弟题目意思是计算2^27的阶乘,并获取得到每一位数的数字之和,flag即为该数字的sha256编码2^27为134217728gmpy2包是支持大数运算的,故利用其fac方法进行尝试,在等待一段时间后可以得到对应的结果参考了其他师傅的wp得到运行结果为:4495662081然后利用一个在线工具进行sha256加密即可得到flag。
wp
Sentiment的博客
07-22 1154
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 wp PWN PWN no_output 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import nu
2019部分writeup
Sea_Sand息禅
06-04 5735
Web 1、UPLOAD 复现环境https://github.com/CTFTraining/qwb_2019_upload 先看一下站情况: 是一个注册可登录的界面,登陆之后可以上传图片,一个账号只能上传一次。 扫一下后台目录,发现upload是泄露的,www.tar.gz是泄露的。 www.tar.gz下载下来是站的源码,upload则是我们上传的文件,找到上传文件的源码: &lt...
[网络安全提高篇] 一二九.Powershell恶意代码检测 (5)混淆和反混淆 [上]
最新发布
杨秀璋的专栏
04-09 522
前文介绍了如何利用MS Defender实现恶意样本家族批量标注。这篇文章将继续讲解Powershell恶意代码检测,主要包括PowerShell混淆与反混淆内容,首先结合Invoke-Obfuscation工具详细介绍PowerShell代码混淆方法,再结合PowerDecode工具阐述解混淆方法。该研究将为后续的恶意软件家族分类或溯源提供帮助。未完待续,基础性文章,希望您喜欢,且看且珍惜。
buuctf刷题
qq_41788704的博客
10-28 2164
buuctf刷题BJDCTF2020 Easy MD5 2020 青龙组 AreUSerialzGYCTF2020 Blacklist 2019 随便注 BJDCTF2020 Easy MD5 进来就是一个输入框,发包查看返回信息 可以看到SQL语句。这里猜想MD5出来的值会不会可以可以这样利用 select * from ‘admin’ where password=’‘or’1’ 这段PHP代码可以找到MD5出来的值类似于 '‘or’1…’ <?php for ($i = 0;;)
2020 Blockchain IPFS
lwq787998189的博客
08-24 790
2020 Blockchain IPFS 首先观察题干,下载附件后位如下的文本文档。 两张图片分别为pic1.jpg和pic2.jpg。然后pic2给出了文件的sha256sum,pic1被分为6个碎片进行存储,并给了每个碎片的文件哈希。 了解IPFS的人应该知道,IPFS里面文件哈希均以Qm开头。这是因为IPFS采用了MultiHash技术。原理就是在原有哈希值的前面加上sha-256编码(0x12)和32字节的哈希摘要(0x20),并进行base58编码,最终得到Qm开头的哈希地址。因此在本题中
-crypto modestudy
osier12345的博客
09-01 710
1、modestudy 这道题nc过后发现该题分为六个部分 (1)challenge1 [$] challenge 1 [+] cookie:session=6b1f33a78c5b9c17;admin=0;checksum=552ebbeb9276a8cd9f741b7d29f8c9e1eb455757207ac420659e7eab56ddee25 [+] checksum=aes128cbc.encrypt(session=6b1f33a78c5b9c17;admin=0) [+] only admi
Web部分review
weixin_34183910的博客
06-03 400
0x01 上个月结束,看了一下Web题目,代码审计及php 反序列化等。本着学习的态度,试着本地复现一下。靶机下载:https://github.com/glzjin/qwb_2019_upload 0x02 upload 注册账号并登入,登入之后可以上传图片,并且可以正常查看。这里可以想到与图片马结合进行getshell。 然后使用目录扫描器,发现 /www.tar.gz 可以...
-2022-GameMaster(.NET+C#+提取文件+z3爆破)
qq_54894802的博客
06-18 438
分析下面的代码,可以知道,这部分实现的代码,就是根据我们的按键,施行对应的操作,其中Enter键和space键,对应的函数下都有deal和stand,hit键,如果简单的玩过一下这个游戏,我们很容易知道,这几个函数实现的功能就是进行输赢的判断和检测自己的金钱还有多少,游戏是否继续。我们可以找到一个MZ的头,我们将其前面的数据删除,然后将其加入dll的后缀,因为此文件是以dll文件的形式载入我们的程序的。这里我们可以发现,是读取了我们的附件所给的gamemesage里面的数据,读取到filestream,
第七届-PWN-【WTOA】
llovewuzhengzi的博客
08-23 1133
由于指令集和运行时环境本身与web场景并不绑定,因此随着后来的发展,WebAssembly指令集出现了可以脱离浏览器的独立运行时环境,WebAssembly的用途也变得更加广泛。相比于浏览器的运行时,wasmtime是一个独立运行时环境,它可以脱离Web环境来执行wasm代码。根据字符串定位时发现没有引用的,后来发现是通过偏移的,发现第 3 个参数原来是 .rodata.wasm 段内的偏移值。起改为flag的偏移,然后show可以泄露处flag,当然长度不够,再把size改大就行。
2022 WriteUp By Nu1L:网络安全爱好者的宝藏资源
gitblog_06660的博客
10-31 534
2022 WriteUp By Nu1L:网络安全爱好者的宝藏资源 【下载地址】2022WriteUpByNu1L分享 本资源文件包含了2022年第六届“”全国网络安全挑战赛的WriteUp,由Nu1L团队提供。该WriteUp详细记录了比赛中的解题思路、技术细节以及最终的解决方案,适合对网络安全感兴...
2021wp
灰太的表格的博客
06-15 2257
(这次比赛做出的四个web总结下。赛后过的两天才写的wp的有好多可能没记录到,自己还比较菜,师傅们轻点喷。。) 赌徒 寻宝 pop_master easyweb 赌徒 打开提示/etc/hint文件。源码泄露有web.zip <meta charset="utf-8"> <?php //hint is in hint.php error_reporting(1); class Start { public $name='guest'; public $flag='sys
2023年第七届初赛 WP
渗透测试研究中心
12-22 8268
最坏情况下,前5次全输,需要87步即可达到260分,即第92轮时,因此可以通过本题。利用SQL注入修改data数据的值,本题data是数组,且会插入数据库,最终的payload需要改一下让前后闭合,且TP5,在上找一个链子的EXP改一下。当然,前一题的SQL注入点依然存在,不过依然需要鉴权进入后台,这意味着,只需要我们能进入后台,就能通过load_file的方式读取flag。简单来说,就是能set任意的值,例如下方的payload,就能注入一个snowwolf的键,且值为wolf,4代表数据长度。
2022——WEB
weixin_43610673的博客
08-02 1879
www.zip下载源码,可见黑名单过滤。开启了spl_autoload_register没有做限制的话,在反序列化实例化一个test类的时候,spl_autoload_register会自动去当前目录下包含文件名为test.php或者是test.inc上传一个inc,再生成反序列化数据,最后去config.inc.php包含,执行木马。...
SQL漏洞复现教程与脚本解析
资源摘要信息:"SQL题目复现php.zip是一个与相关的安全竞赛题目的复现项目,该项目使用PHP语言编写,并通过MySQL数据库存储和处理数据。该压缩包中包含了多个文件,其中README.md文件可能提供了关于复现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值