BUU NPUCTF2020

最新推荐文章于 2023-06-12 13:51:35 发布
最新推荐文章于 2023-06-12 13:51:35 发布
阅读量391 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: # RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43876357/article/details/108931605
本文探讨了一段看似Base64编码但隐藏加密细节的代码,通过爆破和逻辑分析揭示了隐藏的flag。作者揭示了三次加密过程,并提供了关键脚本,展示了如何逐步解开谜团获取flag:NPUCTF{0bfu5er}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x0 你好sao啊

f5发现主函数逻辑很简单,直接找到关键函数进入:

void *__fastcall RxEncode(const char *a1, int a2)
{
  void *result; // rax
  int v3; // [rsp+18h] [rbp-38h]
  signed int v4; // [rsp+1Ch] [rbp-34h]
  int v5; // [rsp+20h] [rbp-30h]
  signed int v6; // [rsp+24h] [rbp-2Ch]
  int v7; // [rsp+28h] [rbp-28h]
  int v8; // [rsp+28h] [rbp-28h]
  signed int i; // [rsp+2Ch] [rbp-24h]
  _BYTE *v10; // [rsp+30h] [rbp-20h]
  void *s; // [rsp+38h] [rbp-18h]

  v3 = 3 * (a2 / 4);
  v4 = 0;
  v5 = 0;
  if ( a1[a2 - 1] == '=' )
    v4 = 1;
  if ( a1[a2 - 2] == '=' )
    ++v4;
  if ( a1[a2 - 3] == '=' )
    ++v4;
  if ( v4 == 3 )
  {
    v3 += 2;
  }
  else if ( v4 <= 3 )
  {
    if ( v4 == 2 )
    {
      v3 += 3;
    }
    else if ( v4 <= 2 )
    {
      if ( v4 )
      {
        if ( v4 == 1 )
          v3 += 4;
      }
      else
      {
        v3 += 4;
      }
    }
  }
  s = malloc(v3);
  if ( s )
  {
    memset(s, 0, v3);
    v10 = s;
    while ( v5 < a2 - v4 )
    {
      v6 = 0;
      v7 = 0;
      while ( v6 <= 3 && v5 < a2 - v4 )
      {
        v7 = (v7 << 6) | (char)find_pos(a1[v5]);
        ++v6;
        ++v5;
      }
      v8 = v7 << 6 * (4 - v6);
      for ( i = 0; i <= 2 && i != v6; ++i )
        *v10++ = v8 >> 8 * (2 - i);
    }
    *v10 = 0;
    result = s;
  }
  else
  {
    puts("No enough memory.");
    result = 0LL;
  }
  return result;
}

拿到之后乍一看感觉很像base64,输入32位转成24位,但其实仔细看下发现不同。

这里选择直接爆破:

table="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz01234{}789+/="
c="9E9B9C B5FE70 D30FB2 D14F9C 027FAB DE5965 63E740 9DCDFA"
c=c.split()
for i in range(len(c)):
    c[i]=eval("0x"+c[i])

print(c)
for x in c:
    t=0
    for i in range(len(table)):
        for j in range(len(table)):
            for k in range(len(table)):
                for l in range(len(table)):
                    t=(0<<6)|i
                    t=(t<<6)|j
                    t=(t<<6)|k
                    t=(t<<6)|l
                    if(t==x):
                        print(table[i]+table[j]+table[k]+table[l])
                        print(i)
                        print(j)
                        print(k)
                        print(l)

'''
npuctf{w0w+y0U+cAn+r3lllY+dAnc3}
'''

得到的结果把带有=的删掉,剩下的拼接起来就是flag~

0x1 Baby Obfuscation

通过三条加密:

直接上脚本吧:

AOX = [78, 78, 85, 59, 80, 64, 115, 46, 98, 96, 117, 53, 97, 108, 125]
v = [2, 3, 4, 5]

for i in range(len(AOX)):
    AOX[i] ^= v[i % 4]
    AOX[i] += v[i % 4]
for i in range(len(AOX)):
    print(chr(AOX[i]), end="")

'''
NPUCTF{0bfu5er}
'''

 

BUUCTF [NPUCTF2020]芜湖
weixin_53349587的博客
01-09 3223
这道题是一个base64隐写,我们要先提取出所有的base加密值,然后用base隐写提取的函数,把flag提取出来,就得到了flag。 1.提取base值 本来想着用ida动调一下,应该可以提出来,结果值在堆上面,ida动调只能看到一半的base值,一点用也没有,没办法,就用pwn的pwndbg查看堆: 接下来就一直单步s运行下去,一个一个把base值提取出来,得到最终的base值: "55y85YmN6YeN5aSN55qE6aOO5pmvLG==", "5riQ5riQ5qih57OK5L
[NPUCTF2020]Classical Cipher
2er0!=O的博客
07-23 1271
[NPUCTF2020]Classical Cipher 附件: key.txt: 解密后的flag请用flag{}包裹 压缩包密码:gsv_pvb_rh_zgyzhs 对应明文: ***_key_**_****** 词频分析 得到压缩包密码: 第一个尝试无果,发现第二个才是正确的密码: the_key_is_atbash 猪圈加动物???? 解密得到flag: classicalcode 根据题目要求套上flag提交即可! ...
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
buuctf————[NPUCTF2020]你好sao啊
yhfgs的博客
10-03 1149
1.查壳。 无壳,64位。 2.IDA分析。 查看字符串。(有疑似base64加密方式。) 跟进关键字符串:Congratulations! 反编译 可以看出关键函数是RxEncode,跟进查看。 分析代码。 (刚才看到base64的特点,以为会是base64换表加密。但看到关键代码,才发现不是。但可能与base64加密有关。) 百度了一下base64的加解密原理:C语言实现Base64编码/解码_开挂的熊猫-CSDN博客 发现这是一个base64解密函数(我屮,离谱,...
[NPUCTF2020]你好sao啊
寻梦&之璐
04-10 2253
文章目录拖进idaRxEncode(&s, 33)strcmp分析过程脚本 拖进ida 找到关键函数RxEncode(&s, 33) RxEncode(&s, 33) void *__fastcall RxEncode(const char *a1, int a2) { void *result; // rax int v3; // [rsp+18h] [rbp-38h] signed int v4; // [rsp+1Ch] [rbp-34h] int v5; /
[NPUCTF2020]这是什么觅
sm1918451478的博客
10-30 811
BUUCTF·[NPUCTF2020]这是什么觅🐎·WP
[NPUCTF2020]共 模 攻 击
2er0!=O的博客
08-01 1063
[NPUCTF2020]共 模 攻 击 附件: hint.py: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPrime(32), getP
[NPUCTF2020]EzRSA
2er0!=O的博客
07-25 703
[NPUCTF2020]EzRSA 附件: from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 fla
[NPUCTF2020]认清形势,建立信心
2er0!=O的博客
08-01 633
[NPUCTF2020]认清形势,建立信心 附件task.py: from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(p
Obfuscation.sh,ollvm移植到LLVM10.0.1以及更高版本的脚本
10-10
Obfuscation.sh,Obfuscation移植到LLVM10.0.1以及更高版本的脚本,使用方法:https://blog.csdn.net/tabactivity/article/details/108995746
[NPUCTF2020]Baby Obfuscation
m0_46296905的博客
05-02 720
题目:[NPUCTF2020]Baby Obfuscation 64位无壳程序 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // ebx int v5; // esi int v6; // ebx int v7; // ebx int v8; // esi int v9; // ebx int v10; // ebx int v11;
[NPUCTF2020]这是什么觅-BUUCTF
yuqie的博客
06-12 809
底下有行字:F1 W1 S22 S21 T12 S11 W1 S13,第一个字母正好是星期的首字符,后面的数字有一位也有两位,一位的 好理解,就是对应星期下面的第几个数字,比如F1就代表FRI(星期五)下的第一个日期就是 3;出现两位数字的是因为星期首字符有重复比如星期二和星期四首字符都是T,那T1,T2按顺序就是星期二,星期四,全部替换后的数字是:3 1 12 5 14 4 1 18,对应26个英文字母的就是calendar。flag就是flag{calenar}!添加压缩包后缀并解压得到一张图片。
[NPUCTF2020]认清形势,建立信心-WP
luoluopeach
09-10 732
题目: from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e,
[NPUCTF2020]Baby Obfuscation [HDCTF2019]MFC
寻梦&之璐
06-02 741
文章目录[NPUCTF2020]Baby Obfuscation把五个Fox分析一下F0X1(int a, int b):运用辗转相除法求得最大公因数(学到一个词汇:最大公约数GCD,最小公倍数LCM)F0X2(bool a, bool b):仅有一种情况返回真:a\==b==0F0X3(bool a, bool b):仅有一种情况返回真:a\==b==1F0X4(int a, int b):解析返回值是a-bF0X5(int a, int b):返回值是a^b^整体分析 [NPUCTF2020]Baby
CTF逆向-[NPUCTF2020]Baby Obfuscation-逆向思维编写脚本以及函数含义的逻辑理解
serfend's blog
04-27 916
CTF逆向-[NPUCTF2020]Baby Obfuscation-逆向思维编写脚本以及函数含义的逻辑理解 来源:https://buuoj.cn/ 内容: 附件: https://pan.baidu.com/s/1jjjo11izhnEUQaLx00993w?pwd=pxdj 提取码:pxdj 答案:NPUCTF{0bfu5er} 总体思路 根据执行逻辑分析每个函数的含义 逻辑思维简化题目的代码,将其理解成较为简短的句子 逆向思维去编写脚本 详细步骤 查看文件内容 打开以后发现主函数里
[NPUCTF2020]Baby Obfuscation 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-17 5240
buuctf-[NPUCTF2020]Baby Obfuscation 题解
[NPUCTF2020]ezinclude
08-10 1171
看一下源码,好像是哈希长度扩展攻击,但是不知道长度,所以不太可能用爆破, 然后在response里给了hash值,直接pass传一下, 会提示跳转到flflflflag.php。直接跳转, 这里如果直接用浏览器打开的话,会跳转到404.html,这里看到一个文件包含,使用伪协议读一下flflflflag.php的源码, /flflflflag.php?file=php://filter/read=convert.base64-encode/resource=flflflflag.p..
buu zip
最新发布
03-14
### BUU ZIP 文件格式解压方法与工具 #### 1. ZIP伪加密原理分析 ZIP伪加密是一种通过修改文件结构来实现看似加密的效果的技术。实际上,这种技术并未真正对数据进行加密处理,而是通过对特定字段的篡改使得某些解压工具无法正常读取文件内容[^1]。 在标准ZIP文件中,“压缩源文件数据区”的头部标记为`50 4B 03 04`,而“压缩源文件目录区”的头部标记为`50 4B 01 02`。如果存在伪加密,则通常会在“压缩源文件目录区”中的某个标志位上设置特殊值(如第9个字节被设为非零)。这会误导部分解压程序认为该文件需要密码才能打开[^2]。 #### 2. 解除BUU ZIP伪加密的方法 对于带有伪加密特性的ZIP文件,可以通过手动编辑其二进制数据的方式解除此限制: - 使用十六进制编辑器定位到`50 4B 01 02`对应的区域; - 找到该区域内偏移量为8的位置(即第9个字节),将其值由非零改为`00`; - 完成上述操作后保存更改并尝试重新加载ZIP档案,此时应能成功访问其中的内容而不需输入任何密码。 需要注意的是,在实际应用过程中应当谨慎对待未知来源或者未经验证安全性的压缩文档,以免遭受恶意软件攻击或其他形式的信息泄露风险。 #### 3. 推荐使用的工具 以下是几款适用于处理此类问题的专业级工具列表: - **HxD**: 这是一款功能强大的免费十六进制编辑器,支持大容量文件查看与修改,并具备直观易用的操作界面。 - **WinHex**: 另一款知名商业产品,除了基本功能外还提供了丰富的附加特性,例如磁盘镜像创建/恢复以及高级数据分析选项等。 - **7-Zip**: 虽然主要用于常规存档管理任务,但它也内置了一个简单的HEX视图模式,允许用户快速浏览小型文件内部结构。 这些工具有助于识别潜在的安全隐患并通过适当手段加以解决。 ```python # 示例代码展示如何利用Python脚本自动修复ZIP伪加密问题 import os def fix_zip_pseudo_encryption(zip_path): with open(zip_path, 'r+b') as f: data = bytearray(f.read()) # 查找压缩源文件目录区位置 dir_header_pos = data.find(b'\x50\x4B\x01\x02') if dir_header_pos != -1: encryption_flag_byte_index = dir_header_pos + 8 # 修改第九个字节为00表示无加密状态 data[encryption_flag_byte_index] &= ~0x0F # 将改动写回原文件 f.seek(0) f.write(data) if __name__ == "__main__": target_file = r"C:\path\to\target.zip" fix_zip_pseudo_encryption(target_file) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值