杭电CTF 练习题RE WP

密码

1. BAABAABBAAAAAAAABABBABABBBAABABAABBABBBAABBABAABAA
提示:答案是十个字母

直接培根密码解密

RE

1. Beat our dice game and get the flag

拖进IDA太乱了,但可以找到关键字符串,拖进OD查看

杭电CTF 练习题RE WP_第1张图片

显然最后要达成的就是31337然后获得flag,规则是掷色子,试试看能不能爆破

一路单步执行最终调试到这里,显然是有个rand模块的

杭电CTF 练习题RE WP_第2张图片

继续往下就看到cmp语句的比较然后跳转,试着nop掉,依次类推

杭电CTF 练习题RE WP_第3张图片

最后全部改完就可以拿到flag了

2. 从所给文件中找flag

下载下来的文件无文件尾,去linux里用file命令查看文件尾,最后知道其文件尾为.tar.xz,改名后解压出来了六个文件

重复上一个步骤

乍一看,感觉只有文件1有用,拖到IDA用字符串定位一波

杭电CTF 练习题RE WP_第4张图片

看上去就像是第一题64位文件

直接试着用gdb同样来爆破试试看,设断点,我刚开始多断了一个,不要在意这些细节,如下

杭电CTF 练习题RE WP_第5张图片

这里也就展示一下要修改哪些,我自己是在IDA改的,其次里面这个程序有个防作弊系统,我们也要直接jmp掉

改完之后发现文件在linux底下运行不起来,说什么文件被截断了

然后我队友说解压出来只有一个文件,我就自闭了……然后用它的附件试一下同样的方法

我改IDA失败后运行失败了,只能用gdb一步步来了……世界在第一次判断的时候跳转到最终目标就好了,结果如下

3. 找flag

打开压缩包是个exe,还行

杭电CTF 练习题RE WP_第6张图片

getflag被灰化了

用resource_hacker查看,起初我想的是直接将这个界面跳过去看下一个界面,但是用OD打开后发现在messageboxA函数,然后看到了flag,23333…………

杭电CTF 练习题RE WP_第7张图片

其实直接搜索比较字符串的模块就可以定位到了,开始解密,提示是md5,但其实吧当中的符号删掉就好了,233

试着去掉灰化,但我没找到menuitem之类的函数,经过推荐,知道了一个东西叫spy++,可以获取句柄属性,然后在VS里用spy代码进行发送鼠标按下的操作即可

杭电CTF 练习题RE WP_第8张图片

#include 

int main()
{
	Sleep(2000);
	SendMessage(HWND(0x00090DD6), WM_LBUTTONDOWN, 0, 0);//按下鼠标左键
	SendMessage(HWND(0x00090DD6), WM_LBUTTONUP, 0, 0);//松开鼠标左键

	return 0;
}

运行代码之后相当于模拟了一次鼠标点击,即得flag

杭电CTF 练习题RE WP_第9张图片

4. 找flag,么么哒

解压完是一个exe,大概就是如下图所示

杭电CTF 练习题RE WP_第10张图片

直接搜索字符串就有了…………

杭电CTF 练习题RE WP_第11张图片

按照第三题的做法试了一遍,发现不对

应该漏了什么,在文件里搜索字符串很容易可以发现密码,看看之后对密码以及flag有什么操作

拖进IDA,我们可以看到输出flag之前还有一个函数,我们跟踪进去发现是对flag函数的一个修改,所以我们看到的flag是假的……

杭电CTF 练习题RE WP_第12张图片

进去之后我们发现就是个异或操作

脚本走一波(开头那个什么md5的是要留着的,别改)

s='065ca>01??ab7e0f4>>a701c>cd17340'
key='NSCTF_md5'
flag=''
for i in s:
    flag+=chr(ord(i)^7)

print(key+flag)

#NSCTF_md5712df97688fe0b7a399f076d9dc60437

5. During my time at KGB I learned how to hide all the stuff from alpha-dog. But damn it, I somehow lost some of the most important files…

反正就是有东西丢了

这题还是没有文件尾,我先用winhex打开,发先里面有一段英文故事

这感觉都不是逆向题目,有点像传说中的取证题,在一大堆故事内容中放一个文件,但是这里应该是不小心删除掉了,我们要恢复过来

我们binwalk分解一下,如下

杭电CTF 练习题RE WP_第13张图片

ext文件就是那些故事内容,我们可以看见一个压缩包

杭电CTF 练习题RE WP_第14张图片

没有密码,不挣扎了,反正如果题目没骗我,重要的文件已经丢了,而且解压出来的文件应该就是我们可以看见的secret,打开secret看见的也只是乱码

我们试着恢复文件

执行extundelete --restore-all secretArchive.6303dd5dbddb15ca9c4307d0291f77f4

发现一个文件夹,里面有超多文件,但好像就是小说……但有一个文件很特殊,可以移到windows里排个序看很明显,如下

杭电CTF 练习题RE WP_第15张图片

查看该文件类型,发现是一个使用KGB Archiver 软件进行了3级压缩的文件,如下

下载这个软件进行压缩就好了

6. 用浏览器控制台求解很方便!!!

下载下来一个exe

这个提示我起始不是特别明白,然后逐渐单步执行再配合字符串,定位到了4010C6

杭电CTF 练习题RE WP_第16张图片

继续慢慢往下调,单步到判断判断输入密码是否正确的附近,可以发现关键代码,用来判断输入的密码是否正确

杭电CTF 练习题RE WP_第17张图片

其中eax存放的是我们输入的值,而ecx里存放的是正确的密码(变形前还是变形后的不清楚,call进之后的函数去看看)

进去之后第一快区域基本就是判断输入的是不是这个值

杭电CTF 练习题RE WP_第18张图片

正确的密码可以在动态运行的时候直接找到的,参照IDA中运行脚本也是可以的,代码如下)

s='(*GHDfhboqiwuef892q37xcv;lkjhqasdlkfj;lkcjv;lLKHasdfklnLKjh;laskdfhnIO*&YOIUHNlkidfhv8079hlkjBOIUT6tf23p04-09ujlv;kn098YIUhrlk4rn[p9udvlkm1p9yh8UGkjhpIHRPON*&^RFCLKJNPOIUEWDIUH3o4ifgoivc3o98749&*foijzxbcv*&*&t3214asdvzxcCLIKKH98duyfi2wjnepfoicpikvpoisudf-908u34rsd;ldfknv;ldksfhv098y9uihn048yfpOIUH)(8fh423kj5thngoxfchvjknh0(*Yopiernt09u82hgkjdfncv098Ypfoin234pfuih9ewuihnrfgKLJSAOIpeuyh4unfg;fkvb09843hkjvnpI*YOIEnrp2o3ijf9ijxdcpLIHJ-98fy23knfposdiuv-39jefoik1hrf89ujfdvmkpIud1ije-f92LOIXJHC(Inempwqkfnp9234uf-0eikf1p3io4fj-9fov;lkwqnfdpviJOSDjfp2oi3rjf-09dfjv;lk13mfij-13094fuqwkl1p[3409rocfmv'
#print(len(s))
key='(3q^;^3lfjq&D7V4Hhd'
key_new=[]
s_new=[]
for i in key:
    key_new.append(i)
#print(key_new)
for i in s:
    s_new.append(i)
#print(s_new)
for i in range(19):
    key_new[i]=s[47*i%99]

print(key)

#(3q^;^3lfjq&D7V4Hhd

我们输入正确的密码(3q^;^3lfjq&D7V4Hhd后,继续执行到另一端好像还有别的操作,不然的话直接跳转到正确语句块应该就好了,如下

杭电CTF 练习题RE WP_第19张图片

进去时候我们可以设置跳转大密码正确的字段,如下图所示

杭电CTF 练习题RE WP_第20张图片

令人意外的是,从语句40100F开始,程序生成了一个全新的字符串,意思就是找到了密码,最后的字符串也是全新的,我们单步执行,记录下来,最后我们去地址[ebp+eax-0x14]地址处的数据窗口出观察,就可以得到答案了,如下

杭电CTF 练习题RE WP_第21张图片

7. 小磊生病了,医生检查出小磊体内有两种有害病菌B和C是引发的关键,同时也找到的消灭病菌的有益菌A ,现在要你帮助A战胜B和C,治好小磊,小磊会告诉你flag是什么。

下载下来一个exe

杭电CTF 练习题RE WP_第22张图片

里面就三个元素,应该是对应A、B、C

拖进IDA,观察疑似flag的生成处,如下

杭电CTF 练习题RE WP_第23张图片

最后一定是以v39的地址为基址,然后以v24为地址索引,打印出一个字符串

观察一下上面的那一串代码有没有对v39和v24做改变,并没有,全是混淆代码,不用管

注意小端序,然后在IDA里面也可以看到v39只有4个连续的字节,也是比较好区分的

上脚本

v39='neFolieIhrTHe'
v24=[2,5,9,6,7,0,10,8,12,11,3,4,1]
flag=''
for i in range(len(v24)):
    flag+=v39[v24[i]]

print(flag)

#FireInTheHole

8. 下载到对方可执行程序一个,但…..

下载下来一个exe,但是打开后立刻就会闪退

拖进OD动态调试一下,靠字符串观察一波关键代码

杭电CTF 练习题RE WP_第24张图片

可以发现000B10A2处的语句执行后会永远跳过flag的判断,导致我们闪退

依次爆掉所有前往正确途中的断点,拿到key就好,如下图,其实我们早就知道key了,因为已经提前泄露了……只不过验证一下,看看有没有flag之类的,最后表明没有,key本身就是flag

杭电CTF 练习题RE WP_第25张图片

杭电CTF 练习题RE WP_第26张图片

 

你可能感兴趣的:(CTF_WP,RE_WP)