2019DDCTF部分Writeup
……
re
Windows Reverse1
通过DIE查壳发现存在upx,在linux上upx -d脱壳即可,拖入IDA,通过关键字符串找到关键函数:
main函数中也没有什么,将输入的字符串带到sub_401000函数去处理,之后和处理过后的字符串和正确字符串进行比较,若一致则是正确flag
跟进sub_401000,首先计算了输出字符串的长度,然后根据每一个字符的ascii码再加上一个常量作为地址,取里面的值,循环,每一位都是这样
在main函数中我们知道正确的字符串,那么我们就可以反推处flag
exp:
1 |
data = [0x403052,0x403052,0x403053,0x403042,0x403050,0x40301B,0x403024,0x403031,0x403020,0x403031,0x403024,0x403023,0x403031,0x403049,0x403051,0x403019] |
flag:DDCTF{ZZ[JX#,9(9,+9QY!}
Windows Reverse2
查壳发现是ASPack壳,我用工具脱没脱下来,只好手动脱,根据栈平衡可以顺利找到eop,然后从内存中dump下来,载入IDA中,找到关键函数:
sub_4011F0函数验证了用户输出的合法性,然后再经过sub_401240和sub_401C6A处理,再和正确字符串相比较
验证合法性的函数很简单,限制了0-9,A-F
接下来看数据处理函数,静态分析后也没明白是干什么的,通过交叉引用函数,发现sub_401000存在base64算法,但是这道题把索引表给隐藏起来了,题目所提供的索引表和0x76异或之后构成base64的索引表
动态调试的时候,我们输入123456789A的时候,发现sub_401000返回了一串字符串:
更加确定这个是base64加密了,解密发现,这个题目是将我门输入的字符串直接转成了数据
1 |
import base64 |
所以我们直接将正确字符串base64解密即可得到flag:
1 |
import base64 |
flag:DDCTF{ADEBDEAEC7BE}
Confused
这道题一开始我没看出来,后来kaller师傅给我了一个提示:VM 虚拟机
再反过来头看程序,恍然大悟
首先题目是一个app,应该是在MacOS上的app,这是我第一次做,边百度边做
在MacOS中发现一个可执行文件,xia0Crackme
1 |
➜ MacOS file xia0Crackme |
拖入IDA查找字符串来定位关键函数:
main函数中,大致过程就是先对输入的字符串进行格式上的验证,长度上限制是18,然后进入到sub_1000011D0进行处理,若返回值等于1,则是正确的flag
在sub_1000011D0函数中首先初始化了一个区域v2
sub_100001f60是通过输入的字符串和内存数据对v2进行赋值操作
前段是对v2进行赋值,最后将输入的字符串拷贝到qword_100003F58+48的位置
sub_100001F00函数对(*v2+24)进行了赋值,把一段数据赋给了它,接着是一个循环,判断条件就是刚刚赋值的数据是不是等于“0xf3”,
然后进入sub_100001E50,这个函数一开始我还没看出来是什么意思,后来发现这是一个VM类型的题,,这个函数的作用是控制程序执行的vm的分支
各个分支的函数我这里就不再详细讲解
数据:
1 |
0xf0,0x10,0x66,0x0,0x0,0x0, |
总共是两中处理方式
exp:
1 |
data = [0x66,0x63,0x6a,0x6a,0x6d,0x57,0x6d,0x73,0x45,0x6d,0x72,0x52,0x66,0x63,0x44,0x6a,0x79,0x65] |
flag:DDCTF{helloYouGotTheFlag}
pwn
[PWN] strike
这个相对来说是比较简单的,设计到的只有栈溢出,但是这个栈溢出有点和之前的不一样
第一处漏洞点
fprintf处存在泄露栈地址
第二处漏洞点
通过负数来绕过对password输入长度的限制
第三处漏洞点
在读入password时可造成栈溢出
但是在栈溢出的时候ECX不能变,需要把ECX的值计算出来填充到我们的payload中
exp:
1 |
from pwn import * |
flag:DDCTF{s0_3asy_St4ck0verfl0w_r1ght?}
最新文章
- (原创)解决.net 下使用uploadify,在火狐浏览器下的error 302
- linux 命令02
- 大叔也说Xamarin~Android篇~支付宝SDK的集成
- css3代码让页面倾斜
- goldengate 12c 12.2 新特性(updated)
- C语言课设心得分享(一)
- BeautifulSoup获取指定class样式的div
- OSPF理解
- java基础篇-jar打包
- Scala学习——数组/映射/元组
- 机器学习基石的泛化理论及VC维部分整理(第五讲)
- Python高级特性
- Windows Embedded Compact 2013 安装体验
- (转载)js----对象直接量
- ReadingNotes@02-12-2013
- CFGYM 2013-2014 CT S01E03 D题 费用流模版题
- Lua 脚本语法说明(转)
- css里面如何设置body背景图片满屏
- cygwin vim can't write .viminfo
- 内网ssh穿透
热门文章
- 13.docker 网络 docker NameSpace (networkNamespace)
- Django学习---多人博客项目(1)
- 吴裕雄--天生自然 JAVA开发学习:封装
- xcode6 Images.xcassets添加LaunchImage
- [原]调试实战——使用windbg调试崩溃在ComFriendlyWaitMtaThreadProc
- Android之布局Application类
- 大道至简伪代码读后感java为代码形式
- javacv获取视频第一帧
- mysql之结果集去重
- python学习笔记(17)urllib.parse模块使用