-
-
[原创]一道简单CTF解题步骤
-
发表于: 2022-8-1 16:39
-
一道简单的CTF的解题步骤
程序没有二次加工,没有反调试机制,反编译看起来挺直白的,如下:
主要是输入flag后,经过两次计算,第一次是使用base编码表对输入的flag变换,第二次是对经过修改的flag计算base64,跟程序内部已有的编码结果进行比较。
程序先从接收输入的flag,判断字符串长度为48个字节,前五个字节为"flag{",最后一个字节为'}',ascii值为125。
接下来对Dst中从下标为5开始进行变换,即对"flag{"后面字符串进行变换。
图中的计算过程如下
1 2 | Dst[v17] = base64[(~v17 & 0x7FFFFFFFu) % (unsigned __int64)(((~v17 & 0x7FFFFFFF) >> 31) ^ (unsigned int)(((~v17 & 0x7FFFFFFF) >> 31)+ 64))] ^ (Dst[v17] - v17); |
v17为索引,等价于
1 | Dst[index]=base64[(~index&0x7FFFFFFF)%64]^(Dst[index] - index) |
等价于
1 | Dst[index]=base64[63-index]^(Dst[index] - index) |
第一步变换完成后 "flag"{后面的内容已经修改了,且存在部分的不可见字符数据
接下来看第二步:
右侧代码中v21+v3为Dst中的数据,对Dst中的数据进行base64编码,再与内部的字符串比较。
所以这个时候解题思路应该为:对字符串"zMXHz3SfvgTQwbWDFWiomWDYCxDpdK1VaWmbhrfsuvvEuGiceW0Rk0u8Ehm8Eee/"进行base64解码,得到第一次变换后的数据,然后根据
1 | Dst[index]=base64[63-index]^(Dst[index] - index) |
对用户输入的代码进行还原,第一次变换只对下标为5及之后数据进行了变换,
使用刚才(解码后的数据^base64[63-index])+index,即可得到用户输入的数据。
求解代码如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 | #include <iostream>#include <string>using namespace std;static inline bool is_base64(unsigned char c) { return (isalnum(c) || (c == '+') || (c == '/'));}std::string base64_decode(std::string const& encoded_string) { const std::string base64_chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/"; int in_len = encoded_string.size(); int i = 0; int j = 0; int in_ = 0; unsigned char char_array_4[4], char_array_3[3]; std::string ret; int iArraySourceBase = 0; unsigned char char_array_Source[49] = { 0 }; while (in_len-- && (encoded_string[in_] != '=') && is_base64(encoded_string[in_])) { char_array_4[i++] = encoded_string[in_]; in_++; if (i == 4) { for (i = 0; i <4; i++) char_array_4[i] = base64_chars.find(char_array_4[i]); char_array_3[0] = (char_array_4[0] << 2) + ((char_array_4[1] & 0x30) >> 4); char_array_3[1] = ((char_array_4[1] & 0xf) << 4) + ((char_array_4[2] & 0x3c) >> 2); char_array_3[2] = ((char_array_4[2] & 0x3) << 6) + char_array_4[3]; char_array_Source[0 + iArraySourceBase] = char_array_3[0]; char_array_Source[1 + iArraySourceBase] = char_array_3[1]; char_array_Source[2 + iArraySourceBase] = char_array_3[2]; for (i = 0; (i < 3); i++) ret += char_array_3[i]; i = 0; iArraySourceBase += 3; } } if (i) { for (j = i; j <4; j++) char_array_4[j] = 0; for (j = 0; j <4; j++) char_array_4[j] = base64_chars.find(char_array_4[j]); char_array_3[0] = (char_array_4[0] << 2) + ((char_array_4[1] & 0x30) >> 4); char_array_3[1] = ((char_array_4[1] & 0xf) << 4) + ((char_array_4[2] & 0x3c) >> 2); char_array_3[2] = ((char_array_4[2] & 0x3) << 6) + char_array_4[3]; for (j = 0; (j < i - 1); j++) ret += char_array_3[j]; } for (int iIndex = 5; iIndex < 48; iIndex++) { int iYingSheIndex = (~iIndex & 0x7FFFFFFFu) % (unsigned __int64)(((~iIndex & 0x7FFFFFFF) >> 31) ^ (unsigned int)(((~iIndex & 0x7FFFFFFF) >> 31) + 64)); //上面的等价于 iYingSheIndex = 63-iIndex; unsigned char cc = base64_chars[iYingSheIndex]; char result = (char_array_Source[iIndex] ^ cc) + iIndex; char_array_Source[iIndex] = result; } //char_array_Source 是最终结果 printf("%s\n", char_array_Source); return ret;}int _tmain(int argc, _TCHAR* argv[]){ base64_decode(std::string("zMXHz3SfvgTQwbWDFWiomWDYCxDpdK1VaWmbhrfsuvvEuGiceW0Rk0u8Ehm8Eee/")); getchar(); return 0;} |
最终结果为
参考链接:
- base64解码 https://www.cnblogs.com/codebai/p/16280354.html
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2022-8-4 13:25
被0346954编辑
,原因:
