首页
社区
课程
招聘
[原创]一道简单CTF解题步骤
发表于: 2022-8-1 16:39 8634

[原创]一道简单CTF解题步骤

2022-8-1 16:39
8634

一道简单的CTF的解题步骤

 

程序没有二次加工,没有反调试机制,反编译看起来挺直白的,如下:
主要是输入flag后,经过两次计算,第一次是使用base编码表对输入的flag变换,第二次是对经过修改的flag计算base64,跟程序内部已有的编码结果进行比较。

 

图片描述

 

程序先从接收输入的flag,判断字符串长度为48个字节,前五个字节为"flag{",最后一个字节为'}',ascii值为125。
接下来对Dst中从下标为5开始进行变换,即对"flag{"后面字符串进行变换。
图中的计算过程如下

1
2
Dst[v17] = base64[(~v17 & 0x7FFFFFFFu)
                      % (unsigned __int64)(((~v17 & 0x7FFFFFFF) >> 31) ^ (unsigned int)(((~v17 & 0x7FFFFFFF) >> 31)+ 64))] ^ (Dst[v17] - v17);

v17为索引,等价于

1
Dst[index]=base64[(~index&0x7FFFFFFF)%64]^(Dst[index] - index)

等价于

1
Dst[index]=base64[63-index]^(Dst[index] - index)

第一步变换完成后 "flag"{后面的内容已经修改了,且存在部分的不可见字符数据
接下来看第二步:
图片描述

 

右侧代码中v21+v3为Dst中的数据,对Dst中的数据进行base64编码,再与内部的字符串比较。
图片描述

 

所以这个时候解题思路应该为:对字符串"zMXHz3SfvgTQwbWDFWiomWDYCxDpdK1VaWmbhrfsuvvEuGiceW0Rk0u8Ehm8Eee/"进行base64解码,得到第一次变换后的数据,然后根据

1
Dst[index]=base64[63-index]^(Dst[index] - index)

对用户输入的代码进行还原,第一次变换只对下标为5及之后数据进行了变换,
使用刚才(解码后的数据^base64[63-index])+index,即可得到用户输入的数据。
求解代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
#include <iostream>
#include <string>
using namespace std;
static inline bool is_base64(unsigned char c) {
    return (isalnum(c) || (c == '+') || (c == '/'));
}
 
std::string base64_decode(std::string const& encoded_string) {
    const std::string base64_chars =
        "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/";
    int in_len = encoded_string.size();
    int i = 0;
    int j = 0;
    int in_ = 0;
    unsigned char char_array_4[4], char_array_3[3];
    std::string ret;
 
    int iArraySourceBase = 0;
    unsigned char char_array_Source[49] = { 0 };
    while (in_len-- && (encoded_string[in_] != '=') && is_base64(encoded_string[in_])) {
        char_array_4[i++] = encoded_string[in_]; in_++;
        if (i == 4) {
            for (i = 0; i <4; i++)
                char_array_4[i] = base64_chars.find(char_array_4[i]);
 
            char_array_3[0] = (char_array_4[0] << 2) + ((char_array_4[1] & 0x30) >> 4);
            char_array_3[1] = ((char_array_4[1] & 0xf) << 4) + ((char_array_4[2] & 0x3c) >> 2);
            char_array_3[2] = ((char_array_4[2] & 0x3) << 6) + char_array_4[3];
 
            char_array_Source[0 + iArraySourceBase] = char_array_3[0];
            char_array_Source[1 + iArraySourceBase] = char_array_3[1];
            char_array_Source[2 + iArraySourceBase] = char_array_3[2];
            for (i = 0; (i < 3); i++)
                ret += char_array_3[i];
            i = 0;
            iArraySourceBase += 3;
        }       
    }
 
    if (i) {
        for (j = i; j <4; j++)
            char_array_4[j] = 0;
 
        for (j = 0; j <4; j++)
            char_array_4[j] = base64_chars.find(char_array_4[j]);
 
        char_array_3[0] = (char_array_4[0] << 2) + ((char_array_4[1] & 0x30) >> 4);
        char_array_3[1] = ((char_array_4[1] & 0xf) << 4) + ((char_array_4[2] & 0x3c) >> 2);
        char_array_3[2] = ((char_array_4[2] & 0x3) << 6) + char_array_4[3];
 
        for (j = 0; (j < i - 1); j++)
            ret += char_array_3[j];
    }   
    for (int iIndex = 5; iIndex < 48; iIndex++)
    {
        int iYingSheIndex = (~iIndex & 0x7FFFFFFFu)
            % (unsigned __int64)(((~iIndex & 0x7FFFFFFF) >> 31) ^ (unsigned int)(((~iIndex & 0x7FFFFFFF) >> 31)
            + 64));
        //上面的等价于 iYingSheIndex = 63-iIndex;
        unsigned char cc = base64_chars[iYingSheIndex];
        char result = (char_array_Source[iIndex] ^ cc) + iIndex;
        char_array_Source[iIndex] = result;
    }
    //char_array_Source 是最终结果
    printf("%s\n", char_array_Source);
    return ret;
}
 
int _tmain(int argc, _TCHAR* argv[])
{   
    base64_decode(std::string("zMXHz3SfvgTQwbWDFWiomWDYCxDpdK1VaWmbhrfsuvvEuGiceW0Rk0u8Ehm8Eee/"));
    getchar();
    return 0;
}

最终结果为
图片描述

 

参考链接:

  1. base64解码 https://www.cnblogs.com/codebai/p/16280354.html

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2022-8-4 13:25 被0346954编辑 ,原因:
上传的附件:
收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 439
活跃值: (825)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
2
南昌洪工杯的题目吧?
2022-8-29 17:19
0
游客
登录 | 注册 方可回帖
返回
//