首页
社区
课程
招聘
[原创]DASCTF X GFCTF 2022十月挑战赛 cuteRE WriteUp
发表于: 2022-10-26 16:45 11559

[原创]DASCTF X GFCTF 2022十月挑战赛 cuteRE WriteUp

2022-10-26 16:45
11559

DASCTF X GFCTF 2022十月挑战赛 cuteRE Writeup

64位程序,未加壳
die
使用IDA寻找程序主函数
图片描述
程序的main函数主要分成3个部分:

如下图所示,程序获取用户输入后,先判断长度是否为32位,后将32位数据按奇偶,分成2部分
图片描述

主要由sub_405700、sub_4059F0、sub_406270和sub_400C10函数组成,稍后再分析其相关功能
图片描述

将生成的密文与程序内的密文比较,相同则满足程序的逻辑
图片描述

sub_405700(参数 byte_609450)
函数中包含BASE编码表,同时存在base关键字,猜测使用了Base64编码。
图片描述
sub_4059F0(参数 unk_609350、byte_6090A0:'swpu'、4)
函数内容比较复杂,同时控制流还经过混淆,可以使用deflat去处控制流混淆
图片描述
sub_406270(参数 unk_609350、s2:用户输入的部分数据、数据长度),根据代码中的rc4字符,猜测为rc4加密功能
图片描述
图片描述
sub_400C10(参数 v35:用户输入的数据、v33:处理后的结果、长度)根据后面的strcmp函数,经过处理后的值为xlt0+V9PtVBKt0lEukZYug==,猜测该功能为Base64编码
图片描述
图片描述

密文1:
xlt0+V9PtVBKt0lEukZYug==
密文2:
"\x72\xA7\xE5\xB1\xBF\xD1\x3A\xC9\x7E\x5D\x83\xA8\x21\x4F\x70\x90"
尝试使用base64解密密文1,和使用RC4,密钥'swpu'解密密文2,解密失败,猜测加密的相关参数可能在程序运行过程中被修改了

我们回到sub_400C10((int64)v35, (int64)v33, *v30)
根据我们的猜测,该函数为Base64加密函数,同时sub_405700函数中,保存了Base64的相关信息,猜测sub_405700为加密的初始函数,sub_405700函数的输入参数为byte_609450,我们动态运行程序,查看执行完成后byte_609450地址的值
图片描述
发现该地址生成了一个新的base表,使用该表对密文进行解密,得到明文'DST{Wo7Xj5Ad8Nx8'

图片描述

回到sub_406270函数,输入参数为unk_609350,该参数关联sub_4059F0函数,该函数利用byte_6090A0生成了unk_609350,动态运行后,查看byte_6090A0的地址,该地址的值为szv~
图片描述
使用该密钥对密文2进行解密,获得明文:
ACFg0Gw1Jo5Ix9C}

图片描述

将二者按奇偶排列,即可获得flag
DASCTF{gW0oG7wX1jJ5oA5dI8xN9xC8}

base64_table = 'ghijklmnopqrstuvwxyz0123456789+/ABCDEFGHIJKLMNOPQRSTUVWXYZabcdef'
 
def btoa():  # base64编码函数
    s = input("input string to encode:\n")
    n = len(s) % 3
    x = ''
    asc = []
    for i in range(len(s)):
        asc.append(ord(s[i]))  # 取各字符ascii值
        x += '{:08b}'.format(asc[i])  # 将各字符ascii值转为二进制
    if n:
        x += '0' * 2 * (3 - n)  # 长度非3倍的结尾补零
    i = 0
    out = ''
    while i < len(x):
        out += base64_table[int(x[i:i + 6], 2)]
        i += 6
    if n:
        out += '=' * (3 - n)  # 补上'='使编码后长度为4倍
    print(out)
 
 
def atob():  # base64解码函数
    s = input("input string to decode:\n")
    b64 = []
    x = ''
    for i in range(len(s)):
        if s[i] == '=':
            b64.append(0)
        else:
            for j in range(64):
                if (s[i] == base64_table[j]):
                    b64.append(j)
                    break
        x += '{:06b}'.format(b64[i])
 
    print(x)
    i = 0
    out = ''
    while i < len(x):
        if int(x[i:i + 8], 2):
            out += chr(int(x[i:i + 8], 2))
        i += 8
    print(out)
 
 
def main():
    m = input('Input 1/2 to encode/decode:\n')
    if m == '1':
        btoa()
    elif m == '2':
        atob()
    else:
        print('Error! Please restart the process!')
 
 
main()
base64_table = 'ghijklmnopqrstuvwxyz0123456789+/ABCDEFGHIJKLMNOPQRSTUVWXYZabcdef'
 
def btoa():  # base64编码函数
    s = input("input string to encode:\n")
    n = len(s) % 3
    x = ''
    asc = []
    for i in range(len(s)):
        asc.append(ord(s[i]))  # 取各字符ascii值
        x += '{:08b}'.format(asc[i])  # 将各字符ascii值转为二进制
    if n:
        x += '0' * 2 * (3 - n)  # 长度非3倍的结尾补零
    i = 0
    out = ''
    while i < len(x):
        out += base64_table[int(x[i:i + 6], 2)]
        i += 6
    if n:
        out += '=' * (3 - n)  # 补上'='使编码后长度为4倍
    print(out)
 
 
def atob():  # base64解码函数
    s = input("input string to decode:\n")
    b64 = []
    x = ''
    for i in range(len(s)):
        if s[i] == '=':
            b64.append(0)
        else:
            for j in range(64):
                if (s[i] == base64_table[j]):
                    b64.append(j)
                    break
        x += '{:06b}'.format(b64[i])
 
    print(x)
    i = 0
    out = ''
    while i < len(x):

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 3
支持
分享
打赏 + 5.00雪花
打赏次数 1 雪花 + 5.00
 
最新回复 (2)
雪    币: 29183
活跃值: (63701)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
2
实例程序能否本地上传一份?
2022-10-28 21:14
0
雪    币: 2028
活跃值: (999)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3

    challenge.zip   

上传的附件:
2022-10-29 18:39
0
游客
登录 | 注册 方可回帖
返回
//