[TSCTF 2022] Reverse赛题复现
作者:互联网
再不学逆向真要被开了
还是太菜了,T2 T3要么就是找到了加密方法但是不知道怎么把代码逻辑联系起来,要么就是对应的密文找不到,还得加把劲学习啊。。
happy_mota
赛中直接玩游戏玩到底玩出来的,现在试试逆向方法。
把exe解包后得到两个重要文件:main.py和scripts文件夹。scripts文件夹内包含了大量游戏信息,经过寻找后可以发现了以下代码
s = b''
f2 = self.parameter['2wsxdr5']
for i in range(len(f2)):
s += bytes([f2[i] ^ i ^ 0xC8])
self.conversation_control.print_word("商人L3m0nade", "爽快!我这儿捡了个字符串:\"" + s.decode() + '\"你看有没有用.',"npc_2")
self.conversation_control.print_word("仙人", "我发现塔内有一串奇怪的字符串!\n可能是你要找的:","npc_1")
s = b''
f3 = self.parameter['3edcft6']
for i in range(len(f3)):
s += bytes([f3[i] ^ i ^ 0xB4])
self.parameter['answer3'] = s.decode()
self.conversation_control.print_word("仙人", s.decode(),"npc_1")
self.conversation_control.print_word("仙人", "我看到还有一串再公主手上,快去救她吧!","npc_1")
s = b''
f4 = self.parameter['4rfvgy7']
for i in range(len(f4)):
s += bytes([(f4[i] ^ (len(f4) - i) ^ 0xA9)])
self.parameter['answer4'] = s.decode()
self.conversation_control.print_word("公主", "我从魔王那里拿到一串咒语样式的字符串:" + self.parameter['answer4'],"npc_4")
self.conversation_control.print_word("勇者", "太好了,我已经拿到三块Flag了!:\n"+ self.parameter['answer2']+ self.parameter['answer3']+ self.parameter['answer4'],"player")
self.conversation_control.print_word("勇者", "(最后一块在哪里啊!?) 不管了。我们快跑!","player")
显而易见的,2wsxdr5
3edcft6
以及4rfvgy7
代表了我们想要寻找的enflag,并且还有一块flag是缺失的。
回到main.py,可以发现
'2wsxdr5': b'\xf8\xb0\x95\xfc\x84\x88',
'3edcft6': b'\xeb\xe7\x85\xe1\xd5\xc3\x87\xd6\x85\xdc\xd3\xda\x9e',
'4rfvgy7': b'\xee\x97\xd4\xcc\xe7\x91\xf7\xd4\x92\xdc\xe3\xc5\xcb\xcf\x8a\xd5',
那么直接简单的异或解密就可以拿到三块flag:
0y_7HE_R3Ver5e9ame&W1shB3Tt3rLife!
}
当然,这个时候已经可以看出来前面三个字母应该是enj(凑成enjoy)或者它的变种了,试着提交就知道最后一块flag是TSCTF{enj
这块flag的正解应该是:
self.conversation_control.print_word("力量之神", "11-19层的墙有点怪啊?\n","blue_god")
然后根据提示发现地图中的形状是TSCTF{Enj(实际上E应该小写)
得到flag:
TSCTF{enj0y_7HE_R3Ver5e9ame&W1shB3Tt3rLife!}
PatternLock-Easy
赛中犯了个很傻逼的错误,挺无语的
本题是出题人心善放出的easy版本,原来的版本中so文件还有ollvm混淆,等我学会了反混淆再来试试。。
放个本题的源码在这,后面来学习一个
MainActivity里面发现
if (TsUtil.check(str)) {
MainActivity.this.f1751o.setViewMode(0);
Context context = MainActivity.this.n;
Toast.makeText(context, "Submit TSCTF{" + str + "}", 0).show();
return;
}
检查check函数
package com.crackme.tsctf;
public class Check {
public static native boolean check(String str);
public static boolean cmp(String input) {
byte[] keyBytes = "TSCTF2022!!!!!".getBytes();
byte[] inputBytes = input.getBytes();
byte[] cmp = {97, 14, 20, 35, 10, 68, 11, 86, 55, 91, 4, 42, 4, 76, 107, 89, 68, 32, 95, 77, 15, 6, 55, 9, 86, 47, 87, 26, 109, 86, 68, 116, 11, 19, 11, 5, 54, 12, 87, 122};
for (int i2 = 0; i2 < input.length(); i2++) {
if ((keyBytes[i2 % keyBytes.length] ^ inputBytes[i2]) != cmp[i2]) {
return false;
}
}
return true;
}
}
发现是native方法,考虑去逆一下.so文件,我们知道java是用JNI来进行本地代码交互的,那么直奔主题:
jint JNI_OnLoad(JavaVM *vm, void *reserved)
{
int v2; // r0
int i; // [sp+24h] [bp-4Ch]
int j; // [sp+24h] [bp-4Ch]
int v8; // [sp+34h] [bp-3Ch] BYREF
char v9[8]; // [sp+38h] [bp-38h] BYREF
int v10[3]; // [sp+40h] [bp-30h] BYREF
char v11[34]; // [sp+4Eh] [bp-22h] BYREF
ptrace(PTRACE_TRACEME, 0, 0, 0);
if ( sub_1AF0(vm, &v8, 65542) )
return -1;
strcpy(v9, "cig`o");
strcpy(v11, "(Mhbrd)kigm$_y|f~v):N");
for ( i = 0; i <= 4; ++i )
v9[i] ^= i;
for ( j = 0; j <= 20; ++j )
v11[j] ^= j;
v10[0] = (int)v9;
v10[1] = (int)v11;
v10[2] = (int)sub_179C;
if ( !sub_1B24(v8, (int)"com/crackme/tsctf/TsUtil", (int)v10, 1) )
return -1;
v2 = sub_159C();
sub_1670(v2);
return 65542;
}
int __fastcall sub_179C(int a1, int a2, int a3)
{
int v3; // r0
unsigned __int8 v5; // [sp+18h] [bp-38h]
int v6; // [sp+20h] [bp-30h]
int i; // [sp+24h] [bp-2Ch]
int j; // [sp+24h] [bp-2Ch]
int v11[4]; // [sp+34h] [bp-1Ch] BYREF
qmemcpy(v11, "\r<6\x12)G^VfIDjDX", 14);
for ( i = 0; i <= 13; ++i )
*(_BYTE *)(dword_B020 + i) = aTsctf2022[i] ^ *((_BYTE *)v11 + i);
v6 = sub_18B8(a1, (int)"com/crackme/tsctf/TsUtil");
v3 = sub_18E2(a1, v6, (int)"cmp", (int)"(Ljava/lang/String;)Z");
v5 = sub_192C(a1, v6, v3, a3);
for ( j = 0; j <= 13; ++j )
*(_BYTE *)(dword_B020 + j) = aTsctf2022[j];
return v5;
}
现在代码逻辑很明显了。需要注意的是:如果ida里面看见的是这个代码
qmemcpy(v12, ")G^VfIDjDX", 10);
v11 = 305544205;
请记住上面那个截图的对话内容。。。这就是我比赛里面这个题做崩了的原因。。
#include<bits/stdc++.h>
using namespace std;
char aTsctf2022[] = "TSCTF2022!!!!!";
char enkey[] = "\r<6\x12)G^VfIDjDX";
char key[233], flag[233];
char cmp[] = {97, 14, 20, 35, 10, 68, 11, 86, 55, 91, 4, 42, 4, 76, 107, 89, 68, 32, 95, 77, 15, 6, 55, 9, 86, 47, 87, 26, 109, 86, 68, 116, 11, 19, 11, 5, 54, 12, 87, 122};
int main()
{
int len1 = strlen(enkey), len2 = strlen(cmp);
for (int i = 0; i < len1; ++i) key[i] = aTsctf2022[i] ^ enkey[i];
for (int i = 0; i < len2; ++i) flag[i] = key[i % len1] ^ cmp[i];
cout << flag;
}
得到flag:
TSCTF{8aaee1e2c3aaa5261f08abca3d2c4912dfeabd21}
happy_string
连上服务器可以拿到这些东西
>Welcome to TSCTF2022 XD
>L3m0nade loves Interseting Strings,could you show him from the following file?
>Ready to recv(Y|N)?
y // 这个y是我输入的

>NOW? Show me Your Answer!
环境已经关了,就只用这一组数据吧。
首先尝试解密下面这一串东西,其格式非常符合Base64,解密后会发现他就是个ELF文件
from pwn import*
import base64
import sys
import subprocess
p = remote('10.7.2.136', 45530)
p.recvuntil("(Y|N)?") # 将最开始的提示全部接收
p.sendline('y')
code = p.recvuntil(">NOW?") # 接收中间的base64
with open("FromMyBase64",'wb') as f:
f.write(base64.b64decode(code[:-6])) # code包含>NOW?, 所以只编码到倒数第6个字符
p.interactive()
这样就拿到了文件
打开文件,在main之前的init中有funcs_2159
char *sub_CEA()
{
char *result; // rax
int i; // [rsp+0h] [rbp-4h]
for ( i = 0; i <= 15; ++i )
{
result = src;
src[i] ^= a13m0nadeI5Mes5[5 * i];
}
return result;
}
在这里可以发现src会从"frYVQ)VtT5cctvhM"被解密为"W3lc0meT0TSCTF!!"(al3m0n那个字符串后面记得加上0v0那一串)
主函数中的ptrace可以简单的通过jz jnz的转换来在动调的时候过掉,在general registers里面把寄存器的值从1改成0就可以了。(感谢james大爹救我狗命,我自己patch program用nop和jz jnz互换都没过掉
标签:__,Reverse,int,self,赛题,rbp,int64,TSCTF,rsp 来源: https://www.cnblogs.com/Here-is-SG/p/16270048.html