buuctf——[2019红帽杯]easyRE&&buuctf——Youngter-drive

最新推荐文章于 2025-04-08 21:03:21 发布
原创 最新推荐文章于 2025-04-08 21:03:21 发布 · 501 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文解析了Buuctf Youngter-drive挑战中遇到的加密、壳技术及双线程问题,涉及字符串异或、Base64解密、线程交替加密策略和堆栈修复技巧。核心内容包括找到加密函数、脱壳过程以及最终flag的获取和调整。

buuctf——[2019红帽杯]easyRE

在这里插入图片描述
64ida
打开后找不到mian函数,看start函数
在这里插入图片描述
看伪代码
在这里插入图片描述
修改sp值,显示堆栈指针
在这里插入图片描述
alt+k对rsi的sp进行修改
在这里插入图片描述
改为0x0,得到,就可以看伪代码了
在这里插入图片描述
查看字符串在这里插入图片描述
看到这个,查看伪代

signed __int64 sub_4009C6()
{
  signed __int64 result; // rax
  __int64 v1; // ST10_8
  __int64 v2; // ST18_8
  __int64 v3; // ST20_8
  __int64 v4; // ST28_8
  __int64 v5; // ST30_8
  __int64 v6; // ST38_8
  __int64 v7; // ST40_8
  __int64 v8; // ST48_8
  __int64 v9; // ST50_8
  __int64 v10; // ST58_8
  int i; // [rsp+Ch] [rbp-114h]
  char v12; // [rsp+60h] [rbp-C0h]
  char v13; // [rsp+61h] [rbp-BFh]
  char v14; // [rsp+62h] [rbp-BEh]
  char v15; // [rsp+63h] [rbp-BDh]
  char v16; // [rsp+64h] [rbp-BCh]
  char v17; // [rsp+65h] [rbp-BBh]
  char v18; // [rsp+66h] [rbp-BAh]
  char v19; // [rsp+67h] [rbp-B9h]
  char v20; // [rsp+68h] [rbp-B8h]
  char v21; // [rsp+69h] [rbp-B7h]
  char v22; // [rsp+6Ah] [rbp-B6h]
  char v23; // [rsp+6Bh] [rbp-B5h]
  char v24; // [rsp+6Ch] [rbp-B4h]
  char v25; // [rsp+6Dh] [rbp-B3h]
  char v26; // [rsp+6Eh] [rbp-B2h]
  char v27; // [rsp+6Fh] [rbp-B1h]
  char v28; // [rsp+70h] [rbp-B0h]
  char v29; // [rsp+71h] [rbp-AFh]
  char v30; // [rsp+72h] [rbp-AEh]
  char v31; // [rsp+73h] [rbp-ADh]
  char v32; // [rsp+74h] [rbp-ACh]
  char v33; // [rsp+75h] [rbp-ABh]
  char v34; // [rsp+76h] [rbp-AAh]
  char v35; // [rsp+77h] [rbp-A9h]
  char v36; // [rsp+78h] [rbp-A8h]
  char v37; // [rsp+79h] [rbp-A7h]
  char v38; // [rsp+7Ah] [rbp-A6h]
  char v39; // [rsp+7Bh] [rbp-A5h]
  char v40; // [rsp+7Ch] [rbp-A4h]
  char v41; // [rsp+7Dh] [rbp-A3h]
  char v42; // [rsp+7Eh] [rbp-A2h]
  char v43; // [rsp+7Fh] [rbp-A1h]
  char v44; // [rsp+80h] [rbp-A0h]
  char v45; // [rsp+81h] [rbp-9Fh]
  char v46; // [rsp+82h] [rbp-9Eh]
  char v47; // [rsp+83h] [rbp-9Dh]
  char v48[32]; // [rsp+90h] [rbp-90h]
  int v49; // [rsp+B0h] [rbp-70h]
  char v50; // [rsp+B4h] [rbp-6Ch]
  char v51; // [rsp+C0h] [rbp-60h]
  char v52; // [rsp+E7h] [rbp-39h]
  char v53; // [rsp+100h] [rbp-20h]
  unsigned __int64 v54; // [rsp+108h] [rbp-18h]

  v54 = __readfsqword(0x28u);
  v12 = 73;
  v13 = 111;
  v14 = 100;
  v15 = 108;
  v16 = 62;
  v17 = 81;
  v18 = 110;
  v19 = 98;
  v20 = 40;
  v21 = 111;
  v22 = 99;
  v23 = 121;
  v24 = 127;
  v25 = 121;
  v26 = 46;
  v27 = 105;
  v28 = 127;
  v29 = 100;
  v30 = 96;
  v31 = 51;
  v32 = 119;
  v33 = 125;
  v34 = 119;
  v35 = 101;
  v36 = 107;
  v37 = 57;
  v38 = 123;
  v39 = 105;
  v40 = 121;
  v41 = 61;
  v42 = 126;
  v43 = 121;
  v44 = 76;
  v45 = 64;
  v46 = 69;
  v47 = 67;
  memset(v48, 0, sizeof(v48));
  v49 = 0;
  v50 = 0;
  sub_4406E0(0LL, v48, 37LL);
  v50 = 0;
  if ( sub_424BA0(v48) == 36 )
  {
    for ( i = 0; i < (unsigned __int64)sub_424BA0(v48); ++i )
    {
      if ( (unsigned __int8)(v48[i] ^ i) != *(&v12 + i) )// v48[i]^i=v12[i]
      {
        result = 4294967294LL;
        goto LABEL_13;
      }
    }
    sub_410CC0("continue!");
    memset(&v51, 0, 0x40uLL);
    v53 = 0;
    sub_4406E0(0LL, &v51, 64LL);
    v52 = 0;
    if ( sub_424BA0(&v51) == 39 )
    {
      v1 = sub_400E44(&v51);
      v2 = sub_400E44(v1);

      v3 = sub_400E44(v2);
      v4 = sub_400E44(v3);
      v5 = sub_400E44(v4);
      v6 = sub_400E44(v5);
      v7 = sub_400E44(v6);
      v8 = sub_400E44(v7);
      v9 = sub_400E44(v8);
      v10 = sub_400E44(v9);
      if ( !(unsigned int)sub_400360(v10, off_6CC090) )
      {
        sub_410CC0("You found me!!!");
        sub_410CC0("bye bye~");
      }
      result = 0LL;
    }
    else
    {
      result = 4294967293LL;
    }
  }
  else
  {
    result = 0xFFFFFFFFLL;
  }
LABEL_13:
  if ( __readfsqword(0x28u) != v54 )
    sub_444020();
  return result;
}

在这里插入图片描述
v12是初始化过的数组,这里要求要求输入的字符串经过抑或处理等于v12。
写脚本

a=[73,111,100,108,62,81,110,98,40,111,99,121,127,121,46,105,127,100,96,51,119,125,119,101,107,57,123,105,121,61,126,121,76,64,69,67]
input = ''
for i in range(len(a)):
    input += chr(a[i]^i)
print(input)

在这里插入图片描述
得到前四个字符是flag
在这里插入图片描述
这里是base64加密,加密了10次
解密
在这里插入图片描述
一个网址,打开后什么也没有发现。后来才发现下面又调用了sub_400D35函数
在这里插入图片描述
在这里插入图片描述
第24行v5与一个数组进行了异或,推测得出的是flag。正好验证了之前的结果。可以反向异或得到v5。之后进行第28行的异或得到v2
已知数组:
在这里插入图片描述

v5 = ''
enc1 = 'flag'
v2 = ''
enc = [0x40,0x35,0x20,0x56,0x5D,0x18,0x22,0x45,0x17,0x2F,0x24,0x6E,0x62,0x3C,0x27,0x54,0x48,0x6C,0x24,0x6E,0x72,0x3C,0x32,0x45,0x5B]
for i in range(4):
    v5 += chr(enc[i] ^ ord(enc1[i]))
print (v5)

for i in range(len(enc)):
    v2 += chr(enc[i] ^ ord(v5[i%4]))
print(v2)

在这里插入图片描述

buuctf Youngter-drive

upx壳,脱壳
在这里插入图片描述
双线程,第一个线程h0bject会执行StartAddress函数,第二个线程v2执行。。
第六行函数可以知道Source是我们输入的。第7行CreateMutex的意思是互斥锁。
第九行的StartAddress开始一步步进入
在这里插入图片描述
在这里插入图片描述到sub_411940时报错,还是sp值、堆栈的问题。
在这里插入图片描述
retn那里为-04,进行修改在这里插入图片描述
堆栈平衡,就可以查看函数sub_411940了
在这里插入图片描述
找到了加密函数,这是将字符串进行了替换,当字符是大写字母时,替换为off_418000处-38,小写则替换后-96

它是两个线程同时工作的,要交替数据,这时回过头来看两个线程。
在这里插入图片描述
在这里插入图片描述
先进行主函数第九行的进程,即使用sub_411940进行加密,然后dword_418008自减一,进程休眠64ms,然后进行主函数第10行的进程,函数dword_418008自减一,进程休眠64ms,然后又是第9行的进程执行。两个进程交替进行,都对dword_418008进行自减一的操作,但是第九行还对Source进行加密操作。
在这里插入图片描述
看一下数据
在这里插入图片描述

off_418000 = "QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm"

off_418004 = "TOiZiZtOrYaToUwPnToBsOaOapsyS"

flag=''

for i in range(len(off_418004)):
    if i %2 == 0:
        flag += off_418004[i]
        continue
    for j,k in enumerate(off_418000):
        if off_418004[i] == k:
            if chr(j+38).isupper():
                flag += chr(j+38)
            else:
                flag += chr(j+96)

print (flag)

在这里插入图片描述
提交发现失败,看到了这个
在这里插入图片描述
在比对时只比对了29位,所以得出的flag少了一位,所以需要再加一位提交。
flag{ThisisthreadofwindowshahaIsESE}

Dicked
关注
[2019红帽]easyRE1题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-30 2579
buuctf-[2019红帽]easyRE1题解
BUUCTF-[2019红帽]easyRE
weixin_61154173的博客
11-30 871
BUUCTF-2019红帽easyRE
BUUCTF逆向题[2019红帽]easyRE
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
10-23 2021
*(&v15 + i) 有了前面的分析,这条语句就不难理解了,我们输入的字符串保存到 v51 中,然后取出每个字符与 i 值异或再与 v15 到 v50 的字符进行比较(&v15是首元素的地址,+i 表示指向下一个的意思)跟过来后可以发现是我们前面看到的与 base64 有关的东西,所以我们猜测 sub_400E44 是一个 base64 加密处理函数,由代码可知对同一个数据加密了 10 次,加密后的数据是什么,我们接着找。我们去看看,发现是看雪的一篇文章,到这里我们基本可以确定这是一个干扰项。
[Buuctf] [2019红帽] easyRE
Bileton的博客
03-02 1631
主动防御
BuuCTF [2019红帽]easyRE
m0_74154467的博客
06-15 547
Buuctf解题思路
buuctf-re Youngter-drive 题解
weixin_75137273的博客
12-07 559
当一个线程加锁后,另一个线程需要等待解锁才能执行,所以这里可以实现一个交叉执行函数的操作。然后第二个线程中的函数只有递减操作,没有加密操作,由此实现了对。新建两个线程,一个线程startAddress指向startAddress函数,另一个指向sub_41119F,都进去看看。这里对比上一个线程少了加密代码,所以这里函数并没有实际操作,单纯让迭代子dword_618008。工具脱壳后拖入ida反编译,发现很多不认识的api函数,具体作用不讲了,可以自己去查。整体梳理一下,当第一个线程调用函数时,
BUUCTF-RE-Youngter-drive
Henlenl的博客
04-19 294
BUUCTF-RE-Youngter-driveget flag ##PEID查壳 发现是UPX的壳,脱壳 脱壳之后再查壳 ##关键代码审计 进入main函数 再进入到main_0函数 代码分析 打印 并将输入的字符串保存在Source变量里面 具体分析如图所示 sub_411190()函数将Source的值与"TOiZiZtOrYaToUwPnToBsOaOapsyS"对比 按x查看交叉引用 来到StartAddress_0()函数里面 dword_418008的值为29 查看WaitFo
buuctf刷题记录(5)
weixin_53409153的博客
07-30 580
Youngter-drive exe文件,查壳: 发现是UPX壳,然后脱壳: 拖入IDA: 跟进,跳转到交叉引用列表: 确定,然后F5查看伪代码: 分析,多线程,第一个线程h0bject会执行StartAddress函数,第二个线程v2执行sub_41119f函数,然后挨个分析打开StartAddress函数 原因就是堆栈不平衡利用ida调堆栈就好: 在红色部分用alt+p,打开: (需要打开堆栈指针) 更改以后,就可以正常打开函数; 逻辑就出现了,然后有坑的地方出现了,它是两个线程同
reverse--pthread
2403_87862296的博客
03-05 1136
学习做逆向题目的时候误入了phread的大门,浅浅窥探一下(结合了秘塔AI搜索,不是纯原创,侵删)
BUUCTF Youngter-drive1
kevinhezhuzhu的博客
10-26 463
dword_418008为1Dh,每循环一次,dword_418008都减1,当dword_418008>-1时,把Source和dword_418008当作sub_41112C函数的参数,sub_41112C进去之后是sub_411940,但是我这里点不进去,尝试查看一下汇编,发现爆红处,尝试NOP掉。就是刚才的那个sub_411BD0,在这里面输入Source,之后把Source赋给Dest,然后创建一个新线程,里面是StartAddress,跟踪进去。查看文件,发现UPX壳,先脱壳。
27.[2019红帽]easyRE1(保姆教程)
最新发布
TiAmo_TA的博客
04-08 1109
刚好36位,和下面对应上了,我们跟进一下第一个函数 sub_4406E0,不知道你们怎么想,我是直接 { 玛卡巴卡······ }了,看不懂,而且还套着函数 ,先看下一个函数 sub_424BA0,嗯,更看不懂。点击关键字,ctrl + x 交叉搜索一下位置,跟进,顺便菜单左侧 Edit --> Plugins--> findcrypt 确认一下加密方式,果然是base64加密,ok,稍微留意一下,我们继续跟进函数。我不信,绝对在这附近,返回上一级,ok,找到可疑的地方了,还在这附近,哼哼哼,猛攻!
BUUCTF-[2019红帽]easyRE(Reverse逆向)
书山有路勤为径,学海无涯苦作舟
10-13 1436
(29条消息) 2019 红帽 easyRE_[2019红帽]easyre_mishixiaodai的博客-CSDN博客(29条消息) BUUCTF-re-[2019红帽]easyRE_T1M@的博客-CSDN博客2019 红帽 Re WP - Hk_Mayfly - 博客园 (cnblogs.com)(29条消息) re学习笔记(25)BUUCTF-re-[2019红帽]easyRE_buuctf re题_Forgo7ten的博客-CSDN博客再写是因为自己再复现了一遍,希望加深印象,增强理解。
re学习(15)BUUCTF 2019红帽easyRe(寻找数据+xor问题)
m0_66039322的博客
07-13 690
虽然带有easy,但是并不是那么easy。CTF偏向于算法,实战偏向于程序逻辑,执行的流程。
BUUCTF逆向题】[2019红帽]easyRE
Power的博客
02-07 1923
这题与前面不同。flag不在输入输出中,甚至不在main函数中,就是藏在一个隐秘的角落!upx壳、base64加密、Start、段、异或
[buuctf][2019红帽]easyRE
逆向萌新的博客
07-02 732
[buuctf][2019红帽]easyRE
BUUCTF - [2019红帽]easyRE
:-)
11-23 1251
BUUCTF - [2019红帽]easyRE 个人认为这道题是最近我刷的题目中难度较高的了,也是自己能力问题,不多说了,开始做题 这篇文章配图规律为,图片在上文字在下,希望大家还看到习惯 拖入die分析,elf64位文件,打开Linux跑跑看 输错就退出,毫不讲理… 那咱直接上静态分析吧,这里跟大家说一下哈,我的做题的习惯一般是静态分析无果,才去寻求动态调试,并不是说这道题用动态的方法做不出来,有能力的师傅可以自己去动态,我就继续坚持我的习惯了。 shift+F12看看字符,看到字符表,肯定用到了
[2019红帽]easyRE
yidalipao1的博客
05-07 984
BUU 2019红帽easyre
buuctf [2019红帽]easyRE
个人博客:http://s0rry.cn
12-12 1017
有点小坑
BUUCTF第二十四、二十五题解题思路
EVANGELION_01a的博客
02-22 1484
分析:赋值v1,再将v1赋值v4,如果高字节与低字节异或为“f”和“g”(四个字节异或很有可能是“flag”),循环取出v1的四个字节与*((_BYTE *)&v4 + j % 4))异或。分析sub_400360发现该函数是strcmp,将v11与off_6CC090比较,如果非零,输出“You found me!无壳,32位,用32位IDA打开,打开后的main函数很短,可以找到一句“jmz _main_0”——跳转到 _main_0,说明真正的主函数是_main_0,跟进。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值