BUAACTF2023 Reverse WP

admin 2024年8月7日22:47:31评论18 views字数 7571阅读25分14秒阅读模式

BUAACTF2023 Reverse WP

Reverse

snake

获得80分即可得到flag,可以手动打80分,也可以模拟DES算法求解密文。

最简单的办法是直接patch掉判断条件,是程序进入flag解密的模块解密即可

oneQuiz's revenge

一道安卓逆向题,打开软件后

反编译后找到入口secondActivity,发现一个二维数组和处理两个数组索引变量的函数:

分析可知该迷宫中初始位置为v1[1][1],成功判定点为v1[11][11],1 是墙壁0是道路,且不能走已经走过的路;向上走会输出J,向下走会输出V,向左走会输出A,向右走会输出a,写脚本或直接看迷宫得出剩余flag。

所以最终flag为flag{VaaaVaVVaaaaaVVVVAAJJAAVVVAVVaaaaaJa}

Minesweep

看似是自己扫,实则是自动扫。主要逻辑在encrypt和Game里

点开Game里面有个Sweep,再进去,会发现即使输入了x和y,之后也会赋值成0,所以扫雷都是自动的。

本质上就是一个个扫过,每个点都要加上get_num的值,查看encrypt

这是自己写的一个加密逻辑,按照相反方向把利用mine还原即可

(但是没考虑好多解问题 暴力的xdm可能能得到很多个能过得答案 非常抱歉!)

这里的mine是经过扫雷之后的,与初始值不同,可以通过静态分析得到也可以通过动调dump

magic-cube

将 UPX 加壳后的标志位魔改为了.bss,改标志位为 UPX0 后用工具脱壳即可。

迷宫:

SCHEME
['S''.''#''#''#''#''#''#''#''#''#''#''#''#''#''.''.''#''#''#''#''#''#''#''#''#''#''#''#''#''.''.''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''R''.''.''#''#''#''#''#''#''#''#''#''#''#''#''#''.''#''#''#''#''#''#''#''#''#''#''#''#''#''.''.''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''R''.''.''#''#''#''#''#''#''#''#''#''#''#''#''#''.''#''#''#''#''#''#''#''#''#''#''#''#''#''.''.''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#']
['#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''R''.''#''#''#''#''#''#''#''#''#''#''#''#''#''.''.''#''#''#''#''#''#''#''#''#''#''#''#''#''.''.''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''.''R''#''#''#''#''#''#''#''#''#''#''#''#''.''.''#''#''#''#''#''#''#''#''#''#''#''#''#''.''#''#''#''#''#''#''#''#''#''#''#''#''#''.''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''#''.''R''#''#''#''#''#''#''#''#''#''#''#''#''.''.''.''#''#''#''#''#''#''#''#''#''#''#''#''N''.']

通过分析可知是一个双层迷宫 且通过R进行上下层的交换

且需要满足一定的步数。

enc = [121210121210112210321220112210321123]
flag = ""
for i in range(9):
    tmp = enc[i*4:i*4+4]
    flag += chr((tmp[0] << 6) + (tmp[1] << 4) + (tmp[2] << 2) + tmp[3])
 print(flag)

obfu

动调可以发现就是对输入字符串中字符与后一个字符异或后与给定的数据对比,稍微解一下混淆后逆推即可:

from base64 import b64decode
enc = [
    81611074112045995410010126,
    5312351106905711696011341,
    107913491498042100296,
    521222869118631510641117,
    97481348
]
for i in range(len(enc)-1-1-1):
    enc[i] = enc[i] ^ enc[i-1]
flag = "".join(chr(i) for i in enc)
print(b64decode(flag))

ezvm

分析变量的行为以及所在偏移,在IDA里构建结构体在反编译代码中修改类型,a1修改为vm*类型接下来无论是调试还是静态分析都相对容易了

根据每个case看出对应的操作类型

1 LOAD 
2 MOVE
3 ADD
4 SUB
5 MUL
6 DIV
7 XOR
8 JMP
9 INPUT
10 CMP
11 JNE
12 LOADM
13 END

可以发现就是对输入的 flag 逐个异或 0xE9,异或回去即可

Guess

对 Linux 下 rand() 进行逆向。 逆向一下算法,得到 32 轮输出后能大致还原 state,然后后续精度在右移 15 位后差不多也能满足,实在不行可以进行两次逆推 state,使用z3解出状态矩阵,并进行后续推导:

# !/usr/bin/env python
from time import sleep
from pwn import process, ELF, remote
from z3 import *
import re

state = [BitVec('s%d' % i, 32) for i in range(31)]

fptr, rptr = 4, 1

def rand():
global fptr, rptr
state[fptr] += state[rptr]
state[fptr] &= 0xffffffff
val = state[fptr]
result = (val >> 1) & 0x7fffffff
fptr += 1
fptr %= 31
rptr += 1
rptr %= 31
return result & 0xffffffff

def getrand():
return rand() >> 15

def rand1():
global fptr, rptr
ans[fptr] += ans[rptr]
ans[fptr] &= 0xffffffff
val = ans[fptr]
result = (val >> 1) & 0x7fffffff
fptr += 1
fptr %= 31
rptr += 1
rptr %= 31
return result & 0xffffffff

def getrand1():
return rand1() >> 15

so = Solver()

sh = process('./randomize')
i = 0

sleep(2)
sh.recv()

while i < 38:
sh.sendline(b'5')
sleep(0.1)
x = sh.recv().decode()
x = int(re.findall(r'd+',x)[0])
print(x)
so.add(getrand() == x)
i += 1

so.check()

ans = [0]*31
model=so.model()
for i in model:
ans[int(i.name()[1:])] = model[i].as_long()
print(ans)

fptr, rptr = 4, 1
for i in range(38):
print(getrand1())

while True:
try:
x = getrand1()
# print(x)
sh.sendline(str(x).encode())
sleep(0.1)
s=sh.recv().decode()
print(s)
except:
break

 

VM4revenge

这是一个独特的虚拟机,每个寄存器、ROM、RAM 并行执行。首先,为每个寄存器、代码段(ROM)、读写数据段(RAM)分配一个线程。它们会从第0层开始执行到下一个状态,会有几个进程等待数据准备。比如R1寄存器,它的下一个状态会由R类指令和I类指令决定。根据不同的指令,会查询不同数据的准备状态,比如添加ra,rb,状态传递函数会先判断第一个操作数是否为r1,如果是,则等待数据准备就绪rb 的先前状态,然后执行计算。

指令集如下

  • R [00000]: add ra, rb
  • R [00001]: sub ra, rb
  • R [00010]: mov ra, rb
  • R [00011]: xor ra, rb
  • I [01000]: add ra, imm
  • I [01001]: sub ra, imm
  • I [01010]: mov ra, imm
  • I [01011]: lsh ra, imm
  • I [01100]: rsh ra, imm
  • B [01111]: jne ra, imm
  • R [10000]: ld ra, [rb]
  • R [10001]: st ra, [rb]
  • Z [11100]: write r0
  • Z [11101]: read r0
  • E [11111]: exit

r0~r9:32bit

pc:32bit

ROM:1024 Byte

RAM:200 Byte

每条指令是按位分割的,也就是说,它不拘泥于整字节的长度,而会不断的按位append,得到的最终的内容再按字节进行存储。 反汇编,代码如下(用movi似乎不太规范,可以想成li的作用)

# 0x0~0x18: Input
# 0x18~0x28: Key
# 0x28~0x30: String
# 0x30~0x34: Iter
# 0x40~0x58: Cipher
# 0x58~0x70: Cmp

movi r1,24
movi r2,0
input:
read r0
st r0,[r2]
subi r1,1
addi r2,1
jne r1,input

blocks:
xor r2,r2
movi r3,29687
lsh r3,16
movi r4,5513
xor r3,r4

movi r1,48
movi r2,4
ld r1,[r1]
lsh r1,3
xor r4,r4
loadv0:
ld r5,[r1]
lsh r4,8
xor r4,r5
addi r1,1
subi r2,1
jne r2,loadv0

movi r2,4
xor r5,r5
loadv1:
ld r6,[r1]
lsh r5,8
xor r5,r6
addi r1,1
subi r2,1
jne r2,loadv1
# r4=v0,r5=v1,r2=sum,r3=delta

movi r1,32
round:
add r2,r3

mov r6,r5
lsh r6,4

movi r0,4
xor r7,r7
loadk0:
addi r0,23
lsh r7,8
ld r8,[r0]
xor r7,r8
subi r0,24
jne r0,loadk0 # r7=key[0]

add r6,r7
mov r7,r2
add r7,r5
xor r6,r7
mov r7,r5
rsh r7,5

movi r0,4
xor r8,r8
loadk1:
addi r0,27
lsh r8,8
ld r9,[r0]
xor r8,r9
subi r0,28
jne r0,loadk1 # r8=key[1]

add r7,r8
xor r6,r7
add r4,r6

mov r6,r4
lsh r6,4

movi r0,4
xor r7,r7
loadk2:
addi r0,31
lsh r7,8
ld r8,[r0]
xor r7,r8
subi r0,32
jne r0,loadk2 # r7=key[2]

add r6,r7
mov r7,r2
add r7,r4
xor r6,r7
mov r7,r4
rsh r7,5

movi r0,4
xor r8,r8
loadk3:
addi r0,35
lsh r8,8
ld r9,[r0]
xor r8,r9
subi r0,36
jne r0,loadk3 # r8=key[3]

add r7,r8
xor r6,r7
add r5,r6

subi r1,1
jne r1,round

movi r1,48
ld r1,[r1]
lsh r1,3
addi r1,64
mov r2,r1
addi r2,4
movi r3,4
store:
subi r3,1
st r4,[r1]
st r5,[r2]
addi r1,1
addi r2,1
rsh r4,8
rsh r5,8
jne r3,store

movi r2,48
ld r1,[r2]
addi r1,1
st r1,[r2]
subi r1,3
jne r1,blocks

movi r1,64
movi r2,88
movi r3,24
cmp:
ld r4,[r1]
ld r5,[r2]
xor r4,r5
jne r4,fail
addi r1,1
addi r2,1
subi r3,1
jnz r3,cmp

movi r1,40
ld r0,[r1]
write r0
addi r1,1
ld r0,[r1]
write r0
addi r1,1
ld r0,[r1]
write r0
addi r1,1
ld r0,[r1]
write r0
exit

fail:
movi r1,44
ld r0,[r1]
write r0
addi r1,1
ld r0,[r1]
write r0
addi r1,1
ld r0,[r1]
write r0
addi r1,1
ld r0,[r1]
write r0
exit

 

分析汇编可知,是一个更换了delta的tea加密,key和cipher均已在代码中填进内存,找到key和cipher,进行解密即可

from ctypes import *

def decrypt(v, k):
v0, v1 = c_uint32(v[0]), c_uint32(v[1])
delta = 0x73f71589
k0, k1, k2, k3 = k[0], k[1], k[2], k[3]

total = c_uint32(delta * 32)
for i in range(32):
v1.value -= ((v0.value<<4) + k2) ^ (v0.value + total.value) ^ ((v0.value>>5) + k3)
v0.value -= ((v1.value<<4) + k0) ^ (v1.value + total.value) ^ ((v1.value>>5) + k1)
total.value -= delta

return v0.value, v1.value

from libnum import n2s

# test
if __name__ == "__main__":
value = [0xba6a12710xf71fe4420xa89e704b0x5619f5930xe1645e870x5be57baf]
key = [0x10x50x80xf]

flag=''
for i in range(0,len(value),2):
res = decrypt(value[i:i+2], key)
flag+=(n2s(res[0])+n2s(res[1])).decode()
print(f'Flag is BUAACTF{{{flag}}}')

 

 


文案 | 高丰奕

排版 | 张   涔

审核 | 潘卓成

原文始发于微信公众号(赛博安全社团):BUAACTF2023 Reverse WP

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月7日22:47:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   BUAACTF2023 Reverse WPhttps://cn-sec.com/archives/2002332.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息