首页
论坛
课程
招聘
[原创]KCTF2021秋季赛第二题WriteUp
2021-11-16 17:01 10127

[原创]KCTF2021秋季赛第二题WriteUp

2021-11-16 17:01
10127

24K纯金CTF


================================================================


IDA看一下,MessageBox位置,TryAgain和 GoodJob~

找到关键校验函数:00401580 (checkKey,因为MessageBox GoodJob在里面)

parseFlag是把输入的字符串(长度32,字符集[0-9A-F]),每8bit,前4bit与后4bit颠倒,存成一个 16字节数组



然后分割前8字节,放在一个D1位置,后8字节,传给checkKey。

D1是个256字节的数组,前8字节为空,正好放flag的前8字节

checkKey做了3个验证:

1,D1,扩展成 256 * 256 的一个数组,然后256为一组,检测每组 +0, +14,+40,+79位置,是否为0,256轮加完后,得到4个BYTE数字,必须满足条件0xA9,0xAC,0xA7, 小于等于0xC8



2,对D1,进行交换,交换的同时,验证D1里面所有字节,不能重复



3,把交换后的D1作为一个sbox,取sbox前8字节,给到final8,然后经过加密变换,得到最终8字节数组,如果正好等于 'GoodJob~',则验证通过




=======================华丽的分割线========================

第一个验证完全没看懂,但是看到第二个算法,写个代码看看,发现D1里面的256个元素,正好缺8个,分别是:1E 6D 8C A3 28 4B D2 FB

因此,写个程序,全排列,一共40420种可能性,然后去测试验证1,可以得到很多组。


第三个验证,会发现,每个字节,去查sbox的表,去得到对应的1字节答案。因此,可以分8次,每次单字节穷举(注意,0,7两个位置,最后会 -1)


这样写个穷举程序,一次性跑完


BYTE g_d1[256] = { 
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0xA2, 0x9B,
0xF4, 0xDF, 0xAC, 0x7C, 0xA1, 0xC6, 0x16, 0xD0, 0x0F, 0xDD,
0xDC, 0x73, 0xC5, 0x6B, 0xD1, 0x96, 0x47, 0xC2, 0x26, 0x67,
0x4E, 0x41, 0x82, 0x20, 0x56, 0x9A, 0x6E, 0x33, 0x92, 0x88,
0x29, 0xB5, 0xB4, 0x71, 0xA9, 0xCE, 0xC3, 0x34, 0x50, 0x59,
0xBF, 0x2D, 0x57, 0x22, 0xA6, 0x30, 0x04, 0xB2, 0xCD, 0x36,
0xD5, 0x68, 0x4D, 0x5B, 0x45, 0x9E, 0x85, 0xCF, 0x9D, 0xCC,
0x61, 0x78, 0x32, 0x76, 0x31, 0xE3, 0x80, 0xAD, 0x39, 0x4F,
0xFA, 0x72, 0x83, 0x4C, 0x86, 0x60, 0xB7, 0xD7, 0x63, 0x0C,
0x44, 0x35, 0xB3, 0x7B, 0x19, 0xD4, 0x69, 0x08, 0x0B, 0x1F,
0x3D, 0x11, 0x79, 0xD3, 0xEE, 0x93, 0x42, 0xDE, 0x23, 0x3B,
0x5D, 0x8D, 0xA5, 0x77, 0x5F, 0x58, 0xDB, 0x97, 0xF6, 0x7A,
0x18, 0x52, 0x15, 0x74, 0x25, 0x62, 0x2C, 0x05, 0xE8, 0x0D,
0x98, 0x2A, 0x43, 0xE2, 0xEF, 0x48, 0x87, 0x49, 0x1C, 0xCA,
0x2B, 0xA7, 0x8A, 0x09, 0x81, 0xE7, 0x53, 0xAA, 0xFF, 0x6F,
0x8E, 0x91, 0xF1, 0xF0, 0xA4, 0x46, 0x3A, 0x7D, 0x54, 0xEB,
0x2F, 0xC1, 0xC0, 0x0E, 0xBD, 0xE1, 0x6C, 0x64, 0xBE, 0xE4,
0x02, 0x3C, 0x5A, 0xA8, 0x9F, 0x37, 0xAF, 0xA0, 0x13, 0xED,
0x1B, 0xEC, 0x8B, 0x3E, 0x7E, 0x27, 0x99, 0x75, 0xAB, 0xFE,
0xD9, 0x3F, 0xF3, 0xEA, 0x70, 0xF7, 0x95, 0xBA, 0x1D, 0x40,
0xB0, 0xF9, 0xE5, 0xF8, 0x06, 0xBC, 0xB6, 0x03, 0xC9, 0x10,
0x9C, 0x2E, 0x89, 0x5C, 0x7F, 0xB1, 0x1A, 0xD6, 0x90, 0xAE,
0xDA, 0xE6, 0x5E, 0xB9, 0x84, 0xE9, 0x55, 0xBB, 0xC7, 0x0A,
0xE0, 0x66, 0xF2, 0xD8, 0xCB, 0x00, 0x12, 0xB8, 0x17, 0x94,
0x6A, 0x4A, 0x01, 0x24, 0x14, 0x51, 0x07, 0x65, 0x21, 0xC8,
0x38, 0xFD, 0x8F, 0xC4, 0xF5, 0xFC };

DWORD g_mapIndex[7] = { 0x00000002, 0x00000004, 0x00000008, 0x00000010, 0x00000020, 0x00000040, 0x00000080 };

BYTE g_tmp[256 * 2] = { 0 };
BYTE g_map[256][256] = { 0 };

int findPath(BYTE fbox[256], BYTE x8[8]) {
	const char good8[9] = "GoodJob~";
	BYTE result[8] = { 0 };
	memcpy(result, good8, 8);
	result[0] ++;
	result[7] ++;

	int b8[8] = { 0 };
	memset(x8, 0, 8);

	for (int k = 0; k < 8; k++) {
		// 穷举1字节
		for (int i = 0; i < 256; i++) {
			BYTE key = i;
			BYTE final8 = fbox[k];

			for (int j = 0; j < 8; j++) {
				if ((key & 1) != 0) {
					final8++;
				}
				else {
					final8 = fbox[final8];
				}
				key >>= 1;
			}

			if (final8 == result[k]) {
				//printf("%d: %02X ", k, i);
				b8[k] = 1;
				x8[k] = i;
			}
		}
	}

	for (int i = 0; i < 8; i++) {
		if (b8[i] == 0) {
			return -1;
		}
	}

	return 0;
}
int findKey() {
	memset(g_map, 0, 256 * 256);
	memset(g_tmp, 0, 256 * 2);

	for (int i = 0; i < 256; i++) {
		g_tmp[0] = g_d1[i];
		g_tmp[1] = i + 1;

		int ix1;
		ix1 = 0;
		BYTE* ptr = &g_tmp[g_mapIndex[0]];
		BYTE* ptr2 = g_tmp;

		for (int j = 0; j < 7; j++) {
			int round = g_mapIndex[j];
			for (int k = 0; k < round; k++) {
				BYTE t = *ptr2;

				ptr[ix1] = g_d1[t];

				ptr[ix1 + 1] = t + 1;

				ix1 += 2;

				ptr2++;
			}
		}

		for (int j = 0; j < 256; j++) {
			g_map[i][*ptr2++] ++;
		}
	}
	BYTE t1 = 0;
	BYTE t2 = 0;
	BYTE t3 = 0;
	BYTE t4 = 0;
	for (int i = 0; i < 256; i++) {

		if (g_map[i][0]) {
			t1++;
		}
		if (g_map[i][14]) {
			t2++;
		}
		if (g_map[i][40]) {
			t3++;
		}
		if (g_map[i][79]) {
			t4++;
		}
	}
	if (t1 != 0xA9 || t2 != 0xAC || t3 != 0xA7 || t4 <= 0xC8u)
		return -1;


	BYTE sbox[256] = { 0 };
	memcpy(sbox, g_d1, 256);

	int i3 = 0;
	while (2)
	{
		BYTE tmp, t1_1, t2_1;
		int x2;
		int x = 0;
		while (sbox[x] != (BYTE)i3)
		{
			if (++x >= 256)
				goto LABEL_32;
		}
		tmp = sbox[i3];
		x2 = 0;
		t1_1 = i3;
		t2_1;
		if ((BYTE)i3 != tmp)
		{
			do
			{
				++x2;
				t2_1 = sbox[t1_1];
				sbox[t1_1] = sbox[t2_1];
				t1_1 = t2_1;
				if (x2 >= 256)
					return 0;
			} while (i3 != sbox[t2_1]);
		}
		sbox[t1_1] = tmp;
	LABEL_32:
		if (++i3 < 256)
			continue;
		break;
	}

	BYTE x8[8] = { 0 };
	if (0 == findPath(sbox, x8)) {
		printf("good!! -> ");
		printf("%02X %02X %02X %02X %02X %02X %02X %02X, ", g_d1[0], g_d1[1], g_d1[2], g_d1[3], g_d1[4], g_d1[5], g_d1[6], g_d1[7]);
		printf("%02X %02X %02X %02X %02X %02X %02X %02X, ", x8[0], x8[1], x8[2], x8[3], x8[4], x8[5], x8[6], x8[7]);
		// 倒过来打印
		for (int j = 0; j < 8; j++) {
			BYTE t = (g_d1[j] & 0xF) << 4 | (g_d1[j] >> 4);
			printf("%02X", t);
		}
		for (int j = 0; j < 8; j++) {
			BYTE t = (x8[j] & 0xF) << 4 | (x8[j] >> 4);
			printf("%02X", t);
		}
		printf("\n");
		return 0;
	}

	return -1;
}


//此处为引用,交换函数.函数调用多,故定义为内联函数.
inline void Swap(BYTE& a, BYTE& b)
{
	BYTE temp = a; a = b; b = temp;
}
void Perm(BYTE list[8], int k, int m)
{//产生list[k:m]的所有全排列
	if (k == m)
	{//只剩一个元素
		//for (int i = 0; i <= m; i++)
		{
			// 赋值
			for (int j = 0; j < 8; j++) {
				g_d1[j] = list[j];
			}
			findKey();
		}
	}
	else//还有多个元素待排列,递归产生排列
		for (int i = k; i <= m; i++)//循环交换第一个元素与其后的所有元素实现全//排列
		{
			Swap(list[k], list[i]);
			Perm(list, k + 1, m);
			Swap(list[k], list[i]);
		}
}

void main() {
    BYTE x[8] = { 0x1E, 0x6D, 0x8C, 0xA3, 0x28, 0x4B, 0xD2, 0xFB };
    Perm(x, 0, 8);
}


对 1E 6D 8C A3 28 4B D2 FB 进行全排列,然后填到g_d1的前8个字节,调用findKey,最终得到:


good!! -> 4B 6D 28 8C FB D2 1E A3, 9D 6B EA 2F A4 08 BC 22, B4D682C8BF2DE13AD9B6AEF24A80CB22


flag: B4D682C8BF2DE13AD9B6AEF24A80CB22



恭喜ID[飞翔的猫咪]获看雪安卓应用安全能力认证高级安全工程师!!

最后于 2021-11-16 18:09 被海风月影编辑 ,原因:
收藏
点赞4
打赏
分享
最新回复 (1)
游客
登录 | 注册 方可回帖
返回