首页
论坛
课程
招聘
[原创]KCTF2022第二题WP
2022-5-13 09:51 5848

[原创]KCTF2022第二题WP

2022-5-13 09:51
5848

程序运行一下,输入一个字符串然后输出一波结果,看剧情应该是经典砍传奇,让我想起来之前PWNHUB的比赛砍了两天传奇。

IDA打开后找不到程序运行起来的提示字符串,修改一下编码为CP936即可显示

首先根据我们输入的数据计算出来了一个数字v39,

接着生成了一个256大小的table,并使用输入的数据计算出来一个数字

然后把输入转换了一下,数字字符会被转换成数字,其他字符则转成了’>’,

然后根据输入会有一个200大小的数组变换,跟我们输入的前3位字符异或结果进行比对,在比对位置打断点, 多次调试发现结果等于7的时候才能通过检查,所以设置开头3位字符在经过上述变换后,异或结果为7即可

然后是第二个check,检查输入的第四位变换后是否为20,所以直接算出来第四位字符是K(20+55),第五位和第六位check同理,得到>AAKCT:

然后又是一个check:

跟前面原理一样,得到>AAKCTF

下一个运算经过调试发现是将输入的数据分别按位和他自己的位数取余,结果为0,即一个9位数,前n位能被n整除,所以找了一个脚本:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
/*
    输出一个N位数,使它的前n位能被n整除
    回溯
    2014-4-8 21:51:23
*/
 
#include <stdio.h>
 
int n;
char str[15];
 
void backTrack(int k){
    if(k == n + 1){
        for(int i = 1; i <= n; ++i) putchar(str[i]);
        putchar('\n');
        return;
    }
    for(int i = 1; i < 10; ++i){
        int temp = 0;
        for(int j = 1; j < k; ++j)
            temp = temp * 10 + str[j] - '0';
        temp = temp * 10 + i;
        if(temp % k == 0){
            str[k] = i + '0';
            backTrack(k + 1);
        }
    }
}
 
int main(){
    scanf("%d", &n);
    backTrack(1);
    return 0;
}

得到很多结果,接着往下看,


是一个冒泡排序,结果会和0123456789比对,这就要求我们上面脚本求出来的结果只包含1234567890,筛选一下结果:

1
2
3
4
5
6
7
f = open("./result")
 
l = f.readline()
while l:
    if l.count('1') == 1 and l.count('2') == 1 and l.count('3') == 1 and l.count('4') == 1 and l.count('5') == 1 and l.count('6') == 1 and l.count('7') == 1:
        print(l)
    l = f.readline()

得到:381654729
所以目前flag是>BBKCTF381654729,前三位目前还不确定,往下看:

之前计算出来的数字进行了比对,所以可以把之前的算法抄下来进行一波爆破:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
import subprocess
import string
import ctypes
t = [
    0x00000000, 0x09073096, 0x120E612C, 0x1B0951BA, 0xFF6DC419, 0xF66AF48F, 0xED63A535, 0xE46495A3, 0xFEDB8832, 0xF7DCB8A4, 0xECD5E91E, 0xE5D2D988, 0x01B64C2B, 0x08B17CBD, 0x13B82D07, 0x1ABF1D91, 0xFDB71064, 0xF4B020F2, 0xEFB97148, 0xE6BE41DE, 0x02DAD47D, 0x0BDDE4EB, 0x10D4B551, 0x19D385C7, 0x036C9856, 0x0A6BA8C0, 0x1162F97A, 0x1865C9EC, 0xFC015C4F, 0xF5066CD9, 0xEE0F3D63, 0xE7080DF5, 0xFB6E20C8, 0xF269105E, 0xE96041E4, 0xE0677172, 0x0403E4D1, 0x0D04D447, 0x160D85FD, 0x1F0AB56B, 0x05B5A8FA, 0x0CB2986C, 0x17BBC9D6, 0x1EBCF940, 0x0FAD86CE3, 0x0F3DF5C75, 0xE8D60DCF, 0xE1D13D59, 0x6D930AC, 0x0FDE003A, 0x14D75180, 0x1DD06116, 0x0F9B4F4B5, 0x0F0B3C423, 0x0EBBA9599, 0x0E2BDA50F, 0x0F802B89E, 0xF1058808, 0xEA0CD9B2, 0x0E30BE924, 0x76F7C87, 0x0E684C11, 0x15611DAB, 0x1C662D3D, 0x0F6DC4190, 0x0FFDB7106, 0x0E4D220BC, 0x0EDD5102A, 0x9B18589, 0x00B6B51F, 0x1BBFE4A5, 0x12B8D433, 0x807C9A2, 0x100F934, 0x1A09A88E, 0x130E9818, 0x0F76A0DBB, 0x0FE6D3D2D, 0x0E5646C97, 0x0EC635C01, 0x0B6B51F4, 0x026C6162, 0x196530D8, 0x1062004E, 0x0F40695ED, 0x0FD01A57B, 0x0E608F4C1, 0x0EF0FC457, 0x0F5B0D9C6, 0x0FCB7E950, 0x0E7BEB8EA, 0x0EEB9887C, 0x0ADD1DDF, 0x03DA2D49, 0x18D37CF3, 0x11D44C65, 0x0DB26158, 0x4B551CE, 0x1FBC0074, 0x16BB30E2, 0x0F2DFA541, 0x0FBD895D7, 0x0E0D1C46D, 0x0E9D6F4FB, 0xF369E96A, 0xFA6ED9FC, 0x0E1678846, 0x0E860B8D0, 0x0C042D73, 0x5031DE5, 0x1E0A4C5F, 0x170D7CC9, 0x0F005713C, 0x0F90241AA, 0x0E20B1010, 0xEB0C2086, 0x0F68B525, 0x066F85B3, 0x1D66D409, 0x1461E49F, 0x0EDEF90E, 0x7D9C998, 0x1CD09822, 0x15D7A8B4, 0x0F1B33D17, 0x0F8B40D81, 0x0E3BD5C3B, 0xEABA6CAD, 0x0EDB88320, 0xE4BFB3B6, 0x0FFB6E20C, 0x0F6B1D29A, 0x12D54739, 0x1BD277AF, 0x0DB2615, 0x9DC1683, 0x13630B12, 0x1A643B84, 0x16D6A3E, 0x086A5AA8, 0x0EC0ECF0B, 0xE509FF9D, 0x0FE00AE27, 0x0F7079EB1, 0x100F9344, 0x1908A3D2, 0x201F268, 0x0B06C2FE, 0x0EF62575D, 0x0E66567CB, 0xFD6C3671, 0x0F46B06E7, 0xEED41B76, 0xE7D32BE0, 0x0FCDA7A5A, 0x0F5DD4ACC, 0x11B9DF6F, 0x18BEEFF9, 0x3B7BE43, 0x0AB08ED5, 0x16D6A3E8, 0x1FD1937E, 0x04D8C2C4, 0x0DDFF252, 0x0E9BB67F1, 0xE0BC5767, 0x0FBB506DD, 0x0F2B2364B, 0x0E80D2BDA, 0x0E10A1B4C, 0x0FA034AF6, 0x0F3047A60, 0x1760EFC3, 0x1E67DF55, 0x56E8EEF, 0x0C69BE79, 0xEB61B38C, 0x0E266831A, 0x0F96FD2A0, 0x0F068E236, 0x140C7795, 0x1D0B4703, 0x60216B9, 0x0F05262F, 0x15BA3BBE, 0x1CBD0B28, 0x7B45A92, 0x0EB36A04, 0xEAD7FFA7, 0x0E3D0CF31, 0x0F8D99E8B, 0x0F1DEAE1D, 0x1B64C2B0, 0x1263F226, 0x96AA39C, 0x6D930A, 0x0E40906A9, 0xED0E363F, 0x0F6076785, 0x0FF005713, 0xE5BF4A82, 0x0ECB87A14, 0x0F7B12BAE, 0x0FEB61B38, 0x1AD28E9B, 0x13D5BE0D, 0x8DCEFB7, 0x1DBDF21, 0xE6D3D2D4, 0xEFD4E242, 0x0F4DDB3F8, 0x0FDDA836E, 0x19BE16CD, 0x10B9265B, 0x0BB077E1, 0x2B74777, 0x18085AE6, 0x110F6A70, 0x0A063BCA, 0x3010B5C, 0x0E7659EFF, 0xEE62AE69, 0x0F56BFFD3, 0x0FC6CCF45, 0xE00AE278, 0x0E90DD2EE, 0x0F2048354, 0x0FB03B3C2, 0x1F672661, 0x166016F7, 0x0D69474D, 0x46E77DB, 0x1ED16A4A, 0x17D65ADC, 0x0CDF0B66, 0x5D83BF0, 0xE1BCAE53, 0x0E8BB9EC5, 0x0F3B2CF7F, 0x0FAB5FFE9, 0x1DBDF21C, 0x14BAC28A, 0x0FB39330, 0x6B4A3A6, 0xE2D03605, 0x0EBD70693, 0x0F0DE5729, 0xF9D967BF, 0xE3667A2E, 0x0EA614AB8, 0x0F1681B02, 0x0F86F2B94, 0x1C0BBE37, 0x150C8EA1, 0x0E05DF1B, 0x0702EF8D
    ]
flag = "KCTF381654729"
s = '>!"#$%&\'()*+`0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~'
s1 = '>'
s2 = 'A'
s3 = 'A'
for i in string.printable:
    # print(i)
    for j in string.printable:
        for k in string.printable:
# for i in s:
#     for j in s:
#         for k in s:
# for i in s1:
#     for j in s2:
#         for k in s3:
            flag = i + j + k + flag
            # print(flag)
            v11 = 0xffffffff
            for l in flag:
                v12 = (v11 ^ ord(l)) & 0xff
                if v11 & 0x80000000:
                    temp = (v11 >> 8) + 0xff000000
                else:
                    temp = v11 >> 8
                v11 = t[v12] ^ temp
            # print(flag)
            # print(hex((~v11&0xffffffff)))
            if (~v11&0xffffffff) == 0xF52E0765:
                print(hex(v11))
                print(flag)
                print("SUCCESS")
                exit(0)
            flag = "KCTF381654729"

得到flag:421KCTF381654729
后面还有一个检查,脑抽了没看清逻辑被坑了一把,不然有机会拿个一血,yue:

下意识以为这个v20必须大于0才行,经过调试发现这个v20是上述flag后面剩余的字符数量,然后导出来了下面异或比对的两个表,异或结果为[0, 0, 0x9d…],所以后面补了1到2个0,然后这个9d调了半天都输入不进去,甚至试了好几个中文字符,然后查了一下比赛规则只能有ascii,对着加了一个和两个0的flag爆破了半天,最后发觉问题删掉后面的0,直接爆出来了,僵硬。


【看雪培训】目录重大更新!《安卓高级研修班》2022年春季班开始招生!

最后于 2022-5-13 09:53 被BeFunLab编辑 ,原因:
收藏
点赞0
打赏
分享
最新回复 (2)
雪    币: 219
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
云觞 活跃值 3天前
2
0
大佬,想问问下方代码中为啥要异或0x80000000来判断是否加上0xff000000,加这个0xff000000又是何意呢?
        if v11 & 0x80000000:
            temp = (v11 >> 8) + 0xff000000
        else:
            temp = v11 >> 8
雪    币: 221
活跃值: 活跃值 (151)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
BeFunLab 活跃值 19小时前
3
0
云觞 大佬,想问问下方代码中为啥要异或0x80000000来判断是否加上0xff000000,加这个0xff000000又是何意呢? if v11 & 0x80000000: ...
与0x80000000是为了判断v11是否是负数,即判断最高位符号位是否为1,如果是1则说明是负数,在python里进行右移会在高位补0,而我们对于负数右移高位应该补1,所以在右移8位之后,要把高位补进来的8位0变成8位1,也就是加0xff000000
游客
登录 | 注册 方可回帖
返回