【攻防世界】Reverse——xxxorrr writeup

最新推荐文章于 2025-12-19 10:22:43 发布
原创 最新推荐文章于 2025-12-19 10:22:43 发布 · 1.1k 阅读 · 12
标签
#安全
文章讲述了如何分析一段包含main和check函数的C++代码,其中使用异或操作进行数据处理。程序初始化时会对`s1`进行额外修改,Python代码展示了如何通过逆向工程找到正确的flag。

先查看它的main函数代码:

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  int i; // [rsp+Ch] [rbp-34h]
  char s[40]; // [rsp+10h] [rbp-30h] BYREF
  unsigned __int64 v6; // [rsp+38h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  sub_A90(check, a2, a3);
  fgets(s, 35, stdin);
  for ( i = 0; i <= 33; ++i )
    s1[i] ^= s[i];
  return 0LL;
}

unsigned __int64 check()
{
  unsigned __int64 v1; // [rsp+8h] [rbp-8h]

  v1 = __readfsqword(0x28u);
  if ( !strcmp(s1, s2) )
    puts("Congratulations!");
  else
    puts("Wrong!");
  return __readfsqword(0x28u) ^ v1;
}

它的逻辑很简单,就是s1和输入做异或,回调函数调用check函数s1与s2做对比,相同则“Congratulations”。但这样得到的结果是不对的。在s1的定义处,CTRL + x,会发现在程序init的时候,也会对s1做处理:

unsigned __int64 sub_84A()
{
  int i; // [rsp+Ch] [rbp-14h]
  unsigned __int64 v2; // [rsp+18h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  for ( i = 0; i <= 33; ++i )
    s1[i] ^= 2 * i + 65;
  return __readfsqword(0x28u) ^ v2;
}

用下

最低0.47元/天 解锁文章
攻防世界-xxxorrr
qq_63699339的博客
05-13 900
d''":/m-T
菜狗的reverse学习——攻防世界xxxorrr
weixin_61102112的博客
09-13 1933
无壳直接看源码
逆向攻防世界CTF系列38-xxxorrr
LH1013886337的博客
11-17 464
应该是做了一个初始化,改了S1的值,可以动态调试验证一下,这里我对s1下了个硬件断点,发现s1确实改变了。一堆乱码,看看有什么不对,发现s1的交叉引用居然有4个。64位无壳,很自然的找到main和一个比较函数。再对这个函数进行交叉引用定位到。
FUTo: Bypassing Blacklight and IceSword
04-07 1万+
By: petersilberman  This article was released in the Uninformed Journal Vol 3. It is important to remember that this article displays Proof of Concept (POC) ideas and code. FUTo may result in spec
iOS编译报错: "_OBJC_CLASS_$_QQApiInterface", referenced from: XXXXXX.o
跳舞的芒果
09-21 6137
"_OBJC_CLASS_$_QQApiInterface", referenced from: XXXXXX.o
[学习笔记]攻防世界xxxorrr
qq_58742026的博客
03-10 729
异或运算
string和stringBuilder区别
kiven
12-25 9681
String 对象 是不可改变的。每次使用 System.String 类中的方法之一时,都要在内存中创建一个新的字符串对象,这就需要为该新对象分配新的空间。在需要对字符串执行重复修改的情况下,与创建新的 String 对象相关的系统开销可能会非常昂贵。如果要修改字符串而不创建新的对象,则可以使用 System.Text.StringBuilder 类。 StringBulider类
springBoot连OB数据库
cbd451304045的专栏
10-21 2659
###oceanbase 测试。
原生PHP缓存Html 待PHP执行完成后获取Html内容 PHP内置缓存ob_xxx函数实现页面静态化 获取PHP文件输出的内容
FuJinlong94的博客
11-25 6262
前言 目前项目访问量较高,数据量比较大,更新不频繁 突然想到使用Redis+HTML直接返回HTML静态页,如果使用Redis存储Html字符串会出现Redis中bigKey的问题。 所以使用Redis String过期key-value + Html文件策略,使一个HTML文件对应的Key存活5分钟,五分钟后出现访问重新生成新的Html静态页。 遇到问题,执行完成的PHP代码无法获取,截获路由使用file_get_content(url)重新请求路由会出现连续请求两次的情况,如果大量的key过期会
ntifs.h
热门推荐
zzz3265的专栏
05-28 1万+
// ntifs.h// http://www.acc.umu.se/~bosse/ntifs.html/*This is a free version of the file ntifs.h, release 56.The purpose of this include file is to build file system andfile system filter drivers for
CTF-reverse-xxxorrr
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
03-20 1446
发现这里的s1和main函数中的s1是同一个变量,这时碰到一个问题,sub_916函数在进行s1和s2的比对时,按照顺序结构的话,应该是先执行sub_916函数(即先比对s1和s2),再让s1和输入串s异或才对啊?跟进sub_84A函数,果不其然,发现这个函数也对s1进行过相关加密操作,但蒟蒻博主实在想不明白这个函数被调用的机理是什么,main函数中并没有对其调用过的痕迹,希望有清楚的大佬能够路过时指点一二!】,第二次是main函数中的for循环与输入串s异或。输入的字符串s与已经定义好的s1相互异或。
XCTF-xxxorrr
hanpiao_的博客
10-29 279
先查找到字符串发现s1和s2进行比较,相等则输出。查一下s1 和s2的引用(看看是怎么处理的)把题目给的两次异或算法带入写脚本。发现s1被进行过两次异或处理。再找到s2里面的数据。
攻防世界RE练习区题目总结(1-10)
oxhbq的博客
03-06 2269
前言 这篇文章是我做完攻防世界练习区的题目后对这十道题做的总结。emmm,其实这几道题我几个月前就做完了,这几天又回去试着再做一遍发现还是有一些地方存在疑惑,并且速度也没有太大的提升。所以决定把之前做过的题目整理一下都写在博客里,便于以后复习顺便把一些我没搞懂的地方也记录在这里,希望以后可以解决。也希望能有大佬有缘看到我这个小菜鸟的文章,可以帮我指点迷津。 这一篇只写攻防世界新手区的几道题,之后我还会把BUUCTF做的题也做个总结,写一篇博客,希望可以把这个习惯保持下去。说了这么多废话,下面开始正文。
攻防世界reverse | xxxorrr 详细题解 WP
最新发布
2301_80637449的博客
12-19 965
本文详细解析了CTF逆向题目xxxorrr的解题过程。题目通过异或运算实现简单加密,包含隐藏函数sub_84A对s1数组进行预处理。解题关键点在于: 识别程序执行流程:main函数读取输入并与s1异或,sub_916函数比较结果 发现隐藏的sub_84A函数对s1进行动态密钥异或处理(密钥=2*i+65) 编写Python脚本逆向计算,通过s1^密钥^s2得到正确输入 最终flag为:flag{c0n5truct0r5_functi0n_in_41f} 该题展示了异或类题目的典型解法。
ADWORLD xxxorrr
Rainy_Madison的博客
02-09 450
adworld 攻防世界 xxxorrr
WEB前端常用
OB杨的博客
04-11 5197
css省略号white-space: nowrap;text-overflow: ellipsis; overflow: hidden; word-break: break-all;
incremental_updates.20220401.tar.gz--更新说明
技术、思维
04-03 9878
12345678901234567890123456789012345678901234567890123456789012345678901234567890 Incremental Updates for GAMIT/GLOBK 10.71 This file lists updates available immediately in the incremental_updates/ directory. These are combined i
攻防世界新手模式xxxorrr
2302_79735426的博客
07-27 608
(即主函数或程序的入口点返回后),可能会有一些清理工作需要进行,如释放资源、保存状态等。这些工作可能通过回调函数的形式进行,尽管它们。得到 flag{c0n5truct0r5_functi0n_in_41f}所以初步判断 s1与s进行异或 与 v2相等 s即是我们得到的flag。打开s1后 Ctrl+x 发现sub_84A也使用了s1。1.调用了一个函数 sub_A90()s1 与 s2 进行比较,如果相等则正确。打开该函数,发现还有一个异或。3. s1与 s 异或。
oceanbase ODC和Obclient连接mysql类型的ob库
qyq88888的专栏
11-03 7296
本次测试,在测试环境安装了一套单机版的oceanbase mysql版,下面对数据库进行连接。 1、通过ODC连接 (1)、下载并安装odc开发者中心 参考:下载客户端版 ODC - 云数据库 OceanBase - 阿里云https://help.aliyun.com/document_detail/212816.html (2)、打开ODC开发者中心 (3)、点击新建连接 (4)、准备数据库的连接信息: IP:10.xx.xx.153 端口:2881 租户:mysql01 数.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值