re2:一个.net程序,使用Reflector反编译,得到代码
发现这就是个和本地端口通信的程序,于是先去关闭了防火墙,在通过RAWPCAP本地回环抓包即可
得到flag::CCTF{7eb67b0bb4427e0b43b40b6042670b55}
re3:一个简单的反汇编
发现就是两个字符串的比较
尝试将上面那个字符串提交,发现正确.
flag:CCTF{789101112131415123456}
true-or-false两个Linux程序,通过IDA反汇编,发现两个程序开始时都会调用system两次,通过ascll码知道了false会将自己覆盖到true上,true会将自己删除.
然后在false里发现了print_f函数,反汇编+凯撒加密就得到了结果的flag
PPGS{yvahk-enva-ova}
\\\\\\\\\\
CCTF{linux-rain-bin}
difffffffffffuse通过IDA观察反编译出的C语言.
总共有3000个函数,3个函数为一周期。但是其中有一些周期中的,第二个函数是直接提取数据,第三个函数移位存在微小差异。通过把汇编代码提取出来生成txt文件,然后用Python读取文件模拟生成c程序,即把这3*1000个函数中的第二个函数都扒取出来,生成second.c文件
程序最后会将这3000个函数加密后的40字节与现有的40字节相比较,于是我们在IDA中把这40个字节抓取出来
0x83 0xec 0x5f 0xa2 0x93 0xce 0xa3 0xfb 0x5a 0x17 0x06 0xff 0x13 0x2d 0xd7 0xc4 0xbe 0xce 0x8d 0x6a 0xb8 0x15 0x26 0xfc 0x84 0x01 0x94 0x44 0xf8 0xd7 0x23 0x1c 0x4b 0xc2 0x31 0x04 0xa6 0x33 0x08 0x57
每一个字符的加密是独立运行的,也就意味着我们可以针对每一个字符进行单独的爆破,看看加密后的数据是否相同,通过简单爆破,最终得到flag:
CCTF{1f_Y0u_W4nNa_R3vEn93_____purpleroc}
神秘文件1拿到forensic.7z后解压得到level1与mem.vmem两个文件,观察文件开头,经过百度后得出level1为硬盘文件,mem为内存文件
恰巧本人有一个空硬盘,于是将硬盘格式化,用bootice将level1写入了硬盘,如图所示
发现硬盘被Bitlocker加密,由于存在忘记密码的可能,Bitlocker提供了文件恢复密码机制,密码为48位纯数字
考虑了恢复密码在内存中的可能性后,用winhex打开mem,在其中搜索Bitlocker没有找到,想起了恢复密码id提示为F2298561,搜索后找到有关内容
发现内存中的数据很多情况用00隔开,于是搜索F2298561的16进制数,每两个数用00隔开,最后找到了48位数字密码
为046409-191059-605495-680889-626109-111617-371668-451517
解锁成功!拿到flag CCTF{U_m4st_G00d_4t_F0nr4n51c}
BEST_EZ_MISC拿到名为reverze.zip的压缩包,用winhex看了一下,很容易想到是zip伪加密
将pk 01 02 后的第5个字节改为00,发现可以解压,得到reverse
打开看了一下,发现是摩丝电码,解密后得到0,9字符串,程序跑了一下算上空格一共2048个字符,由于题目提示结果是个图片,于是尝试不同的像素来观察,最终得到如图所示结果
发表于 2016-11-16 23:29
发表于 2016-11-16 23:46
研究并收藏,明天再看一遍
