llurry's blog

2026 CCSSSC Reverse WP

2026-03-16T02:21:12.000Z

周末参加了这次软件系统安全赛初赛，又是坐牢的一天啊，不过应该是进复赛了，在这篇文章中分享一下解题过程

re1

题目附件给了一个mp4和一个elf文件，先ida分析Loader，通过交叉应用找到main函数

C++程序首先检查当前目录下是否存在 video.mp4文件，如果视频存在，程序会读取内置的全局变量 stager_pyc_base64[0]，然后将这段 Base64 字符串解码，并将解码后的二进制数据写入到名为 stager.pyc 的文件中，最后给stager.pyc 赋予执行权限 (chmod 0755)，然后调用 Python 解释器运行这个脚本 (run_python_script(v16))

解码base64后就拿到了隐藏的pyc

发现了一个硬编码的二进制常量字符串 10101010,出题逻辑：将真实的 Payload 转换为二进制串 -> 与 0xAA (10101010) 进行异或加密 -> 将加密后的 0 和 1 渲染为黑白像素方块，生成 video.mp4
进行解密：
由于加密是对称的（XOR），需要利用 OpenCV 读取视频，提取像素块还原二进制，再与 0xAA 异或

import re

def fix_and_find_flag():
    # 1. 读取提取出的乱码文件
    with open('extracted_payload.bin', 'rb') as f:
        data = f.read()
    
    # 2. 修复黑白颠倒：对每个字节进行按位取反 (XOR 0xFF)
    fixed_data = bytearray([b ^ 0xFF for b in data])
    
    # 3. 将修复好的真实的 ELF 文件保存下来
    with open('fixed_payload.elf', 'wb') as f:
        f.write(fixed_data)
    print("[+] 成功修复文件，已保存为 fixed_payload.elf (Linux 可执行文件)")

    # 4. 尝试直接从修复后的二进制中暴力搜索 dart{} 格式的字符串
    try:
        # 将二进制强制转换为 ASCII 文本（忽略无法识别的字符）
        text = fixed_data.decode('ascii', errors='ignore')
        
        # 搜索 dart{...} 
        match = re.search(r'dart\{.*?\}', text)
        if match:
            print("\n" + "="*50)
            print("🎉 直接在 ELF 文件中找到了 Flag:")
            print(match.group(0))
            print("="*50 + "\n")
        else:
            print("\n[-] 没有直接搜到明文 Flag。")
            print("[*] 出题人可能把 Flag 动态加密了。请在 Linux 虚拟机中运行 ./fixed_payload.elf，或者把它扔进 IDA Pro 里逆向！")
    except Exception as e:
        print(f"[-] 搜索出错: {e}")

if __name__ == '__main__':

提取出的 payload 并不是压缩包，而是一个完整的 Linux ELF 可执行文件

继续ida分析这个fixed_payload.elf，main函数非常短，在栈上分配了 336 字节的数组 v4。使用qmemcpy将 .data 段 off_4020 处的 336 字节拷贝到 v4。程序并未对 v4 进行任何处理，只是打印了提示：每个 MD5 哈希对应一个 ASCII 字符…” 的伪装信息后就退出了。跟进数据段 off_4020，发现这里连续存放了 42 个指针（刚好 336 字节），每个指针指向一个 32 位的 MD5 字符串。

程序没有动态加密，而是将 Flag 拆成了单个字符，并将每个字符的 MD5 值按顺序硬编码在了数据段中。通过简单的单字符 MD5 查表（或跑脚本爆破），将这 42 个 MD5 逐一映射回明文
拼接所有破解出的单字符，得到： dart{2ab1fb8a-b830-45e7-8830-66c7e3b3e05a}

re2

查壳后发现是upx加壳的，并且有魔改,当时懒得脱了，插个眼后面复盘一下

re3

附件一个pyinstaller打包的elf，一个.pcap，不出意料的话就是elf程序有加密逻辑，而流量中有加密结果，先流量分析发现客户像服务器端发送了三个文件加密结果，最终目标是解密flag.txt的加密结果（hex编码）

解包后再将pyc扔进pylingual,拿到py源码

# Decompiled with PyLingual (https://pylingual.io)
# Internal filename: 'client.py'
# Bytecode version: 3.10.b1 (3439)
# Source timestamp: 1970-01-01 00:00:00 UTC (0)

import base64
import sys
import os
import json
import socket
import hashlib
import crypt_core
import builtins
def _oe(_d, _k1, _k2, _rn):
    # ***._oe: Failure: Compilation Error
    try:
        _b = base64.b85decode(_d.encode())
        _r = []
        for _i, _x in enumerate(_b):
            return ((_k1, _k2, _rn), _i, 3) or ((_k1, _k2, _rn), _i, 3) or ((_k1, _k2, _rn), _i, 3) or ((_k1, _k2, _rn), _i, 3) or ((_k1, _k2, _rn), _i, 3) or ((_k1, _k2, _rn), _i, 3) or ((_k1, _k2, _rn), _i, 3) or ((_k1, _k2, _rn), _i, 3) or ((_k1, _k2, _rn), _i, 3) or ((_k1, _k2, _rn), _i, 3) or ((_k1, _k2, _rn), _i, 3) or ((_k1, _k2, _rn), _i, 3) or ((_k1, _k2, _rn),
            _r.append(_x, _k if _k else None)
        _s = bytes(_r).decode()
        _res = []
        for _c in _s:
            if _c.isalpha():
                _base = ord('A') if _c.isupper() else ord('a')
                _res.append((chr, ord(_c), _base, _rn, 26, _base))
            else:
                if _c.isdigit():
                    _res.append(str(int(_c), _rn or 10))
                else:
                    _res.append(_c)
        return ''.join(_res)
    except:
        return _d
_globs = dict(__name__='__main__', __file__=__file__, __package__=None, _oe=_oe)
for _k in dir(builtins):
    if not _k.startswith('_'):
        _globs[_k] = getattr(builtins, _k)
_globs['base64'] = base64
_globs['sys'] = sys
_globs['os'] = os
_globs['json'] = json
_globs['socket'] = socket
_globs['hashlib'] = hashlib
_globs['crypt_core'] = crypt_core
def _obf_check():
    if hasattr(sys, 'gettrace'):
        _tr = sys.gettrace()
        if _tr is not None:
            return False
    return True
def _obf_exec(_code):
    # ***._obf_exec: Failure: Different bytecode
    if not _obf_check():
        return None
    else:
        exec(compile, _code, chr(60) | chr(111) | chr(98) | chr(102) | chr(101) | chr(120) | chr(99))
_1667 = '###'
_obf_exec(base64.b85decode(_1667).decode())

真正的逻辑被 Base85 编码隐藏在 _1667 这个超长字符串里了,代码最后一行意味着它在运行时解码并直接 exec() 内存中的代码。先把真正的python逻辑dump出来

import base64

_1667 = 'UurNQJs@mhZDM3$Iv^-BFd$waF)}tOAS... (把完整的字符串复制过来) ...Uu0!rWM5-pY-1=X3I'
real_code = base64.b85decode(_1667).decode()

with open("real_client.py", "w") as f:
    f.write(real_code)
    
print("解码完成，请查看 real_client.py")

运行脚本得到

_j0 = lambda: (30 ^ 126) + (520 % 26)
_j1 = lambda: (158 ^ 184) + (820 % 54)
_j2 = lambda: (37 ^ 2) + (687 % 25)
_j3 = lambda: (72 ^ 112) + (474 % 30)
_j4 = lambda: (173 ^ 82) + (257 % 73)
_j5 = lambda: (117 ^ 203) + (331 % 54)
_j6 = lambda: (242 ^ 46) + (846 % 33)
_j7 = lambda: (21 ^ 148) + (425 % 77)
_j8 = lambda: (139 ^ 134) + (427 % 21)
_j9 = lambda: (245 ^ 62) + (413 % 85)
_j10 = lambda: (242 ^ 65) + (892 % 30)
_j11 = lambda: (22 ^ 58) + (740 % 59)
_j12 = lambda: (139 ^ 248) + (771 % 74)
_j13 = lambda: (219 ^ 230) + (262 % 63)
_j14 = lambda: (17 ^ 89) + (622 % 38)
_j15 = lambda: (229 ^ 205) + (369 % 25)
_j16 = lambda: (111 ^ 33) + (433 % 50)
_j17 = lambda: (41 ^ 142) + (512 % 21)

class _Obf3776:
    def __init__(self):
        self._v = 751
    def _m(self):
        return self._v * 5

#!/usr/bin/env python3

import socket
import json
import os
import sys
import hashlib
import time

sys.path.insert(0, os.path.dirname(os.path.dirname(os.path.abspath(__file__))))
import crypt_core


class CustomBase64:
    CUSTOM_ALPHABET = _oe("8<27yTmms1djUI&{(7Ls{Apm;c@eJQYZA-rTHu4po}aw559KBaUw?kHpDBVghrW#KRr", 83, 214, 17)
    STANDARD_ALPHABET = (
        _oe("0fj{dfJO_COA?e)7n4^Mo>&>3T^^WT1BYWEqGTnZX)3I6F|~Czuy#AYdpNp$J-J~b;VEk7AYtVtX5cz}", 83, 214, 17)
    )
    ENCODE_TABLE = str.maketrans(STANDARD_ALPHABET, CUSTOM_ALPHABET)
    DECODE_TABLE = str.maketrans(CUSTOM_ALPHABET, STANDARD_ALPHABET)

    @classmethod
    def decode(cls, data: str) -> bytes:
        import base64

        std_b64 = data.translate(cls.DECODE_TABLE)
        return base64.b64decode(std_b64)


SERVER_HOST = ""
SERVER_PORT = 9999
KEY_B64 = _oe("C7MAupdc5tRBM!52kv4Wmp~Hle`A4N5`t?5nObY+L~6Pz5wdF*y=E$zQv!xZ", 83, 214, 17)
KEY = CustomBase64.decode(KEY_B64)
FILES_TO_SEND = [_oe("I-p}FvS)q0emD", 83, 214, 17), _oe("B(-BJ_, 83, 214, 17), _oe("C$MxRtZ99{emD", 83, 214, 17)]


def _opaque_true():
    _x = 0
    for _i in range(100):
        _x += _i * (_i - _i + 1)
    return _x >= 0


def _opaque_false():
    _a, _b = 5, 7
    return (_a * _b) == (_b * _a + 1)


def _dead_calc():
    _dead = 0
    for _i in range(50):
        _dead = (_dead + _i) % 17
        if _dead > 100:
            _dead = _dead * 2 + 1
    return _dead


def encrypt_file(key: bytes, plaintext: bytes) -> bytes:
    _state = 0
    _result = None
    while _state < 3:
        if _state == 0:
            if _opaque_true():
                _result = crypt_core.encode_data(plaintext, key[:16])
                _state = 2
            else:
                _dead_calc()
                _state = 1
        elif _state == 1:
            _dead_calc()
            _state = 2
        elif _state == 2:
            if _opaque_false():
                _result = None
            _state = 3
    return _result


def send_single_file(sock, filename, plaintext):
    _s = 0
    _ct = None
    _pl = None
    while _s < 5:
        if _s == 0:
            _ct = encrypt_file(KEY, plaintext)
            _s = 1
        elif _s == 1:
            _pl = {_oe("B&>2Jvtu`)", 83, 214, 17): filename, _oe("C#-fVpm;c-emD", 83, 214, 17): _ct.hex()}
            _s = 2
        elif _s == 2:
            if _opaque_true():
                sock.sendall(json.dumps(_pl).encode(_oe("KfPvt;{", 83, 214, 17)) + b"\n")
                _s = 4
            else:
                _dead_calc()
                _s = 3
        elif _s == 3:
            _dead_calc()
            _s = 4
        elif _s == 4:
            if not _opaque_false():
                time.sleep(0.1)
            _s = 5


def _verify_cmd(cmd):
    _state = 10
    _hash_val = None
    _valid = False

    while _state < 50:
        if _state == 10:
            if len(cmd) > 0:
                _state = 20
            else:
                _state = 49
        elif _state == 20:
            _hash_val = hashlib.md5(cmd.encode()).hexdigest()
            _state = 30
        elif _state == 30:
            if _opaque_true():
                _valid = _hash_val == _oe("VWK4=qGuqYBxK?sVWlBw, 83, 214, 17)
                _state = 40
            else:
                _dead_calc()
                _state = 49
        elif _state == 40:
            if _valid:
                _state = 50
            else:
                _state = 49
        elif _state == 49:
            return False

    return _valid


def _get_server_host(args):
    _s = 100
    _host = None

    while _s < 200:
        if _s == 100:
            if len(args) > 2:
                _s = 110
            else:
                _s = 120
        elif _s == 110:
            _host = args[2]
            _s = 200
        elif _s == 120:
            if _opaque_true():
                _host = ""
            _s = 200
        elif _s == 200:
            if _opaque_false():
                _host = _oe("Ywsm};Xh>fDF", 83, 214, 17)
            _s = 201

    return _host


def main():
    _state = 0
    _sock = None
    _idx = 0
    _printed_header = False

    while _state < 100:
        if _state == 0:
            if _opaque_false():
                print(_oe("2B2dm_GLArX8", 83, 214, 17))
            _state = 1
        elif _state == 1:
            if len(sys.argv) < 2:
                _state = 5
            else:
                _state = 2
        elif _state == 2:
            if _verify_cmd(sys.argv[1]):
                _state = 3
            else:
                _state = 4
        elif _state == 3:
            if not _printed_header:
                print("=" * 50)
                print(_oe("8K7l9zh`rSYcQZO7{6mSyk;f8F$cA4C9`^SyD5F)", 83, 214, 17))
                print("=" * 50)
                _printed_header = True
            _state = 10
        elif _state == 4:
            print("������Ч������")
            _state = 99
        elif _state == 5:
            print("�÷���python client.py  [SERVER_HOST]")
            _state = 99
        elif _state == 10:
            try:
                _sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
                _state = 11
            except Exception:
                _state = 99
        elif _state == 11:
            _host = _get_server_host(sys.argv)
            _state = 12
        elif _state == 12:
            try:
                _sock.connect((_host, SERVER_PORT))
                _state = 20
            except Exception as e:
                print(f"[!] ����ʧ�ܣ�{e}")
                _state = 99
        elif _state == 20:
            if _idx < len(FILES_TO_SEND):
                _state = 21
            else:
                _state = 30
        elif _state == 21:
            _fname = FILES_TO_SEND[_idx]
            _state = 22
        elif _state == 22:
            if os.path.exists(_fname):
                _state = 23
            else:
                _state = 28
        elif _state == 23:
            with open(_fname, "rb") as _f:
                _data = _f.read()
            _state = 24
        elif _state == 24:
            if _opaque_true():
                print(f"[*] �����ļ�")
            _state = 25
        elif _state == 25:
            if not _opaque_false():
                send_single_file(_sock, _fname, _data)
            _state = 26
        elif _state == 26:
            _idx += 1
            _state = 20
        elif _state == 28:
            print(f"[-] �ļ�������")
            _state = 29
        elif _state == 29:
            _idx += 1
            _state = 20
        elif _state == 30:
            if _opaque_true():
                time.sleep(0.2)
            _state = 31
        elif _state == 31:
            if _sock:
                _sock.close()
            _state = 99
        elif _state == 99:
            break


if __name__ == _oe("42g9itaJ>C", 83, 214, 17):
    _dead_calc()
    if _opaque_true():
        main()
    else:
        _dead_calc()

其中有魔改的base64解码，然后调用了crypt_core.encode_data，密文的长度全部是 16 的整数倍，所以只有前16字节参与加密
去混淆后获取到密钥：passvkcDKWLAA45ocFAXBPM63X4G8XzzTE1B

import base64
CUSTOM = 'QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm1234567890!@'
STD    = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
table = str.maketrans(CUSTOM, STD)
key_b64 = 'eUYme4MkN1KSC1bWJZJ2w3FUJCiEXT13D2u1KmiNtfhXKZYE'
std_b64 = key_b64.translate(table)
key = base64.b64decode(std_b64)
print(key)
print(key[:16])

ida分析crypt_core.so,交叉引用找到关键函数sub_60B0,发现就是魔改SM4

最终解密脚本

from __future__ import annotations

import argparse
import json
import subprocess
import sys
from pathlib import Path


# ===== 常量 =====

BLOCK_SIZE = 16
KEY = b"passvkcDKWLAA45o"

SBOX = bytes.fromhex(
    "ecca0ef308f02aa23b182b5c37bd12a8"
    "05d3a1574f96fcf5a7141966589bbfb4"
    "39d51e1a30bc6c80b7ed4106d91767cd"
    "1d2cae240313c65383110af7c04dc49e"
    "8d001fc33f359fcb729d166facce3c5e"
    "a6e17b343632b895918952c1e7a33348"
    "04cf10eb25bb8e0f816eb343458f49f8"
    "4b59074adefdc8d0848bfbdadb28d43e"
    "a42f56beef86c762ea76e9d674a56bf9"
    "987d3a265aaf870d1b2eb2e36accf1ff"
    "d7f61cc9e870204e233dc2aadc0bf25f"
    "7afa889747d10c02317ff4751593388a"
    "429071dd73557eb55b294c9ae08cb0e5"
    "642701dfad2179949251697c22635085"
    "2de2404644a982b661d8d2b968abb15d"
    "655477a0c5ba609ce4feee99e6786d09"
)

FK = (0x3B1F86A4, 0x83F7332D, 0x58ADBA8E, 0x71DC3F73)

CK = (
    0x9A148706, 0x657904A4, 0xB0535D2D, 0x865C7AA7,
    0xF7FEF2D4, 0xF09D3A8B, 0x67CB0390, 0xF3B1D1AA,
    0x1941EDE3, 0xCDD55650, 0x272AA612, 0x397B1DC6,
    0x767AAB6B, 0x71A39044, 0x8A77F592, 0x7B5A7907,
    0x97D18251, 0xCA1960CB, 0x44B54134, 0x3F30C70A,
    0x5EB36C72, 0x5569E716, 0x51BF832C, 0xF13A95BC,
    0x92D9F824, 0xE75CED15, 0x4558D865, 0xBE5250CD,
    0x8F658E94, 0xB4EA5DC0, 0xB0377FCE, 0x4DF44762,
)


# ===== 基础函数 =====

def rol32(x: int, n: int) -> int:
    x &= 0xFFFFFFFF
    return ((x << n) | (x >> (32 - n))) & 0xFFFFFFFF


def tau(x: int) -> int:
    return (
        (SBOX[(x >> 24) & 0xFF] << 24)
        | (SBOX[(x >> 16) & 0xFF] << 16)
        | (SBOX[(x >> 8) & 0xFF] << 8)
        | SBOX[x & 0xFF]
    )


def l_transform(x: int) -> int:
    return x ^ rol32(x, 2) ^ rol32(x, 10) ^ rol32(x, 18) ^ rol32(x, 24)


def l_prime(x: int) -> int:
    return x ^ rol32(x, 13) ^ rol32(x, 23)


# ===== 密钥扩展 =====

def expand_round_keys(key: bytes) -> list[int]:
    if len(key) != BLOCK_SIZE:
        raise ValueError("invalid key length")

    words = [int.from_bytes(key[i:i + 4], "big") for i in range(0, 16, 4)]
    state = [words[i] ^ FK[i] for i in range(4)]

    rk = []
    for i in range(24):
        mix = state[i + 1] ^ state[i + 2] ^ state[i + 3] ^ CK[i]
        new = state[i] ^ l_prime(tau(mix))
        state.append(new)
        rk.append(new)

    return rk


# ===== 分组加解密 =====

def crypt_block(block: bytes, rk: list[int]) -> bytes:
    if len(block) != BLOCK_SIZE:
        raise ValueError("invalid block size")

    state = [int.from_bytes(block[i:i + 4], "big") for i in range(0, 16, 4)]

    for i in range(24):
        mix = state[i + 1] ^ state[i + 2] ^ state[i + 3] ^ rk[i]
        state.append(state[i] ^ l_transform(tau(mix)))

    return b"".join(w.to_bytes(4, "big") for w in state[-1:-5:-1])


def pkcs7_unpad(data: bytes) -> bytes:
    if not data or len(data) % BLOCK_SIZE:
        raise ValueError("invalid padding")

    pad = data[-1]
    if pad < 1 or pad > BLOCK_SIZE or data[-pad:] != bytes([pad]) * pad:
        raise ValueError("invalid padding")

    return data[:-pad]


def decrypt(ct: bytes, key: bytes = KEY) -> bytes:
    if len(ct) % BLOCK_SIZE:
        raise ValueError("invalid ciphertext length")

    rk = list(reversed(expand_round_keys(key)))
    pt = b"".join(
        crypt_block(ct[i:i + 16], rk)
        for i in range(0, len(ct), 16)
    )
    return pkcs7_unpad(pt)


# ===== PCAP 解析 =====

def extract_json_messages(pcap: Path) -> list[dict[str, str]]:
    out = subprocess.check_output(
        ["tshark", "-r", str(pcap), "-q", "-z", "follow,tcp,raw,0"],
        text=True,
    )

    msgs = []
    for line in out.splitlines():
        line = line.strip()
        if not line or any(c not in "0123456789abcdef" for c in line):
            continue

        raw = bytes.fromhex(line)
        if raw.startswith(b"{"):
            msgs.append(json.loads(raw.decode()))

    return msgs


# ===== 输出 =====

def print_result(name: str, pt: bytes) -> None:
    print(f"=== {name} ===")
    try:
        print(pt.decode())
    except UnicodeDecodeError:
        print(pt.hex())
    print()


# ===== 主程序 =====

def main() -> int:
    parser = argparse.ArgumentParser()
    parser.add_argument("--pcap", type=Path, default=Path("capture.pcap"))
    parser.add_argument("--ciphertext")
    parser.add_argument("--raw", action="store_true")
    args = parser.parse_args()

    # 单条解密模式
    if args.ciphertext:
        pt = decrypt(bytes.fromhex(args.ciphertext))
        output = pt.hex() if args.raw else pt.decode(errors="ignore")
        print(output)
        return 0

    # PCAP 模式
    msgs = extract_json_messages(args.pcap)
    if not msgs:
        print("no messages found", file=sys.stderr)
        return 1

    for m in msgs:
        pt = decrypt(bytes.fromhex(m["ciphertext"]))
        print_result(m["filename"], pt)

    return 0


if __name__ == "__main__":
    raise SystemExit(main())

2025ciscn初赛

2025-12-30T02:21:12.000Z

依旧坐牢，但还是有收获的

Eternum

go程序结合流量分析来考察
先追踪TCP流，发现所有数据包均以 45 54 33 52 4E 55 4D 58 开头，对应ASCIL是 “ET3RNUMX”，猜测是自定义的C2通信协议，结构为 Header(8) + Length(4) + EncryptedData
交叉引用发现go程序还是加壳了的，脱壳后在ida打开

函数名去除了符号，用GoReSym工具分析二进制文件，https://github.com/mandiant/GoReSym/releases，恢复部分运行时元数据，并生成 IDAPython 脚本导入 IDA。虽然混淆后的函数名无法完全还原语义，但标准库函数得到了恢复
以下是题目程序恢复符号后的main.main函数伪代码：


void __fastcall main_main()
{
  __int64 v0; // r14
  __int64 v1; // rcx
  __int64 v2; // rax
  _QWORD *v3; // rax
  __int64 v4; // rcx
  __int64 v5; // rsi
  _QWORD *v6; // r11
  _QWORD *v7; // rax
  _QWORD *v8; // rcx
  _QWORD *v9; // r11
  __int64 v10; // [rsp-20h] [rbp-80h]
  __int64 v11; // [rsp+0h] [rbp-60h]
  __int64 v12; // [rsp+8h] [rbp-58h]
  _QWORD *v13; // [rsp+10h] [rbp-50h]
  __int64 v14; // [rsp+18h] [rbp-48h]
  __int64 v15; // [rsp+28h] [rbp-38h]
  void *retaddr; // [rsp+60h] [rbp+0h] BYREF

  if ( (unsigned __int64)&retaddr <= *(_QWORD *)(v0 + 16) )
    goto LABEL_11;
  if ( (unsigned __int64)qword_9A8A58 <= 1 )
  {
    runtime_panicIndex();
LABEL_11:
    runtime_morestack_noctxt();
    j_main_main();
    return;
  }
  v11 = *(_QWORD *)(qword_9A8A50 + 24);
  v14 = *(_QWORD *)(qword_9A8A50 + 16);
  v10 = iGw9vplejnCj_FPKxH3Y();
  v15 = v1;
  v12 = v2;
  v3 = (_QWORD *)runtime_newobject();
  v3[3] = v11;
  if ( dword_9CB880 )
  {
    v3 = (_QWORD *)runtime_gcWriteBarrier3();
    v4 = v14;
    *v6 = v14;
    v6[1] = &qword_9CB440;
    v5 = v15;
    v6[2] = v15;
  }
  else
  {
    v4 = v14;
    v5 = v15;
  }
  v13 = v3;
  v3[2] = v4;
  v3[4] = v12;
  v3[5] = &qword_9CB440;
  v3[6] = v5;
  runtime_makechan(v10);
  ktyrAE7wjsb_AmuaG1Qm280(2LL);
  v7 = (_QWORD *)runtime_newobject();
  *v7 = main_main_func1;
  if ( dword_9CB880 )
  {
    v7 = (_QWORD *)runtime_gcWriteBarrier1();
    v8 = v13;
    *v9 = v13;
  }
  else
  {
    v8 = v13;
  }
  v7[1] = v8;
  runtime_newproc();
  runtime_chanrecv1();
  iupHvc2q4__ptr_H1eV17y_Stop();
}

发现程序是一个 C2 Agent ，为了快速找到加密算法，直接去分析KeepAlive，路径追踪：Agent.Run -> gowrap2 -> KeepAlive -> SendHeartbeat，在 SendHeartbeat 的底层调用链中，定位到封包函数 iupHvc2q4_S1msIZMcWt03。在iupHvc2q4_S1msIZMcWt03中发现了关键特征：

硬编码密钥: 加载了一个 32 字节的字符串 “xfqGcVjrOWp5tUGCPFQq448nPDjILTe7”。
AES 特征: 密钥长度符合 AES-256。

封包逻辑:
○ 序列化 Payload。
○ 加密 Payload (AES-GCM，带 Nonce 和 Tag)。
○ 拼接包头：[Magic (8)] + [Total Length (4)] + [Nonce (12)] + [Ciphertext] + [Tag (16)]。
确定完整协议结构

struct Packet {
    char Magic[8];     // "ET3RNUMX"
    uint32 Length;     // Big-Endian, 包含后续所有数据的长度
    byte Nonce[12];    // AES-GCM IV
    byte CipherText[]; // 具体的密文
    byte Tag[16];      // AES-GCM 校验位 (Go标准库通常附加在密文末尾)
};

先批量解密

import re
import struct
from Crypto.Cipher import AES

# 1. 配置
KEY = b"xfqGcVjrOWp5tUGCPFQq448nPDjILTe7"
INPUT_FILE = "trace.txt"  # 把你的 Hex 文本保存到这个文件

def decrypt_payload(ciphertext_with_nonce_tag):
    try:
        # Go AES-GCM: [Nonce (12)] [Ciphertext] [Tag (16)]
        if len(ciphertext_with_nonce_tag) < 28:
            return None, "Data too short"

        nonce = ciphertext_with_nonce_tag[:12]
        tag = ciphertext_with_nonce_tag[-16:]
        ciphertext = ciphertext_with_nonce_tag[12:-16]

        cipher = AES.new(KEY, AES.MODE_GCM, nonce=nonce)
        decrypted = cipher.decrypt_and_verify(ciphertext, tag)
        return decrypted, "Success"
    except Exception as e:
        return None, str(e)

def parse_trace(filename):
    with open(filename, 'r', encoding='utf-8') as f:
        content = f.read()

    # 简单的清洗逻辑，移除行号和偏移量，只保留 Hex
    # 这里假设输入格式比较杂乱，我们用正则提取所有 Hex 字节流
    # 更好的方法是根据 Magic "45 54 33 52 4E 55 4D 58" 定位

    # 将所有文本转换为类似于二进制流的大字符串（忽略非Hex字符）
    clean_hex = re.sub(r'[^0-9A-Fa-f]', '', content)
    # 转换成 bytes
    try:
        data = bytes.fromhex(clean_hex)
    except:
        print("[-] Error parsing hex from file. Check format.")
        return

    # 遍历寻找 Magic Header
    magic = b"\x45\x54\x33\x52\x4E\x55\x4D\x58"
    offset = 0

    while True:
        offset = data.find(magic, offset)
        if offset == -1:
            break

        print(f"\n[+] Found Packet at offset {offset}")

        # 读取长度 (Offset + 8, 4 bytes, Big Endian)
        if offset + 12 > len(data):
            print("[-] Truncated header")
            break

        payload_len = struct.unpack(">I", data[offset+8 : offset+12])[0]
        print(f"    Payload Length: {payload_len}")

        # 提取完整密文段
        # Packet End = Offset + 12 (Header+Len) + payload_len
        if offset + 12 + payload_len > len(data):
            print("[-] Truncated payload")
            # 可能是因为 hex 数据不完整，尝试解密现有的部分
            encrypted_data = data[offset+12:]
        else:
            encrypted_data = data[offset+12 : offset+12+payload_len]

        # 解密
        decrypted, status = decrypt_payload(encrypted_data)

        if decrypted:
            print("    [Decrypted HEX]: " + decrypted.hex()[:60] + "...")
            try:
                # 尝试打印 ASCII，过滤不可见字符
                ascii_text = ''.join([chr(b) if 32 <= b <= 126 else '.' for b in decrypted])
                print(f"    [Decrypted ASCII]: {ascii_text}")

                # *** 自动寻找 Flag ***
                if "flag" in ascii_text.lower() or "gwht" in ascii_text.lower():
                    print("\n    🔥 CRITICAL: POTENTIAL FLAG FOUND! 🔥")
                    print("    " + ascii_text)
                    print("\n")
            except:
                pass
        else:
            print(f"    [-] Decryption Failed: {status}")

        offset += 1 # 继续搜下一个

if __name__ == "__main__":
    # 如果你没有文件，可以直接把那一大段 hex 粘贴到这里作为 string 测试
    # parse_trace("trace.txt")
    print("Please save your hex data to trace.txt and run.")

发现是 Protobuf 序列化数据
● Field 1: OpCode (4 = Heartbeat)
● Field 2: Payload Data (嵌套结构)
● Field 5: TraceID
最后进行流量行为审计，攻击者执行了命令 base32 /var/opt/s*，在响应包中发现明显base32字符串’IMZWGCZ33MI3WGNJYG4YDALJSMIYDCLJUMRSDILJYGUZDMLLBGRQTIN3BGY2WCMLBHF6QU===’
解密发现不对，根据 Protobuf 结构分析，字符串开头的 ‘I’ (0x49) 实际上是 Protobuf 嵌套字段的一部分或数据流残留。去掉I后解密

babygame

玩了下游戏发现过不了，用https://github.com/GDRETools/gdsdecomp 来解包
解包以后定位到flag.gdc

不难发现是aes加密，可以找到key和加密后的密文，同时analyze_flag.py 将A替换成B，直接用cyberchef解密就好了

wasm逆向，用wabt工具来反编译拿到.wat
html源码

题目已经提示了时间
某人本想在2025年12月第三个周末爆肝一个web安全登录demo，结果不仅搞到周一凌晨，他自己还忘了成功登录时的时间戳了，你能帮他找回来吗？
Source Map 利⽤：目录下暴露了 release.wasm.map ，可以直接基于时间戳来爆破
解题思路主要是直接利用 release.js 导出的函数，并通过 Hook Date.now 来欺骗 WASM

import { authenticate } from './build/release.js';
import crypto from 'crypto';

// 目标前缀
const TARGET_PREFIX = "ccaf33e3512e31f3";

// 搜索范围：2025-12-22 00:00:00 (UTC+8) 附近
// 起始：1766332800000
// 结束：1766343600000
const START_MS = 1766332800000;
const END_MS   = 1766343600000;

console.log(`[+] 开始极速爆破...`);
console.log(`[+] 范围: ${START_MS} -> ${END_MS} (共 ${(END_MS - START_MS)} 毫秒)`);

const startTime = performance.now();

for (let ms = START_MS; ms <= END_MS; ms++) {
    
    // --- 核心 Hook 逻辑 ---
    // 强制修改 Date.now，使得 release.js 内部调用 Date.now() 时获取到我们伪造的时间
    Date.now = () => ms; 

    try {
        // 直接调用 WASM 导出的函数
        const authResult = authenticate("admin", "admin");

        // 严格按照题目逻辑：JSON.parse -> JSON.stringify -> MD5
        // (模拟前端的数据处理流程)
        const authData = JSON.parse(authResult);
        const jsonStr = JSON.stringify(authData);
        
        const check = crypto.createHash('md5')
            .update(jsonStr)
            .digest('hex');

        if (check.startsWith(TARGET_PREFIX)) {
            console.log(`\n========== BINGO! ==========`);
            console.log(`Timestamp : ${ms}`);
            console.log(`Time (ISO): ${new Date(ms).toISOString()}`);
            console.log(`Check Val : ${check}`);
            console.log(`\nFlag: flag{${check}}`);
            console.log(`============================`);
            break; // 找到后退出
        }

    } catch (e) {
        // 忽略 JSON 解析错误或其他 WASM 内部错误
        continue;
    }

    // 每 5000 次打印一下进度（因为速度很快，可以适当减少打印频率）
    if ((ms - START_MS) % 5000 === 0) {
        process.stdout.write(`\rProgress: ${ms} ...`);
    }
}

const endTime = performance.now();
console.log(`\n[+] 耗时: ${((endTime - startTime) / 1000).toFixed(2)} 秒`);

直接node solve.mjs

ECDSA

通过分析发现，题目中的ECDSA签名使用了可预测的nonce（k值），这使得私钥可以被恢复。关键问题在于ecdsa库默认使用SHA1作为hash函数，而不是SHA512。通过使用正确的hash函数（SHA1）和已知的nonce生成方式，成功恢复了私钥，并计算出其MD5值。

from ecdsa import VerifyingKey, NIST521p
from hashlib import sha512, sha1
from Crypto.Util.number import long_to_bytes, bytes_to_long
import binascii
import hashlib

# 从public.pem读取公钥
with open("public.pem", "rb") as f:
    vk_pem = f.read()

vk = VerifyingKey.from_pem(vk_pem)
curve_order = NIST521p.order

# 读取签名文件
signatures = []
with open("signatures.txt", "r") as f:
    for line in f:
        if line.strip():
            msg_hex, sig_hex = line.strip().split(":")
            msg = binascii.unhexlify(msg_hex)
            sig = binascii.unhexlify(sig_hex)
            signatures.append((msg, sig))

# nonce函数（与task.py中相同）
def nonce(i):
    seed = sha512(b"bias" + bytes([i])).digest()
    k = int.from_bytes(seed, "big")
    return k

# 选择第一个签名进行攻击
msg, sig = signatures[0]
msg_index = 0  # 因为msg是"message-\x00"

# 计算nonce k
k = nonce(msg_index)

# 解析ECDSA签名 (r, s)
# NIST521p的签名长度是132字节 (66字节r + 66字节s)
sig_len = len(sig)
half_len = sig_len // 2
r = bytes_to_long(sig[:half_len])
s = bytes_to_long(sig[half_len:])

# 计算消息的hash (ecdsa库默认使用SHA1)
msg_hash = bytes_to_long(sha1(msg).digest()) % curve_order

# 验证r和s是否有效
assert 1 <= r < curve_order
assert 1 <= s < curve_order

# 计算私钥 d = (s * k - hash(m)) * r^(-1) mod n
r_inv = pow(r, -1, curve_order)
d = ((s * k - msg_hash) * r_inv) % curve_order

print(f"Recovered private key: {d}")
print(f"Private key hex: {hex(d)}")

# 验证私钥是否正确
from ecdsa import SigningKey
# 使用与task.py相同的方式创建私钥
d_bytes_for_sk = long_to_bytes(d, 66)
sk_recovered = SigningKey.from_string(d_bytes_for_sk, curve=NIST521p)
vk_recovered = sk_recovered.verifying_key

# 验证公钥是否匹配
if vk.to_string() == vk_recovered.to_string():
    print("Private key is correct!")
    
    # 计算MD5 - 注意：MD5应该基于原始的私钥整数，而不是填充后的字节
    # 但根据task.py，私钥是priv_int，所以我们应该对priv_int取MD5
    original_d_bytes = long_to_bytes(d)  # 不带长度参数，只包含必要的字节
    md5_hash = hashlib.md5(original_d_bytes).hexdigest()
    print(f"Flag: flag{{{md5_hash}}}")
else:
    print("Private key recovery failed!")
    print(f"Expected vk: {binascii.hexlify(vk.to_string()).decode()}")
    print(f"Recovered vk: {binascii.hexlify(vk_recovered.to_string()).decode()}")

还原得到的key是11786190273906782566706300546504742629011900435269701041731697414027484824601255112180676531145294320443777235338538357924760601782873554458995940394745073
得到flag

EzFlag

逆向题目和密码的结合
main函数，比较输入内容与硬编码字符串 “V3ryStr0ngp@ssw0rd”，用’’-‘’隔断flag

f函数逻辑

斐波那契数列模 n 具有周期性（皮萨诺周期，Pisano Period）。对于 n=16 (24)，其周期是 24。即：Fib(x)(mod16)==Fib(x(mod24))(mod16)，并且k的值也知道

def solve():
    # 1. 题目给出的映射表 K
    k = "012ab9c3478d56ef"

    # 2. 预计算模 16 的斐波那契序列（周期为 24）
    # F[0]=0, F[1]=1, F[n] = (F[n-1] + F[n-2]) % 16
    fib_mod = [0, 1]
    for i in range(2, 24):
        fib_mod.append((fib_mod[-1] + fib_mod[-2]) & 0xF)

    def get_char(v11_val):
        # 利用周期性：F[v11] % 16 == F[v11 % 24] % 16
        idx = fib_mod[v11_val % 24]
        return k[idx]

    v11 = 1
    flag_content = ""

    print("正在计算 Flag...")
    
    # 3. 循环 32 次
    for i in range(32):
        # 先取字符
        char = get_char(v11)
        flag_content += char
        
        # 格式化：在特定的索引 i 之后添加横杠
        # i=7 (第8个字符), i=12 (第13个字符)...
        if i in [7, 12, 17, 22]:
            flag_content += "-"
        
        # 更新 v11
        # 关键点：模拟 C++ unsigned long long (64位) 溢出行为
        v11 = (v11 * 8 + i + 64) & 0xFFFFFFFFFFFFFFFF

    print(f"最终 Flag: flag{{{flag_content}}}")

if __name__ == "__main__":
    solve()

SnakeBackdoor-2

题目内容：
攻击者通过漏洞利用获取Flask应用的 SECRET_KEY 是什么，结果提交形式：flag{xxxxxxxxxx}
攻击者在利用那个复杂的 RCE（远程代码执行）Payload 之前，通常会先通过简单的 SSTI Payload 来探测环境和读取敏感配置，而 Flask 应用的 SECRET_KEY 就存储在全局对象 config 中。
在过滤器中搜索:http.request.method == “POST” && http.request.uri contains “/admin/preview”
有三个包，一个个地看，这个数据包完美记录了攻击者通过 Payload 窃取 Flask 配置信息的过程

定位关键信息在响应包的 div 标签中，可以看到如下内容（HTML 实体编码格式）：
'SECRET_KEY': 'c6242af0-6891-4510-8432-e1cdf051f160'

解码将 HTML 实体 ' 还原为单引号 ‘，内容即为： ‘SECRET_KEY’: ‘c6242af0-6891-4510-8432-e1cdf051f160’
得到flag:flag{c6242af0-6891-4510-8432-e1cdf051f160}

GeekCTF 2025

2025-11-26T03:43:12.000Z

今年继续参加了极客大挑战，依然记得去年参加的时候只能做出来两三道逆向题目，今年基本上都能解出来了，AI现在确实在逆向方面能起到非常大的帮助，但是还是得把基础打牢

完整版 Writeup 阅读提示

由于本文包含大量截图与详细的分析过程，导出为 PDF 后体积高达 40多MB，为了保证您的阅读体验，完整复盘已托管至语雀知识库

点击这里阅读完整版的《WhaleCalf-校外-9》 CTF WriteUp

基于 ADB 与 Frida 的大麦 App 自动化抢票研究

2025-10-09T02:21:12.000Z

项目概述

EZDM (Easy DaMai) 是一个旨在自动化Android平台上大麦App抢票功能的项目。

技术栈

Python: 主编程语言
ADB: 用于与 Android 设备通信，执行命令如点击、滑动、截图等。
Frida: 动态插桩工具，用于 hook App 的方法

系统架构

ADB模块：通过封装adb命令，实现模拟UI交互、获取系统信息等功能
Frida模块：使用frida提供的能力获取系统和app信息，hook关键函数和方法
通知模块：用于向管理员通知开票时间、抢票结果等信息

开发计划

模拟点击方案
该方案通过adb操控手机或者模拟器方式，模拟用户抢票的行为实现抢票功能。

抓包重放方案
该方案通过抓取大麦抢票流程的所有数据包进行分析，在抢票时通过脚本发送数据包实现抢票功能。

安卓逆向题目的详细解析

2025-07-28T06:12:11.000Z

在这篇博客中，我将分享我在安卓逆向学习过程中遇到的一道题目，并记录下我的分析思路与解题过程。

题目一：3-火焰风暴

思路

这道题目需要用Frida来强制移动应用程序的一个函数工作来获得密码，然后在strings.xml文件中找到一个Firebase配置，再用密码和电子邮件对firebase数据库进行身份验证

这里的Password() 方法从 strings.xml 中获取多个字符串资源并对这些字符串进行子串截取并拼接成一个新的字符串。将拼接后的字符串传递给 native 方法 generateRandomString() 进行处理。最终返回处理后的结果。看了wp后才知道该函数来自本机库“firestorm”。

在AI的帮助下先写好JS代码，使它强制执行 Password 函数，然后打印该函数的结果。

脚本

Java.perform(function() {
    function getPassword() {
        Java.choose('com.pwnsec.firestorm.MainActivity', {
            onMatch: function(instance) {
                console.log("MainActivity instance found: " + instance);
                try {
                    var pass = instance.Password();
                    console.log("FireBase Password: " + pass);
                } catch (e) {
                    console.log("Error occurred: " + e);
                }
            },
            onComplete: function() {
                console.log("Search completed. Exiting script.");

            }
        });
    }

    // Delay execution to ensure the app is fully started
    setTimeout(getPassword, 4000); // Adjust the delay as needed (4000 ms = 4 seconds)

终于搞到密码了，这里我的模拟器有点问题，搞了很久才搞好。

得到了密码后密码将用于向 Firebase 数据库进行身份验证，firebase 配置可以在“strings.xml”文件中找到。

找到了firebase 配置和 firebase 电子邮件后现在需要使用电子邮件和密码向 Firebase 数据库进行身份验证。

得到flag: PWNSEC{C0ngr4tsTh4t_w45_4N_345y_P4$$w 0rd_t0_G3t!!_0R！5_！t???}

脚本

import pyrebase
import requests


config = {
  "apiKey": "AIzaSyAXsK0qsx4RuLSA9C8IPSWd0eQ67HVHuJY",
  "authDomain": "firestorm-9d3db.firebaseapp.com",
  "databaseURL": "https://firestorm-9d3db-default-rtdb.firebaseio.com",
  "storageBucket": "firestorm-9d3db.appspot.com",
  "projectId": "firestorm-9d3db"
}


firebase = pyrebase.initialize_app(config)


auth = firebase.auth()
email = "TK757567@pwnsec.xyz"
password = "C7_dotpsC7t7f_._In_i.IdttpaofoaIIdIdnndIfC"
user = auth.sign_in_with_email_and_password(email, password)

db = firebase.database()

print(db.get(user['idToken']).val())

JQCTF wp

2025-06-04T03:43:12.000Z

第一题 Writeup

JQCTF re复现

第一题-writeup-customize-vm

这个比赛对我来说还是比较难的，re里这道题稍微简单一点，所以先复现了它。

输入长度50，构造关键逻辑在这里，此处是取输入的字符与一组密文进行异或，func_len中所存的即是每一组密文的长度，而\func_data即是所存储的函数（加密之后的），那么就是一个smc了，input只要能满足正常解密出所有的函数逻辑即可

使用解密出的函数做后面的约束

然后这里有点卡了，看了别人的wp后才懂了，只要能fuzz出那个满足正常异或出函数逻辑的输入即可，单字节的一个爆破，翻看一下待解密的模块，找到一点小技巧，0异或一个字节是那个字节本身，那么正确的字节是0的话异或目标字节就会是那个字节，就像下面这块，有连续的z出现，那么目标字节大概率就是z。

输入z之后修一下，成功修复，找一下规律，每个函数最后的retn就是最好的标志

写个脚本fuzz一下，retn对应的字节码是c3,手动替换一下bytes_array。

脚本

# 定义字节数组
bytes_array = [
    0x90, 0xFB, 0xF1, 0x17, 0x89, 0x89, 0x89, 0xF5, 0x86, 0x7D,
    0xF5, 0xB6, 0x73, 0xB5
]

# 获取最后一个字节并与目标值进行异或运算
last_byte = bytes_array[-1]
target = 0xC3
xor_char = last_byte ^ target

# 检查计算结果是否在 [0-9], [a-z], _ 范围内
is_number = (48 <= xor_char <= 57)
is_lowercase = (97 <= xor_char <= 122)
is_underscore = (xor_char == 95)

if is_number or is_lowercase or is_underscore:
    print(f"找到的异或字符: '{chr(xor_char)}'")
else:
    print("没有找到符合条件的异或字符。")

跳转测试
第一题