【C语言】SCU安全项目1-FindKeys

news2024/11/23 22:14:45

目录

前言

 命令行参数

16进制转字符串

extract_message1

process_keys12

extract_message2

main

process_keys34


前言

因为这个学期基本都在搞CTF的web方向,C语言不免荒废。所幸还会一点指针相关的知识,故第一个安全项目做的挺顺利的,也把思维切换切换,接触点新东西。

贴出源码

#include <stdio.h>
#include <stdlib.h>

int prologue[] = {
	0x5920453A, 0x54756F0A, 0x6F6F470A, 0x21643A6F,
	0x6E617920, 0x680A6474, 0x6F697661, 0x20646E69,
	0x63636363, 0x63636363, 0x72464663, 0x6F6D6F72,
	0x63636363, 0x63636363, 0x72464663, 0x6F6D6F72,
	0x2C336573, 0x7420346E, 0x20216F74, 0x726F5966,
	0x7565636F, 0x20206120, 0x6C616763, 0x74206C6F,
	0x20206F74, 0x74786565, 0x65617276, 0x32727463,
	0x594E2020, 0x206F776F, 0x79727574, 0x4563200A
};

int data[] = {
	0x63636363, 0x63636363, 0x72464663, 0x6F6D6F72,
		0x466D203A, 0x65693A72, 0x43646E20, 0x6F54540A,
		0x5920453A, 0x54756F0A, 0x6F6F470A, 0x21643A6F,
		0x594E2020, 0x206F776F, 0x79727574, 0x4563200A,
		0x6F786F68, 0x6E696373, 0x6C206765, 0x796C656B,
		0x2C336573, 0x7420346E, 0x20216F74, 0x726F5966,
		0x7565636F, 0x20206120, 0x6C616763, 0x74206C6F,
		0x20206F74, 0x74786565, 0x65617276, 0x32727463,
		0x6E617920, 0x680A6474, 0x6F697661, 0x20646E69,
		0x21687467, 0x63002065, 0x6C6C7861, 0x78742078,
		0x6578206F, 0x72747878, 0x78636178, 0x00783174
};

int epilogue[] = {
	0x594E2020, 0x206F776F, 0x79727574, 0x4563200A,
	0x6E617920, 0x680A6474, 0x6F697661, 0x20646E69,
	0x7565636F, 0x20206120, 0x6C616763, 0x74206C6F,
	0x2C336573, 0x7420346E, 0x20216F74, 0x726F5966,
	0x20206F74, 0x74786565, 0x65617276, 0x32727463
};

char message[100];

void usage_and_exit(char* program_name) {
	fprintf(stderr, "USAGE: %s key1 key2 key3 key4\n", program_name);
	exit(1);
}

void process_keys12(int* key1, int* key2) {

	*((int*)(key1 + *key1)) = *key2;
}

void process_keys34(int* key3, int* key4) {

	*(((int*)&key3) + *key3) += *key4;
}

char* extract_message1(int start, int stride) {
	int i, j, k;
	int done = 0;

	for (i = 0, j = start + 1; !done; j++) {				
		for (k = 1; k < stride; k++, j++, i++) {

			if (*(((char*)data) + j) == '\0') {
				done = 1;
				break;
			}

			message[i] = *(((char*)data) + j);
		}
	}
	message[i] = '\0';
	return message;
}


char* extract_message2(int start, int stride) {     
	int i, j;

	for (i = 0, j = start;
		*(((char*)data) + j) != '\0';
		i++, j += stride)
	{
		message[i] = *(((char*)data) + j);
	}
	message[i] = '\0';
	return message;
}

int main(int argc, char* argv[])
{
	int dummy = 1;
	int start, stride;
	int key1, key2, key3, key4;
	char* msg1, * msg2;

	key3 = key4 = 0;
	if (argc < 3) {
		usage_and_exit(argv[0]);
	}
	key1 = strtol(argv[1], NULL, 0);
	key2 = strtol(argv[2], NULL, 0);
	if (argc > 3) key3 = strtol(argv[3], NULL, 0);
	if (argc > 4) key4 = strtol(argv[4], NULL, 0);

	process_keys12(&key1, &key2);

	start = (int)(*(((char*)&dummy)));      
	stride = (int)(*(((char*)&dummy) + 1));	     

	if (key3 != 0 && key4 != 0) {
		process_keys34(&key3, &key4);
	}

	msg1 = extract_message1(start, stride);

	if (*msg1 == '\0') {
		process_keys34(&key3, &key4);
		msg2 = extract_message2(start, stride);
		printf("%s\n", msg2);
	}
	else {
		printf("%s\n", msg1);
	}

	return 0;
}

 命令行参数

在C语言程序中,主函数main()可以有两个参数,用于接收命令行参数。带有参数的函数main()习惯上书写为:

(颇有pearcmd的感觉哈哈哈)

int main(int argc,char *argv[])
{
...
}

argc和argv是函数main()的形参(argc和argv分别是argument count和argument vector的缩写)。用命令行的方式运行程序时,函数main()被调用,与命令行有关的信息作为实参传递给两个形参。

第一个参数argc接收命令行参数(包括命令)的个数;第二个参数argv接受以字符串常量形式存放的命令行参数(包括命令本身也作为一个参数)。字符指针数组argv[]表示各个命令行参数(包括命令),其中argv[0]指向命令,argv[1]指向第1个命令行参数,argv[2]指向第2个命令行参数......argv[argc-1]指向最后一个命令行参数。

审一下源码的这部分

其实就是让我们最少传2个参数(第0个参数为程序名),否则就会exit

16进制转字符串

这里显然只有data数组有用,只需要转换data数组即可

如果直接用16进制转字符串的网站,会发现转换结果并不正确

于是跟着代码逻辑自己写一版16进制逐字节解码程序

#include <stdio.h>

	int data[] = {
	0x63636363, 0x63636363, 0x72464663, 0x6F6D6F72,
		0x466D203A, 0x65693A72, 0x43646E20, 0x6F54540A,
		0x5920453A, 0x54756F0A, 0x6F6F470A, 0x21643A6F,
		0x594E2020, 0x206F776F, 0x79727574, 0x4563200A,
		0x6F786F68, 0x6E696373, 0x6C206765, 0x796C656B,
		0x2C336573, 0x7420346E, 0x20216F74, 0x726F5966,
		0x7565636F, 0x20206120, 0x6C616763, 0x74206C6F,
		0x20206F74, 0x74786565, 0x65617276, 0x32727463,
		0x6E617920, 0x680A6474, 0x6F697661, 0x20646E69,
		0x21687467, 0x63002065, 0x6C6C7861, 0x78742078,
		0x6578206F, 0x72747878, 0x78636178, 0x00783174
	};
	void decode1(int* data)
	{
		for (int i = 0; ; i++) {
			char c = *(((char*)data) + i);
			putchar(c);
			if (c == '\0') break;
		}
	}
	int main()
	{
		decode1(data);
		return 0;
	}

运行结果

两者的差异是什么原因呢?

因为Intel处理器是小端,所以数组里每个int的低位存储在内存的低地址处,即先被转化

例如

int 0x5A33723479(Z3r4y)

在内存中:

79 34 72 33 5A(y4r3Z)

所以我们把data的数据先预处理一下再放入16进制转字符串在线网站即可(虽然没有必要)

接下来看一些关键代码

extract_message1

传入一个start和stride,将data数组转换成字符串

这个函数的功能是,从 data 数组的首地址偏移 start + 1 地址开始,每转换 stride -1 个字符后,就跳过一个字符不转换,重复执行这样的操作直到转换到最后一个字符

已知明文最开始为:From: ,可利用其来倒推出start和stride

这里显然是从第10个字符开始(从0开始计数),每次转换两个字符,故start=9,stride=3

 再发现start和stride是由dummy得来的

将dummy最低的字节赋值给start(要等于9),将dummy第二低的字节赋值给stride(要等于3)

即dummy为0x????0309

记录一下低2位转10进制是777

process_keys12

 访问以 key1 变量的地址为初始地址,偏移 *key1 的值×sizeof(int) 即4字节的地址,赋成*key2的值。

这里就可以操纵key1地址将其偏移到dummy的地址,再操纵*key2来控制dummy的值

调试看key1和dummy的地址

(左为key1,右为dummy)

计算地址差值

24➗4=9 ,所以只要令*key1=9即可偏移到dummy的地址

再令*key2=777,使得dummy为0x00000309,成功使得start为9,stride为3

回显正确

提示我们要选择key3key4来调用extract2并且避免调用extract1

extract_message2

其实和extract_message1大同小异

从 data 数组的首地址偏移 start 地址开始,每读入一个字符,就跳过stride-1个字符,直到转换到最后一个字符

可见start=9,stride=3 (刚好就是msg1对应的数据,故key1,key2传的值不用改)

main

 通过代码审计,发现只要让extract_message1返回一个空字符串就可以打印出msg2

我们接着看,怎么操纵msg1='\0'

extract1 最初会访问第10个字符(从0开始计数),而第10个字符恰好会在 extract2 (从第9个字符开始,每隔2个取一个)中被忽略不会影响答案。
所以我们可以直接尝试改变 data 数组,使其表示的第10个字符为 \0 ,即将data[2]=0x72464663转变成 0x72004663 。
可以借助 process_keys34 来操纵data[2]

process_keys34

 这个函数就是把指向key3指针的地址偏移*key3的值×sizeof(int)即4个字节的地址,将其解引用,自增一个*key4的值

那么我们就可以将指向key3指针的地址偏移到data[2]上,然后利用*key4改变data[2]的值,这里72004663-72464663=-4587520,key4传入-4587520即可

调试观察&key3和data[2]的地址

 2597600/4=649400

所以key3传入649400

综上,key1,key2,key3,key4分别传入9 777 649400 -4587520

运行回显正确

实验1还是比较友好的,做的时候没有太坐牢,对于一个C语言小白这种难度刚刚好QWQ

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1320204.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

龙芯loongarch64服务器编译安装gcc-8.3.0

前言 当前电脑的gcc版本为8.3.0,但是在编译其他依赖包的时候,出现各种奇怪的问题,会莫名其妙的中断编译。本地文章讲解如何自编译安装gcc,替换系统自带的gcc。 环境准备 下载页面:龙芯开源社区网站 - LoongArch GCC 8.3 交叉工具链 - 源码下载源码包名称如:loongson-gnu…

修改antd表单Form.Item的label颜色的方法

默认的Form.item的标签颜色为黑色&#xff0c;但是如果我是用深色背景&#xff0c;这样的情况下表单就看不清楚label了&#xff0c;就像下面的情况&#xff0c;密码两个字完全看不到&#xff0c;所以想把它改为白色字体&#xff0c;就像上面的账号两个字一样&#xff1a; 所以怎…

黑马点评05分布式锁 1互斥锁和过期时间

实战篇-09.分布式锁-基本原理和不同实现方式对比_哔哩哔哩_bilibili 1.分布式锁 因为jvm内部的sychonized锁无法在不同jvm之间共享锁监视器&#xff0c;所以需要一个jvm外部的锁来共享。 2.redis setnx互斥锁 加锁解锁即可 2.1不释放锁可能死锁 redis 的setnx不会自动释放锁…

C语言是否已经跟不上社会需求?

今日话题。C语言是否已经跟不上社会需求&#xff1f;一个问题的提出者说&#xff0c;几天前他受到老板的批评&#xff0c;因为他只精通C语言编程&#xff0c;无法满足老板的需求。实际上&#xff0c;C语言在嵌入式行业中仍然具有极高的价值。它高效、可移植&#xff0c;并广泛用…

选择正确的自动化测试工具:打造高效测试流程的必备利器!

摘要 自动化测试正在逐步取代部分手动测试&#xff0c;因为它可以节省时间并提高测试质量。特别是在进行回归测试的情况下&#xff0c;自动化可以通过多种方式提高效率。手动进行重复测试是浪费时间和资源。此外&#xff0c;由于重复测试可能会遗漏&#xff0c;因此存在一定的…

Android Stuido报错处理

仅用作报错记录。防止以后出项问题不知如何解决。 报错1 Dependency‘androidx.annotation:xx requires libraries and applications … 需要修改CompileSDKVersion更改为报错中提示的版本 打开项目build.gradle文件&#xff0c;将compileSdk和targetSdk修改为报错中提示的版…

从数藏到链游,最近爆火的链游理想城,一天直接干爆服务器!

大家好&#xff0c;我是吴军&#xff0c;一家软件开发公司的营销经理 今天我们来聊聊链游以及数字藏品&#xff0c;2022年4月开始&#xff0c;一众数藏平台犹如雨后春笋冒出来&#xff0c;由ibox牵头&#xff0c;开始了一场掘金盛宴&#xff0c;许多大学生都相继入场&#xff…

【1.7计算机组成与体系结构】主存编址计算

目录 1.主存编址2.主存编址计算公式3.例题&#xff1a; 1.主存编址 1bit(比特位) 1B(字节)8bit(比特位) 1KB1024B 1MB1024KB 1GB1024MB 2.主存编址计算公式 &#x1f534;存储单元 存储单元个数最大地址-最小地址1 &#x1f534;编址内容 按字编址:存储体的存储单元是字存储…

专科毕业,应届生零基础如何七天搞定自动化测试?

现在很多测试人员有些急于求成&#xff0c;没有任何基础想当然的&#xff0c;要在一周内上手自动化测试。 在自动化的过程中时候总有人会犯很低级的问题&#xff0c;有语法问题&#xff0c;有定位问题&#xff0c;而且有人居然连__init__.py 文件名都弄错误&#xff0c;还有将…

90%的人学Python爬虫都干过这种事,别不承认!

可以说&#xff0c;我是因为想批量下载一个网站的图片&#xff0c;才开始学的python爬虫。当一张一张图片自动下载下来时&#xff0c;满满的成就感&#xff0c;也满满的罪恶感……哈哈哈&#xff01;&#xff01;&#xff01;窈窕淑女&#xff0c;君子好逑&#xff0c;这篇文章…

防止反编译,保护你的SpringBoot项目

ClassFinal-maven-plugin插件是一个用于加密Java字节码的工具&#xff0c;它能够保护你的Spring Boot项目中的源代码和配置文件不被非法获取或篡改。下面是如何使用这个插件来加密test.jar包的详细步骤&#xff1a; 安装并设置Maven&#xff1a; 首先确保你已经在你的开发环境中…

C/C++函数递归的趣味题

1、汉诺塔问题 题目&#xff1a; 先来分析一下当圆盘数较小时的操作步骤。 代码 //递归求解汉诺塔问题 void move(char, char); void HanoiTower(int, char, char, char); int main() {cout << "请输入A柱上的圆盘数量&#xff1a;";int n;cin >> n;Han…

Java研学-JavaScript 进阶

一 JS 的 DOM 1 概述 DOM 是 Document Object Model 文档对象模型的缩写。根据 W3C 的 DOM 规范&#xff0c;它是一种与浏览器&#xff0c;平台&#xff0c;语言无关的接口&#xff0c;能够动态地修改 XML 和 HTML。   D&#xff1a;文档 – HTML文档 或 XML 文档   O&…

物联网在能源管理中的应用——青创智通工业物联网解决方案

随着全球能源资源的日益紧张和环境问题的日益突出&#xff0c;能源管理已成为当今社会的重要议题。物联网技术的快速发展为能源管理提供了新的解决方案。本文将介绍物联网在能源管理中的应用及其优势。 一、物联网在能源管理中的应用 1. 智能电网 智能电网是物联网在能源管理中…

【基于BP神经网络的房价预测系统设计与实现】

基于BP神经网络的房价预测系统设计与实现 摘要1. 引言2. 数据获取与预处理3. 数据分析与可视化4. 系统功能设计4.1 用户登录注册4.2 房价数据展示4.3 房价变化趋势4.4 各区房价对比4.5 房间数和朝向分析4.6 房价预测 5. 创新点与意义6. 结论与展望结尾 摘要 本文介绍了一项基于…

Video anomaly detection with spatio-temporal dissociation 论文阅读

Video anomaly detection with spatio-temporal dissociation 摘要1.介绍2.相关工作3. Methods3.1. Overview3.2. Spatial autoencoder3.3. Motion autoencoder3.4. Variance attention module3.5. Clustering3.6. The training objective function 4. Experiments5. Conclusio…

骨传导耳机跟开放式耳机有什么关系?骨传导耳机和气传导耳机谁更值得入手?

开放式耳机是指开放双耳佩戴的耳机&#xff0c;骨传导耳机也算开放式耳机的一种&#xff0c;除了骨传导耳机外&#xff0c;还有气传导耳机&#xff0c;这两种耳机都算开放式耳机&#xff0c;不过传声方式有所不同。 骨传导耳机&#xff1a;通过颅骨震动来进行传导声音&#xff…

更长的 GPT-4 对话 token 上限,如何影响我的翻译工作流?

&#xff08;注&#xff1a;本文为小报童精选文章&#xff0c;已订阅小报童或加入知识星球「玉树芝兰」用户请勿重复付费&#xff09; 顺便聊聊生成式 AI 对你将来的工作流究竟有什么影响。 惊喜 Setapp 里面的 Typingmind 终于可以支持 128K token 窗口的 GPT-4 Turbo 了。只要…

5G工业物联网网关,比4G工业网关强在哪里?

​随着5G技术的广泛应用&#xff0c;越来越多的行业开始探索如何利用5G网络提升效率和创新能力。其中&#xff0c;工业物联网领域是受益最大的领域之一。作为连接物联网设备和网络的关键组件&#xff0c;5G工业物联网网关在这个变革中发挥着至关重要的作用。本文将深入探讨5G工…

Linux+Docker+Gitee+Jenkins自动化部署.NET Core服务

目录 一、安装Jenkins 1、跟新yum包 2、查询镜像 3、拉取镜像 4、创建Jenkins工作目录&#xff0c;并将容器内目录挂载到此目录上 5、启动Jenkins容器 二、Jenkins配置 1、Jenkins安装gitee码云插件 2、创建私人令牌 3、Jenkins添加全局凭据 4、系统配置 三、构建任…