2023 RealWorldCTF “Ferris proxy”逆向题分析(不算wp)

2023-11-11 11:50

本文主要是介绍2023 RealWorldCTF “Ferris proxy”逆向题分析(不算wp),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

这题第二天才开始做,结果到比赛后4个小时才做出来,真是老了,不过也算有收获,对rust的程序更熟悉了~

client编译后的代码有41M,WTF

主函数入口

根据main函数找到两个入口
在这里插入图片描述
第二个函数很明显是主入口,不过rust的主函数没有什么逻辑,跳过直接看上面一个
在这里插入图片描述
这里显示是一个轮询的任务
往下翻可以看到connect的函数

在这里插入图片描述
其参数明显有意义(127.0.0.1:8888),表示需要连接的端口:
在这里插入图片描述继续往下翻,可以找到RC4的加密,加密的密钥可以动态调试得到:在这里插入图片描述
在继续往下翻,可以看到还开启了监听端口(0.0.0.0:12345)
在这里插入图片描述
在这里插入图片描述
继续往下看,可以看到有accept函数和while循环,我猜测应该是接受12345端口的连接,然后接受请求并处理的过程
在这里插入图片描述
但是调试的时候发现12345端口有连接到中间这里就返回了,后面也不知道运行到哪里,只好再从外面找。
总结一下,这部分的逻辑就是客户端连接127.0.0.1:8888端口,同时开启RC4的流加密,此链路进行加密,然后开启监听12345端口,等待连接进行后续处理。
然后查找process_connection函数,找到两个
在这里插入图片描述
同理,选择第一个进行查看,这里设置断点可以发现会在上述的流程后命中
翻到下面可以看到有crypto的new函数,表示开启了新的加密算法,然后就是很重要的key_exchange函数
在这里插入图片描述

密钥交换

这个lib::protocol::crypto::Crypto$LT$T$C$V$GT$::key_exchange::_$u7b$$u7b$closure$u7d$$u7d$::he4df208cecf648f7函数就是检查密钥交换是否成功的函数,进去看看
在这里插入图片描述
首先是用如下的随机函数产生16bytes的随机串,这里的随机串被赋值到retstr[2]中

use rand::{thread_rng, Rng};let mut rng = thread_rng();
let x: u128 = rng.gen();
println!("{}", x);

然后再用PublicKey的RSA算法加密得到256bytes的随机串发送给server
在这里插入图片描述
这里是发送部分
在这里插入图片描述
同时还需要读取server下发的16字节随机串通过公钥加密后的256字节
然后就是采用client的私钥对server发来的256字节进行解密
在这里插入图片描述
解密后得到16bytes数据放到data中
在这里插入图片描述
这里a赋值为前面client生成的16bytes随机串,然后和解密后的server随机串执行16字节的异或

a=CLIENT_RANDOM_KEYS
b=SERVER_RANDOM_KEYS
let key:String = zip(a,b).map(|x,y| (x ^ y) as char).collect();

值得注意的是,这里的异或逻辑在core::iter::traits::iterator::Iterator::collect::habb018b8b38ed0e7函数中,经过11层函数的调用,最终调用了lib::protocol::crypto::Crypto$LT$T$C$V$GT$::key_exchange::_$u7b$$u7b$closure$u7d$$u7d$::_$u7b$$u7b$closure$u7d$$u7d$::h5b42a29de422c367函数
在这里插入图片描述
可以发现,这个函数名比之前所在的key_exchange函数只多了一个_{{closure}}在函数名最后的16位随机串前
再往后就是对这16bytes进行sha256计算,并发送给对端校验
在这里插入图片描述
同时接收hash值,和刚刚sha256的结果进行比较,如果正确则函数返回1,否则返回0
在这里插入图片描述
至此,密钥交换的过程就已经结束了,下面我们再继续分析后续的处理。

会话加密部分

再回到之前的process_connection函数,密钥交换校验成功后就退出了,需要再次找到后续的线程函数
多次调试找到lib::protocol::crypto::Crypto$LT$T$C$V$GT$::process_data_dec_in函数
在这里插入图片描述
这里明显采用了AES_128_CBC加密
在这里插入图片描述
这里从报文中读取了内容放入了retstr[4].gap0[8]和retstr[3]
在这里插入图片描述
到这里程序的加密部分就已经分析结束了,可以解题了,最终写脚本跑出来flag:
在这里插入图片描述
看到没,出题人都觉得:人生苦短,别用Rust~

这篇关于2023 RealWorldCTF “Ferris proxy”逆向题分析(不算wp)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/389853

相关文章

SpringBoot中六种批量更新Mysql的方式效率对比分析

《SpringBoot中六种批量更新Mysql的方式效率对比分析》文章比较了MySQL大数据量批量更新的多种方法,指出REPLACEINTO和ONDUPLICATEKEY效率最高但存在数据风险,MyB... 目录效率比较测试结构数据库初始化测试数据批量修改方案第一种 for第二种 case when第三种

解决1093 - You can‘t specify target table报错问题及原因分析

《解决1093-Youcan‘tspecifytargettable报错问题及原因分析》MySQL1093错误因UPDATE/DELETE语句的FROM子句直接引用目标表或嵌套子查询导致,... 目录报js错原因分析具体原因解决办法方法一:使用临时表方法二:使用JOIN方法三:使用EXISTS示例总结报错原

MySQL中的LENGTH()函数用法详解与实例分析

《MySQL中的LENGTH()函数用法详解与实例分析》MySQLLENGTH()函数用于计算字符串的字节长度,区别于CHAR_LENGTH()的字符长度,适用于多字节字符集(如UTF-8)的数据验证... 目录1. LENGTH()函数的基本语法2. LENGTH()函数的返回值2.1 示例1:计算字符串

Android kotlin中 Channel 和 Flow 的区别和选择使用场景分析

《Androidkotlin中Channel和Flow的区别和选择使用场景分析》Kotlin协程中,Flow是冷数据流,按需触发,适合响应式数据处理;Channel是热数据流,持续发送,支持... 目录一、基本概念界定FlowChannel二、核心特性对比数据生产触发条件生产与消费的关系背压处理机制生命周期

怎样通过分析GC日志来定位Java进程的内存问题

《怎样通过分析GC日志来定位Java进程的内存问题》:本文主要介绍怎样通过分析GC日志来定位Java进程的内存问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、GC 日志基础配置1. 启用详细 GC 日志2. 不同收集器的日志格式二、关键指标与分析维度1.

MySQL中的表连接原理分析

《MySQL中的表连接原理分析》:本文主要介绍MySQL中的表连接原理分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录1、背景2、环境3、表连接原理【1】驱动表和被驱动表【2】内连接【3】外连接【4编程】嵌套循环连接【5】join buffer4、总结1、背景

python中Hash使用场景分析

《python中Hash使用场景分析》Python的hash()函数用于获取对象哈希值,常用于字典和集合,不可变类型可哈希,可变类型不可,常见算法包括除法、乘法、平方取中和随机数哈希,各有优缺点,需根... 目录python中的 Hash除法哈希算法乘法哈希算法平方取中法随机数哈希算法小结在Python中,

Java Stream的distinct去重原理分析

《JavaStream的distinct去重原理分析》Javastream中的distinct方法用于去除流中的重复元素,它返回一个包含过滤后唯一元素的新流,该方法会根据元素的hashcode和eq... 目录一、distinct 的基础用法与核心特性二、distinct 的底层实现原理1. 顺序流中的去重

关于MyISAM和InnoDB对比分析

《关于MyISAM和InnoDB对比分析》:本文主要介绍关于MyISAM和InnoDB对比分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录开篇:从交通规则看存储引擎选择理解存储引擎的基本概念技术原理对比1. 事务支持:ACID的守护者2. 锁机制:并发控制的艺

MyBatis Plus 中 update_time 字段自动填充失效的原因分析及解决方案(最新整理)

《MyBatisPlus中update_time字段自动填充失效的原因分析及解决方案(最新整理)》在使用MyBatisPlus时,通常我们会在数据库表中设置create_time和update... 目录前言一、问题现象二、原因分析三、总结:常见原因与解决方法对照表四、推荐写法前言在使用 MyBATis