BUUCTF --CrackRTF
BUUCTF --CrackRTF
无壳,ida打开
第一个密码
大致分析一下,第一个密码是六位的数字(通过strlen函数与atoi函数判断),然后对这个密码用strcat加字符串@DBApp后到sub_40100A()函数进行加密,最后把加密字符串用strcmp与6E32D0943418C2C33385BC35A1470250DD8923A9进行比较
分析sub_40100A()函数
我是直接拿给gpt分析的,结果就是这是一个未魔改的sha1加密
这里有一个sha1标识符0x8004u
因为前面已经提示只有数字,我们直接爆破即可
from hashlib import *
enc = '6e32d0943418c2c33385bc35a1470250dd8923a9'
flag1 = ''
for i in range(10000,999999):
if sha1((str(i) + "@DBApp").encode("utf8")).hexdigest() == enc:
flag1 += str(i) + "@DBApp"
print(flag1)
得到第一段密码123321
可以输入程序进行验证一下
成功
第二个密码
第二个密码也是六个字符,但未告知字符串组成类型
分析sub_401019()
这里有md5加密的标识符,丢个gpt分析可知道这就是个普通的md5加密
因此,第二个密码就是通过md5加密(注意这里把第一个密码用strcat拼接到了第二个密码上,所以加密内容是18位的字符串)后与字符串27019e688a4e62a649fd99cadaafdb4e进行比较验证
由于没有告知字符串组成并且数据庞大,因此用脚本爆破并不现实
当然也有在线网站可以爆破,贴个网站MD5解密-BeJSON.com
几秒就爆出来了,太强了
不使用爆破解出第二个密码
他这里嵌套了两个if条件,大概给了两条路来解题吧
分析sub_40100F()
我把函数中的变量名改了一下让我自己好看一点
咱来逐步分析
这个程序先用FindResourceA()来寻找exe文件中名为0x65,类为AAA的资源
随后用LoadResource()加载获取的资源
最后用LockResource()锁定资源,让get_info这个变量作为指针访问找到的资源
sub_401005()
大概知道上面的流程是什么后,再来分析sub_401005()函数
简单来说就是用a2与lpString的值进行异或操作,最后得到加密值
a2 : 从资源文件0x65中获得的值
lpString:第二个密码(6位)
解密
sub_401005()加密结束后,使用CreateFileA()创建了一个名为dbapp.rtf的文件
随用将加密后的get_info通过WriteFile函数写入dbapp.rtf
那现在大概就明了了,由于 sub_401005()是异或操作,那a2和加密后的结果肯定也是六位,那么我们直接分dbapp.rtf和0x65中提取前六位hex值
这里使用Resourse Hacker 软件查询exe的资源文件
从这里提取前六位hex值: [0x05, 0x7D, 0x41, 0x15, 0x26, 0x01]
从网上查询rtf的文件头:[0x7B, 0x5C, 0x72, 0x74, 0x66, 0x31]
随后进行异或
rtf_header = [0x7B, 0x5C, 0x72, 0x74, 0x66, 0x31]
AAA = [0x05, 0x7D, 0x41, 0x15, 0x26, 0x01]
flag2 = ''
for i in range(len(AAA)):
flag2 += chr(rtf_header[i] ^ AAA[i])
print(flag2)
解出密码2 :~!3a@0
将密码输入进程序,就会生成一个rtf文件
打开即可获得flag:Flag{N0_M0re_Free_Bugs}