暑假第五周
目录
- re5-packed-movement
- 法一
- 法二
- flag
- reverse-for-the-holy-grail-350
- exp
- flag
re5-packed-movement
先脱壳
ida打开全是mov 指令,movfuscator混淆
法一
shift+F12 搜索字符串找到'Wrong Flag!',
交叉引用可以看到有70多处引用,可能就是逐字符比较
随便点一个看看,从每一个'Wrong Flag!'处往上翻可以看到都有一个
mov R2 xxh的指令
直接搜索R2寄存器内容
Alt+B搜索C7 05 68 20 06 08即mov R2对应的16进制编码
得到flagALEXCTF{M0Vfusc4t0r_w0rk5_l1ke_m4g1c}
法二
使用idac脚本。
shift+F2打开脚本界面
运行得到flag
flag
ALEXCTF{M0Vfusc4t0r_w0rk5_l1ke_m4g1c}
reverse-for-the-holy-grail-350
直接看主函数,有点多重点锁定这几个语句
v4 = stringmod(v9),v4小于0就输出auuuuuuugh,大于0才输出tuctf{}
应该就是v4>0时输出flag,跟进一下stringmod
stringmod有三个部分先看第一个
v4要大于0所以if 要不执行,那么v3就要是3的倍数,并且
v12读取的字符必须等于firstchar[v3 / 3]
第二部分是一个异或
第三部分
查看一下thirdchar和masterArray,有点乱不好提取
用idapython导出一下
from idc_bc695 import *
addr=[0x601840,0x601860,0x601880]
for a in addr:
list=[]
for i in range(6):
list.append(Dword(a+4*i))
print(list)
前三行时对应16进制结果,后三行则是10进制
exp
firstchar = [0x41, 0x69, 0x6e, 0x45, 0x6f, 0x61]
thirdchar = [0x2ef, 0x2c4, 0x2dc, 0x2c7, 0x2de, 0x2fc]
masterarray = [0x1d7, 0xc, 0x244, 0x25e, 0x93, 0x6c]
list = [666,]
v7 = 666
for i in range(17):
v7 = v7 + v7 % 5
list.append(v7)
print(list)
#求flag第0,3,6,9,12,15位
flag = [0 for i in range(18)]
index1 = 0
for i in range(0,16,3):
flag[i] = firstchar[index1]
index1 += 1
# print(flag)
#求第2,5,8,11,14,17位
index2=0
for i in range(2,18,3):
flag[i] = list[i] ^ thirdchar[index2]
index2 += 1
# print(flag)
# 暴力求第1,4,7,10,13,16位
index3 = 0
for i in range(1,17,3):
for j in range(32,127):
if ((list[i-1] ^ firstchar[index3]) * (list[i] ^ j)) % thirdchar[index3] == masterarray[index3]:
flag[i] = j
index3 +=1
break
print('tuctf{'+"".join(map(chr,flag))+'}')
#[666, 667, 669, 673, 676, 677, 679, 683, 686, 687, 689, 693, 696, 697, 699, 703, 706, 707]
#tuctf{AfricanOrEuropean?}
flag
tuctf{AfricanOrEuropean?}