1.JustRE
先放入EXE中,无壳,32位
用ida32打开,shift+f12查找字符串,发现一个flag{}格式的东西,双击进入,x交互,f5反汇编
分析一下代码,sprintf函数中将%d和%d 分别换成19999和0就是flag
2.刮开有奖
放入exe,无壳,32位
用ida32打开,f5反汇编
进入DialogFunc
仔细分析代码,string应该就是flag,长度为8,但从28~38行,r将ascii码换成字符,发现v7~v16都被赋予了不同的字符,即ZJSECaNH3ng,进行sub_4010F0操作,双击进入
写脚本得出字符串
#include <stdio.h>
int sub_4010F0(char *a1, int a2, int a3) {
int result; // eax
int i; // esi
int v5; // ecx
int v6; // edx
result = a3;
for ( i = a2; i <= a3; a2 = i ) {
v5 = i;
v6 = i[a1];
if ( a2 < result && i < result ) {
do {
if ( v6 > a1[result]) {
if ( i >= result )
break;
++i;
a1[v5] = a1[result];
if ( i >= result )
break;
while ( a1[i] <= v6 ) {
if ( ++i >= result )
goto LABEL_13;
}
if ( i >= result )
break;
v5 = i;
a1[result] = a1[i];
}
--result;
} while ( i < result );
}
LABEL_13:
a1[result] = v6 ;
sub_4010F0(a1, a2, i - 1);
result = a3;
++i;
}
return result;
}
int main() {
char str[] = "ZJSECaNH3ng";
sub_4010F0(str, 0, 10);
printf("%s", str);
return 0;
}
继续分析代码 ,v4和v5都在sub_401000,跟进
进入byte_407830,发现字母表,且v4和v5加密后长度均为4,猜测为base64加密
使用工具解密后,得到v4和v5的值
继续往下分析代码,第50行:3的ASCII码值加34就是string[0]的ASCII码值,即U;
51行:string[1]就是经过加密后的v10,即J;同理,可以得出string[2],string[3]分别为W,P;
后面四个字符,可以看到第三第四字符已经是WP了,说明,WP1在前,jMp在后,将他们拼接在一起,得到,UJWP1jMp
带上flag{},得到flag{UJWP1jMp}