BUUCTF第十题SimpleRev以及第十一题JAVA逆向解密解题思路

第十题SimpleRev

查壳，为64位linux文件，无壳，使用IDA64位打开。

这个文件是ELF文件，为小端序存储，但是IDA会将内存中的数据转化为大端序存储，所以有些字符串需要倒序输出。

检索字符串，发现有一句Congratulation！/n，可能与正确的flag有关，对其交叉引用，找到相应的函数并反汇编查看伪代码。

unsigned __int64 Decry()
{
  char v1; // [rsp+Fh] [rbp-51h]
  int v2; // [rsp+10h] [rbp-50h]
  int v3; // [rsp+14h] [rbp-4Ch]
  int i; // [rsp+18h] [rbp-48h]
  int v5; // [rsp+1Ch] [rbp-44h]
  char src[8]; // [rsp+20h] [rbp-40h] BYREF
  __int64 v7; // [rsp+28h] [rbp-38h]
  int v8; // [rsp+30h] [rbp-30h]
  __int64 v9[2]; // [rsp+40h] [rbp-20h] BYREF
  int v10; // [rsp+50h] [rbp-10h]
  unsigned __int64 v11; // [rsp+58h] [rbp-8h]

  v11 = __readfsqword(0x28u);
  *(_QWORD *)src = 0x534C43444ELL;
  v7 = 0LL;
  v8 = 0;
  v9[0] = 0x776F646168LL;
  v9[1] = 0LL;
  v10 = 0;
  text = (char *)join(key3, v9);
  strcpy(key, key1);
  strcat(key, src);
  v2 = 0;
  v3 = 0;
  getchar();
  v5 = strlen(key);
  for ( i = 0; i < v5; ++i )
  {
    if ( key[v3 % v5] > 64 && key[v3 % v5] <= 90 )
      key[i] = key[v3 % v5] + 32;
    ++v3;
  }
  printf("Please input your flag:");
  while ( 1 )
  {
    v1 = getchar();
    if ( v1 == 10 )
      break;
    if ( v1 == 32 )
    {
      ++v2;
    }
    else
    {
      if ( v1 <= 96 || v1 > 122 )
      {
        if ( v1 > 64 && v1 <= 90 )
        {
          str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;
          ++v3;
        }
      }
      else
      {
        str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;
        ++v3;
      }
      if ( !(v3 % v5) )
        putchar(32);
      ++v2;
    }
  }
  if ( !strcmp(text, str2) )
    puts("Congratulation!\n");
  else
    puts("Try again!\n");
  return __readfsqword(0x28u) ^ v11;
}

分析一下伪代码：首先定义了一个src，给它赋值为NDCLS这个字符串，src是一个四字的字符串指针。定义了一个int64类型的数组v9，一共有两个成员。将v9强制类型转化为字符串指针，与key3一并代入join函数中赋值给text，这里查看一下key3的值，发现key3为“kills”，再查看join函数的伪代码，分析一下join函数的作用。

char *__fastcall join(const char *a1, const char *a2)
{
  size_t v2; // rbx
  size_t v3; // rax
  char *dest; // [rsp+18h] [rbp-18h]

  v2 = strlen(a1);
  v3 = strlen(a2);
  dest = (char *)malloc(v2 + v3 + 1);
  if ( !dest )
    exit(1);
  strcpy(dest, a1);
  strcat(dest, a2);
  return dest;
}

将输入的a1、a2的长度存入v2、v3，定义一个字符串指针dest，使用malloc函数为dest开辟一个大小为v2+v3+1的空间，如果dest为0则退出，将a1的值赋给dest，将a2连接在dest后面。

所以text的值为key3+v9，因为key3为kills，v9[0]为hadow，v9[1]为\0，所以text的值为killshadow

。将key1的值赋给key，key1的值为ADSFK，再将src连接到key后面，所以key的值为ADSFKNDCLS。将key的长度赋值给v5，所以v5=10。for循环10次，嵌套if结构，如果key[v3 % v5]大于64小于等于90，将key[v3 % v5] + 32的值赋给key[i]，v3自增。

之后是一个while循环嵌套if语句，v1接收输入值，v1为回车时跳出循环，v1为空格时v2自增（v2初始值为0），其他情况时，若v1的值在96到122（即`到z）之间时再进行if判断，若v1的值在64到90之间（即@到Z）之间时，进行运算(v1 - 39 - key[v3 % v5] + 97) % 26 + 97并赋值给str2[v2]，v3自增。如果v3 % v5为0，输出空格，v2自增。如果text与str2相等，输出"Congratulation!\n"。

这里的v1应该就是flag，求v1的值时，我们可以根据伪代码写一个python脚本。

import base64
text = 'killshadow'
key = 'adsfkndcls'
v3 = 0
v5 = len(key)
dict1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz"
flag = " "
for i in range(0, 10):
    for char in dict1:
        a = (ord(char) - 39 - ord(key[v3 % v5]) + 97) % 26 + 97
        if chr(a) == text[i]:
            print(char, end="")
            break
    v3 += 1

运行一下，解得flag为KLDQCUDFZO

第十一题JAVA逆向解密

查壳，为JAVA文件

使用JADA打开文件，找到main函数。

分析一下代码：输出字符串：Please input the flag ：

使用scanner类中的next()方法将输入的字符串赋值给str。

输出字符串：Your input is ：

输出str

调用string类里的toCharArray() 方法，将str转化为一个char[]数组stringArr

调用Encrypt函数

分析一下Encrypt函数的声明:

创建integer类型的数组列表Resultlist。

增强for循环，用字符串变量c遍历arr，将c+@后与32异或的值赋给result

调用valueof返回result的字符串表示形式，封装为integer类型后添加到resultlist中

定义一个int数组key

创建integer类型的数组列表keylist

用i遍历key，将i值以字符串表示形式，封装为integer类型后添加到keylist

输出字符串：Result:

如果Resultlist与Keylist相等，输出Congratulations！

key应该就是flag，可以写一个脚本：

import base64
key = [180, 136, 137, 147, 191, 137, 147, 191, 148, 136, 133, 191, 134, 140, 129, 135, 191, 65]
flag = ""
for i in range(0, len(key)):
    flag += chr((key[i] ^ 32) - 64)
print(flag)

解得flag为“This_is_the_flag_!”