周六打了2021虎符的比赛,由于刚入门逆向,也就写出来了一题,赛后复现了一波,可能会有写错的地方,欢迎大佬指出。
一、redemption_code
首先,拿到这道题,我们查一下壳,并没有加壳。然后拉入ida32查看一下
看了下大概的流程,写了点注释,接下来我们的重点就是pre(v11);和server_check_redemption_code 两个函数
对pre函数写了点注释,我们看到pre的函数和main函数都有server_check_redemption_code,我们的分析重点就是后面一个函数
中间的算法,我拿纸画了下
实际上就是在第i行(从0开始)第x填上一个i+1,x是输入的ascii码
然后后面的比较就是必须一整串对比下来,其实就是个字符串对比的过程,最后返回的是偏移
第一个pre函数中的server_check_redemption_code返回了偏移地址-1,不符合。第二个server_check_redemption_code返回偏移地址7,我们从第7个字符开始数14个就是flag
二、GoEncrypt
首先,搜素函数main,找到main_main开始分析
在这下个断点,然后调试下,发现fmt_Fprintln是输出“input flag”
这个比较可疑,点进去看看
这个是给了flag的格式
flag{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
每一位的范围0-9和a-f
这个是对flag加密
是一个xtea加密,可以参考tea加密
还是有很多相似的地方,但是delta被改了
然后现在我们还需要key和加密后的数据才能解密,分析了加密过程我们知道这个key就是v21,我们随便输入flag{12345678-1234-1234-1234-12345678abcd}满足前面条件的假flag,进行动调,找key和加密后的结果
v21在50行进行了赋值,所以我们把断点下在51行
在Debugger->Debugger windows->Locals 找到v21
右键jump就能找到key了
我们找到密钥后开始找加密后的flag
这就是个比较flag的函数,我们在里面下断点
加密后的flag在这个里面
得到加密后的值:0EC311F045C79AF3EDF5D910542702CB
然后就是脚本了
#include <stdio.h>
#include <stdint.h>
#include <string.h>
#include <math.h>
#define tea_DELTA 0x12345678
/*
xtea加密函数
num_rounds 加密轮数
uint32_t* origin 为要加密的数据是两个32位无符号整数
uint32_t* k 为加密解密密钥,为4个32位无符号整数,即密钥长度为128位
*/
void xtea_encode(unsigned int num_rounds, uint32_t origin[2], uint32_t const key[4]) {
unsigned int i;
uint32_t v0 = origin[0], v1 = origin[1], sum = 0, delta = 0x9E3779B9;
for (i = 0; i < num_rounds; i++) {
v0 += (((v1 << 4) ^ (v1 >> 5)) + v1) ^ (sum + key[sum & 3]);
sum += delta;
v1 += (((v0 << 4) ^ (v0 >> 5)) + v0) ^ (sum + key[(sum >> 11) & 3]);
}
origin[0] = v0; origin[1] = v1;
}
/*
xtea解密函数
num_rounds 加密轮数
uint32_t* origin 为要加密的数据是两个32位无符号整数
uint32_t* k 为加密解密密钥,为4个32位无符号整数,即密钥长度为128位
*/
void xtea_decode(unsigned int num_rounds, uint32_t origin[2], uint32_t const key[4]) {
unsigned int i;
uint32_t v0 = origin[0], v1 = origin[1], delta = 0x12345678, sum = delta * num_rounds;
for (i = 0; i < num_rounds; i++) {
v1 -= (((v0 << 4) ^ (v0 >> 5)) + v0) ^ (sum + key[(sum >> 11) & 3]);
sum -= delta;
v0 -= (((v1 << 4) ^ (v1 >> 5)) + v1) ^ (sum + key[sum & 3]);
}
origin[0] = v0; origin[1] = v1;
}
int main()
{
uint32_t v_part1[2]={0x0EC311F0, 0x45C79AF3}; //动调得到的加密后的值,内存中就是小端储存我们不用再手动改变0EC311F0 45C79AF3 EDF5D910 542702CB
uint32_t v_part2[2]={0xEDF5D910, 0x542702CB};
uint32_t const k[4]={0x10203, 0x4050607, 0x8090A0B, 0x0C0D0E0F}; //动调得到的key
unsigned int r=32;
xtea_decode(r, v_part1, k);
xtea_decode(r, v_part2, k);
printf("解密后的数据:%x %x %x %x\n",v_part1[0],v_part1[1], v_part2[0], v_part2[1]);
return 0;
}