1. open-source
题目给出了一段代码如下:
#include <stdio.h>
#include <string.h>
int main(int argc, char *argv[]) {
if (argc != 4) {
printf("what?\n");
exit(1);
}
unsigned int first = atoi(argv[1]);
if (first != 0xcafe) {
printf("you are wrong, sorry.\n");
exit(2);
}
unsigned int second = atoi(argv[2]);
if (second % 5 == 3 || second % 17 != 8) {
printf("ha, you won't get it!\n");
exit(3);
}
if (strcmp("h4cky0u", argv[3])) {
printf("so close, dude!\n");
exit(4);
}
printf("Brr wrrr grr\n");
unsigned int hash = first * 31337 + (second % 17) * 11 + strlen(argv[3]) - 1615810207;
printf("Get your key: ");
printf("%x\n", hash);
return 0;
}
1.1 源码分析
可以很清楚的看到要执行到print语句需要满足四个条件:
- argc == 4
- first == 0xcafe
- second % 5 == 3 || second % 17 != 8 可以令second = 25
- argv[3] = “h4cky0u” (注意:在C中bool值为1表示TRUE,否则为FALSE)
1.2 源码改写
那么上述语句最终可以翻译成代码:
first = 0xcafe
second = 25
argv = 'h4cky0u'
hash = first * 31337 + (second % 17) * 11 + len(argv) - 1615810207;
print(hex(hash))
最终答案为:c0ffee
2. simple-unpack
2.1 解法一:
进入环境,题目给了一个不知名文件,尝试用winhex打开,搜素关键字flag,如图:
去掉乱码直接得到答案flag{Upx_1s_n0t_a_d3liv3r_c0mp4ny}
2.2 解法二:
使用IDA以二进制形式打开文件,如图:
将文件以二进制字符的形式直接打开,直接搜flag,如图:
双击进入对应的段,右键
以字符形式展示,然后往下继续折叠,如图,结合字符:
其实就是winhex的翻版,没啥心意。得到答案flag{Upx_1s_n0t_a_d3liv3r_c0mp4ny}
2.3 解法三:
winhex打开的文件,头为elf,表示可连接的执行文件,结合题目提示,猜测是upx加壳文件,网上有人用工具进行判断,此处省略。丢入kali中使用命令分解:
引用一篇通俗的文章:upx加壳原理
upx -d 847be14b3e724782b658f2dda2e8045b
得到一个脱壳的文件,比原本的文件大很多。然后使用IDA pro打开文件,查看main函数,如图:
3. logmein
进入环境,下载附件。使用winhex打开后,发现是elf的64位文件,也就是可执行配置文件,用IDA Pro打开,如图:
可以看到,在左侧存在逆向的main函数!我们双击后打开右侧显示,点击右侧,按F5或者点击view去进行反编译,操作如图:
得到的伪代码如下:
void __fastcall __noreturn main(int a1, char **a2, char **a3)
{
size_t v3; // rsi
int i; // [rsp+3Ch] [rbp-54h]
char s[36]; // [rsp+40h] [rbp-50h] BYREF
int v6; // [rsp+64h] [rbp-2Ch]
__int64 v7; // [rsp+68h] [rbp-28h]
char v8[28]; // [rsp+70h] [rbp-20h] BYREF
int v9; // [rsp+8Ch] [rbp-4h]
v9 = 0;
strcpy(v8, ":\"AL_RT^L*.?+6/46");
v7 = 0x65626D61726168LL;
v6 = 7;
printf("Welcome to the RC3 secure password guesser.\n");
printf("To continue, you must enter the correct password.\n");
printf("Enter your guess: ");
__isoc99_scanf("%32s", s);
v3 = strlen(s);
if ( v3 < strlen(v8) )
sub_4007C0();
for ( i = 0; i < strlen(s); ++i )
{
if ( i >= strlen(v8) )
sub_4007C0();
if ( s[i] != (char)(v8[i % v6 - 8] ^ v8[i]) )
sub_4007C0();
}
sub_4007F0();
}
我们分析代码:
可以看到主要几个函数:
strcpy(v8, ":\"AL_RT^L*.?+6/46"); // strcpy(des, src)表示将src的内容拷贝到des
// 输入字符s并将其长度值赋给V3,如果V3的长度小于V8的长度,则跳转执行sub_4007C0()函数
__isoc99_scanf("%32s", s);
v3 = strlen(s);
if ( v3 < strlen(v8) )
sub_4007C0();
查看IDA中的sub_4007C0函数,如图:
// s[i]的每个字符经过运算后,存在不等继续执行sub_4007C0函数
if ( s[i] != (char)(v8[i % v6 - 8] ^ v8[i]) )
sub_4007C0();
否则执行sub_4007F0函数,如图:
分析完了,总结来说就是让题目代码执行到sub_4007C0函数,那么整理相关的关键代码,如下:
#include <stdio.h>
#include <stdlib.h>
#define BYTE unsigned char
char v8[] = ":\"AL_RT^L*.?+6/46";
__int64 v7 = 0x65626D61726168LL;
int v6 = 7;
char s[36];
int main()
{
for(int i = 0; i < strlen(v8); i++) {
s[i]= (char)(*((BYTE *)&v7 + i % v6) ^ v8[i]);
}
printf("%s\n", s);
return 0;
}
最终答案为:RC3-2016-XORISGUD
4. insanity
进入环境,下载附件,winhex打开后发现是ELF文件。遂用IDA Pro进行分析,如图:
双击main函数,找到view->open subview->Strings或者快捷键shift+F12,如图:
结果如图:
最终答案为:9447{This_is_a_flag}
5. python-trade
进入环境,下载附件,发现给出的是一个pyc文件,呵呵,这不就是编译后加密的文件么,常规操作,反编译后阅读代码应该就出来了。
首先python中安装包:
5.1 安装uncompyle
pip install uncompyle
5.2 反编译得到code.py
uncompyle6 f417c0d03b0344eb9969ed0e1f772091.pyc > code.py
import base64
def encode(message):
s = ''
for i in message:
x = ord(i) ^ 32
x = x + 16
s += chr(x)
return base64.b64encode(s)
correct = 'XlNkVmtUI1MgXWBZXCFeKY+AaXNt'
flag = ''
print 'Input flag:'
flag = raw_input()
if encode(flag) == correct:
print 'correct'
else:
print 'wrong'
5.3 反解代码
通过阅读代码,知道要拿一个字符,经过encode编码后与correct一致即为flag,那么反写代码(python3环境中)
import base64
def decode(message):
s = ''
message = base64.b64decode(message)
for i in message:
x = i - 16
x = x ^ 32
s += chr(x)
return s
correct = 'XlNkVmtUI1MgXWBZXCFeKY+AaXNt'
flag = decode(correct)
print(flag)
运行后得到结果,最终答案为:nctf{d3c0mpil1n9_PyC}