解析
第一步还是先查壳32位无壳软件,之后直接拖入ida中。
还是进入main中,查看伪代码。
int __cdecl main(int argc, const char **argv, const char **envp)
{
int v3; // esi
int result; // eax
int v5; // [esp+8h] [ebp-74h]
int v6; // [esp+Ch] [ebp-70h]
int v7; // [esp+10h] [ebp-6Ch]
__int16 v8; // [esp+14h] [ebp-68h]
char v9; // [esp+16h] [ebp-66h]
char v10; // [esp+18h] [ebp-64h]
sub_403CF8((int)&unk_40E140);
scanf(aS, &v10);
v5 = 0;
v6 = 0;
v7 = 0;
v8 = 0;
v9 = 0;
sub_401080((int)&v10, strlen(&v10), (int)&v5);
v3 = 0;
while ( *((_BYTE *)&v5 + v3) == byte_40E0E4[v3] )
{
if ( ++v3 > strlen((const char *)&v5) )
goto LABEL_6;
}
sub_403CF8((int)aError);
LABEL_6:
if ( v3 - 1 == strlen(byte_40E0E4) )
result = sub_403CF8((int)aAreYouHappyYes);
else
result = sub_403CF8((int)aAreYouHappyNo);
return result;
}
主要在信息在函数sub_401080里面,进入继续查看。
int __cdecl sub_401080(int a1, int a2, int a3)
{
int v3; // edi
int v4; // esi
int v5; // edx
int v6; // eax
int v7; // ecx
int v8; // esi
int v9; // esi
int v10; // esi
int v11; // esi
_BYTE *v12; // ecx
int v13; // esi
int v15; // [esp+18h] [ebp+8h]
v3 = 0;
v4 = 0;
sub_401000();
v5 = a2 % 3;
v6 = a1;
v7 = a2 - a2 % 3;
v15 = a2 % 3;
if ( v7 > 0 )
{
do
{
LOBYTE(v5) = *(_BYTE *)(a1 + v3);
v3 += 3;
v8 = v4 + 1;
*(_BYTE *)(v8++ + a3 - 1) = byte_40E0A0[(v5 >> 2) & 0x3F];
*(_BYTE *)(v8++ + a3 - 1) = byte_40E0A0[16 * (*(_BYTE *)(a1 + v3 - 3) & 3)
+ (((signed int)*(unsigned __int8 *)(a1 + v3 - 2) >> 4) & 0xF)];
*(_BYTE *)(v8 + a3 - 1) = byte_40E0A0[4 * (*(_BYTE *)(a1 + v3 - 2) & 0xF)
+ (((signed int)*(unsigned __int8 *)(a1 + v3 - 1) >> 6) & 3)];
v5 = *(_BYTE *)(a1 + v3 - 1) & 0x3F;
v4 = v8 + 1;
*(_BYTE *)(v4 + a3 - 1) = byte_40E0A0[v5];
}
while ( v3 < v7 );
v5 = v15;
}
if ( v5 == 1 )
{
LOBYTE(v7) = *(_BYTE *)(v3 + a1);
v9 = v4 + 1;
*(_BYTE *)(v9 + a3 - 1) = byte_40E0A0[(v7 >> 2) & 0x3F];
v10 = v9 + 1;
*(_BYTE *)(v10 + a3 - 1) = byte_40E0A0[16 * (*(_BYTE *)(v3 + a1) & 3)];
*(_BYTE *)(v10 + a3) = 61;
LABEL_8:
v13 = v10 + 1;
*(_BYTE *)(v13 + a3) = 61;
v4 = v13 + 1;
goto LABEL_9;
}
if ( v5 == 2 )
{
v11 = v4 + 1;
*(_BYTE *)(v11 + a3 - 1) = byte_40E0A0[((signed int)*(unsigned __int8 *)(v3 + a1) >> 2) & 0x3F];
v12 = (_BYTE *)(v3 + a1 + 1);
LOBYTE(v6) = *v12;
v10 = v11 + 1;
*(_BYTE *)(v10 + a3 - 1) = byte_40E0A0[16 * (*(_BYTE *)(v3 + a1) & 3) + ((v6 >> 4) & 0xF)];
*(_BYTE *)(v10 + a3) = byte_40E0A0[4 * (*v12 & 0xF)];
goto LABEL_8;
}
LABEL_9:
*(_BYTE *)(v4 + a3) = 0;
return sub_401030((const char *)a3);
}
前面进入了函数sub_401000里面,继续进入查看。
.data:0040E0A0 byte_40E0A0 db 'A' ; DATA XREF: sub_401000:loc_401005↑r
.data:0040E0A0 ; sub_401000+17↑w ...
.data:0040E0A1 db 42h ; B
.data:0040E0A2 db 43h ; C
.data:0040E0A3 db 44h ; D
.data:0040E0A4 db 45h ; E
.data:0040E0A5 db 46h ; F
.data:0040E0A6 db 47h ; G
.data:0040E0A7 db 48h ; H
.data:0040E0A8 db 49h ; I
.data:0040E0A9 db 4Ah ; J
.data:0040E0AA ; char byte_40E0AA[]
.data:0040E0AA byte_40E0AA db 'K' ; DATA XREF: sub_401000+B↑r
.data:0040E0AA ; sub_401000+11↑w
.data:0040E0AB aLmnopqrstuvwxy db 'LMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/',0
signed int sub_401000()
{
signed int result; // eax
char v1; // cl
result = 6;
do
{
v1 = byte_40E0AA[result];
byte_40E0AA[result] = byte_40E0A0[result];
byte_40E0A0[result++] = v1;
}
while ( result < 15 );
return result;
}
sub_401000对这个编码表做了什么,等下回来仔细分析,之后继续往下,是做了编码转换,做了base64的编码,之后最下面还有一个sub_401030进入查看一下。
int __cdecl sub_401030(const char *a1)
{
__int64 v1; // rax
char v2; // al
v1 = 0i64;
if ( strlen(a1) != 0 )
{
do
{
v2 = a1[HIDWORD(v1)];
if ( v2 < 97 || v2 > 122 )
{
if ( v2 < 65 || v2 > 90 )
goto LABEL_9;
LOBYTE(v1) = v2 + 32;
}
else
{
LOBYTE(v1) = v2 - 32;
}
a1[HIDWORD(v1)] = v1;
LABEL_9:
LODWORD(v1) = 0;
++HIDWORD(v1);
}
while ( HIDWORD(v1) < strlen(a1) );
}
return v1;
}
这就是一个大小写转换,之后回到了main函数,byte_40E0E4就是转换完成之后的,那么这道题就可以解了。
脚本
第一步,大小写转换。
str = 'zMXHz3TIgnxLxJhFAdtZn2fFk3lYCrtPC2l9'
print(str.swapcase())
#输出ZmxhZ3tiGNXlXjHfaDTzN2FfK3LycRTpc2L9
第二步,看看那个sub_401000
#include<stdio.h>
char byte_40E0AA[56] = "KLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";
int result = 6;
char byte_40E0A0[12] = "ABCDEFGHIJ";
char v1;
int main() {
do {
v1 = byte_40E0AA[result];
byte_40E0AA[result] = byte_40E0A0[result];
byte_40E0A0[result++] = v1;
} while (result < 15);
printf("%s", byte_40E0A0);
return 0;
}
//输出ABCDEFQRSTUVWXY
之后开始对照表,发现位置调换。
byte_40E0AA第七个开始被调换,被调换了9个,正好位置是15,那就知道了,可以构建出来新的base编码表
//ABCDEFQRSTUVWXYPGHIJKLMNOZabcdefghijklmnopqrstuvwxyz0123456789+/
通过网站链接: 自定义编码转换之后进行转换,获得flag是flag{bAse64_h2s_a_Surprise}