很久没有做CTF逆向,找了一道题试一试
还是常规操作看看,多少位的,有没有带壳
再看看是不是EXE程序
先运行看看有什么特别的
尝试输入了一下,直接退出了
IDA打开进行分析
找到主函数
一步一步调试看看,找到运行输出的一个函数
看来是要判断是否是39个字符这么长,不然会直接退出
如果是39这么长,返回以下函数里的值,看看里面的函数
一下子就看到了,原来当str经过一个异或运算然后和dword_7FF6AEDE2020[j]做判断,如果成立就行了
而且dword_7FF6AEDE2020[j]是静态的
看到byte_7FF6AEDE2000
那这不就解密了嘛
根据异或运算再次进行异或就会得到答案本身
值得注意的是dd是4个字节,db是一个字节
但是回到代码本身,我们发现做运算的在一个数组里面,其实是4个字节为一个值进行异或运算
这里乘以4的意思就是这个
然后写exp代码进行测试,发现不正确 为什么?
跳到之前的函数,看到byte_7FF6AEDE2000前面做了异或运算,在mian函数里他的值是现在这里做了异或运算再拿去做上面那个异或运算
同时我们看到
*(_DWORD *)&byte_7FF6AEDE2000[4 * i]
这里取的就是4个字节
为了减少写代码的量,这里我们可以动调,把值拿出来就好
在这里设置断点
然后就可以修改一下EXP
还是有错,问题在哪里?
发现4个字节为一个数组里的值,而且是小端序
所以要用代码计算一下
然后再进行解密操作,报错:list超出范围
代码逻辑里面是39个长度,我列表里面居然有122个数
所以取出前面39个就好了
另外一个也同理,同时byte_7FF6AEDE2000[4 * i] ,byte_7FF66F072000[4 * (i % 6)]在IDA那里其实也说明了,只用了数组里6个数进行运算,
所以输出的应该是这样子
手动删一下多余的两个0
最后解密的代码如下:
惊喜
搞了半天这个代码,四个字节一组,小端序输出,然后又是转数的
后来我才想起来,IDA其实提取数的时候,如图这里就很明显了
同时还可以看见数组的大小是dd122个数组
破天荒的,苦笑
给个源码:
str1=[]
str1=[ 0x20, 0x00, 0x00, 0x00, 0x27, 0x00, 0x00, 0x00, 0x26, 0x00,
0x00, 0x00, 0x25, 0x00, 0x00, 0x00, 0x2C, 0x00, 0x00, 0x00,
0x2D, 0x00, 0x00, 0x00, 0x0F, 0x00, 0x00, 0x00, 0x22, 0x00,
0x00, 0x00, 0x14, 0x00, 0x00, 0x00, 0x1E, 0x00, 0x00, 0x00,
0x21, 0x00, 0x00, 0x00, 0x18, 0x00, 0x00, 0x00, 0x09, 0x00,
0x00, 0x00, 0xDF, 0x00, 0x00, 0x00, 0xC8, 0x00, 0x00, 0x00,
0x1C, 0x00, 0x00, 0x00, 0xE7, 0x00, 0x00, 0x00, 0x05, 0x00,
0x00, 0x00, 0xE5, 0x00, 0x00, 0x00, 0xE2, 0x00, 0x00, 0x00,
0xEE, 0x00, 0x00, 0x00, 0x1A, 0x00, 0x00, 0x00, 0xE6, 0x00,
0x00, 0x00, 0x04, 0x00, 0x00, 0x00, 0xD9
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
