HGAME 2024 WEEK3 Reverse
“她与VN皆遗憾”
1. mystery
考点:Init函数,rc4魔改
Ida打开,静态发现main()函数里什么也没有,猜测是start()里的Init()函数进行了修改
打开后发现确实进行了修改,来看第一个函数,发现是用rc4加密来加密一个key
然后点开第二个函数,发现是真正的加密流程,而这轮rc4所使用的key,就是上一个函数加密的结果
需要注意的是,第二处rc4加密有魔改,是减法而非异或。
而众所周知,rc4是密钥流加密,反正最后只要获取到变量result的值就行了
打开虚拟机进行动调,下断点获取result的值,最后脚本就非常简单了
2. Encrypt
考点:AES CBC
从pbSecret中提取key
从v6中提取IV
然后直接用解密脚本跑出来
3. findme
考点: dump,PE头,rc4魔改,动态调试
ida打开发现一个Fake_flag,然后base64码解出来也是个fake_flag
没办法,点开Buffer看看,惊喜地发现前两个字母是"MZ",这也就意味着这里可能隐藏着一个PE文件
用010打开,找到对应部分,看到PE头的格式,更加验证了这个了这个猜想
但需要注意的是,这里dump时要注意间隔4个字节再dump,因为插入了很多无意义的00 00 00
#include <stdio.h>
#include <stdlib.h>
#include<iostream>
#include<string>
#define N 100000
using namespace std;
int main() {
FILE *fp,*v5;
int n=0,c;
unsigned char str[N + 1],a,b;
fp = fopen("findme.exe", "rb");
v5 = fopen("real.exe", "wb");
while ( feof(fp) ==0)
{
n++;
a=fgetc(fp);
//break;
b=a;
if(n>0x2440)
{
if(n%4==1)
{
fputc(b, v5);
}
}
}
//操作结束后关闭文件
fclose(fp);
fclose(v5);
return 0;
}
操作完成后得到真正的程序,但内部有许多花指令,建议写个idc或idapython脚本nop掉
去除花指令后,不难发现这是个rc4加密
rc4密钥初始化阶段很正常,但点开rc4加密后发现这又是个魔改
关键点:通过动调可发现,result取值后面的 -(v4+s_box[v1]) 是一定会超出input原本的范围的,然后取到另一些内存的值,那么最好的做法仍然是直接动调获取到result,方法同mystery中的
取出result的值后,脚本同样很简单
4. crackme
考点:c++,dump,反调试,流程混淆,异常处理,XTEA魔改
来到main()函数,猜测这些是TEA类加密的数据
然后发现程序戛然而止,而再程序的末尾有一个ThrowException的抛出异常的函数,而动调发现到这里之后程序就无法正常进行
打开流程图后发现这是一种由Try和catch组成的结构,而catch部分是不能被正常反编译的,而这样的部分一共有三处。
这三处的内存地址是连续的,把他们dump下来再用ida打开反编译
然后可以推断出这就是个XTEA加密,而且需要注意的是有魔改,不是sum + delta而是sum ^ delta
然后结合main()的数据得到解密脚本
#include <stdio.h>
#include <stdint.h>
#include<iostream>
using namespace std;
void decrypt ( unsigned int* v, unsigned int* k) {
unsigned int v0=v[0], v1=v[1];
unsigned int delta=857870677;
unsigned int sum=0, i;
for(i=0;i<32;i++)
{
sum^=delta;
}
for (i=0; i<32; i++) {
sum ^= delta;
v1 -= (((v0 >> 6) ^ ( v0 << 5 )) + v0) ^ (k[(sum >> 11) & 3] + sum);
v0 -= (((v1 >> 5) ^ (16 * v1)) + v1) ^ (k[sum & 3] + sum); //解密时将加密算法的顺序倒过来,还有+=变为-=
}
v[0]=v0; v[1]=v1;//解密后再重新赋值
}
int main()
{
unsigned int v[8];
v[0] = 0x32FC31EA;
v[1] = 0xF0566F42;
v[2] = 0xF905B0B2;
v[3] = 0x5F4551BE;
v[4] = 0xFB3EFCBB;
v[5] = 0x6B6ADB30;
v[6] = 0x4839879;
v[7] = 0x2F4378DF;
unsigned int k[4]={1234,2345,3456,4567};
for(int i=0;i<8;i+=2)
{
decrypt(v+i, k);
}
unsigned char a;
for(int i=0;i<8;i++)
{
for(int k=0;k<4;k++)
{
a=*((unsigned char *)(&v[i])+k);
printf("%c",a);
}
}
return 0;
}
flag就这么nice出来了