HGAME 2024 WEEK3 Reverse WP

HGAME 2024 WEEK3 Reverse

“她与VN皆遗憾”

1. mystery

考点：Init函数，rc4魔改

Ida打开，静态发现main()函数里什么也没有，猜测是start()里的Init()函数进行了修改

打开后发现确实进行了修改，来看第一个函数，发现是用rc4加密来加密一个key

然后点开第二个函数，发现是真正的加密流程，而这轮rc4所使用的key，就是上一个函数加密的结果

需要注意的是，第二处rc4加密有魔改，是减法而非异或。

而众所周知，rc4是密钥流加密，反正最后只要获取到变量result的值就行了

打开虚拟机进行动调，下断点获取result的值，最后脚本就非常简单了

2. Encrypt

考点：AES CBC

从pbSecret中提取key

从v6中提取IV

然后直接用解密脚本跑出来

3. findme

考点: dump，PE头，rc4魔改，动态调试

ida打开发现一个Fake_flag，然后base64码解出来也是个fake_flag

没办法，点开Buffer看看，惊喜地发现前两个字母是"MZ"，这也就意味着这里可能隐藏着一个PE文件

用010打开，找到对应部分，看到PE头的格式，更加验证了这个了这个猜想

但需要注意的是，这里dump时要注意间隔4个字节再dump，因为插入了很多无意义的00 00 00

#include <stdio.h>
#include <stdlib.h>
#include<iostream>
#include<string> 
#define N 100000
using namespace  std;
int main() {
    FILE *fp,*v5;
    int n=0,c;
    unsigned char str[N + 1],a,b;
    fp = fopen("findme.exe", "rb");
    v5 = fopen("real.exe", "wb"); 
    while ( feof(fp) ==0)
    {
        n++;
        a=fgetc(fp);
        //break;
        b=a;
          if(n>0x2440)
          {
              if(n%4==1)
              {
                  fputc(b, v5);
              }
          }
    }

    //操作结束后关闭文件
    fclose(fp);
    fclose(v5);
    return 0;
}

操作完成后得到真正的程序，但内部有许多花指令，建议写个idc或idapython脚本nop掉

去除花指令后，不难发现这是个rc4加密

rc4密钥初始化阶段很正常，但点开rc4加密后发现这又是个魔改

关键点：通过动调可发现，result取值后面的 -(v4+s_box[v1]) 是一定会超出input原本的范围的，然后取到另一些内存的值，那么最好的做法仍然是直接动调获取到result，方法同mystery中的

取出result的值后，脚本同样很简单

4. crackme

考点：c++，dump，反调试，流程混淆，异常处理，XTEA魔改

来到main()函数，猜测这些是TEA类加密的数据

然后发现程序戛然而止，而再程序的末尾有一个ThrowException的抛出异常的函数，而动调发现到这里之后程序就无法正常进行

打开流程图后发现这是一种由Try和catch组成的结构，而catch部分是不能被正常反编译的，而这样的部分一共有三处。

这三处的内存地址是连续的，把他们dump下来再用ida打开反编译

然后可以推断出这就是个XTEA加密，而且需要注意的是有魔改，不是sum + delta而是sum ^ delta

然后结合main()的数据得到解密脚本

#include <stdio.h>
#include <stdint.h>
 #include<iostream>
 using namespace std;

void decrypt ( unsigned int* v, unsigned int* k) {
    unsigned int v0=v[0], v1=v[1];
    unsigned int delta=857870677;  
    unsigned int sum=0, i;        
    for(i=0;i<32;i++)
    {
        sum^=delta; 
    }             
    for (i=0; i<32; i++) {      
        sum ^= delta;    
        v1 -= (((v0 >> 6) ^ ( v0 << 5 )) + v0) ^ (k[(sum >> 11) & 3] + sum);
        v0 -= (((v1 >> 5) ^ (16 * v1)) + v1) ^ (k[sum & 3] + sum);             //解密时将加密算法的顺序倒过来，还有+=变为-=
    }                                              
    v[0]=v0; v[1]=v1;//解密后再重新赋值
}


int main()
{
    unsigned int v[8];
    v[0] = 0x32FC31EA;
  v[1] = 0xF0566F42;
  v[2] = 0xF905B0B2;
  v[3] = 0x5F4551BE;
  v[4] = 0xFB3EFCBB;
  v[5] = 0x6B6ADB30;
  v[6] = 0x4839879;
  v[7] = 0x2F4378DF;
    unsigned int k[4]={1234,2345,3456,4567};
    for(int i=0;i<8;i+=2)
    {
        decrypt(v+i, k);
    }
    unsigned char a; 
    for(int i=0;i<8;i++)
    {
        for(int k=0;k<4;k++)
        {
            a=*((unsigned char *)(&v[i])+k);
            printf("%c",a);
        }
     } 

    return 0;
}

flag就这么nice出来了