BUUCTF-[安洵杯 2019]crackMe1

题目下载：下载

这道题涉及到SM4加密和变表base64。

SM4简单了解：SM4算法过程_不是小白才怪的博客-CSDN博客_sm4算法

先运行一下程序，

发现有一个Messagebox，并且内容是hooked。

载入IDA，使用IDA的插件Findcrypt查看有没有什么加密算法。加密算法一般都是关键，在做题前可以养成这个习惯。

 发现有Base64和SM4，跟进base64：

发现对base64表进行了大小写互换，然后调用了MessageBoxA函数(这个再上面执行程序的时候出现过) 。

MessageBox指的是显示一个模态对话框，其中包含一个系统图标、 一组按钮和一个简短的特定于应用程序消息，如状态或错误的信息。消息框中返回一个整数值，该值指示用户单击了哪个按钮。

参数：

int MessageBox(
  [in, optional] HWND    hWnd,
  [in, optional] LPCTSTR lpText,
  [in, optional] LPCTSTR lpCaption,
  [in]           UINT    uType
);

第一个参数：hWnd
该参数是一个窗口句柄，指定该对话框的所有者窗口。如果该参数为空(0/NULL)，则该对话框不属于任何窗口。

第二个参数：lpText
该参数是一个字符串，指显示在对话框中的内容。

第三个参数：lpCaption
也是是一个字符串，指对话框的标题。如果此参数为空，则默认使用“错误”作为标题

第四个参数：nType
指定显示按钮的数目及形式，使用的图标样式，缺省按钮是什么以及消息框的强制回应等。

然后下面有AddVectoredExceptionHandler()函数

AddVectoredExceptionHandler(First,Handler):注册向量异常处理程序

参数：

第一个参数：First

应调用处理程序的顺序。 如果参数为非零，则处理程序是第一个要调用的处理程序。 如果参数为零，则处理程序是要调用的最后一个处理程序。

第二个参数：Handler

指向要调用的处理程序的指针。

所以就是当messageboxA后发生异常，触发了 AddVectoredExceptionHandler()函数异常处理，调用了Handler。

跟进Handler：
是SM4加密，密钥是“where_are_u_now?”，正好是128比特,符合sm4长度特征。

跟进sub_411172()看一看里面的SM4加密：

回到sm4加密函数处，有个SetUnhandledExceptionFilter()函数

SetUnhandledExceptionFilter()：使应用程序能够取代进程的每个线程的顶级异常处理程序。

调用此函数后，如果在未调试的进程中发生异常，并且异常会将其设置为未处理的异常筛选器，该筛选器将调用 lpTopLevelExceptionFilter 参数指定的异常筛选器函数。

所以发生异常会调用TopLevelExceptionFilter，跟进：

 跟进sub_41126C：

将原来的base64的'='补位变成了'!',并且其中还有一个凯撒移位间接变表。

所以整体逻辑：str1即用户输入经过sm4加密，base64表的大小写互换与移位后的base加密结果与str2两两互换相等。

from pysm4 import decrypt, encrypt
import base64
#sm4密钥
key = "where_are_u_now?"
mk=key.encode().hex()
#str2位置互换
str2='1UTAOIkpyOSWGv/mOYFY4R=='
str2_lst=list(str2)                #字符串不能被修改，
for i in range(0,len(str2),2):
    v2=str2_lst[i]
    str2_lst[i]=str2_lst[i+1]
    str2_lst[i+1]=v2
str2=''.join(str2_lst)
#求base64的变表
base64_table='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
base64_table2=''
for i in base64_table:
    if i.isupper():
        base64_table2+=chr(ord(i)+32)
    elif i.islower():
        base64_table2+=chr(ord(i)-32)
    else:
        base64_table2+=i
base64_table3=''
for i in base64_table2:
    base64_table3+=base64_table2[(base64_table2.index(i)+24)%64]
#base解密
biao=str.maketrans(base64_table3,base64_table)
cipher=base64.b64decode(str2.translate(biao).encode('utf-8'))
cipher=cipher.hex()
#sm4解密
cipher= 0x59d095290df2400614f48d276906874e
mk = 0x77686572655f6172655f755f6e6f773f
flag=decrypt(cipher,mk)
print('flag{'+bytes.fromhex(hex(flag)[2:]).decode()+'}')