babyre
附件拖入ida
开头就调用函数
看起来像是在修改程序,smc。先不管这个,main函数中有两个判断输入长度,一个是55,一个是45。先输入55个字符试试
经验证不对,让我去其他地方看看。好吧,回到刚才的地方,输入45个字符,发现会调用函数。很明显的换表base64。
eaaaaasyre
用DIE查看是有OLLVM混淆的。附件拖入ida,直接用d810嗦一下
动调发现,获取输入后做了字符串拼接
看check函数
矩阵乘法,用z3求解。脚本
NOOrz
附件拖入ida
有花指令,直接patch
F5反汇编
下断点运行,窗口一闪而过,应该是有反调试。main开头就调用函数,很可疑,直接patch
接着运行,看处理函数
比较简单。脚本
ReverseClub
附件拖入ida
一开始需要一个key。看看处理函数,随便翻翻,好眼熟啊
findcrypt插件告诉我是md5。下断点调试,输入相同的字符串发现得到的结果和网站加密的一模一样,md5无疑了
直接在线网站解密,cmd5要收费,上somd5
接着向下看
多线程,先检查格式
分段check。先看第一段,这里比较简单,但是会得到错误的答案
对处理buffer查引用,发现还有另一个函数
脚本
第一段解决。再看第二段
又是矩阵乘法,同样用z3求解
第二段解决。找第三段,对Str2查引用
比较简单。脚本
总结
比赛打不完,根本打不完;题目做不完,根本做不完;复现做不完,根本做不完