攻防世界逆向高手题之testre

攻防世界逆向高手题之testre

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的testre

下载附件，照例扔入exeinfope中查看信息：

64位ELF文件，无壳，照例扔入IDA64中查看伪代码，有main函数看main函数：

主函数就两个自定义函数，按顺序跟踪第一个 sub_400D00函数。

（这里积累第一个经验）
v6是字符数组，v5是17uLL，限定了v6接受输入字符的长度，就是flag的长度。v6 + v5 - 1就是在接受用户输入的字符后在结尾附0结束符。

继续跟踪下一个sub_400700自定义函数：

__int64 __fastcall sub_400700(void *a1, _QWORD *a2, __int64 a3, size_t a4)
{
  unsigned __int8 *v4; // rcx
  _DWORD v6[2]; // [rsp+0h] [rbp-C0h] BYREF
  int c; // [rsp+8h] [rbp-B8h]
  char v8; // [rsp+Fh] [rbp-B1h]
  int v9; // [rsp+10h] [rbp-B0h]
  bool v10; // [rsp+17h] [rbp-A9h]
  unsigned __int8 *v11; // [rsp+18h] [rbp-A8h]
  char v12; // [rsp+27h] [rbp-99h]
  int v13; // [rsp+28h] [rbp-98h]
  int v14; // [rsp+2Ch] [rbp-94h]
  unsigned __int64 i; // [rsp+30h] [rbp-90h]
  size_t n; // [rsp+38h] [rbp-88h]
  size_t v17; // [rsp+40h] [rbp-80h]
  size_t v18; // [rsp+48h] [rbp-78h]
  size_t j; // [rsp+50h] [rbp-70h]
  size_t v20; // [rsp+58h] [rbp-68h]
  int v21; // [rsp+64h] [rbp-5Ch]
  unsigned __int64 v22; // [rsp+68h] [rbp-58h]
  int v23; // [rsp+74h] [rbp-4Ch]
  _DWORD *v24; // [rsp+78h] [rbp-48h]
  __int64 v25; // [rsp+80h] [rbp-40h]
  void *v26; // [rsp+88h] [rbp-38h]
  int v27; // [rsp+94h] [rbp-2Ch]
  size_t v28; // [rsp+98h] [rbp-28h]
  __int64 v29; // [rsp+A0h] [rbp-20h]
  _QWORD *v30; // [rsp+A8h] [rbp-18h]
  void *s; // [rsp+B0h] [rbp-10h]
  char v32; // [rsp+BFh] [rbp-1h]

  s = a1;
  v30 = a2;
  v29 = a3;
  v28 = a4;
  v27 = -559038737;
  v26 = malloc(0x100uLL);
  v25 = v29;
  v24 = v6;
  v22 = 0LL;
  v17 = 0LL;
  for ( i = 0LL; i < v28; ++i )
  {
    v13 = *(unsigned __int8 *)(v25 + i);
    *((_BYTE *)v26 + i) = byte_400E90[i % 0x1D] ^ v13;
    *((_BYTE *)v26 + i) += *(_BYTE *)(v25 + i);
  }
  while ( 1 )
  {
    v12 = 0;
    if ( v17 < v28 )
      v12 = ~(*(_BYTE *)(v25 + v17) != 0);
    if ( (v12 & 1) == 0 )
      break;
    ++v17;
  }
  n = 138 * (v28 - v17) / 0x64 + 1;
  v23 = ((v17 + v28) << 6) / 0x30 - 1;
  v11 = (unsigned __int8 *)v6 - ((138 * (v28 - v17) / 0x64 + 16) & 0xFFFFFFFFFFFFFFF0LL);
  memset(v11, 0, n);
  v20 = v17;
  v18 = n - 1;
  while ( v20 < v28 )
  {
    v21 = *(unsigned __int8 *)(v25 + v20);
    for ( j = n - 1; ; --j )
    {
      v10 = 1;
      if ( j <= v18 )
        v10 = v21 != 0;
      if ( !v10 )
        break;
      v22 = v11[j] << 6;
      v21 += v11[j] << 8;
      v9 = 64;
      v11[j] = v21 % 58;
      *((_BYTE *)v26 + j) = v22 & 0x3F;
      v22 >>= 6;
      v21 /= 58;
      v27 /= v9;
      if ( !j )
        break;
    }
    ++v20;
    v18 = j;
  }
  for ( j = 0LL; ; ++j )
  {
    v8 = 0;
    if ( j < n )
      v8 = ~(v11[j] != 0);
    if ( (v8 & 1) == 0 )
      break;
  }
  if ( *v30 > n + v17 - j )
  {
    if ( v17 )
    {
      c = 61;
      memset(s, 49, v17);
      memset(v26, c, v17);
    }
    v20 = v17;
    while ( j < n )
    {
      v4 = v11;
      *((_BYTE *)s + v20) = byte_400EB0[v11[j]];
      *((_BYTE *)v26 + v20++) = byte_400EF0[v4[j++]];
    }
    *((_BYTE *)s + v20) = 0;
    *v30 = v20 + 1;
    if ( !strncmp((const char *)s, "D9", 2uLL)
      && !strncmp((const char *)s + 20, "Mp", 2uLL)
      && !strncmp((const char *)s + 18, "MR", 2uLL)
      && !strncmp((const char *)s + 2, "cS9N", 4uLL)
      && !strncmp((const char *)s + 6, "9iHjM", 5uLL)
      && !strncmp((const char *)s + 11, "LTdA8YS", 7uLL) )
    {
      v6[1] = puts("correct!");
    }
    v32 = 1;
    v14 = 1;
  }
  else
  {
    *v30 = n + v17 - j + 1;
    v32 = 0;
    v14 = 1;
  }
  return v32 & 1;
}

.

代码量多，算法也比较复杂，我也看到了最后的比较函数，也知道s是关键，也感觉有混淆，但是区分不出哪个是混淆代码。(哭~)

查了很多资料(wp)最后发现还是官方wp最详细，现在整理一下自己的思路。

(这里积累第二个经验)
第一个for循环是对一个字符数组的异或加密操作，字符串fake_secret_makes_you_annoyed中文暗示可以看出是假的flag。这里用到了v26，v26在后面的代码中也有穿插，但是根据别人资料的描述，这里的异或加密后面会发现,并没有用到。

(这里积累第三个经验)
接着看第二个函数，这里的v12在后面真的是一点都没用上。不要再想着那些地址间接访问了，现在为止除了EASYHOOK有对地址函数的替换之外没有遇到任何一个地址间接访问。所以这里的函数也是与解题无关的混淆代码。

(这里积累第四个经验)
接着看第三个函数这里v11亮相，根据资料，这里一个模58，一个除58是base58加密的关键，由此判断这是bae58加密,操作对象是v11。(这是别人的图)

(这里积累第5个经验)
接着分析第三个函数，这里是两个简单的判断，操作对象是v8。这个V8在后面也没有用上，所以这也是混淆代码：

(这里积累第六个经验)
紧接着的if语句只是简单的给s和v26开辟空间，并没有太大作用：

(这里积累第7个经验)
最后的while函数就是给s和v26赋值，用到了两个数组，分别是base58和base64的基本元素。根据下面的循环条件可以判断这个v26并没有用于参与判断，也就是说前面关于v26的都是混淆的代码

附上别人的话：

显然一个是base64编码表,一个是base58编码表,最开始把base58编码表看成了是数字加所有字母,浪费大量时间分析.
.
仔细观察代码,其实进行base64编码的过程是针对v26,但是v26变量指向的内存完全没有和最后的比较产生关系,所以这都是干扰做题的
.
最后观察比较语句,提取出最终串:D9cS9N9iHjMLTdA8YSMRMp

所以最后比较的就是输入后的bae58加密是否相等，那拿D9cS9N9iHjMLTdA8YSMRMp解密即可得到flag：

.
.
(这里积累第8个经验)
上面是从前往后看的，常规做法是从后往前看，就是确定比较的是s，从s开始排除其他无关变量，确定s由v11赋值而来，找到给v11赋值的代码排除其它干扰代码，从模58和除58中得出是base58加密。

.
.

总结：

1：
(这里积累第一个经验）
v6是字符数组，v5是17uLL，限定了v6接受输入字符的长度，就是flag的长度。v6 + v5 - 1就是在接受用户输入的字符后在结尾附0结束符。

2：
(这里积累第二个经验)
第一个for循环是对一个字符数组的异或加密操作，字符串fake_secret_makes_you_annoyed中文暗示可以看出是假的flag。这里用到了v26，v26在后面的代码中也有穿插，但是根据别人资料的描述，这里的异或加密后面会发现,并没有用到。

3：
(这里积累第三个经验)
接着看第二个函数，这里的v12在后面真的是一点都没用上。不要再想着那些地址间接访问了，现在为止除了EASYHOOK有对地址函数的替换之外没有遇到任何一个地址间接访问。所以这里的函数也是与解题无关的混淆代码。

4：
(这里积累第四个经验)
接着看第三个函数这里v11亮相，根据资料，这里一个模58，一个除58是base58加密的关键，由此判断这是bae58加密,操作对象是v11。(这是别人的图)

5：
(这里积累第5个经验) 接着分析第三个函数，这里是两个简单的判断，操作对象是v8。这个V8在后面也没有用上，所以这也是混淆代码。

6：
(这里积累第六个经验) 紧接着的if语句只是简单的给s和v26开辟空间，并没有太大作用。

7：
(这里积累第7个经验)
最后的while函数就是给s和v26赋值，用到了两个数组，分别是base58和base64的基本元素。根据下面的循环条件可以判断这个v26并没有用于参与判断，也就是说前面关于v26的都是混淆的代码。
.
.
附上别人的话：
显然一个是base64编码表,一个是base58编码表,最开始把base58编码表看成了是数字加所有字母,浪费大量时间分析.
.
仔细观察代码,其实进行base64编码的过程是针对v26,但是v26变量指向的内存完全没有和最后的比较产生关系,所以这都是干扰做题的
.
最后观察比较语句,提取出最终串:D9cS9N9iHjMLTdA8YSMRMp

8：
(这里积累第8个经验)
上面是从前往后看的，常规做法是从后往前看，就是确定比较的是s，从s开始排除其他无关变量，确定s由v11赋值而来，找到给v11赋值的代码排除其它干扰代码，从模58和除58中得出是base58加密。

解毕！敬礼！