攻防世界逆向高手题的key

攻防世界逆向高手题之key

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的key

.
.
(这里积累第一个经验)
这道题，嗯~搞了好久，主要是我的IDA是7.5版本的，其他博客上的大多都是7.0或以前的版本，导致很多伪代码的变量名和函数表象对不上，然后这题的直接读取文件也算是长一次见识了。这题逆向逻辑不难，就是找到关键位置我卡了好久好久，一直在梳理各种残缺信息。然后就是要懂得熟悉OD动态调试来梳理程序逻辑和看复杂函数的输出才行。
.
.
下载附件，照例扔入exeinfope中查看信息，32位无壳。

.
.
(这里积累第二个经验)
照例双击运行查看一下主要字符串，结果是一闪而过，查了一下程序会一闪而过的原因，如下所示，不用输入，那就说得通了。
然后用OD运行来卡一下结束时输出了什么字符串。

拿到题目点开就秒退，推测是直接检测某种flag的形式而不是输入flag进行check。

.
.
照例扔入IDA32中查看信息，先看strings窗口吧：
.
.
基本关键字符串都在这里了，主要是上图中第一个红框中的路径处应该是要读取的文件，直接从文件中读取的话的确不用输入，双击跟踪一下发现是fiopen文件打开函数：

.
.
上图中并没有?W?h?a?t h?a?p?p?e?n?字符串，所以该字符串应该是在打开函数之前调用，所以也双击跟踪一下。再不断地通过菜单view-function call查看函数调用，最终也确定了第一个红框处sub_201620函数处调用了前面fopen函数打开文件：

.
.
可以发现前面的其它关键字符串congratus和wrong等字符串都在下面判断语句这里，所以从这里开始往前走：

.
.
(这里积累第三个经验)
判断函数sub_4020C0(v5, v31, v6, v34[0])一开始我跟踪进去没看懂，然后开始分析该函数参数的由来，首先是v5，v5后来通过OD动态调试梳理明白后是文件中的内容：


.
.
(这里积累第四个经验)
以OD动态调试验证v5是文件内容的猜想，首先修改IDA中的基地址与OD保持一致(Edit—Segments----Rebase programme)，为动态调试提供参考，注意前1000字节是文件头等信息，从2000字节开始才是代码.text.段。

根据目录创建对应文件夹，在flag.txt中写入abcd然后在sub_8F1620地址处下断点，OD运行后看参数v5(ECX)内容：


.
.
v5猜想验证，然后就是v31，v6，v34[0]参数，这里用IDA动态调试，因为可以直接双击查看变量的值：

.
.
.
（这里积累第五个经验）
知道了参数的值该是什么后看一下前面的这些参数有没有操作，这里对Block的函数虽然分了两个变量，但是都是一致型的操作，至于为什么分成了两个变量，应该是IDA反编译的时候中间的LOBYTE(Block[0]) = 0;影响了它的反编译吧。

.
.
.
(这里积累第六个经验)
所以v6参数的值要找到对应的操作了，剩下的v31和v34[0]就是一个常数，现在知道了参数后我们接着看看判断函数sub_8F20C0(v5, v31, v6, v34[0])：

真的，一开始我看了好久都没看懂这个函数，一堆的判断然后执行一些杂七杂八的操作，后来结合别人的理解发现这个函数的确都是判断，而且对this的赋值修改操作只有下图中的红框而已。
那反过来想一想，没有修改操作，那不就可以当成判断每个字符是否相等的函数吗？事实上也的确是这样，所以判断的就是从文件中读出的v5和前面加密修改的字符串v6：

.
.
.
那么最后flag就出来了，一个是动态调试时的v6的值：

.
.
一个是自己写脚本运行的v6的值(注意+号和异或符号的优先级)：

key1="themidathemidathemida"
key2=">----++++....<<<<."
flag2=""
flag=""
for i in range(18):
	flag2+=chr((ord(key1[i])^ord(key2[i]))+22)	#加号+运算符优先级大于异或+，要加括号啊，！！！！刚才直接输出错误
for i in range(18):
	flag+=chr(ord(flag2[i])+9)
print(flag)

.
.
.
总结：

1：
(这里积累第一个经验)
这道题，嗯~搞了好久，主要是我的IDA是7.5版本的，其他博客上的大多都是7.0或以前的版本，导致很多伪代码的变量名和函数表象对不上，然后这题的直接读取文件也算是长一次见识了。这题逆向逻辑不难，就是找到关键位置我卡了好久好久，一直在梳理各种残缺信息。然后就是要懂得熟悉OD动态 调试来梳理程序逻辑和看复杂函数的输出才行。

2：
(这里积累第二个经验)
照例双击运行查看一下主要字符串，结果是一闪而过，查了一下程序会一闪而过的原因，如下所示，不用输入，那就说得通了。
然后用OD运行来卡一下结束时输出了什么字符串。

拿到题目点开就秒退，推测是直接检测某种flag的形式而不是输入flag进行check。

3：
(这里积累第三个经验)
判断函数sub_4020C0(v5, v31, v6, v34[0])一开始我跟踪进去没看懂，然后开始分析该函数参数的由来，首先是v5，v5后来通过OD动态调试梳理明白后是文件中的内容：

4：
(这里积累第四个经验)
以OD动态调试验证v5是文件内容的猜想，首先修改IDA中的基地址与OD保持一致(Edit—Segments----Rebase
programme)，为动态调试提供参考，注意前1000字节是文件头等信息，从2000字节开始才是代码.text.段。
.
根据目录创建对应文件夹，在flag.txt中写入abcd然后在sub_8F1620地址处下断点，OD运行后看参数v5(ECX)内容：

5：
（这里积累第五个经验）
知道了参数的值该是什么后看一下前面的这些参数有没有操作，这里对Block的函数虽然分了两个变量，但是都是一致型的操作，至于为什么分成了两个变量，应该是IDA反编译的时候中间的LOBYTE(Block[0]) = 0;影响了它的反编译吧。

6：
(这里积累第六个经验)
所以v6参数的值要找到对应的操作了，剩下的v31和v34[0]就是一个常数，现在知道了参数后我们接着看看判断函数sub_8F20C0(v5, v31, v6, v34[0])：
.
真的，一开始我看了好久都没看懂这个函数，一堆的判断然后执行一些杂七杂八的操作，后来结合别人的理解发现这个函数的确都是判断，而且对this的赋值修改操作只有下图中的红框而已。
那反过来想一想，没有修改操作，那不就可以当成判断每个字符是否相等的函数吗？事实上也的确是这样，所以判断的就是从文件中读出的v5和前面加密修改的字符串v6：

解毕！敬礼！