这是一份HCTF不完全writeup。。
0x00 misc1
拿到题目,binwalk分析下文件。发现zip文件结尾和png文件开头中间有一段数据,拿出该段数据,base64既视感,base32既视感,base16既视感。。
flag:hctf{nn1sc_ls_s0_34sy!}
0x01 web1
访问,用burp抓包,看头。。
hctf{w3lcome_t0_hc7f_f4f4f4}
0x02 personalblog
flag在源码里。
github敏感信息泄漏,google搜不到的,比赛前才上传的源码。
直接在github里面search of all 搜索博主。
hctf{H3xo_B1og_Is_Niu8i_B1og}
0x03 fuck ===
产生两个具有相同md5值的二进制文件,使用python对其进行urlencode,提交即可。
hctf{dd0g_fjdks4r3wrkq7jl}
0x04 andy
逆向apk jd-gui打开,简单分析一下,python脚本如下
import base64
a1 = "0 1 2 3 4 5 6 7 8 9 a b c d e f g h i j k l m n o p q r s t u v w x y z = A B C D E F G H I J K L M E O P Q R S T U V W X Y Z";
a2 = "W,p,X,4,5,B,q,A,6,a,V,3,r,b,U,s,E,d,C,c,D,O,t,T,Y,v,9,Q,2,e,8,P,f,h,J,N,g,u,K,k,H,x,L,w,R,I,j,i,y,l,m,S,M,1,0,O,n,2,G,7,=,F,Z";
a1 = a1.split(' ')
a2 = a2.split(',')
output = ''
input = 'SRlhb70YZHKvlTrNrt08F=DX3cdD3txmg'
for x in input:
output+=a1[a2.index(x)]
print base64.b64decode(output)[::-1]
hctf{and8n6yandr3w2i0dhdu1s8}
0x05 友善的逆向(真友善。。
问题描述
果然很友善,check按钮都会乱跳,搞的我以为作者没写check事件的处理过程呢。。
使用OD载入文件。。 程序秒退,应该是加了dedug判断的函数,如果存在调试器就退出进程。
解决方案
首先使用IDA对call isdebug
这个函数进行patch操作,对其机器码全部赋值为90(nop) 再使用OD载入时,程序不秒退了。
对于无法点击check按钮,直接进入该事件的处理过程即可,无视按钮(劳资根本不需要按钮。。)具体操作是:在判断事件的swich的任意case位置下断点,然后更改eip至想要执行的事件过程里。
静态分析
使用IDA进行静态分析,发现其第一个函数sub_401DA0
进行了第一次字符串判断。分析后得到,字符串总长度为22
其中xxx还不确定
HCTF{xxxx}
然后继续静态分析。。我靠。。 算法没学好sub_401BB0
这个函数,看得我眼睛都要瞎了,最后分析出其具体功能是返回当前字符的索引,若为字母则为字母表索引x。若为数字则为数字表索引。(这里用OD动态分析更快)。总共对12个数据进行操作,测试数据为从a-o。
大写为:0x00+x
小写为:0x64+x
数字为:0xC8+x
测试字串
HCTF{abcdefghixyoXXXX}
之后进行了替换操作
swap 6,0
swap 8,3
swap 5,2
swap 4,11
有点坑的是,除了主线程之外,进程还创建了两个分线程去对两个变量进行操作,每隔一段时间,更换一下变量。而这两个变量正好是产生最后异或key的关键值。。。(其实最后想到的是。。直接IDA倒着流程看就直接得到了。。我是煞笔。。在这里卡了很久,最终用OD解决的,不过也顺便补了补C++关于多线程的姿势)
获得最终flag如下。
HCTF{UareS0cLeVerGg04}
0x06 nes
无敌+4爆导弹,谁挡谁死,最后通过出flag,使用正确的模拟器,分离图层。
ILOVENESFUCKYOUHCGORSA
0x07 re250
逆向分析一下(使用tr,动态看汇编),
用tr动态看下汇编:
写出input2output的python代码
al = (x)&0xfc>>2: bx=