【HCTF】2015hctf单刷_writeup

这是一份HCTF不完全writeup。。

0x00 misc1

拿到题目，binwalk分析下文件。发现zip文件结尾和png文件开头中间有一段数据，拿出该段数据，base64既视感，base32既视感，base16既视感。。

flag:hctf{nn1sc_ls_s0_34sy!}

0x01 web1

访问，用burp抓包，看头。。

hctf{w3lcome_t0_hc7f_f4f4f4}

0x02 personalblog

flag在源码里。

github敏感信息泄漏，google搜不到的，比赛前才上传的源码。

直接在github里面search of all 搜索博主。

hctf{H3xo_B1og_Is_Niu8i_B1og}

0x03 fuck ===

产生两个具有相同md5值的二进制文件，使用python对其进行urlencode，提交即可。

hctf{dd0g_fjdks4r3wrkq7jl}

0x04 andy

逆向apk jd-gui打开，简单分析一下，python脚本如下

import base64
a1 = "0 1 2 3 4 5 6 7 8 9 a b c d e f g h i j k l m n o p q r s t u v w x y z = A B C D E F G H I J K L M E O P Q R S T U V W X Y Z";
a2 = "W,p,X,4,5,B,q,A,6,a,V,3,r,b,U,s,E,d,C,c,D,O,t,T,Y,v,9,Q,2,e,8,P,f,h,J,N,g,u,K,k,H,x,L,w,R,I,j,i,y,l,m,S,M,1,0,O,n,2,G,7,=,F,Z";

a1 = a1.split(' ')
a2 = a2.split(',')
output = ''
input = 'SRlhb70YZHKvlTrNrt08F=DX3cdD3txmg'
for x in input:
    output+=a1[a2.index(x)]
print base64.b64decode(output)[::-1]

hctf{and8n6yandr3w2i0dhdu1s8}

0x05 友善的逆向（真友善。。

问题描述

果然很友善，check按钮都会乱跳，搞的我以为作者没写check事件的处理过程呢。。

使用OD载入文件。。 程序秒退，应该是加了dedug判断的函数，如果存在调试器就退出进程。

解决方案

首先使用IDA对call isdebug这个函数进行patch操作，对其机器码全部赋值为90(nop) 再使用OD载入时，程序不秒退了。

对于无法点击check按钮，直接进入该事件的处理过程即可，无视按钮（劳资根本不需要按钮。。）具体操作是：在判断事件的swich的任意case位置下断点，然后更改eip至想要执行的事件过程里。

静态分析

使用IDA进行静态分析，发现其第一个函数sub_401DA0进行了第一次字符串判断。分析后得到，字符串总长度为22
其中xxx还不确定

HCTF{xxxx}

然后继续静态分析。。我靠。。 算法没学好sub_401BB0这个函数，看得我眼睛都要瞎了，最后分析出其具体功能是返回当前字符的索引，若为字母则为字母表索引x。若为数字则为数字表索引。（这里用OD动态分析更快）。总共对12个数据进行操作，测试数据为从a-o。

大写为:0x00+x
小写为:0x64+x
数字为:0xC8+x

测试字串
HCTF{abcdefghixyoXXXX}

之后进行了替换操作
swap 6,0
swap 8,3
swap 5,2
swap 4,11

有点坑的是，除了主线程之外，进程还创建了两个分线程去对两个变量进行操作，每隔一段时间，更换一下变量。而这两个变量正好是产生最后异或key的关键值。。。（其实最后想到的是。。直接IDA倒着流程看就直接得到了。。我是煞笔。。在这里卡了很久，最终用OD解决的，不过也顺便补了补C++关于多线程的姿势）

获得最终flag如下。

HCTF{UareS0cLeVerGg04}

0x06 nes

无敌+4爆导弹，谁挡谁死，最后通过出flag，使用正确的模拟器，分离图层。

ILOVENESFUCKYOUHCGORSA

0x07 re250

逆向分析一下（使用tr，动态看汇编），

用tr动态看下汇编：

写出input2output的python代码

al = (x)&0xfc>>2:                              bx=