BUUCTF逆向刷题笔记（1-12）

easyre、内涵的软件、xor、不一样的flag：

buuctf reverse部分题解（实时更新）_reverse 题解-CSDN博客

请见小库里的blog。

reverse1

查壳发现没有，而且是64位

粗略改一下部分函数名，看看主要逻辑。

第一个for循环暂时不知道干什么的，但是一眼就看到最后几行的strcmp。看来就是str1和str2的比较，str1是我们自己输入的，那么主要就是分析str2。第二个for循环明显是把o变成0（需要按r转换一下字符）。双击str2就知道str2的内容。

reverse2

查出来是64位。可以放虚拟机运行一下看看，进去就是直接输入flag。

我们拖进IDA看看。

一样的字符替换逻辑。SHIFT+F12就可以看到原始的flag。替换即可。

新年快乐

光看代码什么也看不出，看看能不能通过动调拿到信息。

题目上说就是一个字符串！在看了一下发现有壳，忘记脱壳了！！！脱完壳直接就看出来答案了，服了。

reverse3

查壳，是32位。

看一下关键代码。看样子是输入了一个字符串，经过sub_4110BE函数处理之后，又获得了一个Destination字符串，并且来比较。那么我们看看这个函数的逻辑是什么。点进去发现一个全局变量，有如下编码表。怀疑是base64编码。

注意有个for循环，估计是将这个Destination字符串前11位每一位都加了1，我们只需要搞个脚本给他返回去即可。Str2就是我们需要比较的字符串，其实我们已经有这个字符串的值，所以写脚本也是比较好写的。然后base解码即可。

import base64
a='e3nifIH9b_C@n@dH'
c=''
for i in range(0,len(a)):c+=(chr(ord(a[i])-i))
print('base64:'+c)
c=bytes(c,encoding='utf-8')
mydecode=base64.b64decode(c)
print('flag'+str(mydecode,encoding='utf-8'))

上述代码运行结果：

helloword

这是一个apk文件，进去啥玩意都没有。所以猜测藏在了安装包里了flag。

还算简单，mainActivity里面就是flag。

SimpleRev （未完成）

这是一个64位ELF文件。下面是关键代码。

有一个考点，IDA会把内存的数据自动转为大端序，有时候伪代码却不会，所以要谨慎小心！

unsigned __int64 Decry()
{char input; // [rsp+Fh] [rbp-51h]int v2; // [rsp+10h] [rbp-50h]int v3; // [rsp+14h] [rbp-4Ch]int i; // [rsp+18h] [rbp-48h]int keylen; // [rsp+1Ch] [rbp-44h]char src[8]; // [rsp+20h] [rbp-40h] BYREF__int64 v7; // [rsp+28h] [rbp-38h]int v8; // [rsp+30h] [rbp-30h]__int64 v9[2]; // [rsp+40h] [rbp-20h] BYREFint v10; // [rsp+50h] [rbp-10h]unsigned __int64 v11; // [rsp+58h] [rbp-8h]v11 = __readfsqword(0x28u);*(_QWORD *)src = 0x534C43444ELL;v7 = 0LL;v8 = 0;v9[0] = 0x776F646168LL;v9[1] = 0LL;v10 = 0;text = join(key3, (const char *)v9);          // kills--key3strcpy(key, key1);                            // adsfk key1strcat(key, src);v2 = 0;v3 = 0;getchar();keylen = strlen(key);for ( i = 0; i < keylen; ++i ){if ( key[v3 % keylen] > '@' && key[v3 % keylen] <= 'Z' )key[i] = key[v3 % keylen] + 32;++v3;}printf("Please input your flag:");while ( 1 ){input = getchar();if ( input == '\n' )break;if ( input == 32 ){++v2;}else{if ( input <= '`' || input > 'z' ){if ( input > '@' && input <= 'Z' ){str2[v2] = (input - 39 - key[v3 % keylen] + 97) % 26 + 97;++v3;}}else{str2[v2] = (input - 39 - key[v3 % keylen] + 97) % 26 + 97;++v3;}if ( !(v3 % keylen) )putchar(32);++v2;}}if ( !strcmp(text, str2) )puts("Congratulation!\n");elseputs("Try again!\n");return __readfsqword(0x28u) ^ v11;
}

这就是一个自己写的算法，接下来进行仔细分析。

首先，在末尾可以看出比较的是text，所以我们先给text求出来。程序自定义了一个join函数，实际上就是拼接俩字符串。这也是个小端序文件要注意。此外，v9应该理解为字符串，因为其最后一个是0，相当于0x0。编写脚本求出text先。

看程序代码，str2明显是需要求出来。str2会和key相等。根据算法来看，我们应该先求出key，再考虑具体的算法。所以接下来计算key。

程序这段代码实现了对key的进一步操作，就是转为小写。（注意ASCII码+32）v3只是一个计数器罢了。最终key是adsfkndcls。

接下来就可以看看是如何利用key来生成str2的。

这看似是一个死循环，其实根据putchar(32)来看只要v3和keylen相等就可以跳过了，也就是说每一次循环v2都++，v2控制的是str里面的字符串。而v3则是一个计数器，只要数值超过keylen就会break了。str2我们也知道等于text，key我们也知道了。后面的%26+97相当于转为小写而已。

[GXYCTF2019]luck_guy

直接进入关键函数看看。

unsigned __int64 get_flag()
{unsigned int v0; // eaxint i; // [rsp+4h] [rbp-3Ch]int j; // [rsp+8h] [rbp-38h]__int64 s; // [rsp+10h] [rbp-30h] BYREFchar v5; // [rsp+18h] [rbp-28h]unsigned __int64 v6; // [rsp+38h] [rbp-8h]v6 = __readfsqword(0x28u);v0 = time(0LL);srand(v0);for ( i = 0; i <= 4; ++i ){switch ( rand() % 200 ){case 1:puts("OK, it's flag:");memset(&s, 0, 0x28uLL);strcat((char *)&s, f1);strcat((char *)&s, &f2);printf("%s", (const char *)&s);break;case 2:printf("Solar not like you");break;case 3:printf("Solar want a girlfriend");break;case 4:s = 0x7F666F6067756369LL;v5 = 0;strcat(&f2, (const char *)&s);break;case 5:for ( j = 0; j <= 7; ++j ){if ( j % 2 == 1 )*(&f2 + j) -= 2;else--*(&f2 + j);}break;default:puts("emmm,you can't find flag 23333");break;}}return __readfsqword(0x28u) ^ v6;
}

首先题目是一个随机数生成，我们肯定不可能赌运气一遍遍地运行的。分析一下switch函数的几个子项，case 1直接显示出来了flag。首先f1已经知道了，主要就是看f2怎么来搞得。主要看情况4和情况5.他们应该控制着f2。

首先要注意，checksec检查出来是小端序，所以s这个应该是小端序储存，也就是阅读习惯与咱们是相反的。然后f2被赋值为s。5应该是在4之后对f2进行操作。我们可以根据这个算法写出python脚本。得到结果和F1拼接即可。

s = [0x69, 0x63, 0x75, 0x67, 0x60, 0x6F, 0x66, 0x7F]
# 手动转换一下，因为本身是小端序储存，转到python顺序需要更改。
result = []
for i, value in enumerate(s):if i % 2 == 1:result.append(chr(value - 2))else:result.append(chr(value - 1))# 打印结果
result_str = ''.join(result)
print(result_str)

Java逆向解密

反编译class看看：

分析一下，最下面是一个if验证输入的内容是否和KEYlist相等。main 方法应该就是一个输入了。我们主要看Encrypt。看到主要算法估计是c加上个@的ascii码再异或32.这样的话思路就很清晰了。

a=[180, 136, 137, 147, 191, 137, 147, 191, 148, 136, 133, 191, 134, 140, 129, 135, 191, 65]
b=''
for i in a:b+=chr((i^32)-ord('@'))#i^32需要加括号 因为运算优先级的问题
print(b)

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.rhkb.cn/news/29296.html

如若内容造成侵权/违法违规/事实不符，请联系长河编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！