BUUCTF Reverse SimpleRev WriteUp

simplerev-WP

使用exeinfope檢視發現沒殼，扔入IDA

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  char v4; // [rsp+Fh] [rbp-1h]

  while ( 1 )
  {
    while ( 1 )
    {
      printf("Welcome to CTF game!\nPlease input d/D to start or input q/Q to quit this program: ");
      v4 = getchar();
      if ( v4 != 100 && v4 != 68 )
        break;
      Decry();
    }
    if ( v4 == 113 || v4 == 81 )
      Exit("Welcome to CTF game!\nPlease input d/D to start or input q/Q to quit this program: ", argv);
    puts("Input fault format!");
    v3 = getchar();
    putchar(v3);
  }
}
           

從主函數中可以看出，核心部分是Decry()函數，接下來對其進行分析。

unsigned __int64 Decry()
{
    char v1; // [rsp+Fh] [rbp-51h]
    int v2; // [rsp+10h] [rbp-50h]
    int v3; // [rsp+14h] [rbp-4Ch]
    int i; // [rsp+18h] [rbp-48h]
    int v5; // [rsp+1Ch] [rbp-44h]
    char src[8]; // [rsp+20h] [rbp-40h] BYREF
    __int64 v7; // [rsp+28h] [rbp-38h]
    int v8; // [rsp+30h] [rbp-30h]
    __int64 v9[2]; // [rsp+40h] [rbp-20h] BYREF
    int v10; // [rsp+50h] [rbp-10h]
    unsigned __int64 v11; // [rsp+58h] [rbp-8h]

    char str2[104];

    v11 = __readfsqword(0x28u);
    *(_QWORD*)src = 0x534C43444ELL;//直接轉換出來的結果是SLCDN
    v7 = 0LL;
    v8 = 0;
    v9[0] = 0x776F646168LL;//直接轉換出來的結果是wodah
    v9[1] = '\0';
    v10 = 0;
    text = join(key3, (const char*)v9);//text=killshadow
    strcpy(key, key1);
    strcat(key, src);//key=ADSFKNDCLS
    v2 = 0;
    v3 = 0;
    getchar();
    v5 = strlen(key);//v5=10
    for (i = 0; i < v5; ++i)//把大寫字母轉換為小寫字母
    {
        if (key[v3 % v5] > '@' && key[v3 % v5] <= 'Z')
            key[i] = key[v3 % v5] + 32;
        ++v3;
    }

    //key=adsfkndcls,v3=10
    printf("Please input your flag:");
    while (1)
    {
        v1 = getchar();
        if (v1 == '\n')
            break;
        if (v1 == ' ')
        {
            ++v2;//v2代表str2的下标
        }
        else
        {
            if (v1 <= 96 || v1 > 122)
            {
                if (v1 > 64 && v1 <= 90)//大寫字母
                {
                    str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;
                    ++v3;
                }
            }
            else//小寫字母的處理
            {
                str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;
                ++v3;
            }
            if (!(v3 % v5))
                putchar(32);
            ++v2;
        }
    }
    if (!strcmp(text, str2))
        puts("Congratulation!\n");
    else
        puts("Try again!\n");
    return __readfsqword(0x28u) ^ v11;
}
           

特别注意其中，用IDA的R鍵直接轉換出來的有問題，因為是按照小端序排列的，但是直接轉換時沒有按照小端序進行修正，導緻出來的是頭尾颠倒的，注意，小端序的是2個十六進制（1位元組）為一個機關，是以建議先轉換，在調轉。

寫出解密腳本，這個是網上找的，當時自己直接手算的

#include <iostream>

using namespace std;

int main()
{
	char key[] = "adsfkndcls";
	char text[] = "killshadow";
	int v3 = 10;
	for (int i = 0; i < 10; i++)
	{
		for (int j = 0; j < 128; j++)
		{
			if (j < 'A' || j > 'z' || j > 'Z' && j < 'a')
			{
				continue;
			}
			if ((j - 39 - key[v3 % 10] + 97) % 26 + 97 == text[i])
			{
				cout << char(j);
				v3++;
				break;
			}
		}
	}
}
           

得到flag

flag{KLDQCUDFZO}