Reverse

(・∀・)つ原题

simpleAndroid

打开后发现了一个checkActivity的文件里发现我们输入的字符串被传到了so文件里加密,于是解压出so文件丢入ida分析,找到了一个datacheck函数,一进去就发现了一个base64编码和编码密钥。
加密代码看似很多其实总共就两次,一次是反转,还有一次是一个”|”和”&”运算,把反转后的字符串逐个进行运算,最后和密文进行比较。
直接抄下来就行,解密脚本反一下就行,先运算后反转(脚本如下)
最后用密钥在赛博厨师解base64编码就行。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
#include <stdio.h>
#include <string.h>

unsigned char data_1[32] = {
    0xB2, 0x74, 0x45, 0x16, 0x47, 0x34, 0x95, 0x36, 0x17, 0xF4, 0x43, 0x95, 0x03, 0xD6, 0x33, 0x95,
    0xC6, 0xD6, 0x33, 0x36, 0xA7, 0x35, 0xE6, 0x36, 0x96, 0x57, 0x43, 0x16, 0x96, 0x97, 0xE6, 0x16
};

void res1(unsigned char* m, int len) {
    for (int i = 0; i < len; ++i) {
        m[i] = (m[i] >> 4) & 0x0F | (16 * m[i]) & 0xF0;
    }
}

void res2(unsigned char* m, int len) {
    for (int i = 0; i < len / 2; ++i) {
        unsigned char temp = m[i];
        m[i] = m[len + ~i];
        m[len + ~i] = temp;
    }
}

int main() {
    int len = sizeof(data_1) / sizeof(data_1[0]);
    res1(data_1, len);
    res2(data_1, len);

    for (int i = 0; i < len; ++i) {
        printf("%c", data_1[i]);
    }

    return 0;
}

取啥名字好呢?

Ida分析发现main函数里套了许多的signal函数,查询了一下发现是收集异常的函数,然后在第一个signal(注意到报错是8,也就是SIGFPE)函数里找到了一段加密代码,大概就是异或下标吧,之后会把密文比较判断。
打算先猜一手,先提取出密文,写出异或解密脚本后发现不正确,于是用动调看input的值的变化,发现input的所有值在第一次报错8之前被统一更改了,后面就是正常地报错8,进行异或下标加密。
输入不同的字符发现改变前后的差是统一的,当我输入0x31时发现数据被转成0xa1,那么就是我输入的字符被减去了0x17,所以写出脚本,输出的就是flag.

1
2
3
4
5
6
7
8
9
10
11
12
13
#include <stdio.h>

unsigned char m[23] = {
    0x4F, 0x54, 0x48, 0x53, 0x60, 0x45, 0x37, 0x1A, 0x28, 0x41, 0x26, 0x16, 0x3B, 0x45, 0x14, 0x47,
    0x0E, 0x0C, 0x70, 0x3B, 0x3C, 0x3D, 0x70
};

int main() {
    for (int i = 0; i < 23; i++) {
        m[i] ^= i;
        printf("%c", m[i] + (0x31 - 0x1a));
    }
}

flowering_shrubs

die发现是fle64文件,ida分析天崩开局全是花,不会用pythonida脚本去画捏,手动去花,nop掉push和ret之前的内容(包含有call $+5),识别成函数后就是正常内容。分析函数,加密过程大概就是把明文字符四个一组然后在组内分别与key中的一个字符进行异或和运算加密,而加密的顺序据取决于一个随机数生成的下标,这决定了一个组的密钥。 分析随机数的生成,种子是0,但是是在Linux的文件,因为wind和linux的随机数生成不同,我们要写一份生成随机数的代码到Linux进行生成(脚本1)。
在生成随机数时会舍弃掉一次生成的第一个数,之后若生成与之前相同的数就会重复生成直到不重复(在这个过程中不会跳过第一个生成的数),不知道为什么在winds写的代码在Linux里面运行有问题,无奈把随机数全部生成(200个)然后用上面的逻辑,自己手动整理,最后得到的就是加密的下标顺序(index)。
有了每个的加密顺序就直接反向解密就行。(脚本2)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
//脚本1
#include <stdio.h>
#include <stdlib.h>

int main(int argc, char* argv[]) {
    int rands;
    srand(0);
    for (int i = 0; i < 10; i++) {
        
        rands = (rand() % 40) & 0xFC;
        printf("%d,", rands);
    }
    return 0;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
//脚本2
#include <stdio.h>

unsigned char m[40] = {
    0x54, 0xF4, 0x20, 0x47, 0xFC, 0xC4, 0x93, 0xE6, 0x39, 0xE0, 0x6E, 0x00, 0xA5, 0x6E, 0xAA, 0x9F,
    0x7A, 0xA1, 0x66, 0x39, 0x76, 0xB7, 0x67, 0x57, 0x3D, 0x95, 0x61, 0x22, 0x55, 0xC9, 0x3B, 0x4E,
    0x4F, 0xE8, 0x66, 0x08, 0x3D, 0x50, 0x43, 0x3E
};

int index[] = {0,4,32,12,8,24,16,20,28,36};

int dec(unsigned char* input, unsigned char *key) {

    *input ^= input[3];
    input[3] ^= input[2];
    input[2] += *key;
    input[2] ^= input[1];
    input[1] -= *key;
    input[1] ^= *input;
    *input ^= *key;
    return 0;
}

int main() {
    unsigned char key[] = "uarefirst.";

    for (int i = 0; i < 10; i++) {
        dec(&m[index[i]], &key[i]);
    }
    printf("%s", m);
    
    return 0;
}

SMc_math

Ida分析发现里面代码就是一坨,看题目是smc,于是先寻找解密代码,发现在调用加密函数前,有一个for循环对加密函数进行了异或运算,这估计就是解密加密函数的代码,于是在调用处断点。
进行动调,到断点处用快捷键恢复函数,这样就可以看到加密函数的内容了。
分析函数,就是一个七元一次方程,查找资料想到用z3库来解密,脚本如下。
因为加密时以int转入,解方程后的结果应该是4字节数据16进制转化成了数字表示,因为数据是4字节小端序存储,所以我们要用小端序读取并转成字符就可以了(脚本如下)。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
from z3 import *

v2, v3, v4, v5, v6, v7, v8 = Ints('v2 v3 v4 v5 v6 v7 v8')

a = Solver()
a.add(5 * (v3 + v2) + 4 * v4 + 6 * v5 + v6 + 9 * v8 + 2 * v7 == 0xD5CC7D4FF)
a.add(4 * v8 + 3 * v5 + 6 * v4 + 10 * v3 + 9 * v2 + 9 * v7 + 3 * v6 == 0x102335844B)
a.add(9 * v6 + 4 * (v5 + v4) + 5 * v3 + 4 * v2 + 3 * v8 + 10 * v7 == 0xD55AEABB9)
a.add(9 * v3 + 5 * v2 + 9 * v8 + 2 * (v4 + 2 * v5 + 5 * v6 + v7) == 0xF89F6B7FA)
a.add(5 * v6 + 9 * v5 + 7 * v2 + 2 * v3 + v4 + 3 * v8 + 9 * v7 == 0xD5230B80B)
a.add(8 * v8 + 6 * v5 + 10 * v4 + 5 * v3 + 6 * v2 + 3 * v7 + 9 * v6 == 0x11E28ED873)
a.add(v2 + 4 * (v4 + v3 + 2 * v5) + 9 * v6 + v7 + 3 * v8 == 0xB353C03E1)

che = a.check()
res = a.model()
print(res)

m = [1734437990, 1596998779, 1601515609, 1999662667, 1129149279, 1148073055, 2100517471]  # 手动收集的数据,因为不会把res中的计算结果转化为列表

flag = ""

for i in m:
    result = i.to_bytes(4, 'little')  # 
    flag += result.decode('utf-8')

print(flag)

SecretsOfKawaii

Jeb解混淆,在mainacticity里面发现了加密代码,在这里主要逻辑就是把明文rc4加密(密钥就在旁边),然后base64编码后交到so层check方法处理。
提取出so文件,查壳发现带壳,后用upx脱壳,然后丢进ida分析。找到一个带check的函数,里面有一个btea函数和密钥,分析btea函数,是一个xxtea加密和密文,把密文用ida提取。
和网上的xxtea加密对比发现delta被修改了,把在网上找到的解密代码的delta进行修改,就可以写出解密脚本(脚本如下)。
把解密后的字符串进行base64编码再rc4解密,密钥是rc4k4y,(http://tool.chacuo.net/cryptrc4),直接输入base64编码就可以解密出结果,结果就是flag

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
#include <stdio.h>

unsigned char secrets[48] = {
    0xDF, 0xD3, 0x12, 0x8C, 0x37, 0x41, 0x4C, 0x5F,  
    0x02, 0x3D, 0x9D, 0x1A, 0xB7, 0x94, 0x12, 0x2D, 
    0x37, 0x2B, 0x62, 0xFB, 0xE3, 0x84, 0x8D, 0xD1, 
    0x92, 0x45, 0x4C, 0x06, 0xAB, 0x5C, 0x98, 0x16, 
    0x69, 0x6D, 0xB0, 0xFD, 0xE3, 0xB1, 0x30, 0xFB, 
    0xD3, 0x2F, 0x5C, 0x92, 0x0C, 0xB4, 0x1B, 0x2E, 
};

__int64 __fastcall dec2(unsigned int* input, int n, const unsigned int* key)  
{
    int e; 
    int rounds; 
    unsigned int p; 
    unsigned int delta;
    unsigned int z; 
    unsigned int y;

    rounds = 52 / n + 6;
    unsigned int sum;
    delta = 559038737; 
    sum = 0 - delta * rounds; 
    y = input[0];
    do
    {
        e = (sum >> 2) & 3;
        for (p = n - 1; p > 0; p--)
        {
            z = input[p - 1];
            y = input[p] -= (((z ^ key[e ^ p & 3]) + (y ^ sum)) ^ (((4 * z) ^ (y >> 3)) + ((8 * y) ^ (z >> 5))));
        }
        z = input[n - 1];
        y = input[0] -= (((z ^ key[e ^ p & 3]) + (y ^ sum)) ^ (((4 * z) ^ (y >> 3)) + ((8 * y) ^ (z >> 5))));
        sum += delta;

    } while (--rounds);
    return rounds;
}

int main() {

    unsigned char key[] = "meow~meow~tea~~~";
    dec2((unsigned int*)secrets, 12, (const unsigned int*)key); 
    for (int x = 0; x < 48; x++) {
        printf("%c", secrets[x]); 
    }
    return 0;
}

011vm

ollvm平坦化,可以用d810,去一下混淆,效果也不是很好,主要就是猜。
在main函数中可以跟踪一下输入的变量,发现进入了一个函数,查看这个函数,里面有三个128位个字符,里面又发现一个函数,发现这个函数的内容有点像tea加密,对比一下原tea加密代码,好像没有魔改,于是我们把数据提取出来,因为没有发现其他的字符为密钥,推测密钥就在那三个长字符中,刚好满足tea的加密数据格式(4个32位的密钥,和偶数个32位的加密数据),直接进行解密就可以得到结果。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
#include <stdio.h>
#include <stdint.h>

void encrypt(uint32_t* v, uint32_t* k) {
	uint32_t v0 = v[0], v1 = v[1], sum = 0, i;
	uint32_t delta = 0x9e3779b9;
	uint32_t k0 = k[0], k1 = k[1], k2 = k[2], k3 = k[3];

	for (i = 0; i < 32; i++) {
		sum += delta;
		v0 += ((v1 << 4) + k0) ^ (v1 + sum) ^ ((v1 >> 5) + k1);
		v1 += ((v0 << 4) + k2) ^ (v0 + sum) ^ ((v0 >> 5) + k3);
	}
	v[0] = v0; v[1] = v1;
}
void decrypt(uint32_t* v, uint32_t* k) {
	uint32_t v0 = v[0], v1 = v[1], sum = 0xC6EF3720, i;	
	uint32_t delta = 0x9e3779b9;
	uint32_t k0 = k[0], k1 = k[1], k2 = k[2], k3 = k[3];

	for (i = 0; i < 32; i++) {
		v1 -= ((v0 << 4) + k2) ^ (v0 + sum) ^ ((v0 >> 5) + k3);
		v0 -= ((v1 << 4) + k0) ^ (v1 + sum) ^ ((v1 >> 5) + k1);
		sum -= delta;
	}
	v[0] = v0; v[1] = v1;
}

int main()
{
	unsigned char k[] = {
	0x14, 0x13, 0x12, 0x11, 0x25, 0x24, 0x23, 0x22, 0x36, 0x35,
	0x34, 0x33, 0x44, 0x43, 0x42, 0x41
	};
	unsigned char v[] =
	{
	  0x28, 0x7E, 0xB9, 0x38, 0xC1, 0x10, 0xE5, 0xB7, 0xAE, 0x9F,
	  0xB2, 0xB4, 0xD7, 0xBB, 0x93, 0x55, 0x9E, 0x9B, 0x2E, 0x3C,
	  0x37, 0xC6, 0x71, 0x16, 0xB5, 0x8C, 0x3A, 0x8F, 0x15, 0xE5,
	  0x16, 0x51
	};
	for (int i = 0; i < 8; i += 2) {
		decrypt(((uint32_t*)v + i), (uint32_t*)k);
	}
	printf("%s", v);

	return 0;
}

PangBai 过家家(3)


用pyinstxtractor进行解包exe文件,再用pycdc提取NotNormalExe.pyc文件,发现代码逻辑不完整并有提示WARNING: Decompyle incomplete,可能是编译不了,于是想到去查看字节码,找ai帮我写了一个用pythondis库查看字节码的脚本(脚本1),看不懂py的字节码,于是丢给ai让它帮我反汇编成代码,这下看到了源码就是完整的了,加密逻辑比较简单就是普通的异或,直接写出脚本就可以解密成功了(脚本2)。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# 脚本1
import marshal
import dis
import os


def disassemble_pyc(file_path):
    with open(file_path, 'rb') as f:
        f.read(16)
        code_obj = marshal.load(f)
        dis.dis(code_obj)

pyc_file = r'D:\Userdata\download\pycdc\NotNormalExe.pyc'
disassemble_pyc(pyc_file)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
脚本2
from pwn import xor

enc = [40, 9, 22, 52, 15, 56, 66, 71, 111, 121, 90, 33, 18, 40, 3, 13, 80, 28, 65, 68, 83, 88, 34, 86, 5, 12, 35, 82, 67, 3, 17, 79]
key = "NewStar2024"
for x in range(len(enc)):
    enc[x] ^= ord(key[x % len(key)])

flag = ""

for x in enc:
    re = x.to_bytes(1, "big")
    flag += re.decode('utf-8')
print(flag)

Web

Include Me

Php伪协议,发现很多东西都被过滤了,查了资料看到data协议没有被过滤,至于执行命令可以用base64编码,想用<?php system(“ls /“);>查看目录但发现=被过滤了,所以尝试在base64编码下不含等号的命令。
注意到flag被过滤了,推测flag的文件名就是flag,就尝试直接cat /flag,构造<?php system(“cat /flag”);>,刚好编码后又没有含有=,直接执行,http://eci-2ze4q7yfeafl0jdgf4b6.cloudeci1.ichunqiu.com/?me=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgL2ZsYWciKTs+

臭皮的计算机

在源码中看到了python源码,发现了eval()函数,想到传入命令给eval执行,但是字母被过滤了,寻找只有数字的表示方法。
查询资料了解到八进制的转译符是\不包含字母,于是用八进制传入命令,用os.system()函数来执行Linux系统命令.
先用ls /看看目录,输入

1
\157\163\56\163\171\163\164\145\155\50\47\154\163 /\47\51

发现flag文件,直接cat /flag,传入

1
\157\163\56\163\171\163\164\145\155\50\47\143\141\164\40\57\146\154\141\147\47\51