[2019红帽杯]easyRE

news2026/3/17 22:25:08

感谢 purecall 师傅提供题目~得到的 flag 请包上 flag{} 提交。下载后发现是个elf文件先查壳发现无壳后扔进IDA中分析先按f12查看字符串找到You found me发现了一堆字符串双击sub_4009c6进入字符串signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8 __int64 v5; // ST30_8 __int64 v6; // ST38_8 __int64 v7; // ST40_8 __int64 v8; // ST48_8 __int64 v9; // ST50_8 __int64 v10; // ST58_8 int i; // [rspCh] [rbp-114h] char v12; // [rsp60h] [rbp-C0h] char v13; // [rsp61h] [rbp-BFh] char v14; // [rsp62h] [rbp-BEh] char v15; // [rsp63h] [rbp-BDh] char v16; // [rsp64h] [rbp-BCh] char v17; // [rsp65h] [rbp-BBh] char v18; // [rsp66h] [rbp-BAh] char v19; // [rsp67h] [rbp-B9h] char v20; // [rsp68h] [rbp-B8h] char v21; // [rsp69h] [rbp-B7h] char v22; // [rsp6Ah] [rbp-B6h] char v23; // [rsp6Bh] [rbp-B5h] char v24; // [rsp6Ch] [rbp-B4h] char v25; // [rsp6Dh] [rbp-B3h] char v26; // [rsp6Eh] [rbp-B2h] char v27; // [rsp6Fh] [rbp-B1h] char v28; // [rsp70h] [rbp-B0h] char v29; // [rsp71h] [rbp-AFh] char v30; // [rsp72h] [rbp-AEh] char v31; // [rsp73h] [rbp-ADh] char v32; // [rsp74h] [rbp-ACh] char v33; // [rsp75h] [rbp-ABh] char v34; // [rsp76h] [rbp-AAh] char v35; // [rsp77h] [rbp-A9h] char v36; // [rsp78h] [rbp-A8h] char v37; // [rsp79h] [rbp-A7h] char v38; // [rsp7Ah] [rbp-A6h] char v39; // [rsp7Bh] [rbp-A5h] char v40; // [rsp7Ch] [rbp-A4h] char v41; // [rsp7Dh] [rbp-A3h] char v42; // [rsp7Eh] [rbp-A2h] char v43; // [rsp7Fh] [rbp-A1h] char v44; // [rsp80h] [rbp-A0h] char v45; // [rsp81h] [rbp-9Fh] char v46; // [rsp82h] [rbp-9Eh] char v47; // [rsp83h] [rbp-9Dh] char v48[32]; // [rsp90h] [rbp-90h] int v49; // [rspB0h] [rbp-70h] char v50; // [rspB4h] [rbp-6Ch] char v51; // [rspC0h] [rbp-60h] char v52; // [rspE7h] [rbp-39h] char v53; // [rsp100h] [rbp-20h] unsigned __int64 v54; // [rsp108h] [rbp-18h] v54 __readfsqword(0x28u); v12 73; v13 111; v14 100; v15 108; v16 62; v17 81; v18 110; v19 98; v20 40; v21 111; v22 99; v23 121; v24 127; v25 121; v26 46; v27 105; v28 127; v29 100; v30 96; v31 51; v32 119; v33 125; v34 119; v35 101; v36 107; v37 57; v38 123; v39 105; v40 121; v41 61; v42 126; v43 121; v44 76; v45 64; v46 69; v47 67; memset(v48, 0, sizeof(v48)); v49 0; v50 0; sub_4406E0(0LL, v48, 37LL); v50 0; if ( sub_424BA0(v48) 36 ) { for ( i 0; i (unsigned __int64)sub_424BA0(v48); i ) { if ( (unsigned __int8)(v48[i] ^ i) ! *(v12 i) ) { result 4294967294LL; goto LABEL_13; } } sub_410CC0(continue!); memset(v51, 0, 0x40uLL); v53 0; sub_4406E0(0LL, v51, 64LL); v52 0; if ( sub_424BA0(v51) 39 ) { v1 sub_400E44(v51); v2 sub_400E44(v1); v3 sub_400E44(v2); v4 sub_400E44(v3); v5 sub_400E44(v4); v6 sub_400E44(v5); v7 sub_400E44(v6); v8 sub_400E44(v7); v9 sub_400E44(v8); v10 sub_400E44(v9); if ( !(unsigned int)sub_400360(v10, off_6CC090) ) { sub_410CC0(You found me!!!); sub_410CC0(bye bye~); } result 0LL; } else { result 4294967293LL; } } else { result 0xFFFFFFFFLL; } LABEL_13: if ( __readfsqword(0x28u) ! v54 ) sub_444020(); return result; }我们这里可以直接编写一个脚本将加密的数据异或 segments [ IodlQnb(ocy, 127, y.i, 127, d3w}wek9{iy~yLEC ] v12 [] for seg in segments: if isinstance(seg, str): v12.extend(ord(c) for c in seg) else: v12.append(seg) v15 .join(chr(v12[i] ^ i) for i in range(len(v12))) print(v12的ASCII列表, v12) print(异或后的字符串, v15)结果是提供提示信息前四个字符是flag接着我们看这一段函数这里用了10次相同的函数函数作用是base64加密最后判断v11与off_6cc090是否相等双击off_6cc090查看其内容这里我们发现字符串就是这个我们进行10次base64加密即可然后我们得到一个网站https://bbs.pediy.com/thread-254172.htm 打开网站也没有什么有用的信息说明我们找的不对然后我们找到sub_400D35分析可以直接写脚本 byte_6cc0a0 [0x40,0x35,0x20,0x56,0x5d,0x18,0x22,0x45,0x17,0x2f,0x24,0x6e,0x62,0x3c,0x27,0x54,0x48,0x6c,0x24,0x6e,0x72,0x3c,0x32,0x45,0x5b] tmp [102,108,97,103] v1 [tmp[i] ^ byte_6cc0a0[i] for i in range(4)] flag .join(chr(byte_6cc0a0[i] ^ v1[i%4]) for i in range(25)) print(v1:, v1) print(flag:, flag)运行即可得到最终flag

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/2416655.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！