32位无壳
堆栈有问题
先修堆栈在反编译
查看关键函数
对输入的字符串进行了加密
加密之后omg函数中与存储的字符串进行比较
我们先解密这个
提取数据
解密脚本
data=[0x66,0x6b,0x63,0x64,0x7f,0x61,0x67,0x64,0x3b,0x56,0x6b,0x61,0x7b,0x26,0x3b,0x50,0x63,0x5f,0x4d,0x5a,0x71,0x0c,0x37,0x66] flag="" for i in range(len(data)): if(i&1): flag+=chr(data[i]+i) else: flag+=chr(data[i]^i) print(flag)
flag{fak3_alw35_sp_me!!}
是假flag
这个循环是一个代码自修改(SMC)
就是执行了这一段循环,才能还原出encrypt代码数据
首先encrypt存在堆栈问题
实用OD,断点打在这里
输入刚才的假flag就能成功运行到这里
函数已经解密完成
然后dump文件
重新用IDA打开dump后的文件
重新用IDA加载dump后的文件,进入到了encrypt函数
解密,这个函数只与flag的前19位进行了加密,解密得到flag的前半段
data=[0x0e,0x0d,0x09,0x06,0x13,0x05,0x58,0x56,0x3e,0x06,0x0c,0x3c,0x1f,0x57,0x14,0x6b,0x57,0x59,0x0d] str="hahahaha_do_you_find_me?" flag="" for i in range(len(data)): flag+=chr(data[i]^ord(str[i])) print(flag)
flag{d07abccf8a410c
观察最后的finally函数查看最后的部分
我们猜测最后的密文':',是'}'与某个值异或的结果
其他四位也是与这个数异或的得到的
a=ord(':')^ord('}') str="%tp&:" flag2="" flag1="flag{d07abccf8a410c" for i in range(len(str)): flag2+=chr(ord(str[i])^a) print(flag1+flag2)
flag{d07abccf8a410cb37a}
![BUUCTF-[2019红帽杯]easyRE(Reverse逆向)](https://ucc.alicdn.com/wqoym6gdk4gnc/developer-article1645691/20241217/45c8afd3ba6d47d18c578c59d032a7b5.png?x-oss-process=image/format,webp/resize,h_160,m_lfit)
![BUUCTF-[GUET-CTF2019]re(Reverse逆向)](https://ucc.alicdn.com/wqoym6gdk4gnc/developer-article1645688/20241217/96cd1a90cc1c4783b134fbd522690a2a.png?x-oss-process=image/format,webp/resize,h_160,m_lfit)