BUU_RE學習記錄

CPYQY發表於2022-12-18

一、easyre

1.010開啟,直接搜flag,得到flag

image

二、reverse1

1.先查殼,得知是64位無殼,直接用IDA開啟

image

2.shiftF12查詢字串,發現關鍵語句

image

3.檢視相應程式碼,F5反編譯

image

4.發現關鍵的比較函式,看一下分別比較的字串

image

5.發現是輸入的str1和程式中的str2({hello_world})相比較,那麼flag就是{hello_world}

image

三.reverse2

1.查殼,64位,非exe

image

2.IDA開啟,shift12發現關鍵語段

image

3.找到對應的函式,發現是一個將flag和輸入的字串進行對比

image

4.程式碼表現出了flag的加密過程,但是根據程式碼的判斷應該會存在一個原flag字串,回去查詢字串,發現了一個特殊意義的str

image

5.之前提到的flag加密程式碼的含義就是逐個遍歷flag的字元,如果字元為i或者r,那就把它改為1。直接寫個指令碼跑一下(或者可直接手動)。

點選檢視程式碼
#include <iostream>
#include <stdlib.h>
#include <stdio.h>

int main() {
    int i = 0;
    char flag[] = "hacking_for_fun}";
    for (i = 0; i <= 15; ++i)
    {
        if (flag[i] == 'i' || flag[i] == 'r')
            flag[i] = '1';
    }
    printf("%s", flag);
	return 0;
}

6.得到flag

flag{hack1ng_fo1_fun}

四.內涵的軟體

1.查殼,無殼,IDA(非64位)開啟,進入main函式,進入main_0函式

image

2.找到一串字串,就是flag(改一下前面的頭)

image

flag{49d3c93df25caad81232130f3d2ebfad}

五、新年快樂

1.查殼,發現是UPX

image

2.使用UPXshell解壓縮去殼

image

3.IDA(非32位)開啟,找到main函式,發現關鍵語句

image

4.根據比較函式發現,str2就是flag的正確形式,再看str2的來源,是使用了strcpy函式,那麼flag就是HappyNewYear!

flag{HappyNewYear!}

六、xor

1.查殼,發現是64位無殼,使用IDA開啟,找到main函式

image

2.程式碼的意思就是將首先判斷長度是否為33,不是就failed,然後如果長度正確,就使用for迴圈由後一個異或前一個。找到原來的字串

image

3.寫個指令碼,利用異或的特點,得到flag(需要注意到的是有一些字元本身就是ASCII碼,不能再將其轉為ASCII碼,否則會異或出錯)

點選檢視程式碼
s = ['f','10','k','12','w','&','O','.','@','17','x','13','Z',';','U','17','p','25','F','31','v','"','M','#','D','14','g','6','h','15','G','2','O','0']
ls = []
for i in range(0,len(s)):
    if len(s[i]) > 1 or s[i] == '6' or s[i] == '0':
        ls.append(int(s[i]))
    else:
        ls.append(ord(s[i]))
for i in range(1,33):
    print(chr(ls[i] ^ ls[i - 1]),end = '')

4.得到flag(直接異或得到的字串前面少一個f)

flag{QianQiuWanDai_YiTongJiangHu}

七、helloword

1.得到一個apk檔案,使用IDA開啟,注意選擇APK

image

2.shiftF12搜尋字串,發現flag

image

flag{7631a988259a00816deda84afb29430a}

八、reverse3

1.查殼,無殼,使用IDA(非64)開啟

image

2.shift12搜尋字串,看到了base64和加密表以及關鍵詞flag

image

3.追蹤找到關鍵函式

image

4.關鍵函式程式碼審計一下,簡單來說就是先將輸入的str經過base64加密然後逐位與0123...相加,然後與str2進行比較,str2可以直接找到。直接寫指令碼逆回去

點選檢視程式碼
str = "e3nifIH9b_C@n@dH"
s = list(str)
ls = ''
for i in range(len(s)):
    ls += chr(ord(s[i]) - i)

print(base64.b64decode(ls))

image

5.執行後得到flag

flag{i_l0ve_you}

image

九、不一樣的flag

1.查殼,無殼,使用IDA(非64)開啟,shiftF12查詢字串

image

2.發現一串01串,覺得像迷宮題,進入到函式

image

3.果然是迷宮題,根據最後的輸出語句可以得知flag就是走出迷宮的1234選擇,根據exit()函式可以得知遇到1就退出,那就是從頭走到尾同時只走0

image

4.01串一共是25個字元,那就是5x5的矩陣

image

5.直接目測,得到flag

222441144222

十、SimpleRev

1.查殼,無殼,使用IDA(64位)開啟

image

2.shiftF12發現關鍵語句

image

3.找到關鍵的程式函式main函式中的Decry()函式

點選檢視程式碼
unsigned __int64 Decry()
{
  char v1; // [rsp+Fh] [rbp-51h]
  int v2; // [rsp+10h] [rbp-50h]
  int v3; // [rsp+14h] [rbp-4Ch]
  int i; // [rsp+18h] [rbp-48h]
  int v5; // [rsp+1Ch] [rbp-44h]
  char src[8]; // [rsp+20h] [rbp-40h] BYREF
  __int64 v7; // [rsp+28h] [rbp-38h]
  int v8; // [rsp+30h] [rbp-30h]
  __int64 v9[2]; // [rsp+40h] [rbp-20h] BYREF
  int v10; // [rsp+50h] [rbp-10h]
  unsigned __int64 v11; // [rsp+58h] [rbp-8h]

  v11 = __readfsqword(0x28u);
  *(_QWORD *)src = 0x534C43444ELL;
  v7 = 0LL;
  v8 = 0;
  v9[0] = 0x776F646168LL;
  v9[1] = 0LL;
  v10 = 0;
  text = (char *)join(key3, v9);
  strcpy(key, key1);
  strcat(key, src);
  v2 = 0;
  v3 = 0;
  getchar();
  v5 = strlen(key);
  for ( i = 0; i < v5; ++i )
  {
    if ( key[v3 % v5] > 64 && key[v3 % v5] <= 90 )
      key[i] = key[v3 % v5] + 32;
    ++v3;
  }
  printf("Please input your flag:");
  while ( 1 )
  {
    v1 = getchar();
    if ( v1 == 10 )
      break;
    if ( v1 == 32 )
    {
      ++v2;
    }
    else
    {
      if ( v1 <= 96 || v1 > 122 )
      {
        if ( v1 > 64 && v1 <= 90 )
        {
          str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;
          ++v3;
        }
      }
      else
      {
        str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;
        ++v3;
      }
      if ( !(v3 % v5) )
        putchar(32);
      ++v2;
    }
  }
  if ( !strcmp(text, str2) )
    puts("Congratulation!\n");
  else
    puts("Try again!\n");
  return __readfsqword(0x28u) ^ v11;
}

4.程式碼審計,首先看比較函式,得知是將text和str2相比較,str2目前找不到相應的字串,text是由 join(key3, (const char *)v9);組成,key3追蹤可得是kills,v9在程式碼的前面部分,檢視十六進位制可以看出是大端序儲存的,但是在CPU和x86中一般為小端序儲存,那麼原本的字串就是IDA中轉為char後倒轉一下

image

5.所以src = NDCLS , v9 = hadow,再檢視join函式的原始碼,可以看出作用就是將key3和v9連線在一起

image

6.所以text=killshadow,接著向下,strcpy(key, key1),key1=ADSFK,將key1複製為key,key=key1=ADSFK;strcat(key, src),將key和src連線,key = ADSFKNDCLS;v5就是key的長度,為10,接下來for迴圈函式的作用就是判斷字元是否為大寫,如果為大寫就將其變為小寫

image

7.接下來就是主要的輸入字串處理,而最後與text對比的str2僅由一句話決定str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97,text已經知道了,直接寫指令碼跑一下

點選檢視程式碼
v3 = 0
key = 'adsfkndcls'
text = 'killshadow'
key = list(key)
text = list(text)
for i in range(10):
    for j in range(128):
        if (j < ord('A') or j > ord('Z')) or (j < ord('z') and j > ord('a')):
            continue
        if ((j - 39 - ord(key[v3 % 10]) + 97) % 26 + 97 == ord(text[i])):
            print(chr(j),end='');
            v3 += 1
            break

8.需要注意,因為原始碼中的key在與str2比較前,經過一個函式轉變全部為小寫字母,所以寫指令碼時使用的key也應是小寫字母

image

9.得到flag

KLDQCUDFZO