MOCTF_REVERSE_WRITEUP

0x01 SOEASY

下载文件用file查看发现是PE 32+位的文件

文件1

使用ida32位打开，提示使用64位打开。
打开后按shift+F12查找字符串，使用查找字符串输入flag得到flag

flag1

0x02 跳跳跳

下载程序运行下看下。

文件2

输入对6次才能获得flag。使用OD运行。

OD

查找字符串。

字符串

发现有6次跳转，查找6次的关键跳位置，使用nop进行二进制填充。

nop填充

保存为新文件，运行得到flag。

flag2

0x03 暗恋的苦恼

查看题目获得：
密文为：QWDRILDWNTW
密匙为：ilovemoctf

题目

使用ida打开程序查找加密函数位置。

加密函数

进入后获得两段加密函数。

第一段加密函数

第二段加密函数

随意整理下可以得到

a1 = 明文;
a2 = ilovemoctf;
v7 = strlen(a1);
v6 = strlen(a2); //10
v4 = 0
v3 = operator new(0xFFu);
for (i = 0; i< v7; ++i)
{
    if (v4 == v6)
        v4 = 0;
    //v3[i] = sub_401005(a1[i],a2[v4++]);
    {
    v4 = toupper(a1[i]);
    v5 = toupper(a2[v4++]);
    if (v4 == 32)//32是空格
        return v4;
    for (i = 0; i<v4-65; ++i)//A=65 Z=90
        ++v5; //密钥+位
        if (v5 > 90) 
            result = v5 -25
        else
            result = v5;
        return result;
    }
v3[i] = 0;
return v3;

根据对应的加密方法写python脚本来暴力猜解明文，加密器中有个空格的判断因为我们得到的密文中没有空格所以脚本中关于空格的判断就没有写了。

#! /usr/bin/python
# coding:utf - 8

"""
autho:czy
"""
#因为加密器会转化成大写 我这里就直接填入大写了
T_text = "ABCDEFGHIJKLMNOPQRSTUVWXZY"
C_text = "QWDRILDWNTW"
K_text = "ILOVEMOCTF"
P_text = ""

#打印出密文相等对应的明文
def pt_print(Text):
    global P_text
    P_text += Text
    print(P_text)
        
def main():
    #获得密文长度进行循环，获得每一个密文，获得每一个密匙，超过最后一位从第一位取
    for i in range(len(C_text)):
        C_ascii = ord(C_text[i])
        K_ascii = ord(K_text[i%len(K_text)])
        #把每个大写字母带入通过公式计算每个字母对应的密文 密文=密匙+明文-65
        for j in range(len(T_text)):
            C_temp = K_ascii + ord(T_text[j]) - 65
            #判断密文ascii码是否大于90，根据加密器大于90的减去25，不大于的不减
            if C_temp > 90:
                C_temp = C_temp - 25
                #判断计算出的密文和我们知道的密文是否相等
                if C_temp == C_ascii:
                    pt_print(T_text[j])
            else:
                if C_temp == C_ascii:
                    pt_print(T_text[j])

if __name__ == '__main__':
    main()

还是不要把结果告诉小米的好，可怜的小米。

flag3

0x04 crackme1

下载判断文件类型为PE 32位。

32位

使用ida32位打开文件，并查找到main函数，利用F5查看伪代码得到：

crackme1

将这段代码使用python还原计算公式。

a = "2410488"
c = ""

for i in range(len(a)):
    c = ((2 * ord(a[i]) -96) / 4 + 3) % 10 #因为C在字符串带入计算的时候会转化为ascii，所以这里使用ord()而并非int()
    print(c)

得到flag4

flag4

0x05 crackme2

下载判断文件类型为PE 32位。

32位

使用ida32位打开程序，查看main函数。

查看main函数

从主函数看出v3与10<1<>;?8:%w!##&#q./,x(,((进行了一个异或计算

!strcmp(v3,"10<1<>;?8:%w!##&#q./,x(,((")

v3的值是字符串v4的每一位

for (i=0; i<strlen(v4);i++)
    v3[i] = sub_4010CD(v4[i])

查看sub_4010CD发现放回于301570。

4010CD

继续查看401570发现是dword_475DC0并且自加++与al寄存器的值进行异或，这里的异或是来自10<1<>;?8:%w!##&#q./,x

475DC0

继续查看dword_475DC0发现其值为6

475DC0

可以使用python写脚本了。

v4 = 6
s = "10<1<>;?8:%w!##&#q./,x(,(("
result = ""

for i in range(len(s)):
    #c会将字符串转化为ascii进行计算所以使用ord()
    result_temp = ord(s[i])^v4
    v4 += 1
    #计算完之后应该转化为字符串
    result += chr(result_temp)
    print(result)

运行结果如下：

结果

最后答案还需使用16进行字符串转化一下：

16进制转化