安恒二月月赛部分WP

两题学了一点骚操作 简单记录一下

REVERSE

0x00 SimpleRev

这题主要是文件的修复 但不修也行 因为里面的代码逻辑还是比较简单的

查看文件是个ELF文件 尝试用Linux虚拟机打开 出现了段错误的提示 用ida打开查看

发现有错误 显示sp-analysis failed


能看到上面sub rsp 0下面add rsp 8 不平衡 错误点在这里
所以用ida的patch功能修改字节
不修改也行 直接去看内部代码逻辑

unsigned __int64 Decry()
{
  char v1; 
  int v2; 
  int v3; 
  int i; 
  int v5; 
  char src[8]; 
  __int64 v7; 
  int v8; 
  __int64 v9;
  __int64 v10; 
  int v11; 
  unsigned __int64 v12; 

  v12 = __readfsqword(0x28u);
  *(_QWORD *)src = 'SLCDN';
  v7 = 0LL;
  v8 = 0;
  v9 = 'wodah';
  v10 = 0LL;
  v11 = 0;
  text = join(key3, (const char *)&v9);         // join函数的作用是拼接 text='killshadow'
  strcpy(key, key1);                            // 把key1 'ADSFK' 复制到key
  strcat(key, src);                             // 把'SLCDN'反着接到后面 最后的key='ADSFKNDCLS'
  v2 = 0;
  v3 = 0;
  getchar();
  v5 = strlen(key);
  for ( i = 0; i < v5; ++i )                    // 这段 大写转换成小写
  {
    if ( key[v3 % v5] > '@' && key[v3 % v5] <= 'Z' )
      key[i] = key[v3 % v5] + 32;
    ++v3;
  }
  printf("Please input your flag:", src);       // src是输入的flag
  while ( 1 )
  {
    v1 = getchar();
    if ( v1 == 10 )
      break;
    if ( v1 == 32 )
    {
      ++v2;
    }
    else
    {
      if ( v1 <= '`' || v1 > 'z' )
      {
        if ( v1 > '@' && v1 <= 'Z' )
          str2[v2] = (v1 - 39 - key[v3++ % v5] + 97) % 26 + 97;// 这段加密可以用暴力匹配得到flag
      }
      else
      {
        str2[v2] = (v1 - 39 - key[v3++ % v5] + 97) % 26 + 97;
      }
      if ( !(v3 % v5) )
        putchar(32);
      ++v2;
    }
  }
  if ( !strcmp(text, str2) ) //把得到的和text 'killshadow' 比较
    puts("Congratulation!\n");
  else
    puts("Try again!\n");
  return __readfsqword(0x28u) ^ v12;
}

逻辑过程注释里写明白了
下面是简单的解密代码

a='killshadow'
key='adsfkndcls'
v5=len(key)
v3=0
out=''
for i in range(v5):
    for v1 in range(0x41,0x80):
        if ((v1 - 39 - ord(key[v3% v5]) + 97) % 26 + 97 )==ord(a[v3]):
            out+=chr(v1)
            v3+=1
            break
print out

最后的flag是 ‘KLDQCUDFZO’

修改堆栈

显示堆栈指针
Stack Pointer (option->General->Disassembly选中stack pointer)

能看到 程序故意写了一条 add esp,1Eh 其实这条不会执行，但是ida不知道也把它分析了，更改了栈顶esp的值 导致最后esp的值是 -1Eh

所以解决方法有两个

1. 在add那条汇编那里 右键 change stack pointer
   
   把difference between old and new 那里改成0， 就是相当于add那句不会改变esp
2. 直接把add 改成 add 0h.

0x01 GAesDecode

整体上不难 是一道AES加密的变形 只需要对AES解密脚本进行一点点微小的变形即可

用jeb打开进入主要函数

protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        this.setContentView(2131296283);
        this.findViewById(2131165311).setOnClickListener(new View$OnClickListener() {
            public void onClick(View view) {
                try {
                    String v3 = MainActivity.encrypt(this.val$plainTextView.getText().toString(), "This is a AES-like encryption algorithm. However, we do some change. Therefore, you cannot directly use security class to decrypt the message. Our challenge is to find the plain text of this encrypt message with th fixed key. ")
                            .equals("kNk3Qz+l/kLpGuKxf5iGE9cOoTmmn9Ac+UdF4b2CHqU=") ? "Congratulation! Correct Flag!"
                             : "Incorrect Flag!";
                    new Builder(MainActivity.this).setMessage(((CharSequence)v3)).setPositiveButton(
                            "OK", null).show();
                }
                catch(Exception v0) {
                    v0.printStackTrace();
                }
            }
        });
    }

提示里也说了 是一个变形的AES加密

key是 'This is a AES-like encryption algorithm. However, we do some change. Therefore, you cannot directly use security class to decrypt the message. Our challenge is to find the plain text of this encrypt message with th fixed key. '

然后加密后的和 kNk3Qz+l/kLpGuKxf5iGE9cOoTmmn9Ac+UdF4b2CHqU= 比较

所以只需要去和网上的加密代码进行比较就行

这题和2018XCTF冬令营的结课考核题差不多

2018XCTF哈尔滨冬令营结营赛DecodeMe-Writeup

列变化的时候0x1b->0x1d