首发：【CrackMe】CTF题目-winodws逆向寻找flag

前言

这题目是命令行输入，OD关键位置时候有别于窗口程序，刚开始我是结合CE找到关键点。

程序下载地址：http://download.csdn.net/detail/dad9988/9899751
难度：★
使用工具：ollydbg吾爱破解专版
运行环境：windows 7 x64

程序截图

之前在一个ctf平台上下载题目。

错误提示

正确提示

验证方式

通过命令行输入flag，程序对输入信息进行加密运算后与存放在程序内的加密后数值进行比对。

分析过程

一般载入程序跑起来之后是用过E标签，跳转到程序领空，再寻找关键字符串信息。

但这是命令行程序，载入直接就在程序领空，查找字符串

很容易看到一串很可能是flag的东西，直接拿来输入试试看。

e3nifIH9b_C@n@dH

提示错误，并不是那么简单直接进行明文字符对比。

在提示输入flag的地方下断

 011B5758    68 747B1B01     push reverse_.011B7B74                   ; please enter the flag:

F8步下，随意输入123456回车继续F8步下

关键运算如下

011B578F    E8 2AB9FFFF     call reverse_.011B10BE                   ; //进行Base64编码
011B5794    83C4 0C         add esp,0xC
011B5797    50              push eax
011B5798    8D85 6CFFFFFF   lea eax,dword ptr ss:[ebp-0x94]
011B579E    50              push eax
011B579F    FF15 88B11B01   call dword ptr ds:[<&ucrtbased.strncpy>] ; ucrtbase.strncpy
011B57A5    83C4 0C         add esp,0xC
011B57A8    3BF4            cmp esi,esp
011B57AA    E8 78B9FFFF     call reverse_.011B1127
011B57AF    8D85 6CFFFFFF   lea eax,dword ptr ss:[ebp-0x94]
011B57B5    50              push eax
011B57B6    E8 0DB9FFFF     call reverse_.011B10C8
011B57BB    83C4 04         add esp,0x4
011B57BE    8985 60FFFFFF   mov dword ptr ss:[ebp-0xA0],eax
011B57C4    C785 54FFFFFF 0>mov dword ptr ss:[ebp-0xAC],0x0          ; //开始循环
011B57CE    EB 0F           jmp short reverse_.011B57DF
011B57D0    8B85 54FFFFFF   mov eax,dword ptr ss:[ebp-0xAC]
011B57D6    83C0 01         add eax,0x1                              ; 每次循环eax++
011B57D9    8985 54FFFFFF   mov dword ptr ss:[ebp-0xAC],eax
011B57DF    8B85 54FFFFFF   mov eax,dword ptr ss:[ebp-0xAC]
011B57E5    3B85 60FFFFFF   cmp eax,dword ptr ss:[ebp-0xA0]          ; 判断不超过字符串长度则继续
011B57EB    7D 23           jge short reverse_.011B5810
011B57ED    8B85 54FFFFFF   mov eax,dword ptr ss:[ebp-0xAC]
011B57F3    0FBE8C05 6CFFFF>movsx ecx,byte ptr ss:[ebp+eax-0x94]     ; 每次取一位字符串的hex+eax
011B57FB    038D 54FFFFFF   add ecx,dword ptr ss:[ebp-0xAC]
011B5801    8B95 54FFFFFF   mov edx,dword ptr ss:[ebp-0xAC]
011B5807    888C15 6CFFFFFF mov byte ptr ss:[ebp+edx-0x94],cl        ; 重新赋值给 字符串[eax]
011B580E  ^ EB C0           jmp short reverse_.011B57D0
011B5810    8D85 6CFFFFFF   lea eax,dword ptr ss:[ebp-0x94]
011B5816    50              push eax

最后在这里进行判断

011B581C    83C4 04         add esp,0x4
011B581F    8BF4            mov esi,esp
011B5821    50              push eax
011B5822    68 34A01B01     push reverse_.011BA034                   ; e3nifIH9b_C@n@dH
011B5827    8D8D 6CFFFFFF   lea ecx,dword ptr ss:[ebp-0x94]
011B582D    51              push ecx
011B582E    FF15 84B11B01   call dword ptr ds:[<&ucrtbased.strncmp>] ; ucrtbase.strncmp
011B5834    83C4 0C         add esp,0xC
011B5837    3BF4            cmp esi,esp

关于strncmp的解释

strncmp
int strncmp ( const char * str1, const char * str2, size_t n );
【参数】str1, str2 为需要比较的两个字符串，n为要比较的字符的数目。
【返回值】若str1与str2的前n个字符相同，则返回0；若s1大于s2，则返回大于0的值；若s1 若小于s2，则返回小于0的值。

爆破关键点

011B5837    3BF4            cmp esi,esp
011B5839    E8 E9B8FFFF     call reverse_.011B1127
011B583E    85C0            test eax,eax
011B5840    74 0F           je short reverse_.011B5851               ; //爆破关键点
011B5842    68 947B1B01     push reverse_.011B7B94                   ; wrong flag!\n
011B5847    E8 E3BAFFFF     call reverse_.011B132F
011B584C    83C4 04         add esp,0x4
011B584F    EB 0D           jmp short reverse_.011B585E
011B5851    68 4C7C1B01     push reverse_.011B7C4C                   ; rigth flag!\n
011B5856    E8 D4BAFFFF     call reverse_.011B132F
011B585B    83C4 04         add esp,0x4

解题代码

从上面的分析得出，该题通俗点说就是把输入的字符串进行 Base64编码，根据编码后的长度对编码后的字符串进行逐位加增加。
增加规则为 第0位+0x00 第1位+0x01 ..... 第N位+0x0N
最后对比的字符串为

e3nifIH9b_C@n@dH

python代码

#coding=utf-8
import binascii,base64

strA = 'e3nifIH9b_C@n@dH'
strB = ''
for num in range(0,len(strA)):
    strB = strB + chr(int(binascii.b2a_hex(strA[num]),16) - num)
print base64.b64decode(strB)

运行结果

flag是：

{i_l0ve_you}

测试是否正确

总结

加密后的flag不是很长，有耐心的同学直接用calc计算也可以争取的结果，flag是表白么？如果做题的是妹子感觉也是很不错的。PS:别做梦了，妹子会玩windows逆向么？/滑稽脸