题目地址:https://buuoj.cn/challenges
0x01 easyre
拖入ida看代码,得到flag{this_Is_a_EaSyRe}
分析代码,如果局部变量分配没有失败,输入两个相等的整型数也是可以得到flag的
0x02 reverse1
文件打不开,拖入ida,shift+f12,搜索flag,跟进,交叉引用列表,f5来到源代码
前面str2的'o'换为‘0’,跟进str2为{hello_world},替换后{hell0_w0rld}
后面若输入的str1等于str2,提示这就是flag,flag{hell0_w0rld}
0x03 reverse2
拖入ida,来到关键代码,跟进&flag为 hacking_for_fun}
'i' 和 'r' 换为 '1' ,flag{hack1ng_fo1_fun}
0x04 helloword
拖入exeinfope发现为zip,改后缀名解压,一筹莫展
在kali里strings一波,提交flag{hello_world}显示错误,一筹莫展
拖入android killer反编译,发现flag{7631a988259a00816deda84afb29430a}
0x05 新年快乐
拖入peid查壳,upx壳,在kali里脱壳:upx -d 新年快乐.exe
再拖入ida看代码,得到flag{HappyNewYear!}
0x06 内涵的软件
拖入ida看代码,得到flag{49d3c93df25caad81232130f3d2ebfad}
0x07 xor
拖入ida看代码,分析,v6经异或运算得到global,所以只要将global反推回去就是flag
跟进,找到global
写脚本,得到flag{QianQiuWanDai_YiTongJiangHu}
0x08 reverse3
拖入ida看代码,str先经过sub_4110BE函数变为v1,再经过for函数变为Dest,跟进str2为'e3nifIH9b_C@n@dH'
跟进sub_4110BE函数,发现aAbcdefghijklmn[ ]数组变换,再跟进,发现原来是base64加密
先写脚本将Dest变回v1:e2lfbDB2ZV95b3V9
再base64解密得到flag{{i_l0ve_you}
0x09 不一样的flag
拖入ida看代码,1234对应上下左右,迷宫题,shift+f12找到迷宫
边界为‘1’,终点为'#'
走迷宫,flag{222441144222}
0x0A 刮开有奖
拖入ida看代码,string长度为8,v9到v19进行了转换
跟进sub_4010F0函数,带入数组运行代码,得到:3CEHJNSZagn
跟进sub_401000,再跟进byte_407830,发现v6v7进行了base64加密
string就是flag,第1位是转换后的v9+34='U',第2位是转换后的v13='J'
将v6,v7解密得到jMp,WP1,那3~8位对应位置是什么呢?
跟进发现v6对应6~8位,v7对应3~5位,所以flag{UJWP1jMp}
0x0B SimpleRev
拖入ida来到关键函数Decry,由23行知道text=killshadow,24 25行知道key=ADSFKNDCLS
由30~35行知道对key进行处理,由48~59行知道多次输入的v1若满足条件,就对str2进行处理,最后若str2与text相等则依次输入的字符v1就是flag
写脚本,得到flag{KLDQCUDFZO}
0x0C Java逆向解密
得到class文件,拖入jd-gui看java代码
8~14行代码:输入字符串str,带入Encrypt函数
20~22行代码:通过for循环对str进行或运算,存入Resultlist
24~27行代码:将数组KEY存入KEYList
30~31行代码:若Resultlist=KEYList,则输入的str正确
写脚本,得到flag{This_is_the_flag_!}
0x0D findit
拖入apkIDE,看到两组16进制数
分别转ascii得到:ThisIsTheFlagHome,pvkq{m164675262033l4m49lnp7p9mnk28k75}
凯撒解密得到flag{c164675262033b4c49bdf7f9cda28a75}
0x0E rsa
一个公钥,一个加密,改后缀名txt就能看到
用openssl解析公钥
模数(n):C0332C5C64AE47182F6C1C876D42336910545A58F7EEFEFC0BCAAF5AF341CCDD
指数(e):65537
将n转为10进制再解析,p=285960468890451637935629440372639283459
q=304008741604601924494328155975272418463
用rsatool生成私钥private.txt
用openssl解密,得到:flag{decrypt_256}
0x0F CrackRTF
总体思路:程序中输入两段字符串,若满足对应条件,就会生成一个含有flag的rtf文档
拖入ida看代码,第一部分,输入字符串长度为6,且大于100000(atoi函数是将字符串数字变为整型数字),猜测输入的是6个数字
第二部分,在输入后加上"@DBApp",再进入40100A函数处理后与
"6E32D0943418C2C33385BC35A1470250DD8923A9"进行比较,跟进发现是哈希加密,加密后字符串40位,猜测SHA1加密,写脚本爆破得到:123321@DBApp
第三部分,输入字符串长度为6,后面加上“123321@DBApp”,再经过401019函数处理后与
"27019e688a4e62a649fd99cadaafdb4e"进行对比,跟进发现是哈希加密,加密后字符串32位,猜测MD5加密,因为输入不一定是数字了,所以这里不能爆破
第四部分,跟进40100F,先找到“AAA”文件,再将“AAA”的数据与字符串传入401005函数进行处理,最后得到sbapp.rtf文件,跟进发现就是字符串与“AAA”数据循环异或
(其中v5是字符串长度,a3是“AAA”长度,a2是“AAA”的数据)
我们用ResourceHacker打开exe,找到"AAA"的数据
先搜索rtf文件格式,“{/rtf1/ansi/ansicpg936....”,然后我们将不能爆破的那6个字符异或出来,就是 “~!3a@0”
至此破解过程结束,打开程序输入字符串,找到rtf文件,得到:flag{N0_M0re_Free_Bugs}
0x11 [GUET-CTF2019]re
脱壳
看代码,输入为v4,如果4009AE返回非0,则就是flag
跟进,v4从前往后若满足if里的等式,就返回0
试着用WPS修改代码,写脚本,运行,得到:flagze65421110b0a3089a1c039337P
猜测flag{e65421110b0a3089a1c039337},提交失败。。
之后看别人的wp,才知道可能计算那里有误差,而且出题人漏了一个a[6]=49(也就是字符“1”)
用z3解出每个a[i]的值,z3安装教程:https://www.jianshu.com/p/c923cbfd67c5
运行算出a1[i]的值,加上a[6]=49,再转字符串,flag{e165421110ba03099a1c039337}
0x12 [SUCTF2019]SignIn
看代码,输入为v8,v8处理后传给v9。分别得到v4,v5,v7的值,v6的值由v9得来。
__gmpz_init_set_str(a,b,c)函数是指将b以c进制的方式存入a
跟进处理v8的函数,跟进byte_202010,这组数对应ascii的‘0’到‘f’,所以函数大概意思就是将字符串a1(v8)转为十六进制a2(v9)
__gmpz_powm(a,b,c,d)函数是指将b的c次方*mod(d)存于a。最后v6再与v7进行比较,联想到rsa加密
这里v7是密文,v5是e,v4是N,可以求得v6。先将N分解得到 p = 282164587459512124844245113950593348271 q = 366669102002966856876605669837014229419
脚本解密,v6=185534734614696481020381637136165435809958101675798337848243069
转为16进制,v9=0x73756374667b50776e5f405f68756e647265645f79656172737d
转为字符串就是v8,suctf{Pwn_@_hundred_years}
0x13 [GWCTF 2019]pyre
在线反编译,得到代码,从input1[0]到input[22]进行异或就能得到code
先将code转ascii码,再异或:
再逆运算,GWHT{Just_Re_1s_Ha66y!}
0x14 [2019红帽杯]easyRE
化简代码,如果input1长度为36,亦或后与栈上的数据对比
运行脚本,得到input1Info:The first four chars are `flag`
如果input2长度为39,进行10次400E4的函数处理(跟进后发现是base64加密),与字符串比较0x
解密10次,得到input2:https://bbs.pediy.com/thread-254172.htm,访问网址....(黑人问号??)
后来发现off_6CC090下面还有一个常量,由400D35调用
跟进400D35,对v3进行两次异或处理,第一次异或后就是v6,可以通过“flag”反推得到v6(包含4个字符)
第二次用一个数组与v6异或,跟进可以得到数组
化简代码
写脚本,得到v0:flag{Act1ve_Defen5e_Test}
0x15 [GXYCTF2019]luck_guy
输入lucky number,作为函数参数
输入为偶数才执行get_flag
四次随机取数,只有1,4,5才能输出flag,还要考虑顺序
s为f2赋值,for循环为f2处理,f1+f2就是flag了
得到flag{do_not_hate_me}
0x16 [BJDCTF2020]JustRE
来到关键代码,sprintf语句
aBjdDD2069a4579=“BJD{%d%d2069a45792d233ac}”,再将两个数字填入
最后SetWindowTextA弹框显示String,BJD{1999902069a45792d233ac}
0x17 [ACTF新生赛2020]easyre
upx脱壳,分析代码
flag的ascii码值减1为坐标,v4与_data_start__作比较,ACTF{U9X_1S_W6@T?}
0x18 [BJDCTF2020]easy
发现flag输出是在_ques函数(地址0x00401520),调试
修改EIP地址即可,flag{HACKIT4FUN}
0x19 [GWCTF 2019]xxor
input为v6(6个数字),每次对两个数字进行处理,跟进得unk_601060=[2,2,3,4],再进行一个if判断
先跟进sub_400770,要返回1才行
用z3算出v11[2],v11[3],v11[4]
再根据for循环的异或处理,逆算回去即可
flag{re_is_great!}
0x1A [ACTF新生赛2020]usualCrypt
跟进sub_401080,先执行sub_401000函数,byte_40E0AA和BASE64_table_40E0A0偏移为10,使base64的密钥表在一定范围的字符两两交换
再执行base64加密,最后sub_401030函数是大小写交换
写逆向脚本,运行,flag{bAse64_h2s_a_Surprise}
0x1B [WUSTCTF2020]level1