2018/11/28-LCTF-easyre
Posted fingerprint
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2018/11/28-LCTF-easyre相关的知识,希望对你有一定的参考价值。
题目链接:https://pan.baidu.com/s/1whGqn75JvrO82XpIc2TyMg
提取码:q3nl
首先程序对输入的数据构建二叉树,节点的结构体:
程序使用递归的方式构建二叉树,比节点大的数据作为右孩子,比节点小的数据作为左孩子,构建完成后如果中序遍历二叉树,升序排列。
接着sub_4017DD函数对二叉树进行先序遍历。
接着将遍历节点值存放的数组传进sub_401D6E函数中。
接着分析sub_401D6E函数。
sub_4018F0是DES加密,密钥可以找到是"fa1conn",DES加密过程:明文64位->初始置换IP->轮加密变换->逆初始变换IP-1->密文。可以根据初始置换IP,初始逆置换IP-1,选择置换PC-1,选择置换PC-2四个常量表,以及16加密变换的for循环来识别是DES加密。
sub_40195A里面是一个三重循环,是将DES加密后的前36个数据与dword_408020数组存的36个数据当矩阵相乘得到一个6*6的矩阵。
sub_401A24是将得到的矩阵数据与dword_40B6D0数组中的数据比较,比较完矩阵的36位数据后,再比较DES加密后的最后四位的值。
这样我们就可以用python写出脚本进行矩阵逆运算,再进行DES解密,运行即可得到先序遍历的结果"LC-+)[email protected]{the^VYXZfislrvxyz}"。
from numpy import * from Crypto.Cipher import DES A = [[0x17, 0x41, 0x18, 0x4E, 0x2B, 0x38], [0x3B, 0x43, 0x15, 0x2B, 0x2D, 0x4C], [0x17, 0x36, 0x4C, 0x0C, 0x41, 0x2B], [0x59, 0x28, 0x20, 0x43, 0x49, 0x39], [0x17, 0x2D, 0x1F, 0x36, 0x1F, 0x34], [0x0D, 0x18, 0x36, 0x41, 0x22, 0x18]] mA = matrix(A) B = [[0x0AA92, 0x0C006, 0x0A815, 0x0C920, 0x0D095, 0x0CAD1], [0x7004, 0x9B3C, 0x68A1, 0x0A2C1, 0x8B5B, 0x9EB5], [0x7E37, 0x7AA2, 0x4F95, 0x0A344, 0x82AC, 0x8C00], [0x432B, 0x71F7, 0x732D, 0x6E76, 0x70A1, 0x6F34], [0x0B465, 0x0E401, 0x0AF37, 0x0DAD2, 0x0DF89, 0x0ECFA], [0x657D, 0x6838, 0x5FCE, 0x977C, 0x71F4, 0x759E]] mB = matrix(B) mX = mB * mA.I X = matrix.tolist(mX) cipher = ‘‘ for i in range(6): for j in range(6): X[i][j] = int(round(X[i][j])) cipher += hex(X[i][j])[2:].zfill(2) cipher += ‘733CF57C‘ cipher = cipher.decode(‘hex‘) key = ‘fa1connx00‘ des = DES.new(key, DES.MODE_ECB) plain = des.decrypt(cipher) print(plain)
接着sub_401ACC确认flag前十八位的值,恢复后得到flag前十八位为”LCTF{this-RevlrSE=“
str = "LC-+)[email protected]{the^VYXZfislrvxyz}" arr = [0,1,14,12,17,18,19,27,28,2,15,20,31,29,30,16,13,5] for i in arr: print(str[i],end="")
接着又对二叉树进行后序遍历,然后调用sub_4021DE函数。
分析sub_4021DE函数。
sub_401D90函数中将flag中每个字符的ascii值的和作为srand()的种子,然后将401E79地址开始的值与rand()异或。
但是不能直接对程序的401E79处的值写脚本进行解密。
因为需要注意的是这只是第二段smc,在开始的时候是存在反调试的,并且反调试和第一段smc有关。也就是说两段smc正确处理后,才能得到正确的自解密函数。
我们选择patch掉程序中进程名,然后运行程序让第一段smc正确解密,我们当前程序从dump下来得到正确的第一段smc数据,然后写IDApython解密smc函数。
#rand()值 arr = [0x9B,0xBC,0x70,0x3A,0x99,0xF4,0x68,0xB0,0x5F,0x6F,0xDB,0xF1,0xD,0x53,0xA0,0x8C,0xC5,0xCE,0x83,0x25,0x6D,0xC0,0x33,0xC7,0xB0,0xB4,0x5C,0x7C,0x46,0x15,0x10,0x1B,0x76,0x9F,0x6B,0x62,0xD9,0x13,0x77,0x44,0x60,0x2F,0x4D,0x84,0x98,0xDD,0x7D,0x83,0x2D,0xAB,0xB0,0x57,0xAE,0x7B,0x8C,0x1C,0x8F,0x7B,0xD8,0x8F,0x74,0x58,0xE1,0xD9,0xAD,0xAF,0x1C,0xA8,0xFC,0xC5,0xC,0x84,0x9F,0x77,0x66,0x61,0x8A,0x74,0x74,0x70,0xF5,0xA9,0xB7,0x3B,0x16,0xFD,0xD0,0xF1,0x30,0x3F,0xA1,0xFE,0xCC,0x5C,0xAF,0xDF,0x46,0xD6,0xCA,0x35,0x8C,0x71,0xF1,0x18,0x23,0x30,0x70,0xAD,0x6B,0x7F,0x4B,0xFB,0x23,0xB2,0xDF,0xFA,0x2F,0xAE,0xC7] address = 0x401E79 i =0 while(i <= 118): a = Byte(address + i) ^ arr[i] PatchByte(address + i,a) i = i + 1
接着处理一下即可对自解密函数进行反编译。
我们写出脚本可以得到flag后序遍历为”)[email protected]=-EFCSRXZYV^ferlsihzyxvt}{TL“。
arr = [0x7c,0x81,0x61,0x99,0x67,0x9b,0x14,0xea,0x68,0x87,0x10,0xec,0x16,0xf9,0x7,0xf2,0xf,0xf3,0x3,0xf4,0x33,0xcf,0x27,0xc6,0x26,0xc3,0x3d,0xd0,0x2c,0xd2,0x23,0xde,0x28,0xd1,0x1,0xe6] for i in range(36): for j in range(0,7,2): arr[i] ^= 1 << (j + i % 2) print(‘‘.join(map(chr,arr)))
函数 sub_401F3C()即确认flag后18位的顺序,我们进行恢复可以得到后十八位为”=^[email protected]+)fAxyzXZ234}“
然后flag即为”LCTF{this-RevlrSE=^[email protected]+)fAxyzXZ234}“。
以上是关于2018/11/28-LCTF-easyre的主要内容,如果未能解决你的问题,请参考以下文章