buuctf-SimpleRev

下載附件后，是一個沒有文件后綴的文件，不過直接拖入IDA試一下，IDA32不行就上IDA64,放入IDA64中，f5反編譯得到：

 

 分析一下就知道，重點肯定在Decry()這個函數里，進去后，

unsigned __int64 Decry()
{
  char v1; // [rsp+Fh] [rbp-51h]
  int v2; // [rsp+10h] [rbp-50h]
  int v3; // [rsp+14h] [rbp-4Ch]
  int i; // [rsp+18h] [rbp-48h]
  int v5; // [rsp+1Ch] [rbp-44h]
  char src[8]; // [rsp+20h] [rbp-40h]
  __int64 v7; // [rsp+28h] [rbp-38h]
  int v8; // [rsp+30h] [rbp-30h]
  __int64 v9; // [rsp+40h] [rbp-20h]
  __int64 v10; // [rsp+48h] [rbp-18h]
  int v11; // [rsp+50h] [rbp-10h]
  unsigned __int64 v12; // [rsp+58h] [rbp-8h]

  v12 = __readfsqword(0x28u);
  *(_QWORD *)src = 357761762382LL;// 數據轉為16進制為‘0x534c43444e’數據在內存中是小端順序，高位在高地址處，低位在低地址處，
　　　　　　　　　　　　　　　　　　　　　　故實際的字符順序應為'0x4e44434c53'轉為字符為'NDCLS'
  v7 = 0LL;
  v8 = 0;
  v9 = 512969957736LL;                      // 同理解出為'hadow'
  v10 = 0LL;
  v11 = 0;
  text = (char *)join(key3, &v9);      // key3='kills'  ;這個join函數，就是把key3和v9兩個字符串相連即'killshadow'
  strcpy(key, key1);
  strcat(key, src);                       // key1 = 'ADSFK',key = 'ADSFKNDCLS'
  v2 = 0;
  v3 = 0;
  getchar();
  v5 = strlen(key);                             // v5=10
  for ( i = 0; i < v5; ++i )
  {
    if ( key[v3 % v5] > 64 && key[v3 % v5] <= 90 )// 將key的字符轉為小寫的算法,即key = 'adsfkndcls'
      key[i] = key[v3 % v5] + 32;
    ++v3;
  }
  printf("Please input your flag:", src);
  while ( 1 )
  {
    v1 = getchar();
    if ( v1 == 10 )
      break;
    if ( v1 == 32 )
    {
      ++v2;
    }
    else
    {
      if ( v1 <= 96 || v1 > 122 )
      {
        if ( v1 > 64 && v1 <= 90 )
          str2[v2] = (v1 - 39 - key[v3++ % v5] + 97) % 26 + 97;
      }
      else
      {
        str2[v2] = (v1 - 39 - key[v3++ % v5] + 97) % 26 + 97;
      }
      if ( !(v3 % v5) )
        putchar(32);
      ++v2;
    }
  }
  if ( !strcmp(text, str2) )
    puts("Congratulation!\n");
  else
    puts("Try again!\n");
  return __readfsqword(0x28u) ^ v12;
}

分析代碼以及相應的值，我們已經可以知道text以及key的值，剩下就是推出str2,而這個str2也就是我們的flag!!!

而得到str2的關鍵就在於式子‘str2[v2] = (v1 - 39 - key[v3++ % v5] + 97) % 26 + 97;’，撇開亂七八糟的判斷條件，通過text是個正常的字符串，我們就可以知道str2中沒有類易於空格的字符。

方法一：（直接公式逆推）

text = 'killshadow'#=str2
key = 'adsfkndcls'
v3=0
v5=len(key)
n=0
flag=[0,0,0,0,0,0,0,0,0,0]
for i in range(0,10):,
    for j in range(0,10):
        v1=(ord(text[j])-97)+26*i+ord(key[v3%v5])-58
        if(v1>65 and v1<=90)||(v1>=97 and v5<=122):
　　　　　　　　flag[j]=chr(v1)
　　　　　　　  n = n+1
　　　　　　　  if(n==10):
　　　　　　　　　　 print(flag)
　　　　　　　　　　 break
        v3=v3+1

運行結果為：

 

 

 

 方法二：寫字典暴力密碼正向破解

text = 'killshadow'#=str2
key = 'adsfkndcls'

#暴力字典破解
v3=0
v5=len(key)
dict1="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz"
flag = ""
for i in range(0,10):
　　 n=0
    for char in dict1:
        x = (ord(char) - 39 - ord(key[v3%v5])+97)%26+97
        if(chr(x)==text[i]):
　　　　　　　 n = n+1
　　　　　　　if(n==1):
　　　　　　 　　print(char,end="")
    v3=v3+1

運行結果：

 

 這樣我們的flag就出來啦！！！不過，好像我發現了點問題，明天修改一下！

昨天寫的時候在想，為什么就一定是大寫的，其實也有小寫的字母符合式子，把寫的代碼改了下，只取了第一次相等的結果，最后得出來的依舊是答案,可感覺還是有點點怪！當初做出來的時候，沒注意這些，現在一想就很奇怪，還是我分析不到位呀！