DosSnake_e
image.png (15.2 KB, 下载次数: 1)
下载附件
2024-7-21 13:38 上传
程序运行后发现是个贪吃蛇,可以猜测到应该是到达某个分数后会出现信息提示,IDA打开分析
image.png (53.54 KB, 下载次数: 1)
下载附件
2024-7-21 13:38 上传
通过字符串定位快速找到关键代码,这段代码就是flag的地方了
取aDasctf+6开始处的字符与aDasctf进行异或,直到aDasctf+6字符串全部处理完毕,看下这两处的字符
image.png (28.72 KB, 下载次数: 1)
下载附件
2024-7-21 13:39 上传
DASCTF是第一处,下面的是DASCTF+6处,循环异或DASCTF,脚本解密
#include
unsigned char byte_10324[6] = {
0x44, 0x41, 0x53, 0x43, 0x54, 0x46
};
unsigned char data[31] = {
0x3F, 0x09, 0x63, 0x34, 0x32, 0x13, 0x2A, 0x2F, 0x2A, 0x37, 0x3C,
0x23, 0x00, 0x2E, 0x20, 0x10, 0x3A, 0x27, 0x2F, 0x24, 0x3A, 0x30, 0x75, 0x67, 0x65, 0x3C
};
unsigned char flag[31] = { 0 };
int main()
{
for (int i = 0; i
PS:其实还可以直接修改程序判断逻辑直接输出FLAG,
image.png (13.7 KB, 下载次数: 1)
下载附件
2024-7-21 13:39 上传
cmp改为cx,cx
image.png (2.57 KB, 下载次数: 1)
下载附件
2024-7-21 13:39 上传
修改cmp改为ax,ax。
运行程序输出flag:
image.png (10.14 KB, 下载次数: 1)
下载附件
2024-7-21 13:39 上传
Strangeprograme
PE32文件,直接IDA+OD分析
image.png (26.84 KB, 下载次数: 0)
下载附件
2024-7-21 13:39 上传
通过字符串快速定位到主函数,逻辑清晰直接查看 aDasctfIAmFakeB 的值
image.png (15.59 KB, 下载次数: 0)
下载附件
2024-7-21 13:39 上传
显然,假的flag,尝试输入这个字符串看程序输出结果:
image.png (7.25 KB, 下载次数: 0)
下载附件
2024-7-21 13:40 上传
显然,程序 hook 了 j_memcmp函数,这个函数其实就是 memcmp,比较字符串,如果相同则返回0.
0取反后为1,此时程序应该输出“Right”但程序输出了“Wrong”!,所以可以猜到大概率是hook了这个函数。如果直接在IDA中调试的话我没有找到hook的入口,我是在OD中分析的
通过字符串快速定位到主要函数:
PS:调式的时候要输入长度为40的字符串,后面会说为什么是40。
image.png (20.75 KB, 下载次数: 1)
下载附件
2024-7-21 13:40 上传
call 004115AA显然是输入函数了,输入后字符串保存到了0x422580地址中,0x422000保存的是那个假的flag。
接着进入 00411122 函数,这个函数就是 memcmp,跟进分析
image.png (3.66 KB, 下载次数: 0)
下载附件
2024-7-21 13:40 上传
经过几层跳转后可以发现最终是去到了用户函数,由此更加确定是 hook 了这个比较函数。
跟进分析:
0x0041D250到0x0041D282行不用分析,用不到的,0x0041D283到0x0041D39B是局部变量赋值,有40个。
image.png (33.68 KB, 下载次数: 1)
下载附件
2024-7-21 13:40 上传
第一个主要代码块,0x0041D3E4 判断了输入字符串长度,如果不是40,那么eax赋值1后跳到 0x0041D59B,这里就是函数结束代码了。
4个字节为一组取前8个字节作为数据进行TEA加密,密钥存储在 0x422100 地址处:
image.png (3.53 KB, 下载次数: 0)
下载附件
2024-7-21 13:40 上传
把第一次TEA加密的结果存储到0x422580,0x0041D4CE处又对前两个数据块进行了TEA加密,所以前两个数据块加密了两次后存储到 0x0041D59B 处。接着来到了关键代码块:
image.png (35.78 KB, 下载次数: 0)
下载附件
2024-7-21 13:41 上传
这一堆代码干的事其实就是个:异或。
解释:取3,4数据块对1,2数据块进行异或后存储,异或完后继续对1,2数据块进行TEA加密,接着5,6数据块在对1,2数据块进行异或后存储,异或完后继续对1,2数据块进行TEA加密,接着7,8数据块对1,2数据块进行异或后存储,异或完成后在对1,2数据块加密,在对9,10数据块对1,2数据块进行异或后存储。
总体来说,这堆代码就干了些操作。注意:第一次的1,2数据块是TEA加密两次后的数据。
跟进TEA加密分析一下
image.png (23.95 KB, 下载次数: 1)
下载附件
2024-7-21 13:41 上传
TEA加密代码是直接在用户模块中的,在IDA中可以反汇编,在OD中复制TEA函数的首地址,IDA调试起来让 memcmp 函数执行后跳转到 TEA地址处,此时是一堆数据,需要按C识别为函数
image.png (29.52 KB, 下载次数: 0)
下载附件
2024-7-21 13:41 上传
刚好也看到密文了,这个在OD中也有,只是OD中不好提取出来。
image.png (14.39 KB, 下载次数: 0)
下载附件
2024-7-21 13:41 上传
TEA函数,跟进后反汇编查看
image.png (35.64 KB, 下载次数: 0)
下载附件
2024-7-21 13:41 上传
就魔改了轮次,标准的是32轮,这里是16轮。
这样就差不多分析完了,直接搓代码解密
#include
#include
#include
//解密函数
void decrypt_tea(uint32_t* v, uint32_t* k) {
uint32_t v0 = v[0], v1 = v[1], sum = 16 * 0x9e3779b9, i; /* set up */
uint32_t delta = 0x9e3779b9; /* a key schedule constant */
uint32_t k0 = k[0], k1 = k[1], k2 = k[2], k3 = k[3]; /* cache key */
for (i = 0; i > 5) + k3);
v0 -= ((v1 > 5) + k1);
} /* end cycle */
v[0] = v0; v[1] = v1;
}
int main()
{
int k = 6, s = 7;
uint32_t key[5] = { 0x12345678, 0x09101112, 0x13141516, 0x15161718 };
uint32_t data[] = {
0xBC2B4DF9,
0x6213DD13,
0x89FFFCC9,
0x0FC94F7D,
0x526D1D63,
0xE341FD50,
0x97287633,
0x6BF93638,
0x83143990,
0x1F2CE22C
};
data[8] ^= data[0];
data[9] ^= data[1];
// 求出data[0],data[1]解密5次的数据;
for (int i = 0; i
flag:DASCTF{I4TH0ok_I5S0ooFunny_Isnotit?????}
PS:代码水平有限,望理解。