BUUCTF-[GWCTF 2019]re3
[GWCTF 2019]re3
查壳,64位无壳
然后进去发现主函数也比较简单,主要是一个长度校验,然后有一个mprotect函数,说明应该又是Smc,然后我们用脚本还原sub_402219函数处的代码
import idc
addr=0x00402219
size=224
for i in range(addr, addr+size):idc.patch_byte(i, get_wide_byte(i)^0x99)
print("ok")
先看看sub_40207B函数,里面反复调用了sub_401CF9函数。
跟进看看sub_401CF9函数干了什么,一开始看见v5到v8这个样子还以为是rc4的加密,看了后面的内容发现肯定不是rc4了,看了一下wp,说是md5加密的特征数
那似乎这个地方的大致逻辑就是对这些unk数据进行md5加密,唯一不同就是对base64表进行了两次md5加密
然后被加密的表当作这里的a2被传入了,这里感觉也不是标准的base64解码的函数,特别是byte_4023A0是长度为256的数组,那么可以看出肯定不是base64了
用插件可以识别出aes的特征码,
然后回头看sub_402219函数,这个函数是,先对v4进行了一次处理,然后应该是将v4在sub_40196E这个函数进行了两次加密,分别传给了a1和a1+16,最后和byte这个密文进行对比
进入sub_40196E,发现下面存在AES特征,那就尝试提取密文和密钥
密钥就是给aes加密生成sbox盒的东西,也就是两次对表md5加密后的内容,这里尝试动调解出unk_603170
