【CrackMe】CTF题目-winodws逆向寻找flag

前言

这题目是命令行输入,OD关键位置时候有别于窗口程序,刚开始我是结合CE找到关键点。

程序下载地址:http://download.csdn.net/detail/dad9988/9899751
难度:★
使用工具:ollydbg吾爱破解专版
运行环境:windows 7 x64

程序截图

之前在一个ctf平台上下载题目。

错误提示

正确提示

验证方式

通过命令行输入flag,程序对输入信息进行加密运算后与存放在程序内的加密后数值进行比对。

分析过程

一般载入程序跑起来之后是用过E标签,跳转到程序领空,再寻找关键字符串信息。


但这是命令行程序,载入直接就在程序领空,查找字符串

很容易看到一串很可能是flag的东西,直接拿来输入试试看。

e3nifIH9b_C@n@dH

提示错误,并不是那么简单直接进行明文字符对比。

在提示输入flag的地方下断

1
011B5758 68 747B1B01 push reverse_.011B7B74 ; please enter the flag:

F8步下,随意输入123456回车继续F8步下

关键运算如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
011B578F E8 2AB9FFFF call reverse_.011B10BE ; //进行Base64编码
011B5794 83C4 0C add esp,0xC
011B5797 50 push eax
011B5798 8D85 6CFFFFFF lea eax,dword ptr ss:[ebp-0x94]
011B579E 50 push eax
011B579F FF15 88B11B01 call dword ptr ds:[<&ucrtbased.strncpy>] ; ucrtbase.strncpy
011B57A5 83C4 0C add esp,0xC
011B57A8 3BF4 cmp esi,esp
011B57AA E8 78B9FFFF call reverse_.011B1127
011B57AF 8D85 6CFFFFFF lea eax,dword ptr ss:[ebp-0x94]
011B57B5 50 push eax
011B57B6 E8 0DB9FFFF call reverse_.011B10C8
011B57BB 83C4 04 add esp,0x4
011B57BE 8985 60FFFFFF mov dword ptr ss:[ebp-0xA0],eax
011B57C4 C785 54FFFFFF 0>mov dword ptr ss:[ebp-0xAC],0x0 ; //开始循环
011B57CE EB 0F jmp short reverse_.011B57DF
011B57D0 8B85 54FFFFFF mov eax,dword ptr ss:[ebp-0xAC]
011B57D6 83C0 01 add eax,0x1 ; 每次循环eax++
011B57D9 8985 54FFFFFF mov dword ptr ss:[ebp-0xAC],eax
011B57DF 8B85 54FFFFFF mov eax,dword ptr ss:[ebp-0xAC]
011B57E5 3B85 60FFFFFF cmp eax,dword ptr ss:[ebp-0xA0] ; 判断不超过字符串长度则继续
011B57EB 7D 23 jge short reverse_.011B5810
011B57ED 8B85 54FFFFFF mov eax,dword ptr ss:[ebp-0xAC]
011B57F3 0FBE8C05 6CFFFF>movsx ecx,byte ptr ss:[ebp+eax-0x94] ; 每次取一位字符串的hex+eax
011B57FB 038D 54FFFFFF add ecx,dword ptr ss:[ebp-0xAC]
011B5801 8B95 54FFFFFF mov edx,dword ptr ss:[ebp-0xAC]
011B5807 888C15 6CFFFFFF mov byte ptr ss:[ebp+edx-0x94],cl ; 重新赋值给 字符串[eax]
011B580E ^ EB C0 jmp short reverse_.011B57D0
011B5810 8D85 6CFFFFFF lea eax,dword ptr ss:[ebp-0x94]
011B5816 50 push eax

最后在这里进行判断

1
2
3
4
5
6
7
8
9
011B581C 83C4 04 add esp,0x4
011B581F 8BF4 mov esi,esp
011B5821 50 push eax
011B5822 68 34A01B01 push reverse_.011BA034 ; e3nifIH9b_C@n@dH
011B5827 8D8D 6CFFFFFF lea ecx,dword ptr ss:[ebp-0x94]
011B582D 51 push ecx
011B582E FF15 84B11B01 call dword ptr ds:[<&ucrtbased.strncmp>] ; ucrtbase.strncmp
011B5834 83C4 0C add esp,0xC
011B5837 3BF4 cmp esi,esp

关于strncmp的解释

strncmp
int strncmp ( const char str1, const char str2, size_t n );
【参数】str1, str2 为需要比较的两个字符串,n为要比较的字符的数目。
【返回值】若str1与str2的前n个字符相同,则返回0;若s1大于s2,则返回大于0的值;若s1 若小于s2,则返回小于0的值。

爆破关键点

1
2
3
4
5
6
7
8
9
10
11
011B5837 3BF4 cmp esi,esp
011B5839 E8 E9B8FFFF call reverse_.011B1127
011B583E 85C0 test eax,eax
011B5840 74 0F je short reverse_.011B5851 ; //爆破关键点
011B5842 68 947B1B01 push reverse_.011B7B94 ; wrong flag!\n
011B5847 E8 E3BAFFFF call reverse_.011B132F
011B584C 83C4 04 add esp,0x4
011B584F EB 0D jmp short reverse_.011B585E
011B5851 68 4C7C1B01 push reverse_.011B7C4C ; rigth flag!\n
011B5856 E8 D4BAFFFF call reverse_.011B132F
011B585B 83C4 04 add esp,0x4

解题代码

从上面的分析得出,该题通俗点说就是把输入的字符串进行 Base64编码,根据编码后的长度对编码后的字符串进行逐位加增加。
增加规则为 第0位+0x00 第1位+0x01 ….. 第N位+0x0N
最后对比的字符串为

e3nifIH9b_C@n@dH

python代码

1
2
3
4
5
6
7
8
#coding=utf-8
import binascii,base64
strA = 'e3nifIH9b_C@n@dH'
strB = ''
for num in range(0,len(strA)):
strB = strB + chr(int(binascii.b2a_hex(strA[num]),16) - num)
print base64.b64decode(strB)

运行结果

flag是:

{i_l0ve_you}

测试是否正确

总结

加密后的flag不是很长,有耐心的同学直接用calc计算也可以争取的结果,flag是表白么?如果做题的是妹子感觉也是很不错的。PS:别做梦了,妹子会玩windows逆向么?/滑稽脸