Alex's blog~ Home文章标签分类
buuctf-reverse题解2

1.[羊城杯 2020]login

  • tips:
    • 解包pyinstaller打包的exe文件为源码
    • z3约束器
    • 根据字串循环向后异或后的结果复原原文

先放入exeinfope中发现是pyinstaller打包成的exe文件
使用pyinstxtractor来unpack
https://github.com/countercept/python-exe-unpacker/blob/master/pyinstxtractor.py

打开文件夹中的同名文件,使用010editor打开补上pyc的头部,改后缀为pyc,然后使用uncompyle6来恢复成py源文件

是个解方程组的问题
z3一把梭

from z3 import *

s = Solver()

a1, a2, a3, a4, a5, a6, a7, a8, a9, a10, a11, a12, a13, a14 = Ints("a1 a2 a3 a4 a5 a6 a7 a8 a9 a10 a11 a12 a13 a14")

s.add(a1 * 88 + a2 * 67 + a3 * 65 - a4 * 5 + a5 * 43 + a6 * 89 + a7 * 25 + a8 * 13 - a9 * 36 + a10 * 15 + a11 * 11 + a12 * 47 - a13 * 60 + a14 * 29 == 22748)
s.add(a1 * 89 + a2 * 7 + a3 * 12 - a4 * 25 + a5 * 41 + a6 * 23 + a7 * 20 - a8 * 66 + a9 * 31 + a10 * 8 + a11 * 2 - a12 * 41 - a13 * 39 + a14 * 17 == 7258)
s.add(a1 * 28 + a2 * 35 + a3 * 16 - a4 * 65 + a5 * 53 + a6 * 39 + a7 * 27 + a8 * 15 - a9 * 33 + a10 * 13 + a11 * 101 + a12 * 90 - a13 * 34 + a14 * 23 == 26190)
s.add(a1 * 23 + a2 * 34 + a3 * 35 - a4 * 59 + a5 * 49 + a6 * 81 + a7 * 25 + a8 * 128 - a9 * 32 + a10 * 75 + a11 * 81 + a12 * 47 - a13 * 60 + a14 * 29 == 37136)
s.add(a1 * 38 + a2 * 97 + a3 * 35 - a4 * 52 + a5 * 42 + a6 * 79 + a7 * 90 + a8 * 23 - a9 * 36 + a10 * 57 + a11 * 81 + a12 * 42 - a13 * 62 - a14 * 11 == 27915)
s.add(a1 * 22 + a2 * 27 + a3 * 35 - a4 * 45 + a5 * 47 + a6 * 49 + a7 * 29 + a8 * 18 - a9 * 26 + a10 * 35 + a11 * 41 + a12 * 40 - a13 * 61 + a14 * 28 == 17298)
s.add(a1 * 12 + a2 * 45 + a3 * 35 - a4 * 9 - a5 * 42 + a6 * 86 + a7 * 23 + a8 * 85 - a9 * 47 + a10 * 34 + a11 * 76 + a12 * 43 - a13 * 44 + a14 * 65 == 19875)
s.add(a1 * 79 + a2 * 62 + a3 * 35 - a4 * 85 + a5 * 33 + a6 * 79 + a7 * 86 + a8 * 14 - a9 * 30 + a10 * 25 + a11 * 11 + a12 * 57 - a13 * 50 - a14 * 9 == 22784)
s.add(a1 * 8 + a2 * 6 + a3 * 64 - a4 * 85 + a5 * 73 + a6 * 29 + a7 * 2 + a8 * 23 - a9 * 36 + a10 * 5 + a11 * 2 + a12 * 47 - a13 * 64 + a14 * 27 == 9710)
s.add(a1 * 67 - a2 * 68 + a3 * 68 - a4 * 51 - a5 * 43 + a6 * 81 + a7 * 22 - a8 * 12 - a9 * 38 + a10 * 75 + a11 * 41 + a12 * 27 - a13 * 52 + a14 * 31 == 13376)
s.add(a1 * 85 + a2 * 63 + a3 * 5 - a4 * 51 + a5 * 44 + a6 * 36 + a7 * 28 + a8 * 15 - a9 * 6 + a10 * 45 + a11 * 31 + a12 * 7 - a13 * 67 + a14 * 78 == 24065)
s.add(a1 * 47 + a2 * 64 + a3 * 66 - a4 * 5 + a5 * 43 + a6 * 112 + a7 * 25 + a8 * 13 - a9 * 35 + a10 * 95 + a11 * 21 + a12 * 43 - a13 * 61 + a14 * 20 == 27687)
s.add(a1 * 89 + a2 * 67 + a3 * 85 - a4 * 25 + a5 * 49 + a6 * 89 + a7 * 23 + a8 * 56 - a9 * 92 + a10 * 14 + a11 * 89 + a12 * 47 - a13 * 61 - a14 * 29 == 29250)
s.add(a1 * 95 + a2 * 34 + a3 * 62 - a4 * 9 - a5 * 43 + a6 * 83 + a7 * 25 + a8 * 12 - a9 * 36 + a10 * 16 + a11 * 51 + a12 * 47 - a13 * 60 - a14 * 24 == 15317)


print(s.check())
print(s.model())

然后涉及到的加密算法,自己在平板上演算了一遍,直接从尾到头异或回去就可以了

import hashlib

a2 = 24
a13 = 88
a6 = 43
a9 = 52
a5 = 104
a12 = 74
a7 = 28
a1 = 119
a10 = 108
a11 = 88
a8 = 91
a4 = 7
a3 = 10
a14 = 33

code = [0] * 14
code[2] = a1 
code[1] = a2 
code[0] = a3 
code[3] = a4 
code[4] = a5 
code[5] = a6 
code[6] = a7 
code[7] = a8 
code[9] = a9 
code[8] = a10
code[10] = a11
code[11] = a12
code[12] = a13
code[13] = a14

flag = []

for i in range(13,0,-1):
    code[i-1] = code[i] ^ code[i-1]
    flag.append(code[i-1])

flag.reverse()
flag.append(code[13])

for i in range(len(flag)):
    flag[i] = chr(flag[i])

flag = "".join(flag)
print(flag)

md5 = hashlib.md5()
md5.update(flag.encode("utf-8"))
print(md5.hexdigest())

2.[CISCN2018]2ex

发现是个静态编译的mips文件,里面还有一份output.txt文件
放到ubuntu20.04里,下个qemu-user来跑一下,输入之后就退出了

分析一下,可以找到一个算法,根据特征识别为base64换表

这里还有padding

base64 换表解密即可

decode.py:

import base64
import string

table = "@,.1fgvw#`/2ehux$~\"3dity%_;4cjsz^+{5bkrA&=}6alqB*-[70mpC()]89noD"
old_table = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"

flag1 = "|_r-+_Cl5;vgq_pdme7#7eC0="

flag = base64.b64decode(flag1.translate(str.maketrans(table,old_table)))
print(flag)

文章作者: Alex
文章链接: http://example.com/2021/04/16/buuctf-reverse1/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Alex's blog~
-reverse