REVERSE-COMPETITION-NEPCTF

hardcsharp
二十六进制
easy_mips
password
worrrrms
勇士打恶龙（unsolved）
Qriver（unsolved）
Spy-woman（unsolved）

hardcsharp

.Net程序，dnSpy打开，来到main函数
逻辑清晰，获取输入，验证输入的长度以及包络，对输入进行AES加密，和已知的密文比较

直接写脚本即可得到flag

from Crypto.Cipher import AES
import base64
cipher="1Umgm5LG6lNPyRCd0LktJhJtyBN7ivpq+EKGmTAcXUM+0ikYZL4h4QTHGqH/3Wh0"
key=[81,82,87,81,82,87,68,92,94,86,93,18,18,18,18,18,18,18,18,18,18,18,18,18,18,18,18,18,18,18,18,18]
for i in range(len(key)):key[i]^=51
key_str=''.join(chr(i) for i in key)
aes=AES.new(key_str,AES.MODE_ECB)
print(aes.decrypt(base64.b64decode(cipher)))
#Nep{up_up_down_down_B_a_b_A_Nep_nep~}

二十六进制

exe程序，无壳，ida打开
交叉引用字符串"plz input right num:"来到sub_4010A0函数
获取输入，输入的数字字符转成整形数字，进入sub_401120函数对输入进行变换以及check

sub_401120函数，主要的逻辑写在了注释里，结合二十六进制的题目名称，能感觉到一点出题人什么思路，但是具体说不清

实际上脚本比较简单，用二十六进制的思路写就能得到要输入的数字

arr="2163qwe)(*&^%489$!057@#><A"
res="Fb72>&6"
flag=[]
for i in range(len(res)):v4=chr(ord(res[i])^7)index=arr.find(v4)flag.append(index)
sum=0
for i in range(len(flag)-1,0,-1):sum+=flag[i]sum*=26
sum+=flag[0]
print(sum)
#518100101

调试验证一下，输入的数字正确，md5一下即可提交成功

easy_mips

mips文件，无壳，ida7.5打开
main->tty_write
逻辑清晰，读取输入，进入encry对输入进行变换，变换后的输入与已知比较

进入encry函数，首先input的第0个、第5个和第6个值被随即改变
然后input逐位进行一个减运算

写脚本能得到不是完全正确的flag，结合flag格式和题目提示的solar，可以得到正确的flag并提交成功

s="3_isjA0UeQZcNa\\`\\Vf"
v3=5
flag=""
for c in s:flag+=chr(ord(c)+v3)v3+=1
print(flag)
#8ep{sK;ar_is_sotql}
#Nep{solar_is_sotql}

password

apk文件，jads-gui打开
com.nepnep.app.MainActivity
调用verify方法验证输入的key
调用Encrypt.file方法验证输入的password和key

先看verify方法，ida打开libnative-lib.so，看到verify其实就是一个变表base64

用工具解一下变表base64，即可得到key

再看Encrypt.file方法，实际上是个变种RC4，在初始化的地方变了一点

已知密文iArr2和密钥key，解RC4即可得到解压密码

#include<stdio.h>
void rc4_init(unsigned char* s, unsigned char* key, unsigned long Len_k) //初始化函数
{int i = 0, j = 0;char k[256] = { 0 };unsigned char tmp = 0;for (i = 0; i < 256; i++) {s[i] = 256 - i;//这里和常规RC4不同k[i] = key[i % Len_k];}for (i = 0; i < 256; i++) {j = (j + s[i] + k[i]) % 256;tmp = s[i];s[i] = s[j]; //交换s[i]和s[j]s[j] = tmp;}
}/*
RC4加解密函数
unsigned char* Data     加解密的数据
unsigned long Len_D     加解密数据的长度
unsigned char* key      密钥
unsigned long Len_k     密钥长度
*/
void rc4_crypt(unsigned char* Data, unsigned long Len_D, unsigned char* key, unsigned long Len_k) //加解密
{unsigned char s[256];rc4_init(s, key, Len_k);int i = 0, j = 0, t = 0;unsigned long k = 0;unsigned char tmp;for (k = 0; k < Len_D; k++) {i = (i + 1) % 256;j = (j + s[i]) % 256;tmp = s[i];s[i] = s[j]; //交换s[x]和s[y]s[j] = tmp;t = (s[i] + s[j]) % 256;Data[k] = Data[k] ^ s[t];}
}
void main()
{unsigned char key[] = "th1s_1s_k3y!!!!!";                                        unsigned long key_len = sizeof(key) - 1;unsigned char data[] = { 139, 210, 217, 93, 149, 255, 126, 95, 41, 86, 18, 185, 239, 236, 139, 208, 69 };rc4_crypt(data, sizeof(data), key, key_len);for (int i = 0; i < sizeof(data); i++){printf("%c", data[i]);}
}

用解压密钥解压缩反编译出来的\password\assets\flag.zip即可得到flag

worrrrms

exe程序，无壳，ida打开
main_main->main_FakeFakeMain
获取输入，进入worrrrms_puzzle_ChkPlz进行输入的验证

worrrrms_puzzle_ChkPlz函数，常规SM4，密钥需要解一下base64

from pysm4 import decrypt
from Crypto.Util.number import bytes_to_long,long_to_bytes
import base64
key=base64.b64decode("aWNhbnRlbGx1YXNpbXBsZQ==")
key_long=bytes_to_long(key)
cipher=0x021789C8D9DAFBE50E478C894C1D7AB9
m=decrypt(cipher,key_long)
print(long_to_bytes(m))
#we1come_2_nepCTF

勇士打恶龙（unsolved）

Qriver（unsolved）

Spy-woman（unsolved）