REVERSE-PRACTICE-CTFSHOW-5

re2_归心
Mud
[吃鸡杯]ezmore
[吃鸡杯]有手就行

re2_归心

exe程序，运行后要求输入flag，ida分析
函数窗没找到主逻辑函数，shift+F12看字符串窗口
发现有java/lang/String，com/exe4j/runtime/WinLauncher等字符串
再想到提示"你应该见过python代码打包成的exe，猜猜这是什么语言"
这个exe应该是用exe4j生成的

exe4j生成exe的过程中要导入jar包，运行exe的时候实际上是运行导入的jar包
也就是说，运行exe的时候，jar包被取出存到了本地
用工具XSearch搜索"readme.jar"，在本地的C盘下找到jar包

把找到的jar包丢进jadx-gui，可以看到明文flag

Mud

exe程序，运行后玩游戏，提示"打败王重阳"
upx脱壳，ida分析
一通乱找，在sub_402D9F->sub_402446->sub_402368处找到参数为"王重阳"
往下走，在sub_4023CE函数，最后的printf，找到flag
ida中显示中文的方法，选中数据，alt+a，create C-style

[吃鸡杯]ezmore

exe程序，运行后是个目录，可以浏览文件，下载文件
选项1不能直接看到flag
选项2下载flag文件需要下载码
ida分析，
main->dd922ad47494fc02c388e12c00eacDownload
输入的下载码进入e2edef40ecaa776b8d32d58416998验证

e2edef40ecaa776b8d32d58416998中，传入的下载码需要和程序生成的Str2比较

直接在比较的if处下断点，起调试
选项2，输入文件编号8，随便输入下载码(不能是0)
程序断下来后，可以看到Str2为"neft"
再次运行exe，flag为md5(“neft”)==fc425a880deaaa7ffe4777a6232c61a3

[吃鸡杯]有手就行

exe程序，运行后输入，ida分析
输入的长度为27，然后验证输入

check实际上就是对输入进行前向异或的运算，然后和已知的Buf2比较

写脚本解，结果是fake flag

ans=[99,23,113,2,106,5,114,9,109,2,93,36,75,62,97,13,100,15,106,53,83,50,89,60,3,60,65]
for i in range(len(ans)-1,0,-1):ans[i]^=ans[i-1]
print("".join(chr(i) for i in ans))
#ctfshow{do_you_like_fake??}

然后在函数窗发现sub_401F20函数
sub_401F20->sub_4014D0是RC4的初始化函数，不过在第10行有点改动
密钥为"keykeykey"

sub_401F20->sub_401600，找到密文unk_403000
直接解改掉初始化的RC4，并没有得到flag
sub_401F20->sub_4013D0看到还有个"+7"的运算

将解RC4出来的结果再减去7，即可得到flag

#include<stdio.h>
void rc4_init(unsigned char* s, unsigned char* key, unsigned long Len_k) //初始化函数
{int i = 0, j = 0;char k[256] = { 0 };unsigned char tmp = 0;for (i = 0; i < 256; i++) {s[i] = 256 - i;k[i] = key[i % Len_k];}for (i = 0; i < 256; i++) {j = (j + s[i] + k[i]) % 256;tmp = s[i];s[i] = s[j];s[j] = tmp;}
}
void rc4_crypt(unsigned char* Data, unsigned long Len_D, unsigned char* key, unsigned long Len_k) //加解密
{unsigned char s[256];rc4_init(s, key, Len_k);int i = 0, j = 0, t = 0;unsigned long k = 0;unsigned char tmp;for (k = 0; k < Len_D; k++) {i = (i + 1) % 256;j = (j + s[i]) % 256;tmp = s[i];s[i] = s[j];s[j] = tmp;t = (s[i] + s[j]) % 256;Data[k] = Data[k] ^ s[t];}
}
void main()
{unsigned char key[] = "keykeykey";                      unsigned long key_len = sizeof(key) - 1;unsigned char data[] = { 0xDC, 0x47, 0x7F, 0x6E, 0x9A, 0xD8, 0x60, 0x77, 0xF4, 0xB0,0x8C, 0x54, 0xB0, 0xAA, 0x26, 0x23, 0x02, 0x42, 0x8E, 0xBA,0x90, 0x8C, 0xAB, 0x86, 0x24, 0x6E, 0xF8 };rc4_crypt(data, sizeof(data), key, key_len);for (int i = 0; i < sizeof(data); i++){printf("%c", data[i]-7);}
}
//ctfshow{y0u_g0t_t4e_5ecret}