[re]go语言逆向：2020网鼎杯朱雀组re what wp

[re]go语言逆向：2020网鼎杯朱雀组re what wp

题目分析

那道题目，是一个linux的逆向，直接输入key：

然后逆向分析一下，是一个go语言开发的程序，看着比较复杂，但是字符串什么的都没有混淆，可以通过“please input the key:”字符串找到入口：

然后还可以看到一个类似base64串一样的字符串，感觉像是校验用的，继续往下看找到输入，和输入后的校验：

可以看到输入校验之后，错误会直接提示error，成功会有一大波操作，简单看了下感觉应该是对开头的flag字符串进行解码或者解密操作，然后输出flag：

解题

所以现在差不多知道，我们只要把key输入正确，那么就会获得正确的flag，所以要分析一下关键的main_encode函数：

根据里面的函数名（base64xxxxxx），和字符串（XYZFGHI2+/Jhi345jklmEnopuvwqrABCDKL6789abMNWcdefgstOPQRSTUVxyz01）

我们怀疑这是一个魔改的base64编码程序，将base64的编码表替换了，将原本的编码表（ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/）替换成了（XYZFGHI2+/Jhi345jklmEnopuvwqrABCDKL6789abMNWcdefgstOPQRSTUVxyz01），然后对输入内容进行base64编码之后与"nRKKAHzMrQzaqQzKpPHClX"作比较。那么我们写个脚本还原一下，因为只是替换了编码表，所以我们根据编码表顺序替换回来即可：

exp

new="XYZFGHI2+/Jhi345jklmEnopuvwqrABCDKL6789abMNWcdefgstOPQRSTUVxyz01"
old="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
result="nRKKAHzMrQzaqQzKpPHClX"

keyb64=""
for i in result:
    keyb64+=old[new.find(i)]
print keyb64

输出内容：V2hhdF9pc19nb19hX0FfSA

去网站base64解码一下：

后面乱码了，因为base64有补齐嘛，加上=或者==试一下，结果加上==时成功了：

所以key为：What_is_go_a_A_H

输入程序中，成功输出flag：

flag{e252890b-4f4d-4b85-88df-671dab1d78f3}