SHCTF 山河CTF Reverse方向[Week1]全WP 详解

[WEEK1]ez_asm

从上往下读，第一处是xor 1Eh，第二处是sub 0Ah；逆向一下先加0A后异或1E
写个EXP

data = "nhuo[M`7mc7uhc$7midgbTf`7`$7%#ubf7 ci5Y"
result = ''

for char in data:
    xor_value = (ord(char)+0x0A) ^ 0x1E
    result += chr(xor_value)

print(result.encode('utf-8').decode('unicode_escape'))

flag{It_is_als0_impor@nt_t0_13arn_4sm!}

[WEEK1]easy_re

对输入的Str做一个for循环处理，再与des比较
取出des中的数据，逆向一下；

# 已知的des数组
des = [ 0x66, 0xC6, 0x16, 0x76, 0xB7, 0x45, 0x27, 0x97, 0xF5, 0x47,
  0x03, 0xF5, 0x37, 0x03, 0xC6, 0x67, 0x33, 0xF5, 0x47, 0x86,
  0x56, 0xF5, 0x26, 0x96, 0xE6, 0x16, 0x27, 0x97, 0xF5, 0x07,
  0x27, 0x03, 0x26, 0xC6, 0x33, 0xD6, 0xD7]

# 创建一个空列表来存储计算得到的Str
Str = []

# 逆向计算Str
for value in des:
      # 首先计算右移4位，然后按位或上16倍的值
      Str_value = (value >> 4) | (16 * value)

      # 将计算得到的值添加到Str列表中
      Str.append(hex(Str_value))

# 打印计算得到的Str
print(Str)
Str=['0x666', '0xc6c', '0x161', '0x767', '0xb7b', '0x454', '0x272', '0x979', '0xf5f', '0x474', '0x30', '0xf5f', '0x373', '0x30', '0xc6c', '0x676', '0x333', '0xf5f', '0x474', '0x868', '0x565', '0xf5f', '0x262', '0x969', '0xe6e', '0x161', '0x272', '0x979', '0xf5f', '0x70', '0x272', '0x30', '0x262', '0xc6c', '0x333', '0xd6d', '0xd7d']

再做一下处理，因为这里可以发现66是f，6c是l，61是a；这样就可以推测取俩位是flag

# 提取每个元素的后两位字符（十六进制字符）
enflag= [s[-2:] for s in Str]
# 转换每个十六进制字符为ASCII字符
flag = [chr(int(hex_str, 16)) for hex_str in enflag]

# 使用join()方法将ASCII字符合并成一个字符串
result = ''.join(flag)

# 打印合并后的字符串
print(result)

flag{Try_t0_s0lv3_the_binary_pr0bl3m}

[WEEK1]seed

查壳 64bit无壳 用ida64打开

逻辑很清晰，随机数生成存到v5里面，与输入的v6依次异或，然后和des比较；逆向一下就是用des里面的数据和随机数异或就可以了；都知道，rand()实际上是伪随机数，这里我们用动态调试就可以看到。

随便下个断点，只要在rand后就好，这里就是了。

enc = [0x26, 0x45, 0x49, 0x8E, 0xB9, 0x43, 0xCD, 0x9B, 0xFA, 0x0C]
des = [64, 41, 40, 233, 194, 4, 164, 237, 159, 83, 95, 117, 60, 209, 205, 43, 168, 196, 137, 105, 21, 33, 22, 239, 215,
       39, 146, 223, 202, 83, 95, 42, 60, 209, 206, 3, 163, 239, 165, 120, 22, 26, 45, 225, 196]

# 创建一个空列表来存储计算得到的ASCII字符
result = []

for i in range(len(des)):
    result.append(chr(des[i] ^ enc[i % 10]))  # 使用chr()将整数转为ASCII字符

# 使用join()方法将ASCII字符合并成一个字符串
output = ''.join(result)

# 打印合并后的ASCII字符串
print(output)
# flag{Give_y0u_the_se3d_and_D0_you_w@nt_t0_do}

[WEEK1]signin

ida打开后 flag{flag1sinarray}

[WEEK1]easy_math

py文件打开

源代码的解释一下：将输入的长度为42的flag分为长度为7的六个十六进制；这六个十六进制满足下列条件；这里可以用Z3约束求解得出六个数，再转换成ascii就了；

Z3约束不懂得骨骼一下；学习；

exp：

from z3 import *

v = Real('v')
w = Real('w')
x = Real('x')
y = Real('y')
z = Real('z')
c = Real('c')
s = Solver()

s.add(593*v + 997*w + 811*x + 258*y + 829*z + 532*c == 0x5b8e0aef71d34ff43)
s.add(605*v + 686*w + 328*x + 602*y + 695*z + 576*c == 0x551a262360964ef7f)
s.add(373*v + 512*w + 449*x + 756*y + 448*z + 580*c == 0x49d158a5657d6931c)
s.add(560*v + 635*w + 422*x + 971*y + 855*z + 597*c == 0x625568d5abbabf4f3)
s.add(717*v + 507*w + 388*x + 925*y + 324*z + 524*c == 0x50ee0c025e70e3c23)
s.add(312*v + 368*w + 884*x + 518*y + 495*z + 414*c == 0x40e735f8aa2815f65)
result = []
if s.check() == sat:
    result = s.model()
print(result)
# 这里输出得result顺序不对所以修改了一下，得到下面得enc
enc = [28829613228248624, 26827458353261422, 13642136288051316, 29378135513658469, 32192963475959391, 30791965425607037]
enc1 = []
flag = []
for i in range(6):
    enc1.append(hex(enc[i])[2:])
    for j in range(0,14,2):
        flag.append(enc1[i][j:j+2])

print(flag)
print("".join([chr(int(hex_str,16))for hex_str in flag]))
# flag{N0_One_kn0ws_m@th_B3tter_Th@n_me!!!!}

[WEEK1]ez_apk

用JEB（其他apk反编译工具应该也可以）打开，先看MainActivity，

这里获取我们的输入，也就是input_1控件的内容，然后用“encrypt.encode”方法对其进行编码，将结果存储进s中，最后和字符串“ ”比较，相等就输出flag正确；

看到上面有一个字符串，留意一下；下面就是encode。encode中还调用了一个divmod来将256进制转化为58进制的数，这里encode和divmod就是一个base58编码的过程；

还有一种判断方法，base58的特征：相比Base64，Base58不使用数字"0"，字母大写"O"，字母大写"I"，和字母小写"l"，以及"+“和”/"符号，最主要的是后面不会出现’='。观察一下可以发现，无论是码表还是编码后的内容都没有这些特征值，这样也可以判断Base58编码；

编码网站：cyberchef