安恆九月賽

作為一名新菜雞，就只能簽下到，最後的re還是看了大佬的wp才明白的

1：NewDrive

首先，直接對IDA 裡面  找到mian F5，然後發現

發現指標偏移 值沒找到  ，然後就ALt+k  平衡棧堆。就ok  

我分析了好久，都沒分，比賽後也是個朋友 給了指點和他的wp我看才明白。

其實第一個就是base64加密 下面的就是rc4，其實不知道下面的也ok的。

進入第一個函式，

if ( v2 > 0 )
{
v18 = v16;
v15 = v1;
v14 = v2;
do
{
v3 = 0;
*(_DWORD *)Dest = 0;
strncpy(Dest, v1, 3u);
v4 = Dest;
v5 = 0;
do
v6 = *v4++;
while ( v6 );
v7 = v4 - &Dest[1];
if ( v4 != &Dest[1] )
{
v8 = 0x10;
do
{
v9 = Dest[v5++] << v8;
v8 -= 8;
v3 |= v9;
}
while ( v5 < v7 );
}
v10 = 0;
v11 = 18;
do
{
if ( v7 + 1 <= v10 )
*((_BYTE *)v18 + v10) = 0x3D;
else
*((_BYTE *)v18 + v10) = byte_402138[(v3 >> v11) & 0x3F];
v11 -= 6;
++v10;
}
while ( v11 > -6 );
v18 = (char *)v18 + 4;
v1 = v15 + 3;
v12 = v14-- == 1;
v15 += 3;
}
while ( !v12 );
}

; char byte_402138[]
.rdata:00402138byte_402138db 41h; DATA XREF: sub_401160+DEr
.rdata:00402138; .data:00403018o
.rdata:00402139aBcdefghijstuvw db 'BCDEFGHIJSTUVWKLMNOPQRXYZabcdqrstuvwxefghijklmnopyz0123456789+/',0

又找到了 這個 還有

v1 = a1;
v2 = strlen(a1) / 3 + (strlen(a1) % 3 != 0);
v16 = malloc(4 * v2 + 1);
memset(v16, 0, 4 * v2 + 1);
if ( v2 > 0 )

這差不多就能明白是base64加密，只是這個加密用的字串和平時的不一樣而已。所以這裡最好返回加密後的字串。

接下來的 一個函式是生成了一個16*16的矩陣。就是利用前面的假flag 生成的，

v12 = 256;
while ( 1 )
{
v10 = *result;
v3 = ((unsigned __int8)*result + result[(_DWORD)v8] + v3) % 256;
*result++ = a1[v3];
v11 = v12-- == 1;
a1[v3] = v10;
if ( v11 )
break;
v8 = (char *)(&v13 - a1);

這裡進行了256次。。。

所以我們可以進行動態除錯，去摳出來，

sub_401000(&v7, (int)&v9, strlen(&v9));
sub_4010E0((int)&v7, (int)v3, strlen(v3));

第一個生成的v7 個下面的用，如果摳的話，可以下斷點在下面的函式，再

int __usercall sub_4010E0@<eax>(int result@<eax>, int a2, unsigned int a3)

再根據這個 找到eax的值  扣出來就ok了   其實還有種簡單的方法，我也看了大佬的做法，就是進od裡面，在進入第二加密的函式地方，去把加密生成的*(_BYTE *)((v6 + *(_BYTE *)(v3 + result)) % 256 + result) 摳出來  這樣更快 而且也不用逆第二加密前面的演算法，這裡就不多說了 ，有興趣的可以去試試。。

if ( a3 )
{
do
{
v3 = (v3 + 1) % 256;
v6 = *(_BYTE *)(v3 + result);
v4 = (*(_BYTE *)(v3 + result) + v4) % 256;
*(_BYTE *)(v3 + result) = *(_BYTE *)(v4 + result);
*(_BYTE *)(v4 + result) = v6;
*(_BYTE *)(v5++ + a2) ^= *(_BYTE *)((v6 + *(_BYTE *)(v3 + result)) % 256 + result);
}
while ( v5 < a3 );
}

最後一個就加密 也就是第二個加密。直接 從內存扣出來 加密後的 再後再 base64解密就ok

這裡就貼出大佬的程式碼，畢竟我一個菜雞，程式碼能力差，寫不出來：

key=[0x66, 0x32, 0xCA, 0xA0, 0xBF, 0x98, 0x2D, 0x76, 0xF1, 0x59, 0x2A, 0x4A, 0xF4, 0x30, 0xAD, 0xD2, 0x1D, 0x02, 0xD8, 0x23, 0x89, 0x5D, 0x83, 0x38, 0x09, 0xF2, 0x74, 0x65, 0x40, 0x19, 0xC6, 0xDD, 0x18, 0xD3, 0x8F, 0x6C, 0x8B, 0xC0, 0xC5, 0x54, 0x2E, 0x81, 0x10, 0xC4, 0x26, 0x56, 0x5F, 0x53, 0x80, 0x43, 0x27, 0x62, 0xEA, 0x3D, 0xE6, 0x00, 0xE7, 0xB7, 0x50, 0x94, 0x90, 0x4C, 0x3F, 0x9D, 0x07, 0xE0, 0xA3, 0x9C, 0x4E, 0x0F, 0x9F, 0xFE, 0x5B, 0x8E, 0xDE, 0x88, 0x72, 0x2F, 0xC1, 0x67, 0x31, 0x70, 0x8D, 0xFD, 0xBE, 0x64, 0xC3, 0xBD, 0x6B, 0x7A, 0xCF, 0x0C, 0x34, 0x1F, 0x6F, 0x01, 0xF0, 0x7C, 0x5E, 0xA4, 0x1E, 0x49, 0x8C, 0x75, 0x1C, 0xE3, 0x20, 0x48, 0x28, 0x79, 0xA5, 0x7F, 0xF5, 0xEC, 0x4F, 0x78, 0x58, 0x11, 0xF7, 0xCD, 0x91, 0x13, 0xFC, 0xB8, 0x2C, 0x04, 0xEE, 0xD5, 0x08, 0x44, 0xA9, 0xE1, 0xB1, 0x42, 0x84, 0x29, 0xA7, 0x47, 0x97, 0x7E, 0xE8, 0xB3, 0x60, 0x0B, 0xF9, 0x4B, 0x3C, 0x77, 0x17, 0x03, 0x82, 0x69, 0x87, 0xD4, 0x95, 0x1A, 0x33, 0x25, 0x6E, 0xCC, 0xD6, 0xBB, 0x99, 0xB0, 0x85, 0x41, 0xB2, 0x0D, 0xDB, 0x35, 0x3B, 0x5C, 0xF8, 0xED, 0x9E, 0xA6, 0x96, 0x39, 0x63, 0x0A, 0x1B, 0x93, 0x21, 0x46, 0x12, 0xD0, 0xB4, 0x22, 0x51, 0xC9, 0x61, 0xD1, 0x2B, 0xAA, 0x45, 0x06, 0x05, 0xCE, 0xFA, 0x92, 0x68, 0xAB, 0x36, 0xDA, 0xC8, 0xE2, 0x37, 0xD9, 0xA2, 0x5A, 0xD7, 0x6A, 0xB5, 0xFF, 0xE9, 0xBA, 0x52, 0x15, 0xF6, 0xBC, 0x9A, 0xB6, 0xEF, 0x6D, 0xCB, 0x4D, 0xAE, 0xE4, 0xA1, 0xAC, 0xEB, 0x0E, 0x71, 0x7B, 0xF3, 0x24, 0xC2, 0xFB, 0x7D, 0x86, 0x55, 0xAF, 0x3A, 0xDF, 0x3E, 0x14, 0xB9, 0x9B, 0x16, 0xDC, 0x73, 0x57, 0xE5, 0xC7, 0x8A, 0xA8, 0x66, 0x6C, 0x61, 0x67, 0x7B, 0x74, 0x68, 0x69, 0x73, 0x5F, 0x69, 0x73, 0x5F, 0x6E, 0x6F, 0x74, 0x5F, 0x74, 0x68, 0x65, 0x5F, 0x66, 0x6C, 0x61, 0x67, 0x5F, 0x68, 0x61, 0x68, 0x61, 0x68, 0x61, 0x7D]
key2=[0x20, 0xC3, 0x1A, 0xAE, 0x97, 0x3C, 0x7A, 0x41, 0xDE, 0xF6, 0x78, 0x15, 0xCB, 0x4B, 0x4C, 0xDC, 0x26, 0x55, 0x8B, 0x55, 0xE5, 0xE9, 0x55, 0x75, 0x40, 0x3D, 0x82, 0x13, 0xA5, 0x60, 0x13, 0x3B, 0xF5, 0xD8, 0x19, 0x0E, 0x47, 0xCF, 0x5F, 0x5E, 0xDE, 0x9D, 0x14, 0xBD]
key3=[]
v3=0
v4=0
v6=0
s=""
for v3 in range(44):
v3+=1
v6=key[v3]
v4=(v6+v4)%256
key[v3]=key[v4]
key[v4]=v6
key3.append(key[(key[v3]+v6)%256])
for i in range(44):
key2[i]^=key3[i]
for i in key2:
s+=chr(i)
print s

作者：Kirin_say
連結：https://www.jianshu.com/p/7fdfe26f27a8
來源：簡書
簡書著作權歸作者所有，任何形式的轉載都請聯絡作者獲得授權並註明出處。

base64解密的：

#include<stdio.h>
#include<string.h>
int findchar(char *str,char c){
for(int i=0;str[i];i++)
if(str[i]==c)
return i;
return -1;
}

int main(){
char key[]="ABCDEFGHIJSTUVWKLMNOPQRXYZabcdqrstuvwxefghijklmnopyz0123456789+/";
char str[100];
char ans[100];
int temp[2];
memset(str,0,100);
memset(ans,0,100);
scanf("%s",str);
for(int i=0,j=0;str[i];i+=4,j+=3)
{temp[0]=findchar(key,str[i]);
temp[1]=findchar(key,str[i+1]);
ans[j]=(temp[0]<<2&0xfc)|(temp[1]>>4&0x3);
if(!str[i+2]||str[i+2]=='=')
break;
else{
temp[0]=findchar(key,str[i+2]);
ans[j+1]=(temp[1]<<4&0xf0)|(temp[0]>>2&0xf);
}
if(!str[i+3]||str[i+3]=='=')
break;
else{
temp[1]=findchar(key,str[i+3]);
ans[j+2]=(temp[0]<<6&0xc0)|(temp[1]&0x3f);
}
}
puts(ans);
}

作者：Kirin_say
連結：https://www.jianshu.com/p/7fdfe26f27a8
來源：簡書
簡書著作權歸作者所有，任何形式的轉載都請聯絡作者獲得授權並註明出處。

2：misc1

直接修改圖片 高度，然後再binwalk 發現有rar 直接解密 發現有個資料包，就分析，裡面就發現一串奇怪的文字

直接base64解密就出來了  我也是匯出http才找到，在直接分析的時候找不到，有大佬在的  ，希望能給我指點下。

3：misc2

題目都給出crc 所以直接擼，剛剛開始的時候實在太懶，指令碼都不想寫，所以就猜啊猜 是那個組合那個，所以  浪費一堆時間，

就是這些，然後就直接上指令碼，再爆破字典就OK

f1=open("1.txt")
f2=open("2.txt")
f3=open("3.txt")
c1=f1.readlines()
c2=f2.readlines()
c3=f3.readlines()
f4=open("4.txt","a+")
s=""
for line in c1:
for line1 in c2:
for line2 in c3:
line=line.rstrip("\n")
line1=line1.rstrip("\n")
line2=line2.rstrip("\n")
s=line+line1+line2+"\n"
print s
f4.write(s)
s=""


f1.close()
f2.close()
f3.close()

爆破密碼就出來了，然後就發現一串

http://www.5ixuexiwang.com/str/from-binary.php 這個網站可以直接二進位制轉ascii

然後就簡單了  再base64轉圖片，發現二維碼，

掃就出來。

這些比賽有很大的收穫，也明白了base64演算法和rc4。