buuctf-SimpleRev

下载附件后，是一个没有文件后缀的文件，不过直接拖入IDA试一下，IDA32不行就上IDA64,放入IDA64中，f5反编译得到：

 分析一下就知道，重点肯定在Decry()这个函数里，进去后，

unsigned __int64 Decry()
{
  char v1; // [rsp+Fh] [rbp-51h]
  int v2; // [rsp+10h] [rbp-50h]
  int v3; // [rsp+14h] [rbp-4Ch]
  int i; // [rsp+18h] [rbp-48h]
  int v5; // [rsp+1Ch] [rbp-44h]
  char src[8]; // [rsp+20h] [rbp-40h]
  __int64 v7; // [rsp+28h] [rbp-38h]
  int v8; // [rsp+30h] [rbp-30h]
  __int64 v9; // [rsp+40h] [rbp-20h]
  __int64 v10; // [rsp+48h] [rbp-18h]
  int v11; // [rsp+50h] [rbp-10h]
  unsigned __int64 v12; // [rsp+58h] [rbp-8h]

  v12 = __readfsqword(0x28u);
  *(_QWORD *)src = 357761762382LL;// 数据转为16进制为‘0x534c43444e’数据在内存中是小端顺序，高位在高地址处，低位在低地址处，
　　　　　　　　　　　　　　　　　　　　　　故实际的字符顺序应为'0x4e44434c53'转为字符为'NDCLS'
  v7 = 0LL;
  v8 = 0;
  v9 = 512969957736LL;                      // 同理解出为'hadow'
  v10 = 0LL;
  v11 = 0;
  text = (char *)join(key3, &v9);      // key3='kills'  ;这个join函数，就是把key3和v9两个字符串相连即'killshadow'
  strcpy(key, key1);
  strcat(key, src);                       // key1 = 'ADSFK',key = 'ADSFKNDCLS'
  v2 = 0;
  v3 = 0;
  getchar();
  v5 = strlen(key);                             // v5=10
  for ( i = 0; i < v5; ++i )
  {
    if ( key[v3 % v5] > 64 && key[v3 % v5] <= 90 )// 将key的字符转为小写的算法,即key = 'adsfkndcls'
      key[i] = key[v3 % v5] + 32;
    ++v3;
  }
  printf("Please input your flag:", src);
  while ( 1 )
  {
    v1 = getchar();
    if ( v1 == 10 )
      break;
    if ( v1 == 32 )
    {
      ++v2;
    }
    else
    {
      if ( v1 <= 96 || v1 > 122 )
      {
        if ( v1 > 64 && v1 <= 90 )
          str2[v2] = (v1 - 39 - key[v3++ % v5] + 97) % 26 + 97;
      }
      else
      {
        str2[v2] = (v1 - 39 - key[v3++ % v5] + 97) % 26 + 97;
      }
      if ( !(v3 % v5) )
        putchar(32);
      ++v2;
    }
  }
  if ( !strcmp(text, str2) )
    puts("Congratulation!
");
  else
    puts("Try again!
");
  return __readfsqword(0x28u) ^ v12;
}

分析代码以及相应的值，我们已经可以知道text以及key的值，剩下就是推出str2,而这个str2也就是我们的flag!!!

而得到str2的关键就在于式子‘str2[v2] = (v1 - 39 - key[v3++ % v5] + 97) % 26 + 97;’，撇开乱七八糟的判断条件，通过text是个正常的字符串，我们就可以知道str2中没有类易于空格的字符。

方法一：（直接公式逆推）

text = 'killshadow'#=str2
key = 'adsfkndcls'
v3=0
v5=len(key)
n=0
flag=[0,0,0,0,0,0,0,0,0,0]
for i in range(0,10):,
    for j in range(0,10):
        v1=(ord(text[j])-97)+26*i+ord(key[v3%v5])-58
        if(v1>65 and v1<=90)||(v1>=97 and v5<=122):
　　　　　　　　flag[j]=chr(v1)
　　　　　　　  n = n+1
　　　　　　　  if(n==10):
　　　　　　　　　　 print(flag)
　　　　　　　　　　 break
        v3=v3+1

运行结果为：

 方法二：写字典暴力密码正向破解

text = 'killshadow'#=str2
key = 'adsfkndcls'

#暴力字典破解
v3=0
v5=len(key)
dict1="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz"
flag = ""
for i in range(0,10):
　　 n=0
    for char in dict1:
        x = (ord(char) - 39 - ord(key[v3%v5])+97)%26+97
        if(chr(x)==text[i]):
　　　　　　　 n = n+1
　　　　　　　if(n==1):
　　　　　　 　　print(char,end="")
    v3=v3+1

运行结果：

 这样我们的flag就出来啦！！！不过，好像我发现了点问题，明天修改一下！

昨天写的时候在想，为什么就一定是大写的，其实也有小写的字母符合式子，把写的代码改了下，只取了第一次相等的结果，最后得出来的依旧是答案,可感觉还是有点点怪！当初做出来的时候，没注意这些，现在一想就很奇怪，还是我分析不到位呀！