CTF
2024 鹏城杯初赛WriteUp(RE)
00 分钟
2024-11-10
2024-11-11
type
status
date
slug
summary
tags
category
icon
password

joyVBS

notion image
附件:
joyVBS .zip
11.1KB

解法 1:

 
💡
修改 Executewscipt.echo
 
notion image
 
如图:
notion image
 
然后直接运行 .vbs 脚本即可恢复混淆前的源码
 
notion image
 
💡
反向26-9-2-2-1=12偏移的栅栏(Rot13)解密,再解一个base64就是 flag
 
notion image

解法 2:

💡
直接用 python 将chr()代码里面的数据提取出来恢复混淆前的源码
 
 
notion image
 
然后一样看代码解密
notion image

exec

notion image
附件:
chall.zip
2901.3KB
 
💡
exec 替换掉,然后执行即可恢复源码
 
💡
发现是一个 RC4 加密,并且是魔改的,不过因为 RC4 是对称算法,所以直接抄代码即可
源码:
解密代码:

Re5

notion image
附件:
RE5.zip
4.8KB
 
 

Raffesia

notion image
附件:
Rafflesia.zip
12.4KB
 
发现存在花指令:
notion image
 
 
notion image
 
nop 即可
 
notion image
 
 
notion image
 
保存一下,就可以正常 F5 反编译了
 
然后分析并且恢复一下符号表
notion image
 
 
base64 解密函里面发现了 xor 0x18 的代码
notion image
 
静态看索引表发现是标准的,但解密不出来
 
notion image
 
 
原因是程序动态运行时改了索引表,这个题目有 tls 反调试
 
通过附加进程的方式绕过反调试
 
notion image
 
notion image
 
 
 
💡
xor 0x18异或回去,再解一个 base64
 
notion image
上一篇
常见汇编语言指令表
下一篇
CVE-2024-23897 复现