【2022】春节解题领红包之三——新手向

梦旅意中人 · 发表于 2022-2-17 00:33

本帖最后由梦旅意中人于 2022-2-17 21:14 编辑

那年我找到了一个String，却以为抓住了整个Key。

动态追溯

静态分析

再回OD

DEATHTOUCH · 发表于 2022-2-17 15:05

分析的不错，思路和楼主差不多，顺便发个我写的屑注册机吧

关照一下401100，401080，401110，还有那个究极折磨的4011B0
C语言的，VS2019或者gcc都可以编译

[C] 纯文本查看 复制代码

#ifdef _MSC_VER
#define _CRT_SECURE_NO_WARNINGS
#endif
#include <stdio.h>

int CalcMulNum(int UID)
{
    int n, t, i, m;
    n = 0;
    // 401080
    t = UID % 12;
    if (t <= 5)
        n = 2 * t + 1;
    else
        n = 2 * t + 3;
    // 401110
    int arr[36] = { 0 };
    i = 0;
    t = 26;
    arr[4] = 1;
    arr[7] = 1;
    int *p = &arr[1];
    do {
        p += 4;
        i++;
        m = t % n;
        p[3] = *p;
        p[4] = *(p - 1) - t / n * (*p);
        p[5] = p[2];
        p[6] = p[1] - t / n * p[2];
        t = n;
        n = m;
    } while (m);
    i *= 4;
    int result = arr[i + 3];
    if (result < 0)
        result += 26;
    return result;
}

void GenerateMap(char *Upper, char *Lower, int SubNum, int MulNum)
{
    char c;
    int i;
    for (i = 0; i < 26; i++) {
        c = MulNum * (i - SubNum) % 26 + 65; // 4011B0
        if (c < 65)
            c += 26;
        Upper[i] = c;
    }
    for (i = 0; i < 26; i++) {
        c = MulNum * (i - SubNum) % 26 + 97; // 4011B0
        if (c < 97)
            c += 26;
        Lower[i] = c;
    }
}

int main()
{
    const char TrueFlag[] = "flag{Happy_New_Year_52Pojie_2022}";
    int UID, MulNum, SubNum;
    char MapUpper[27] = { 0 };
    char MapLower[27] = { 0 };
    printf("Please Input your UID: ");
    scanf("%d", &UID);
    if (UID > 2000000 || UID < 0) {
        printf("Invalid UID, Try again.\n");
        return 0;
    }
    SubNum = UID % 25; // 401100
    MulNum = CalcMulNum(UID);
    printf("SubNum: %d\n", SubNum);
    printf("MulNum: %d\n", MulNum);
    GenerateMap(MapUpper, MapLower, SubNum, MulNum);
    printf("MapUpper: %s\n", MapUpper);
    printf("MapLower: %s\n", MapLower);
    char flag[34] = { 0 };
    for (int i = 0; i < 34; i++) {
        char c = TrueFlag[i];
        if (c <= 'Z' && c >= 'A') {
            for (int j = 0; j < 26; j++)
                if (MapUpper[j] == c) {
                    flag[i] = 65 + j;
                    break;
                }
        } else if (c <= 'z' && c >= 'a') {
            for (int j = 0; j < 26; j++)
                if (MapLower[j] == c) {
                    flag[i] = 97 + j;
                    break;
                }
        } else
            flag[i] = c;
    }
    printf("YourFlag: %s\n", flag);
}

梦旅意中人 · 发表于 2022-2-17 21:21

DEATHTOUCH 发表于 2022-2-17 15:05
分析的不错，思路和楼主差不多，顺便发个我写的屑注册机吧
关照一下401100，401080，401110， ...

你也太谦虚了的，注册机写出来真的很厉害的，感谢分享，回头好好研究下，顺带告诉大家评论有大佬给出算法了，呼叫他们一起过来学习。

seawaycao · 发表于 2022-2-17 12:27

谢谢分享！辛苦了！非常适合我这样的小白。

Meiosis · 发表于 2022-2-17 13:39

YSLW · 发表于 2022-2-17 14:26

Mansion · 发表于 2022-2-17 14:29

akcode · 发表于 2022-2-17 14:37

Hmily · 发表于 2022-2-17 17:55

能不能把图片上传下本地，图床太慢了，半天打不开图片嘞。

yuntiger · 发表于 2022-2-17 20:11

雪色的夏天 · 发表于 2022-2-17 20:42

帐号		自动登录	找回密码
密码			注册[Register]

[CTF] 【2022】春节解题领红包之三——新手向

那年我找到了一个String，却以为抓住了整个Key。

动态追溯

静态分析

再回OD

[CTF] 【2022】春节解题领红包之三——新手向

那年我找到了一个String，却以为抓住了整个Key。

工欲善其事，必先利其器

查壳

UPX壳,我们的老朋友，使用ESP定律即可，关于ESP定律脱壳详细操作可参考我之前文章 ( 2020春节红包之二———小白成长的血泪史https://www.52pojie.cn/thread-1101472-1-1.html ) 观看脱壳部分学习即可，此处不多赘述。

收集信息，需要我们的UID和最终的Key，随便输入，提示Error

动态追溯

将脱壳后的文件拖入OD，这里选择否

右键依次选择中文搜索引擎—>智能搜索,Ctrl+F 找我们的提示信息Error(按N寻找下一个匹配项),这里除了Error,Success,还有一串神秘疑似key的字符串

结合前几年的题目，开始我的偷懒猜想，可就是这个字符串，困了我整整一天

既然看到我们的Success，那就它对应的汇编代码，双击后回到我们的汇编页面，熟悉的jnz，熟悉的cmp，还是原来的配方，还是原来的味道

静态分析

于是决定使用IDA分析一波，将文件再拖入IDA中看看有什么发现，阿，很快啊，我们就找到Success了，然后发现它上方面的判断模块，F5将汇编代码转为伪代码，(使用Shift+F12调处字符串窗口，再搜索Success也是可以的)

这里的sub_401520函数就是决定我们成功或是失败的条件，这里要求它的返回值为1才能进入Success，点击sub_401520函数，进入它的内部看看

运行后输入我们的测试数据1，123456后回车，在断点的地方停下来，显示这个页面不用担心，按F5将代码转为伪C代码

按F7进入函数内部，然后F8执行，如果没有思路的时候，可以把鼠标悬停变量上，或许会有意想不到的收获，这里的v3为0x21，16进制转十进制即 33，这会预示什么呢？

继续F8，这个V4变量显示一个String(字符串)

双击V4，找到它的源地址，并把这个String拿到，得到"flag{Happy_New_Year_52Pojie_2022}"，字符串长度恰好为33 = (0x21)，这就是答案吗？不，才刚刚开始，，，

继续向下分析，我们发现这个v6中存放的值是3，也就是我们输入的字符串"123"的长度，而接下来又看见我们熟悉的result 和memcmp函数了，前面提到需要保证返回值为0，才可以进入Success，据此我们可知Key的长度为33

解题的那天家里正好还来了客人，我顾不得那么那么多，在电脑前不肯放弃（大家千万别学我），因为看多了B站老冯的 鸡汤来喽 的视频，找到这个String的时候高兴的不得了，情不自禁的念叨着"这(解题)多是一件美事呀！"

但使用获得的"flag{Happy_New_Year_52Pojie_2022}"却显示不正确，场面一度十分尴尬。起初以为是UID问题，后来由改了正确的UID，然后还是不行，摸摸我的秀发，深深的陷入了沉思

再回OD

使用OD载入程序，这里输入测试UID = 1, Key = "abcdefghijklmnopqrstuvwxyz"

在之前我们下过的断点处停下，然后F7再进入函数内部，距离Success很近的call函数

这里需要很多次F8，结合之前在IDA中获得的信息，这个函数内有一个if条件，而且这里有许多相似的代码块，滑动鼠标中键，并且观察一下右边的内容，可以看到会重复重复出"flag{Happy_New_Year_52Pojie_2022}",找到最后一个"}"

再向下可以发现一些call函数，和jnz跳转，就近原则，在00401CCE 这个地址下断点，按F9直接运行到这个断点，再按F7进入函数

一路F8可以发现输入的"abcdefghijklmnopqrstuvwxyz" 变成了 "rajsbktcludmvenwfoxgpyhqzi"，别忘了，这是UID = 1时获得的值

通过上图可以得知我的UID计算后的字符对应关系，进而写出我的Key "oefv{Cfggr_Shd_Rhfu_52Gzqjh_2022}"，完美

还有一点有些疑惑的地方就是在下面的if-else条件语句块中，IDA中看到的代码似乎相差不大，是否说明这段代码设计之初有冗余，可以取公有的部分封装优化。

此处应该有分析整个代码块的加密算法的，但因为我不仅菜，而且懒，所以没有了。

评论区有位大佬给出了解密的注册机算法源码，大家可以去围观学习一下。

免费评分

个人中心

解题的那天家里正好还来了客人，我顾不得那么那么多，在电脑前不肯放弃（大家千万别学我），因为看多了B站老冯的鸡汤来喽的视频，找到这个String的时候高兴的不得了，情不自禁的念叨着"这(解题)多是一件美事呀！"