0x00 strangeCpp
运行一次提示cpu num 是有用的,IDA找到这个变量为dword_140021190,交叉引用找到这个变量的其他使用函数,找到关键函数。
image.png
跟进sub_140011384(),得到result的计算过程。
image.png
根据前面的if判断,爆破dword_140021190,然后与byte_140021008异或输出。
import hashlib
res = 607052314
#dword_140021190 <= 14549743
byte_140021008 = [
0x26, 0x2C, 0x21, 0x27, 0x3B, 0x0D,
0x04, 0x75, 0x68, 0x34, 0x28, 0x25,
0x0E, 0x35, 0x2D, 0x69, 0x3D ]
for i in range(14549744):
a = (((i<<8) ^ (i>>12)) * 291)& 0xFFFFFFFF #超出了C语言中int范围。
if a == res:
print("dword_140021190 =" ,i)
dword_140021190 = i
break
# python2 : print(map(lambda x : chr((x^dword_140021190)%256),byte_140021008))
[print(chr((i^dword_140021190)%256),end='') for i in byte_140021008]
print("\nflag{"+hashlib.md5(str(dword_140021190).encode(encoding = 'utf-8')).hexdigest()+'}')
0x01 CSRe
此程序是一个.NET程序,运行程序,发现了Eazfuscator.NET,混淆。
image.png
使用de4dot工具处理。
image.png
,然后使用dnSpy打开。找到Main函数:
image.png
跟进Class3.smethod_0(),得知这是个sha1加密函数。
B498BFA2498E21325D1178417BEA459EB2CD28F8 ,63143B6F8007B98C53CA2149822777B3566F9241
在线解这两个sha1得到flag.
image.png
image.png
网友评论