一.无壳,拖入ida,静态编译一下
整体逻辑还是很清晰,这里我的盲区是那个加密函数,是md5,没看出来,内存地址看错了,之前用黑盒动调一下,发现猜不出来,看某位wp发现有的老哥,直接sha1爆破的,狠人,hash加密,其实容易去想到md5,所以拿字符串去解密一下,发现得到了第一个空的答案,
接下来分析出现了下一个md5爆破不出来,这应该是出题人设置的坑了,这时候继续看下来,有个关键函数,发现只要把这个函数逆向一下,不就出来了吗,点击进去
FindResourceA:找到模块中的资源,这句话是找到AAA类型的叫0x65的资源
SizeRecource:根据名字也容易知道函数返回的是字节数
LockResource:返回资源地址
发现还有一个函数,点击再进去。
发现是异或,同时在联系上面的if语句,能知道资源和输入的字符串异或后,为了创建RTF文件,将资源再输入进去,为了保证创建成功所以,必须符合格式,所以RTF文件的文件头是个关键,再异或回去就是,因为我们只需要6位,所以取前六位就好了。
这是rtf的文件格式
写个脚本就出来了:
res=[0x05,0x7D,0x41,0x15,0x26]
rtft = '{\rtf1'
flag=""
for i in range(len(res)):
flag+=chr(res[i]^ord(rtft[i]))
print(flag)
第一个空是123123
第二个空是~!3a@
本地会生成rtf文件,里面是flag。