告别枯燥理论:用5个CTFshow逆向真题带你玩转Python反编译与Base变种
告别枯燥理论:用5个CTFshow逆向真题带你玩转Python反编译与Base变种
当你面对一个未知的Python可执行文件或字节码时,是否感到无从下手?本文将带你通过5个CTFshow逆向真题,系统掌握Python逆向的核心技能。从工具链使用到编码变种分析,我们不仅解决具体题目,更构建可复用的解题工具箱。
1. Python逆向基础工具链
逆向Python程序的第一步是获取可读的源代码。根据程序打包方式不同,我们需要使用不同的工具链。
1.1 PyInstaller打包程序逆向
对于PyInstaller打包的.exe文件,推荐使用pyinstxtractor工具:
python pyinstxtractor.py target.exe执行后会生成一个目录,其中包含提取的.pyc文件。关键点:
- 查找名称与原始脚本相近的.pyc文件
- 注意PYZ-00.pyz.extracted目录可能包含依赖库
1.2 .pyc文件反编译
获取.pyc后,可以使用以下工具进行反编译:
| 工具名称 | 特点 | 适用场景 |
|---|---|---|
| uncompyle6 | 支持Python 3.7-3.8 | 大多数现代.pyc文件 |
| decompyle3 | Python 3.9+支持 | 新版Python编译的字节码 |
| pycdc | 支持多种版本 | 兼容性较好但可能出错 |
典型使用方式:
uncompyle6 -o output.py target.pyc提示:如果反编译失败,尝试先用
python -m py_compile重新生成.pyc文件
2. Base编码变种识别与逆向
CTF中常见的Base编码变种包括换表、移位等操作。掌握这些变种的识别与逆向是解题关键。
2.1 Base64换表识别
标准Base64使用A-Za-z0-9+/作为码表。换表变种的识别方法:
- 查找代码中的字符串常量,特别是64个字符的组合
- 观察编码函数中是否有类似
base64.b64encode的操作 - 检查是否有自定义的索引映射逻辑
例如在"签退"题目中,码表被修改为:
c_charset = string.ascii_uppercase + string.ascii_lowercase + string.digits + '()'2.2 字符移位处理
许多题目会在Base编码后增加字符移位操作。常见移位类型:
- ROT系列:固定位移(如ROT13)
- 凯撒密码:字母表循环位移
- 异或运算:与固定值或位置相关值异或
逆向移位的关键是找到位移规律。例如"签退"题目中的rend函数:
def rend(s): def encodeCh(ch): f = lambda x: chr(((ord(ch) - x) + 2) % 26 + x) if ch.islower(): return f(97) if ch.isupper(): return f(65) return ch return ''.join([encodeCh(c) for c in s])对应的逆向函数应为:
def rend_reverse(s): decoded = [] for c in s: if c.islower(): decoded_char = chr((ord(c) - 97 - 2) % 26 + 97) elif c.isupper(): decoded_char = chr((ord(c) - 65 - 2) % 26 + 65) else: decoded_char = c decoded.append(decoded_char) return ''.join(decoded)3. Base58与异变种分析
Base58是比特币地址常用的编码方式,与Base64相比去除了易混淆字符。
3.1 标准Base58特征
标准Base58码表:123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz
识别要点:
- 码表长度为58
- 通常包含大小写字母和数字
- 去除了0/O/I/l等易混淆字符
3.2 异或变种处理
在"来一个派森"题目中,Base58编码后还进行了逐字符异或:
tmp = [] for i in range(len(temp)): tmp.append(chr(ord(temp[i]) ^ i))逆向时需要先异或再Base58解码:
check = ['A','5','q','O','g','q','d','\x7f','[','\x7f','s','{','G','A','x','`','D','@','K','c','-','c',' ','G','+','+','|','x','}','J','h','\\','l'] temp = [] for i in range(len(check)): temp.append(chr(ord(check[i]) ^ i))4. RC4加密算法逆向
RC4是CTF中常见的流加密算法,识别和逆向有一定技巧。
4.1 RC4算法特征
典型RC4实现包含两个阶段:
- KSA(密钥调度算法):初始化S盒
- PRGA(伪随机生成算法):生成密钥流
识别特征:
- 256字节的S盒初始化
- 嵌套循环结构
- 字节交换操作
4.2 高强度RC4变种
在"屏幕裂开了"题目中,RC4的KSA阶段被重复执行99999次:
for hit_count in range(99999): j = 0 for i in range(256): j = (s[i]+j+k[i])%256 s[i],s[j] = s[j],s[i]逆向时需要完整模拟这一过程,不能简化。
5. 实战解题工具箱
综合上述技术,我们构建一个Python逆向解题工具箱:
5.1 常用工具列表
反编译工具
- pyinstxtractor:解包PyInstaller
- uncompyle6/decompyle3:反编译.pyc
- pycdas:查看字节码
编码工具
- CyberChef:在线编码转换
- base64/binascii:Python标准库
- hashlib:哈希计算
调试工具
- x64dbg/x32dbg:动态调试
- IDA Pro/Ghidra:静态分析
5.2 实用代码片段
Base64换表解码模板:
import base64 custom_b64 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789()" std_b64 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/" def custom_b64decode(s): trans = str.maketrans(custom_b64, std_b64) return base64.b64decode(s.translate(trans))RC4解密模板:
def rc4_decrypt(data, key): S = list(range(256)) j = 0 # KSA for i in range(256): j = (j + S[i] + key[i % len(key)]) % 256 S[i], S[j] = S[j], S[i] # PRGA i = j = 0 result = [] for char in data: i = (i + 1) % 256 j = (j + S[i]) % 256 S[i], S[j] = S[j], S[i] result.append(char ^ S[(S[i] + S[j]) % 256]) return bytes(result)在实际CTF比赛中,Python逆向题目往往结合多种技术。例如先需要反编译获取源码,然后分析自定义的编码算法,最后编写逆向脚本。掌握这些核心技能后,你会发现Python逆向其实充满乐趣。