xctf-simple-crackme

攻防世界 手工脱壳

拖入之后是北斗壳（nspack），然后将程序拖入x32.dbg

F9进入断点pushfd，这是ep（程序入口）

F8步入pushad，右侧在esp右键在内存窗口中转存

在左下角栈顶（esp下断点），硬件断点访问，32位所以是（D）

按一下F9运行，当我们执行f9执行程序到断点位置的时候，就会来到popfd这个位置

再按F9，在发现jmp有大跳转的时候按F7跟进，直到

找到oep（原始程序入口），然后点击插件scylla，dump，修复

紧接着修复IAT，get imports，fix dump

得到

拖入ida，shift+fn12

点进去，ctrl+x查看引用，找到main函数，F5反编译

逻辑是用户输入的第 v1 个字符（ASCII 码）与byte_402130进行异或，然后与数组dword_402150进行比较

所以dword_402150是我们加密后的数据

v2 % 16说明key的长度是16

V1是我们输入的字符串

双击byte_402130进入再右键进入hex

this_is_not_flag刚好是16位

我们输入一个长度位42的字符串，然后让key叠加，然后与输入的字符串异或得到加密后的数据，也就是dword_402150

将它转换成数组

大小为42位

shift+e导出

flag=""

a="this_is_not_flag"

b=[0x12,4,8,0x14,0x24,0x5c,0x4a,0x3d,0x56,0x0a,0x10,0x67,0,0x41,0,1,0x46,0x5a,0x44,0x42,0x6e,0x0c,0x44,0x72,0x0c,0x0d,0x40,0x3e,0x4b,0x5f,2,1,0x4c,0x5e,0x5b,0x17,0x6e,0x0c,0x16,0x68,0x5b,0x12,0x48,0x0e]

for i in range(42):

flag+=chr(ord(a[i%16])^b[i])

print(flag)

flag{59b8ed8f-af22-11e7-bb4a-3cf862d1ee75}