BUUCTF-[GWCTF 2019]re3

[GWCTF 2019]re3

查壳，64位无壳

然后进去发现主函数也比较简单，主要是一个长度校验，然后有一个mprotect函数，说明应该又是Smc，然后我们用脚本还原sub_402219函数处的代码

import idc
addr=0x00402219 
size=224 
for i in range(addr, addr+size):idc.patch_byte(i, get_wide_byte(i)^0x99) 
print("ok")

先看看sub_40207B函数，里面反复调用了sub_401CF9函数。

跟进看看sub_401CF9函数干了什么，一开始看见v5到v8这个样子还以为是rc4的加密，看了后面的内容发现肯定不是rc4了，看了一下wp，说是md5加密的特征数

那似乎这个地方的大致逻辑就是对这些unk数据进行md5加密，唯一不同就是对base64表进行了两次md5加密

然后被加密的表当作这里的a2被传入了，这里感觉也不是标准的base64解码的函数，特别是byte_4023A0是长度为256的数组，那么可以看出肯定不是base64了

用插件可以识别出aes的特征码，

然后回头看sub_402219函数，这个函数是，先对v4进行了一次处理，然后应该是将v4在sub_40196E这个函数进行了两次加密，分别传给了a1和a1+16，最后和byte这个密文进行对比

进入sub_40196E，发现下面存在AES特征，那就尝试提取密文和密钥

密钥就是给aes加密生成sbox盒的东西，也就是两次对表md5加密后的内容，这里尝试动调解出unk_603170