欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

[re]go语言逆向:2020网鼎杯朱雀组re what wp

程序员文章站 2022-05-19 13:37:13
...

[re]go语言逆向:2020网鼎杯朱雀组re what wp

题目分析

那道题目,是一个linux的逆向,直接输入key:
[re]go语言逆向:2020网鼎杯朱雀组re what wp
然后逆向分析一下,是一个go语言开发的程序,看着比较复杂,但是字符串什么的都没有混淆,可以通过“please input the key:”字符串找到入口:
[re]go语言逆向:2020网鼎杯朱雀组re what wp
然后还可以看到一个类似base64串一样的字符串,感觉像是校验用的,继续往下看找到输入,和输入后的校验:
[re]go语言逆向:2020网鼎杯朱雀组re what wp
可以看到输入校验之后,错误会直接提示error,成功会有一大波操作,简单看了下感觉应该是对开头的flag字符串进行解码或者解密操作,然后输出flag:
[re]go语言逆向:2020网鼎杯朱雀组re what wp

解题

所以现在差不多知道,我们只要把key输入正确,那么就会获得正确的flag,所以要分析一下关键的main_encode函数:
[re]go语言逆向:2020网鼎杯朱雀组re what wp
根据里面的函数名(base64xxxxxx),和字符串(XYZFGHI2+/Jhi345jklmEnopuvwqrABCDKL6789abMNWcdefgstOPQRSTUVxyz01)

我们怀疑这是一个魔改的base64编码程序,将base64的编码表替换了,将原本的编码表(ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/)替换成了(XYZFGHI2+/Jhi345jklmEnopuvwqrABCDKL6789abMNWcdefgstOPQRSTUVxyz01),然后对输入内容进行base64编码之后与"nRKKAHzMrQzaqQzKpPHClX"作比较。那么我们写个脚本还原一下,因为只是替换了编码表,所以我们根据编码表顺序替换回来即可:

exp

new="XYZFGHI2+/Jhi345jklmEnopuvwqrABCDKL6789abMNWcdefgstOPQRSTUVxyz01"
old="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
result="nRKKAHzMrQzaqQzKpPHClX"

keyb64=""
for i in result:
    keyb64+=old[new.find(i)]
print keyb64

[re]go语言逆向:2020网鼎杯朱雀组re what wp
输出内容:V2hhdF9pc19nb19hX0FfSA

去网站base64解码一下:
[re]go语言逆向:2020网鼎杯朱雀组re what wp
后面乱码了,因为base64有补齐嘛,加上=或者==试一下,结果加上==时成功了:
[re]go语言逆向:2020网鼎杯朱雀组re what wp
所以key为:What_is_go_a_A_H

输入程序中,成功输出flag:
[re]go语言逆向:2020网鼎杯朱雀组re what wp
flag{e252890b-4f4d-4b85-88df-671dab1d78f3}