1.拿到文件,一共有exe文件和dll文件、lib文件三个文件
dll文件和lib文件不知道有什么用,所以先IDA打开exe文件:
里面有一个关键的函数String_to_long,对应的加密过程是在动态链接库里,所以我们用IDA打开dll文件,找到String_to_long这个函数:
第64行有一个"-------Checking-----",我们运行应用程序输入之后也会出现这个字符串,这也更加证实了这个函数为主函数。
2.分析函数:
首先,我们知道a1是我们的输入,只需要分析对a1进行操作的函数,大致流程就是对我们输入的字符串先进行base64解密,然后每四个字符为一组,进行hash加密,与已知的值进行比较。
看一下hash函数:
四个字符依次进入循环,综上,把上图的C语言复制粘贴,修改一下,然后爆破即可得到flag,写出爆破脚本:
#include<stdio.h> //编译预处理命令
unsigned int goal[10] = {0x6C43B2A7,0x7954FD91,0xA3E9532,0xB87B5156,0xDA847742,0x2395E7F3,0xA679D954,0xE1FAAFF7};//最终得到的hash值
unsigned int flag[10];//提前定义一个flag变量,类型为整数
char table[100];//定义爆破的变量
using namespace std;//使用C++标准库
int main()//选择爆破的范围
{
int num = 0;
for(int i='a';i<='z';i++)
{
table[num++] = i;
}
for(int i='A';i<='Z';i++)
{
table[num++] = i;
}
for(int i='0';i<='9';i++)
{
table[num++] = i;
}
table[num++] = '{';
table[num++] = '}';
table[num++] = '_';
table[num++] = '-';
for(int i=0;i<8;i++)//根据ida中的语句进行爆破
{
bool vis = 1;
for(int n1=0;n1<num&&vis;n1++)
for(int n2=0;n2<num&&vis;n2++)
for(int n3=0;n3<num&&vis;n3++)
for(int n4=0;n4<num&&vis;n4++)
{
unsigned long long res = 0;
res ^= 0xC6A4A7935BD1E995LL * (((unsigned long long)(0xC6A4A7935BD1E995LL * table[n1]) >> 47) ^ 0xC6A4A7935BD1E995LL * table[n1]);
res *= 0xC6A4A7935BD1E995LL;
res += 0xE6546B64;
res ^= 0xC6A4A7935BD1E995LL * (((unsigned long long)(0xC6A4A7935BD1E995LL * table[n2]) >> 47) ^ 0xC6A4A7935BD1E995LL * table[n2]);
res *= 0xC6A4A7935BD1E995LL;
res += 0xE6546B64;
res ^= 0xC6A4A7935BD1E995LL * (((unsigned long long)(0xC6A4A7935BD1E995LL * table[n3]) >> 47) ^ 0xC6A4A7935BD1E995LL * table[n3]);
res *= 0xC6A4A7935BD1E995LL;
res += 0xE6546B64;
res ^= 0xC6A4A7935BD1E995LL * (((unsigned long long)(0xC6A4A7935BD1E995LL * table[n4]) >> 47) ^ 0xC6A4A7935BD1E995LL * table[n4]);
res *= 0xC6A4A7935BD1E995LL;
res += 0xE6546B64;
unsigned int res2 = (int)res;
if(res2 == goal[i])//与已知数值进行对比,相等则输出
{
vis = 0;
//printf("%d\n",i);
printf("%c%c%c%c",table[n1],table[n2],table[n3],table[n4]);
}
}
}
return 0;
}
/*
*a1 ^= 0xC6A4A7935BD1E995i64 * (((unsigned __int64)(0xC6A4A7935BD1E995i64 * a2) >> 47) ^ 0xC6A4A7935BD1E995i64 * a2);
*a1 *= 0xC6A4A7935BD1E995i64;
result = *a1 + 0xE6546B64i64;
*a1 = result;
*/
运行得到:
R1hZe0lfaGF2ZV9ub19naXIxX2ZyaWVO
base64解密:
最后两位为d},得到最终的flag:
flag{I_have_no_gir1_frieNd}