本文详细介绍了如何通过IDA分析32位程序,利用CryptCreateHash和MD5加密API来解密两个6位密码。首先通过SHA1爆破得到第一个密码'123321',然后使用异或操作和MD5得到第二个密码'~!3a@0'。最终输入这两个密码获取到dbapp.rtf文件,从中提取出flag。
题目链接:https://buuoj.cn/challenges#CrackRTF
把题目拖进exeinfo,无壳,32位的程序
把题目拖进IDA中
大概的解题思路:
先输入一个长度为6并且不小于100000的第一个密码,atoi是把字符串转化成整形,接着拼接上了“@DBApp”(用pbData表示),pbData经过sub_40100A函数的处理,得到的字符串要与字符串"6E32D0943418C2C33385BC35A1470250DD8923A9"相等
再输入一个长度为6的第二个密码,拼接上pbData后,经过sub_401019函数处理后得到的字符串与字符串"27019e688a4e62a649fd99cadaafdb4e"相等
最后还有个sub_40100F的函数
(1)先看sub_40100A函数
可以看到这里有个CryptCreateHash,这是window加密的API,后面的参数是0x8004u,这代表这是sha1加密,用脚本进行爆破
import hashlib
flag='@DBApp'
for i in range(100000,999999):
s = str(i)+flag
s1 = hashlib.sha1(s.encode())
flag1 = s1.hexdigest()
if "6e32d0943418c2c33385bc35a1470250dd8923a9" == flag1:
print(s)
得到123321@DBApp,所以第一个密码是123321
(2) 再看sub_401019函数
着的参数是0x8003,这是个md5加密,但这不像第一个有限制,不好爆破
在往下看看最后的sub_40100F函数
从"AAA"中取得数据,传入sub_401005函数中,然后得到了dbapp.rtf的文件
看看sub_401005函数
是把传进来的数据进行异或因为要创建.rtf文件,所以需要一个rtf头,因为要输入的密码就6位,所以只需要前6位就够了"{\rtf1"
再通过ResourceHacker工具可以找到文件中的资源"“AAA”,也只需要前6位
通过脚本异或出第二个6位密码,是"~!3a@0"
s = "{\\rtf1"
a = [0x05,0x7D,0x41,0x15,0x26,0x01]
flag = ""
for i in range(0,len(str)):
n = ord(str[i]) ^ a[i]
flag += chr(n)
print(flag)
运行程序依次输入第一个密码"123321",第二个密码"~!3a@0",得到dbapp.rtf文件,打开就是flag
flag:flag{N0_M0re_Free_Bugs}
扫一扫
3369
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
