BScript
803个exe,都有upx壳,每个程序都差不多,先脱upx
from os import *
f=r"C:\Users\My\Desktop\upx-3.96-win64\upx.exe -d C:\Users\My\Desktop\BScript"
for i in range(5,804):
system(f+"\\"+str(i)+".exe")
然后进里面分析,随便找了个2拖进ida
要将ans倒序,看ans
在data:403024处,看里面内容
我对PE文件还比较熟悉,明显可以看出2是PE头的部分,再去看0,1,是MS-DOS的部分,由此可判断只要将这些部分拼成一个PE就可以了,但在踩了坑后发现,不只有一种格式,在分析了近二十个文件后,确认共有三种格式:
1,存在403040处,长度为64 db,倒序
2,存在403020处,长度为32 db,正序
3,存在bss段,长度为32,值全为“\x00”
需要想办法分辨出这三种不同的格式
在4015DA处是判断长度的位置,在2和3情况下为“\x1f”,可由此分辨1和2,3
在401640处用到了可根据存放位置的偏移不同区分2,3
FILE=r"C:\Users\My\Desktop\B.exe"
with open(FILE,"ab") as F:
for i in range(0,804):
file=r"C:\Users\My\Desktop\BScript"+"\\"+str(i)+".exe"
with open(file,"rb") as f:
f=f.read()
if(f[0xa12:0xa13]==b"\x1f"):
if(f[0xa42:0xa43]==b"\x30"):
F.write(f[0x1c20:0x1c40])
else:
for i in range(32):
F.write(b"\x00")
else:
F.write(f[0x1c40:0x1c80][::-1])
得到PE文件,拖入ida
byte_40D040就是flag的值,可通过查看引用找到,得到的是QkpEe1doT3RfNF9iYWV1dDFmdTFfc2NybHB0fQAA
一看就是base64,解得flag
blink
这题一堆花里胡哨的输出,但难度比上一题少很多,逻辑就是循环输出一堆坐标,同时用rand()随机控制是否输出,我一顿patch,
patch掉while,rand,usleep和那些花里胡哨的输出
上图为patch后的main,再运行
得到二维码,但是扫不了,我许久未做的misc基础帮了我一下
#!/usr/bin/env python
from PIL import Image
with open("blink.txt","r") as f:
f=f.read()
str=""
for i in range(0,len(f),2):
if f[i]=="x":
str+="1"
else:
str+="0"
#print(str)
pic = Image.new("RGB",(25, 25))
i=0
for y in range (0,25):
for x in range (0,25):
if(str[i] == '1'):
pic.putpixel([x,y],(0, 0, 0))
else:
pic.putpixel([x,y],(255,255,255))
i = i+1
pic.show()
pic.save("flag.png")
得到flag