RC4 on PseudorandomDog's Blog

强网杯S8

Mon, 11 Nov 2024 00:00:00 +0000

mips #

Someone has found the mips binary, along with an emulator to execute it. What can you find in them?

USAGE：./emu ./mips_bin

32 位大端 mips 程序，拖到 IDA 里即可

程序会在 0x23000 处开辟一个可执行空间，写入解密的机器码，然后执行

这样得到的 flag 是 flag{dynamic_reverse}，是个假的 flag，交不上

一开始的想法是 emu 在加载时动态修改了程序，故修补程序使之在结束时打印字节码的内容，没有收获，但有个意外发现：在跳到 0x23000 前的 write 函数可以调用成功，之后的所有 patch 全都失效了

所以推测是 emu 在 0x23000 或那条 if 语句处下了钩子

IDA 打开 emu 直接搜索 0x23000 立即数

定位到 hook 的地方，这里有一个独立的检测，对 encrypt 的参数下交叉引用可以找到检测 flag 前缀的代码，推测出参数就是输入

encrypt 函数是一个稍微有点绕的魔改 RC4，KSA 部分使用乘以常数来优化了除法，实际上 KSA 和标准实现一致（见注释），PRGA 也一致，只是最后的加密多做了一些 XOR

DASCTF2024年10月赛留档

Thu, 07 Nov 2024 00:00:00 +0000

ezelf #

Drink the tea and go to find the fish！！

ollvm 平坦化过的控制流

使用 deflat 去平坦化

首先要过一个魔改过的 xxtea，这里的明文是密钥 DASCTF{dr1nk_te@_4nd_cont1nu3..}

然后过一个魔改过得 blowfish，粗略看了下用的似乎是 rc4 的 sbox，但无所谓，sbox 和 pbox 都调试 dump 出来

算法也魔改过，照着抄一个解密

from pwn import u32, p32
from Crypto.Cipher import Blowfish

xxtea_ct=b'\xb4\xb5ZB\xa6y\x0b\xac\x0e#x\xde\xe1-\xc6\x1d\xbb)\x8c\xe2\x94\xfe\x14\xd9\xaa\x03\xe3\x8a\x14\x92\x1cd'
#xxtea_key=[1234,2341,3412,4123]
xxtea_key=[11,45,14,777]

def shift(z, y, x, k, p, e):
    return ((((z >> 5) ^ (y << 2)) + ((y >> 3) ^ (z << 4))) ^ ((x ^ y) + (k[(p & 3) ^ e] ^ z)))

def decrypt(v, k):
    delta = 0x11451400
    n = len(v)
    rounds = 16
    x = (rounds * delta) & 0xFFFFFFFF
    y = v[0]
    for i in range(rounds):
        e = (x >> 2) & 3
        for p in range(n - 1, 0, -1):
            z = v[p - 1]
            v[p] = (v[p] - shift(z, y, x, k, p, e)) & 0xFFFFFFFF
            y = v[p]
        p -= 1
        z = v[n - 1]
        v[0] = (v[0] - shift(z, y, x, k, p, e)) & 0xFFFFFFFF
        y = v[0]
        x = (x - delta) & 0xFFFFFFFF
    return v

#xxtea_vec = [u32(xxtea_ct[i:i+4]) for i in range(0,32,4)]
#decrypt(xxtea_vec, xxtea_key)
#blowfish_key = b''.join(p32(xxtea_vec[i]) for i in range(8))

blowfish_key = b'DASCTF{dr1nk_te@_4nd_cont1nu3..}'
blowfish_ct = b'p\xb7\xf0\x8d\x8e\xb2\x1eK\x1c\\\xc6s\xfdH\xdeS4\xdf.\x98#\x91"\xd8\x82\x11\'\x90\xe7qB\x1f'

pbox = [
0x00000125,0x243f6a8b,0x243f6b5f,0x000000e0,
0x000001a4,0x243f6b08,0x243f6b6f,0x000001c9,
0x00000044,0x243f6b78,0x243f6b15,0x000000af,
0x000000be,0x243f6a3b,0x243f6ba7,0x00000026,
0x0000009a,0x243f6ba8
]

sbox=[
[],
[],
[],
[],
]

with open("ezelf.dump", "rb") as fp:
    buf = fp.read()

for i in range(256):
    sbox[0].append(u32(buf[i*4:i*4+4]))
    sbox[1].append(u32(buf[(i+256)*4:(i+256)*4+4]))
    sbox[2].append(u32(buf[(i+512)*4:(i+512)*4+4]))
    sbox[3].append(u32(buf[(i+768)*4:(i+768)*4+4]))

def swap(x,y):
    return y, x

def fes(v):
    a = (v>>24)&0xff
    b = (v>>16)&0xff
    c = (v>>8)&0xff
    d = v&0xff
    sa = sbox[0][a]
    sb = sbox[1][b]
    sc = sbox[2][c]
    sd = sbox[3][d]
    m = (sa+sb)&0xffff_ffff
    n = (sc+sd) &0xffff_ffff
    return m ^ n

def bfdec(L, R):
    L = L^(pbox[17])
    for i in range(17, 1, -1):
        R = R ^ fes(L)
        L, R = swap(L, R)
    
    L, R = swap(L, R)

    L = L ^ pbox[0]

    return L, R

flag = b''

for i in range(0,4):
    L = u32(blowfish_ct[i*8:i*8+4])
    R = u32(blowfish_ct[i*8+4:i*8+8])
    L, R = bfdec(L, R)
    flag += p32(L)
    flag += p32(R)
print(flag)
# DASCTF{Y0u_fin@l1y_f1nd_@nswer!}

EZRE #

Themida 保护的 exe

AntCTF-D3CTF2023 RE Writeup

Mon, 22 May 2023 00:00:00 +0000

d3sky #

Beautiful sky~

main 函数很简单，sub_401190 是 RC4

数据的位宽是两字节，XOR 时只解密最低字节
每次调用加密函数 i 和 j 都会重新设置，但 sbox 的状态是继承的

对 sbox 做交叉引用可以找到一个 TLS 回调函数 sub_401050

该函数里引用了 RC4 的密钥，并通过除零异常触发 SEH 拼接最终的密钥 YunZh1JunAlkaid

回看 main 函数可以看到 data 数组其实是一个状态机，这个状态机除了输入、输出之外只有一种指令 NAND

回顾一下 NAND 的自足性：

$\neg A \equiv \neg(A \land A)$
$A \land B \equiv \neg (\neg (A \land B))$
$A \lor B \equiv \neg(\neg A \land \neg B)$

所以实际上作者的设计就是一个单指令的虚拟机

手动打 log

from pwn import u16
from Crypto.Util.number import long_to_bytes
import z3

fp = open("data.bin", "rb")
data = fp.read()
fp.close()

state = [u16(data[i : i + 2]) for i in range(0, len(data), 2)]

def rc4_ksa(key):
    sbox = bytearray(range(256))
    j = 0
    for i in range(256):
        j = (j + sbox[i] + ord(key[i % len(key)])) % 256
        sbox[i], sbox[j] = sbox[j], sbox[i]
    return sbox

def rc4(sbox, msg, idx, length):
    i = j = 0
    for k in range(length):
        i = (i + 1) % 256
        j = (j + sbox[i]) % 256
        sbox[i], sbox[j] = sbox[j], sbox[i]
        x = sbox[(sbox[i] + sbox[j]) % 256]
        msg[idx + k] ^= x

box = rc4_ksa("YunZh1JunAlkaid")
rc4(box, state, 2772, 74)

def play():
    global flags
    global state

    cnt = 0
    while state[0] != 0xFFFF:
        if state[2] == 1:
            state[2] = 0
            print(f"Says: {chr(state[3])}")
        if state[7] == 1:
            state[7] == 0
            print("Reads one byte from stdin")
            cnt += 1
            if cnt == 37 and state[8] != 126:
                print(f"Says: Wrong! (But I don't care)")
        if state[19] != 0:
            print(f"Says: Wrong! (But I don't care)")
            state[19] = 0
        idx = state[0]
        rc4(box, state, idx, 3)
        t0, t1, t2 = state[idx], state[idx + 1], state[idx + 2]
        state[0] = idx + 3
        rc4(box, state, idx, 3)
        state[t2] = (~(state[t0] & state[t1])) & 0xFFFF
        print(f"{idx}:\tnand\t[{t2}], [{t0}], [{t1}]")

play()
exit(0)

下面是输出截取的一部分，可以看到 519 到 528 是在转储位于地址 8 的输入到地址 2807；531 到 579 是地址 2772, 2773, 2774, 2775 的 XOR；582 到 594 是把上一步的结果和地址 2809 比较

RITSECCTF2022

Mon, 11 Apr 2022 00:00:00 +0000

TagAlong #

执行后提示：

something is tagging along this PE file...
47

根据提示 flag 应该藏在 PE 文件里面，用 ResourceHacker 打开之

这里面有很多 0x47，而一般来说一个二进制里最多的是 0，将这一整段 XOR 0x47 得到 flag

b'\xfcH\x83\xe4\xf0\xe8\xc0\x00\x00\x00AQAPRQVH1\xd2eH\x8bR`H\x8bR\x18H\x8bR H\x8brPH\x0f\xb7JJM1\xc9H1\xc0\xac<a|\x02, A\xc1\xc9\rA\x01\xc1\xe2\xedRAQH\x8bR \x8bB<H\x01\xd0\x8b\x80\x88\x00\x00\x00H\x85\xc0tgH\x01\xd0P\x8bH\x18D\x8b@ I\x01\xd0\xe3VH\xff\xc9A\x8b4\x88H\x01\xd6M1\xc9H1\xc0\xacA\xc1\xc9\rA\x01\xc18\xe0u\xf1L\x03L$\x08E9\xd1u\xd8XD\x8b@$I\x01\xd0fA\x8b\x0cHD\x8b@\x1cI\x01\xd0A\x8b\x04\x88H\x01\xd0AXAX^YZAXAYAZH\x83\xec AR\xff\xe0XAYZH\x8b\x12\xe9W\xff\xff\xff]H\xba\x01\x00\x00\x00\x00\x00\x00\x00H\x8d\x8d\x01\x01\x00\x00A\xba1\x8bo\x87\xff\xd5\xbb\xf0\xb5\xa2VA\xba\xa6\x95\xbd\x9d\xff\xd5H\x83\xc4(<\x06|\n\x80\xfb\xe0u\x05\xbbG\x13roj\x00YA\x89\xda\xff\xd5msg * RS{SH3LLCODE_T4GS_4LONG}\x00'

RS{SH3LLCODE_T4GS_4LONG}

Soup #

以 arg1 为 key，arg2 为明文做 RC4 加密

问题在于我们不知道 key，根据题目名字尝试 soup, Soup, SOUP 为 key

RS{BR0CC0L1_CH3DD@R}

DataFun #

函数 sub_1588 中有一个未被修复的跳转表，修复之可以看出这是一个虚拟机

综合位于 main 函数中初始化的函数，以及 sub_1588 中对 vm 进行操作的小函数，可以复原出 vm 的数据结构

struct vm_t
{
  int sz;
  int field_4;
  unsigned __int8 *buf;
  int top;
  int field_14;
};

显然这是一个栈