WHCTF2017线上小记

　　第四届XCTF开始，首战因素，加上团队刚加入了两个新人的原因，还是决定一块参与一下。水了3题。2个RE和1个MISC，照顾新人，写的比较啰嗦。

[MISC] PY-PY-PY
　　下载题目之后是一个pyc文件。使用反编译工具恢复，提示出错，编译出来的代码也有问题。就怀疑可能有别的东西，翻出了一篇“Python字节码中嵌入Payload的隐写”,下载所述的Stegosaurus利用之。

相关链接：http://www.freebuf.com/sectool/129357.html

[RE] BABYRE
　　ELF，第一反应先用IDA的F5大法。加载结束，跟到主函数下面的一个函数，发现分析失败“sp-analysis failed”，F5无效。看着IDA已有的分析结果，用GDB去调。主函数代码非常简单，有一个跳转到分析失败的函数。关键跳转的条件也非常简单，由CMP指令决定，和0xE比较。前面的函数是一个strlen()，再往前是scanf()。这部分程序过程基本就清楚了，输入之后检查了字符串的长度，检测的地方就是CMP指令和0xE（十进制的14）比较。
　　理顺了输入检验，GDB跟到那个IDA没有分析出来的judge()函数中。没有分析出来的地方是连续的赋值，这些值虽然不是flag格式，15个，前14个事非0值，还是比较可疑的。测试输入的是连续的数字，发现这些会被运算变成别的值，变化完之后会再判定，不符合则结束了。没有别的内容了，就把那14个字符输了进去，变化之后前4位就是flag，第5个值是0x7F，输入不进去，其实就是“{”的那一位随便找了一个满足条件的值，这里输了“1”。循环14次之后出flag。人为替换第五位即可。

[RE] CRACKME
　　VC6的MFC程序，有点蒙，看着像输入SN然后进行判定的，还是纠结了一会有没有加载玄机，没有直接去调点击后的事件。逻辑就是检测输入的SN长度要满足33，并且之后会判定输入的内容。

　　核心的函数就在0x401630处，断下来，其中有一个关键的比较：比较时，正确的值会在寄存器上。在那个比较的地方下端，运行33下就得出结果了。（其实是在数据段里的某个位置开始每次间隔10B取一次值）

flag{The-Y3ll0w-turb4ns-Upri$ing}