2017第二届广东省强网杯线上赛--Nonstandard

测试文件：http://static2.ichunqiu.com/icq/resources/fileupload/CTF/echunqiu/qwb/Nonstandard_26195e1832795caa18fd4c7cfbd56600.zip

1.准备

获得信息：

• 32位文件

2.IDA打开

int __cdecl main(int argc, const char **argv, const char **envp)
{
  FILE *v3; // eax
  FILE *v4; // eax
  FILE *v5; // eax
  char Buf[]; // [esp+0h] [ebp-24h]
  __int64 v8; // [esp+10h] [ebp-14h]
  int v9; // [esp+18h] [ebp-Ch]
  __int16 v10; // [esp+1Ch] [ebp-8h]

  v9 = ;
  _mm_storeu_si128((__m128i *)Buf, (__m128i)0i64);
  v10 = ;
  v8 = 0i64;
  v3 = _iob_func();
  fputs("Place Input Flag:\n", v3 + );
  v4 = _iob_func();
  fgets(Buf, , v4);
  if ( sub_401480(Buf) ==  )
  {
    v5 = _iob_func();
    fputs("yes\n", v5 + );
  }
  return ;
}

3.代码分析

打开 sub_401480(Buf)函数

 signed int __thiscall sub_401480(const char *this)
 {
   const char *v1; // esi
   const char *v2; // eax
   unsigned int v3; // eax
   unsigned int v4; // kr04_4
   signed int result; // eax
   char v6; // [esp+4h] [ebp-38h]
   char Dst; // [esp+5h] [ebp-37h]

   v6 = ;
   v1 = this;                                    // this为输入的字符串的地址，长度为28，不包含最后的结束符
   memset(&Dst, , 0x31u);                       // Dst为大小为49的空间
   if ( strlen(v1) !=  )                       // 输入字符串长度为28
     goto LABEL_10;
   v2 = sub_401070((int)v1, 28u);
   strncpy_s(&v6, 0x32u, v2, 0x30u);
   v3 = ;
   v4 = strlen(&v6);
   if ( !v4 )
     goto LABEL_10;
   do
   {
     if ( byte_402120[v3] != *(&v6 + v3) )
       break;
     ++v3;
   }
   while ( v3 < v4 );
   if ( v3 ==  )
     result = ;
   else
 LABEL_10:
     result = -;
   return result;
 }

首先，我注意到第24行代码的比较，byte_402120[]="AdtxA66nbbdxA71tUAE2AOlnnbtrAp1nQzGtAQGtrjC7==="，这是一段被加密的字符串，而比较的v6数组来自v2，v2是函数sub_401070((int)v1, 28u)的返回值，传入的v1是我们的输入字符串。

打开sub_401070((int)v1, 28u)

sub_401070((int)v1, 28u)

这段加密方式是base32

引自：https://www.ichunqiu.com/writeup/detail/815

base64编码是用64（2的6次方）个ASCII字符来表示256（2的8次方）个ASCII字符，也就是三位二进制数组经过编码后变为四位的ASCII字符显示，长度比原来增加1/3。
 同样，base32就是用32（2的5次方）个特定ASCII码来表示256个ASCII码。所以，5个ASCII字符经过base32编码后会变为8个字符（公约数为40），长度增加3/5.不足8n用"="补足。
 base16就是用16（2的4次方）个特定ASCII码表示256个ASCII字符。1个ASCII字符经过base16编码后会变为2个字符，长度增加一倍。不足2n用"="补足

同时我们关注到第41行代码，sub_401000();函数

signed __int16 sub_401000()
{
  signed int v0; // eax
  int v1; // esi
  char *v2; // edx
  char v3; // cl
  signed __int16 result; // ax

  v0 = ;
  do
  {
    byte_403020[v0] += ;
    v0 += ;
  }
  while ( v0 <  );
  v1 = ;
  v2 = &aMnopqrstuvwxyz[];
  do
  {
    v3 = byte_40301F[++v1];
    byte_40301F[v1] = *v2;
    *v2-- = v3;
  }
  while ( (signed int)v2 > (signed int)aMnopqrstuvwxyz );
  *(_DWORD *)&aMnopqrstuvwxyz[] = '';
  result = '';
  word_40303E = '';
  byte_403040 = ;
  return result;
}

这段函数将加密表重新生成，可以在OD动态调试中获得

因此总体操作就是，将我们输入的字符串，使用新生成的加密表，base32加密，得到AdtxA66nbbdxA71tUAE2AOlnnbtrAp1nQzGtAQGtrjC7===加密字符串

4.脚本获取

使用anybase32包来解密：https://github.com/alanblevins/anybase32

from __future__ import print_function
import anybase32

arbitrary_alphabet = b"zYxWvUtSrQpOnMlKjIhGfEdCbA765321"

encoded = b"nAdtxA66nbbdxA71tUAE2AOlnnbtrAp1nQzGtAQGtrjC7"

flag = anybase32.decode(encoded, arbitrary_alphabet)

print(flag)

5.get flag！

flag{f1ag_1s_enc0de_bA3e32!}