2024 鹏城杯初赛WriteUp(RE)
type
status
date
slug
summary
tags
category
icon
password
joyVBS
附件:
解法 1:
修改
Execute → wscipt.echo
如图:
然后直接运行
.vbs 脚本即可恢复混淆前的源码
反向26-9-2-2-1=12偏移的栅栏(Rot13)解密,再解一个base64就是 flag
解法 2:
直接用 python 将
chr()代码里面的数据提取出来恢复混淆前的源码
然后一样看代码解密
exec
附件:
将
exec 替换掉,然后执行即可恢复源码发现是一个
RC4 加密,并且是魔改的,不过因为 RC4 是对称算法,所以直接抄代码即可源码:
解密代码:
Re5
附件:
Raffesia
附件:
发现存在花指令:
nop 即可
保存一下,就可以正常
F5 反编译了然后分析并且恢复一下符号表
在
base64 解密函里面发现了 xor 0x18 的代码
静态看索引表发现是标准的,但解密不出来
原因是程序动态运行时改了索引表,这个题目有 tls 反调试
通过附加进程的方式绕过反调试
xor 0x18异或回去,再解一个 base64
Loading...