逆向程序思维《破解leetspeak》

签到微博关注赛客安全即可目测『赛客安全标识』莫名中枪。。Reverse100一个win32的exe，IDA打开，基本逻辑：判断输入字符串长度输入字符串进行矩阵乘法正确输入第二个字符串逐位字符相加，和某硬编码做比较OD下断点，nop掉判断以免提前退出，提取出矩阵和结果。0x01Web100一开始没什么思路，后来就用burp跑了个字典。跑出来两个zhangwei123456和niubenben123456789。登录进去，可以看到一个js

一开始以为是正则匹配，解码什么的。搞了好久没出来，就尝试将cookie哈希解密了一下。解密出来是9-ADk-然后就随意用工具编解码，后来一不小心发现9的utf-7编码就是ADk-另外一个cookie也是这样，就猜测是utf-7编码了。然后找老大，即1，编码出来是1+ADE-。哈希一下替换下cookie，flag就出来了0x02Web150测试了好久感觉不像注入，后来base32解码了cookie中的sessionhint，说不是sql注入。用dirbuster扫了下目录，有一个search.php的。接着，就扫了下端口，有389端口，所以就是LDAP。再参考乌云上的文章：/pentesting/2125，用admin/＊登录后台，进入搜索框界面。搜索东西，有回显。然后又解码了这个界面下的hint，说是让我找到description。一开始用乌云的那个工具，被ban了。后来，跑了好多地方，换了几个wifi，突然好了。然后就仔细读了几遍乌云的文章，一步步盲注，后来发现decription是一个表，里面有zctf的flag；慢慢测试，最后的payload：search=t*)(description=*zctf，拿到flag：zctf{303a61ace0204a2d5f352771d6f1bba2}MiscAndroid1200首先是一个登陆界面，登陆检查函数为：publicintauth(Contextcontext,Stringinput,Stringpassword1)input是用户名与密码的拼接，password1是key，assets文件夹中有一个数据库文件，查询该数据库可以得到key：zctf2016 auth函数会以input的逆字符串为明文，key为DES加密的密钥进行加密，并将结果与指定序列进行对比（该序列通过读取资源文件夹下的flag_bin获取），通过DES解密我们可以获取到input为zctf{Notthis}，其中用户名为zctf，那么密码就是{Notthis} 输入正确的密码后跳转到另一个activity——app，界面上提示有一张破损的图片，所以我们的目标是得到完整的图片，具体流程分为四步：CheckOperatorNameAndroidJNIClass.addPushthebottomJNIClass.sayHelloInc(password)其中前两步都是反调试，通过apktool修改将其直接删掉，第三步会将资源文件夹下的bottom文件释放到本地，第四步是对bottom文件解密得到一张png图片，但是并没有保存到本地，而是放在内存中，所以我们动态调试本地代码到DES_decrypt函数之后，直接从内存中dump数据即可。获取到的图片使用Stegsolve工具打开，直接使用其提供的对RGB调整功能可以看到flag——zctf{nAtIVe_IsS0_fUn}ReverseAndroid2400打开是一个2048的小游戏，显然不对，通过修改AndroidManifest文件，使得入口Actiity为Secret这个Activity，打开后界面只有一个输入框和按钮。通过查看代码，最重要的是AskForAnswer这个本地函数，通过IDA打开so文件后发现本地代码会对输入的flag进行一系列变换然后通过socket发送到本地的一个服务上。于是回头检查java代码，发现java层做了一系列操作：释放资源libListener到本地以签名的MD5值作为密钥对libListener进行DES解密获取到可执行文件执行libListener并删除本地文件我们通过修改smali删掉第三步之后获取该可执行文件，用IDA打开，该程序启动服务接受到数据后，也进行一系列变换最后做比对，因而我们需要以最后比对的答案为起点逆向变换算法