BUUCTF CrackRTF WriteUp
题目地址
https://buuoj.cn/challenges#CrackRTF
题解
IDA打开,F5反编译,双击进入main_0,代码如下,注释是我以自己的理解写的
1 int __cdecl main_0() 2 { 3 DWORD v0; // eax 4 DWORD v1; // eax 5 CHAR String; // [esp+4Ch] [ebp-310h] 6 int v4; // [esp+150h] [ebp-20Ch] 7 CHAR String1; // [esp+154h] [ebp-208h] 8 BYTE pbData; // [esp+258h] [ebp-104h] 9 10 memset(&pbData, 0, 0x104u); 11 memset(&String1, 0, 0x104u); 12 v4 = 0; 13 printf("pls input the first passwd(1): "); 14 scanf("%s", &pbData); 15 if ( strlen((const char *)&pbData) != 6 ) 16 { 17 printf("Must be 6 characters!\n"); 18 ExitProcess(0); 19 } 20 v4 = atoi((const char *)&pbData); // 将输入字符串转整型赋给v4 21 if ( v4 < 100000 ) // 不能小于100000 22 ExitProcess(0); 23 strcat((char *)&pbData, "@DBApp"); // 将输入字符串和"@DBApp"拼接赋给pbData 24 v0 = strlen((const char *)&pbData); 25 sub_40100A(&pbData, v0, &String1); // 用SHA1算法,将pbData哈希,并赋给String1 26 if ( !_strcmpi(&String1, "6E32D0943418C2C33385BC35A1470250DD8923A9") )// 相同则返回0 27 { 28 printf("continue...\n\n"); 29 printf("pls input the first passwd(2): "); 30 memset(&String, 0, 0x104u); 31 scanf("%s", &String); 32 if ( strlen(&String) != 6 ) 33 { 34 printf("Must be 6 characters!\n"); 35 ExitProcess(0); 36 } 37 strcat(&String, (const char *)&pbData); // 将第二次输入字符串和pbData拼接赋给String 38 memset(&String1, 0, 0x104u); 39 v1 = strlen(&String); 40 sub_401019((BYTE *)&String, v1, &String1); // 用MD5算法,将String哈希,并赋给String1 41 if ( !_strcmpi("27019e688a4e62a649fd99cadaafdb4e", &String1) )// 相同则返回0 42 { 43 if ( !sub_40100F(&String) ) 44 { 45 printf("Error!!\n"); 46 ExitProcess(0); 47 } 48 printf("bye ~~\n"); 49 } 50 } 51 return 0; 52 }
进入第25行的sub_40100A函数,再进入sub_401230,代码如下,注释是按我的理解写的
1 int __cdecl sub_401230(BYTE *pbData, DWORD dwDataLen, LPSTR lpString1) 2 { 3 int result; // eax 4 DWORD i; // [esp+4Ch] [ebp-28h] 5 CHAR String2; // [esp+50h] [ebp-24h] 6 char v6[20]; // [esp+54h] [ebp-20h] 7 DWORD pdwDataLen; // [esp+68h] [ebp-Ch] 8 HCRYPTHASH phHash; // [esp+6Ch] [ebp-8h] 9 HCRYPTPROV phProv; // [esp+70h] [ebp-4h] 10 11 if ( !CryptAcquireContextA(&phProv, 0, 0, 1u, 0xF0000000) )// 使用默认的CSP得到指向key contanier的handle 12 return 0; // 失败则return 0 13 if ( CryptCreateHash(phProv, 0x8004u, 0, 0, &phHash) )// 使用CALG_SHA1算法,无密钥 MAC。创建一个指向CSP hash object的handle 14 { 15 if ( CryptHashData(phHash, pbData, dwDataLen, 0) )// 将首地址为pbData,长度为dwDataLen的部分加到phHash的hash object上 16 { 17 CryptGetHashParam(phHash, 2u, (BYTE *)v6, &pdwDataLen, 0);// 哈希值的长度为2u,长度为pdwDataLen的数据存到v6里 18 *lpString1 = 0; 19 for ( i = 0; i < pdwDataLen; ++i ) 20 { 21 wsprintfA(&String2, "%02X", (unsigned __int8)v6[i]);// 以2位16进制格式(不足2位则前面补0)的格式赋给String2 22 lstrcatA(lpString1, &String2); // 将String2拼接到lpString1后面 23 } 24 CryptDestroyHash(phHash); // 销毁hash object 25 CryptReleaseContext(phProv, 0); // 释放CSP和key container 26 result = 1; 27 } 28 else 29 { 30 CryptDestroyHash(phHash); 31 CryptReleaseContext(phProv, 0); 32 result = 0; 33 } 34 } 35 else 36 { 37 CryptReleaseContext(phProv, 0); 38 result = 0; 39 } 40 return result; 41 }
其中第13行的第二个参数0x8004u说明了算法是SHA1,可以参考https://docs.microsoft.com/zh-cn/windows/win32/api/wincrypt/nf-wincrypt-cryptcreatehash和https://docs.microsoft.com/zh-cn/windows/win32/seccrypto/alg-id
同理,回到main_0中,第40行用的哈希算法是MD5,可以自己进入验证。
回到main_0,可以看出输入的第一个字符串与”@DBApp”拼接进行SHA1,得到的结果需要与提供的一致。而且输入一定是6位,纯数字(atoi函数),且大于100000,那么可以写脚本爆破。Python代码如下:
1 import hashlib 2 t = "@DBApp" 3 hash1 = "6E32D0943418C2C33385BC35A1470250DD8923A9".lower() 4 hash2 = "27019e688a4e62a649fd99cadaafdb4e" 5 Aan="QWERTYUIOPLKJHGFDSAZXCVBNMmnbvcxzasdfghjklpoiuytrewq1234567890" 6 for i in range(100001,1000000): 7 pwd1 = str(i)+t 8 h1 = hashlib.sha1(pwd1.encode('utf-8')).hexdigest() 9 if h1==hash1: 10 print(i) 11 break
跑完结果是123321
然后对于第二个输入,本想故技重施,但是发现除了必须为6位外,没有输入限制,使得爆破不行了(我尝试过)后面我就去看了别人的Wp,发现重点在第43行的sub_40100F,进入,再进入sub_4014D0,代码如下:
1 char __cdecl sub_4014D0(LPCSTR lpString) 2 { 3 LPCVOID lpBuffer; // [esp+50h] [ebp-1Ch] 4 DWORD NumberOfBytesWritten; // [esp+58h] [ebp-14h] 5 DWORD nNumberOfBytesToWrite; // [esp+5Ch] [ebp-10h] 6 HGLOBAL hResData; // [esp+60h] [ebp-Ch] 7 HRSRC hResInfo; // [esp+64h] [ebp-8h] 8 HANDLE hFile; // [esp+68h] [ebp-4h] 9 10 hFile = 0; 11 hResData = 0; 12 nNumberOfBytesToWrite = 0; 13 NumberOfBytesWritten = 0; 14 hResInfo = FindResourceA(0, (LPCSTR)0x65, "AAA"); 15 if ( !hResInfo ) 16 return 0; 17 nNumberOfBytesToWrite = SizeofResource(0, hResInfo); 18 hResData = LoadResource(0, hResInfo); 19 if ( !hResData ) 20 return 0; 21 lpBuffer = LockResource(hResData); // 将数据指针给lpBuffer 22 sub_401005(lpString, (int)lpBuffer, nNumberOfBytesToWrite); 23 hFile = CreateFileA("dbapp.rtf", 0x10000000u, 0, 0, 2u, 0x80u, 0); 24 if ( hFile == (HANDLE)-1 ) 25 return 0; 26 if ( !WriteFile(hFile, lpBuffer, nNumberOfBytesToWrite, &NumberOfBytesWritten, 0) ) 27 return 0; 28 CloseHandle(hFile); 29 return 1; 30 }
然后进入22行的sub_401005,再进入sub_401420,代码如下:
1 // lpString是String,a2是lpBuffer,a3是lpBuffer指向数据的长度 2 unsigned int __cdecl sub_401420(LPCSTR lpString, int a2, int a3) 3 { 4 unsigned int result; // eax 5 unsigned int i; // [esp+4Ch] [ebp-Ch] 6 unsigned int v5; // [esp+54h] [ebp-4h] 7 8 v5 = lstrlenA(lpString); // String的长度,12 9 for ( i = 0; ; ++i ) 10 { 11 result = i; 12 if ( i >= a3 ) 13 break; 14 *(_BYTE *)(i + a2) ^= lpString[i % v5]; // lpBuffer指向数据的每一位与String的每一位循环异或,结果给lpBuffer指向数据 15 } 16 return result; 17 }
第14行进行循环异或,并赋给lpBuffer,我们再回到sub_4014D0的第23行,发现WriteFile的第二个参数就是lpBuffer。也就是说,要将lpBuffer指向的数据写入RTF文件。那么RTF文件的开头肯定是RTF文件头,而这个文件头就是由lpBuffer起初指向的数据,即”AAA”的数据,与我们第二次输入的字符串(String的前6位)进行异或得到。又因为异或的逆运算就是异或,所以我们只需要将RTF文件头前6位与”AAA”的数据前六位异或,就能得到我们第二次输入的6位字符串。
首先要得到”AAA”的数据,用Resource Hacker工具打开即可。
然后用010editor随便打开电脑里的一个.rtf文件,查看其文件头前6位
然后写脚本将他们异或,就能得到第二次要输入的6位字符串,脚本代码如下:
1 AAA = [0x05,0x7D,0x41,0x15,0x26,0x01] 2 a = '' 3 for i in AAA: 4 a += chr(int(i)) 5 rtf = "{\\rtf1" # \\转义 6 for i in range(0,6): 7 print(chr(ord(a[i])^ord(rtf[i])),end='')
得到第二次要输入的字符串~!3a@0
现在两次输入的字符串都有了,双击运行题目文件,依次输入两个字符串
运行后,在题目文件所在文件夹会找到一个rtf文件,双击打开,得到flag。
参考
windows的各种API去官网看
https://docs.microsoft.com/zh-cn/windows/win32/api/wincrypt/nf-wincrypt-cryptacquirecontexta
STAY. you have NO WHERE TO GO. try to live it well. for you have only ONE life.
