re题(53)BUUCTF-[ACTF新生赛2020]SoulLike

BUUCTF在线评测

用ida打开，找到main函数，很简单的逻辑，关键在于最后一个if判断条件里的sub_83A(v8)函数

__int64 __fastcall main(int a1, char **a2, char **a3)
{char v5; // [rsp+7h] [rbp-B9h]int i; // [rsp+8h] [rbp-B8h]int j; // [rsp+Ch] [rbp-B4h]int v8[14]; // [rsp+10h] [rbp-B0h] BYREFchar v9[110]; // [rsp+4Ah] [rbp-76h] BYREFunsigned __int64 v10; // [rsp+B8h] [rbp-8h]v10 = __readfsqword(0x28u);printf("input flag:");scanf("%s", &v9[6]);strcpy(v9, "actf{");v5 = 1;for ( i = 0; i <= 4; ++i ){if ( v9[i] != v9[i + 6] ){v5 = 0;goto LABEL_6;}}if ( !v5 )goto LABEL_16;
LABEL_6:for ( j = 0; j <= 11; ++j )v8[j] = v9[j + 11];if ( (unsigned __int8)sub_83A(v8) && v9[23] == 125 ){printf("That's true! flag is %s", &v9[6]);return 0LL;}else{
LABEL_16:printf("Try another time...");return 0LL;}
}

如果我们没动过ida的配置文件，会发现这个函数太大了，ida反编译不了，我们打开ida配置文件里的cfg\hexrays.cfg文件，找到红框这个位置，把64修改成大一点的值（我改的是10000）（我看不懂英文，用ai翻译的，把ida能反编译函数汇编代码的最大值改大一点就可以了）

 改完之后，重新打开ida，反编译后是这个样子

 这个函数就是把flag的值进行多次异或和加法的处理，加密后的值就是v3，我们只需要把加改成减，逆向输出就行，但是3000多行代码怎么办嘞？别着急，这就需要我们excel大人

把加密代码复制过来，选择替换选项

把++改成--，全部替换

在B1单元格填入1，选序列选项

终止值改成3012

再插入一行单元格（不插入的话第一行选不上），B1的位置填0，选择筛选选项，以B列降序排列

 左上角选中A2:A3012单元格，复制粘贴到ida，即可逆向输出

flag{b0Nf|Re_LiT!}