2022DASCTF Apr X FATE 两道逆向

1.fakepica

先用 BlackDex 脱个壳,然后把解密后的 dex 文件 pull 到自己的电脑上后拖进 jadx

image.png

** 看到主要是一个登录逻辑,主类里也可以看出来是 aes 解密

image.png

提取数据

unsigned char content[] = {-114, 95, -37, 127, -110, 113, 41, 74, 40, 73, 19, 124, -57, -88, 39, -116, -16, -75, -3, -45, -73, -6, -104, -6, -78, 121, 110, 74, -90, -47, -28, -28};
unsigned char content1[] = {-40, 26, 95, -49, -40, -123, 72, -90, -100, -41, 122, -4, 25, -101, -58, 116};

for (int i = 0; i < 16; ++i)
{
    printf("%X", content1[i] & 0xff);
}

找一个 aes 解密网站

image.png

得到密码

image.png

image.png

2. 奇怪的交易

拿到文件后发现是 upx 加壳直接脱壳工具脱壳

image.png

接着再使用 pyinstxtractor 解包得到一堆文件,一个是加密密钥,一个是过程

image.png

pyc 文件,我们直接反编译

image.png

image.png

image.png

解密脚本

image.png

反编译得到 cup 库的内容

image.png

经过网络上一番搜索发现这是 xxtea 加密,连基础加密过程都没变

所以写解密脚本

image.png

image.png

image.png

得到这串密文

image.png

然后解 rsa, 我不会就直接粘贴别人的脚本

image.png

image.png

ps: 因为完整代码太多超出发帖上限了,所以代码部分都由图片演示