[Buuctf] [MRCTF2020]Transform

1.查壳

64位exe文件，没有壳

2.用64位IDA打开

找到主函数，F5查看伪代码

从后往前看，有一个判断语句，是两个数组进行比较的，我们双击byte_40F0E0查看里面的内容

所以能够推出byte_414040的内容，byte_414040是加密后的数据，在循环里能够逆出原来的Str,Str就是我们要拿到的flag
我们双击dword_40F040,也能看到其中的数据

这里最后出现的8 dup(0)并不是数据8，而是有8个0，这个8当时困扰了我好长时间
有了数据，直接上脚本

byte_40f0e0=[0x67, 0x79, 0x7B, 0x7F, 0x75, 0x2B, 0x3C, 0x52, 0x53, 0x79,0x57, 0x5E, 0x5D, 0x42, 0x7B, 0x2D, 0x2A, 0x66, 0x42, 0x7E,0x4C, 0x57, 0x79, 0x41, 0x6B, 0x7E, 0x65, 0x3C, 0x5C, 0x45,0x6F, 0x62, 0x4D]
dword_40F040=[9, 0x0A, 0x0F, 0x17, 7, 0x18, 0x0C, 6, 1, 0x10, 3, 0x11, 0x20, 0x1D, 0x0B, 0x1E, 0x1B, 0x16, 4, 0x0D, 0x13, 0x14,0x15, 2, 0x19, 5, 0x1F, 8, 0x12, 0x1A, 0x1C, 0x0E,0]
Str=[]
for i in range(0,33):Str.append(0)
for i in range(0,33):byte_40f0e0[i]=byte_40f0e0[i]^dword_40F040[i]Str[dword_40F040[i]]=byte_40f0e0[i]
flag=''
for i in range(0,len(Str)):flag+=chr(Str[i])
print(flag)
>>>MRCTF{Tr4nsp0sltiON_Clph3r_1s_3z}

flag{Tr4nsp0sltiON_Clph3r_1s_3z}
提交，成功！！！

补充

LOWORD, HIWORD, LOBYTE, HIBYTE的解释
int 类型大小正常为4Byte
以小端序来看 0x12345678在内存中的存储为

0x78 0x56 0x34 0x12

而

LOWORD 5678
HIWORD 1234
LOBYTE 78
HIBYTE 56

dup
dup是汇编操作符
在汇编语言中同db,dw,dd等一样，也是汇编器处理的符号，他是同db、dw,dd等数据定义的伪指令配合使用，用来进行数据的重复

db 重复的次数 dup （重复的字节性数据）
dw 重复的次数 dup （重复的字型数据）
dd 重复的次数 dup （重复的双字性数据）