平台WP · 2021年9月26日 0

Beautiful

首先打开Beautiful.zip

这里发现两个文件,试着打开一下

发现有密码,没有其它的提示信息,这里我们考虑一下是不是伪加密,放进010看一下

发现确实是经过伪加密,这里吧09 00修改为00 00之后保存

这时候解压文件

里边有两个文件我们都打开看一下

一张照片和一段代码

我们先看那个代码,分析头部发现是base64编码的,还有jpeg。这里我们可以想到图片base64编码。所以直接进行解码

把照片保存一下

再看这张照片名字,事出反常必有妖,我们扔进010看一下

这里我们可以看到一个.exe的东西

因为是jpg格式的照片所以我们直接搜索FF D9,可以看到结尾之后是50 4B 03 04很明显这个是zip格式的头部,所以我们从这里可以知道这张照片里边还包含了一个zip的包,所以我们用foremost分离一下

这里我们分离出来一个压缩包,我们来试着解压一下

果然,还是要密码,线索到这里又断了

我们接着来看刚刚解码出来的照片

乍一看没有问题,

查看照片属性也没有问题

所以我们仍010里边看一看

在底部我们看到了一个password,怀疑这个就是刚刚那个压缩包的密码

很明显是base64编码的我们试一下

成功了


解压之后发现一个.exe的程序名字是RE?

说明这个应该是一个逆向题

我们放exinfope里边看一下


是64位的没有加壳,那直接放ida里边看看

可以看到这一串伪代码

把变量转换一下发现一些字符串

下边分析代码

可以看到这里是从v4开始每一位的数值--

所以我们直接写脚本

运行完发现还是一串字符,我们试着解码一下

解码之后还是一串字符,继续解码

最后得到flag!!!