学了一个 map（）函数的使用 

import base64

rawData = "e3nifIH9b_C@n@dH"
target = list(map(ord, rawData))
# map 函数将 rawData 中的每个字符传递给 ord 函数。ord 函数返回给定字符的 Unicode 码点
print(target)
# 打印 map 对象的内存地址，故须转换为列表

for i in range(len(target)):
    target[i] -= i
print(list(map(chr,target)))
#['e', '2', 'l', 'f', 'b', 'D', 'B', '2', 'Z', 'V', '9', '5', 'b', '3', 'V', '9']
src = ''.join(map(chr, target))
print(src)
# e2lfbDB2ZV95b3V9
decoded_data = base64.b64decode(src)

print(decoded_data)

大小写转换

import string
key = "ADSFKNDCLS".lower()
print(key)
# adsfkndcls
enc='abcdefg'
print(enc.upper())
# ABCDEFG
charSet=string.ascii_uppercase+string.ascii_lowercase
print(charSet)
#ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz

刮开有奖

hint：在编辑框输入flag

弹出一个对话框，对话框对应函数是DialogFunc

运行却没有输入框和按钮，上 RH 看看

最近有两道题都用到了这个工具，也是来学习一下

首先 Resource Hacker 是一款windows应用程序的资源编译器和反编译器

1.可以查看和编辑可执行文件（exe, dll, src 等）和已编译资源库（res, mui ）中的资源

2.提取 (保存) 资源为文件 (*.res) 格式，可作为二进制，或作为反编译过的资源脚本或图像。

图标、位图、指针、菜单、对话、字符串表、消息表、加速器、Borland 窗体和版本信息资源都可以完整地反编译为其各自的格式，不论是作为图像还是作为 *.rc 文本文件都可以。

3. 修改 (替换) 可执行文件的资源。

图像资源(图标、指针和位图)可以被相应的图像文件(*.ico, *.cur, *.bmp)、*.res 文件、甚至是另一个 *.exe 文件所替换。

对话、菜单、字符串表、快捷键和消息表资源脚本(以及 Borland 窗体)可以通过使用内部资源脚本编辑器被编辑和重新编译。

资源也可以被某个 *.res 文件所替换，只要替换的资源与其是同一类型并且有相同的名称即可。

4. 添加 新的资源到可执行文件。

允许一个程序支持多种语言，或将自定义图标或位图(公司的标识等)添加到程序的对话中。

5. 删除 资源。大多数编译器添加了应用程序永远都不会用到的资源到应用程序中。删除这些不使用的资源可以减小应用程序的体积。

一些可执行文件使用压缩算法进行“打包”或“压缩”。这不仅会减小文件大小，还会使查看和修改资源变得稍微困难​​一些

ES_READONLY

WS_DISABLED

WS_DISABLED

CONTROL 129,-1,STATIC,SS_BITMAP | WS_CHILD | WS_VISIBLE, 7,7,230,72

加上 WS_VISIBLE 属性

也是修复成功了，但输入点击没有反应，不知道是没有回显还是怎么的

就是一个简单base64得到五位flag，还有两位是经过一个比较复杂的递归函数，可以写个代码跑也可以直接动调，我就动调了

import base64
v4='ak1w'
v5='V1Ax'
flag=[0]*8
v4=base64.b64decode(v4)
v5=base64.b64decode(v5)
flag[5]=v4[0]
flag[6]=v4[1]
flag[7]=v4[2]
flag[3]=v5[1]
flag[4]=v5[2]
flag[2]=v5[0]
flag[0] = ord('3') + 34
flag[1] =ord('J')
for i in range(8):
    print(chr(flag[i]),end='')

最后也可以看到是成功才有回显。

CrackRTF

这个是 SHA_1哈希函数

CryptCreateHash 函数的第二个参数应该用来指定 hash 的类型

SHA1也是要知道 round 的好像，不看了，直接爆破（反正都是数字）

import hashlib
def sha1Encode(plain):
    sha=hashlib.sha1(plain.encode('utf-8'))
    return sha.hexdigest().upper()
passwd=''
for i in range(100000,1000000):
    plain=str(i)+'@DBApp'
    #print(plain)
    if sha1Encode(plain)=='6E32D0943418C2C33385BC35A1470250DD8923A9':
        passwd=str(i)
        break
print(passwd)
# 123321

第二部分就是一个 md5 找个网站或者用 hashcat （没用过）

全出来了：~!3a@0123321@DBApp

[2019红帽杯]easyRE

分析首先就是简单的异或，然后有十次 base64

写个脚本

import base64
target = "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"
for _ in range(10):
	target = base64.b64decode(target)
print (target)

得到一个网址：b'https://bbs.pediy.com/thread-254172.htm'[原创]看雪CTF从入门到存活（六）主动防御-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

elf 文件执行：

elf 从 start 函数开始执行（由 Entry point 指定），然后执行顺序是 __libc_start_main -> __libc_csu_init -> _init_array 中的函数 -> main -> __libc_csu_fini -> _fini_array 中的函数。

这道题的 start 函数：

_init_array 地址可以在 __libc_csu_init 函数中找到：

翻一翻 _init_array 和 _fini_array 中的函数，每个都点过去 F5 看一下：

_fini_array 的第二个函数指针 sub_400D35 最为可疑：

Youngter-drive

嗯，运行不了，只能静态分析了

两个API函数

 ::hObject = CreateMutexW(0, 0, 0);    

创建或打开一个命名的或非命名的互斥体对象。互斥体对象用于线程同步，确保多个线程在同一时刻只有一个线程访问共享资源。

CloseHandle(hObject);

 关闭内核对象句柄的函数。hObject：这是一个句柄，指向一个内核对象。此对象可以是文件、文件映射、进程、线程、安全和同步对象（如互斥体、信号量、事件）等。

StartAddress函数

sub_4011

要注意，这个函数看似没有用，但 count 也减一了，写脚本时要注意。

刚好前几天学了一点的线程，也大致知道这两个函数交替执行，且线程1先拿到锁

也是遇到了一个栈不平衡的花指令：

这个栈不平衡之前也是有遇到的，需要学学。

table='QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm'
target='TOiZiZtOrYaToUwPnToBsOaOapsyS'+'y'
flag=['']*len(target)
for i in range(len(target)-1,-1,-1):
    if i%2:
        if ord(target[i])<97:
            flag[i]=chr(table.index(target[i])+96)
        else:
            flag[i]=chr(table.index(target[i])+38)
    else:
        flag[i]=target[i]
print(''.join(flag))
#ThisisthreadofwindowshahaIsESE

[GKCTF2020]Check_1n

main（）函数里看不出什么，string窗口看看

一眼像base64，解一下

得到：Why don't you try the magic brick game

动调一下

不知道在干嘛，是个操作系统

点击也没用阿

还有 ida 显示中文需要修复一下

是要自己猜密码好像，看到密码错误的字符串，双击跟进，找到函数

找到密码在 aHelloworld里，即“HelloWorld”

运行一下，不知道怎么操作，啊！就只能用几个方向键搞好像

[GXYCTF2019]luck_guy

也是提示了：try to patch me and find flag

确实可以自己写个脚本跑，或者就是 patch

现在来学一下 patch ，那个 KeyPatch插件不知道怎么又没了，烦

0x04008CA是case4的开始地址，让函数进来直接跳这