羊城杯2023CSGO学习到了sharpODorzIDA的话没办法动调至少很难动调FindCrypt插件可以发现有base64加密查看交叉引用在汇编代码中定位到字串.text:000000000049B144mov[rsp+0C8h+var_88],rcx.text:000000000049B149mov[r

羊城杯初赛部分miscEz_misci春秋刚考过的CVE，win11截图漏洞CVE-2023-21036(acropalypse)https://github.com/frankthetank-music/Acropalypse-Multi-Tool看见这个文件结构就可以尝试一下做完才知道文件尾的zip是有用的..把zip头的0403改回0304，根据txt文件名和key是数

羊城杯决赛Misceasy00aes比赛时没离线0宽环境摆了LmqHmAsk没思路，赛后看着群里各位师傅讨论才明白预期解，wp里直接放toto师傅的脚本了这里放个toto师傅博客：https://blog.csdn.net/jyttttttt?type=blogeasy00aes比赛时没环境，回来狠狠复现图片分离得到压缩包图片名YXNkZHNh是b

目录ReverseCSGOvm_woEz加密器BlastReverseCSGOGo逆向静态不好看，考虑动调在main_init有IsDebuggerPresent反调试,nop掉看一眼findcrypt插件，识别到base64看看main_mainmain__Cfunc_enc_abi0是加密runtime_memequal是最后的check，base64完是60位说明flag为44位在81行下

vm_wo代码copy下来调了一下vm_body[0]=input[i]vm_body[1]=vm_body[0]>>1v12=vm_body[0]vm_body[2]=v12<<7vm_body[0]=vm_body[2]|vm_body[1]vm_body[0]^=vm_body[3]vm_body[0]=vm_body[0]vm_body[1]=vm_body[0]>>2v12=vm_body[0]vm_body[2]=v12<

第二个框就不说了,追踪第一个框的http流,发现flag1.png 提取以后得到 通过观察,可以得出规律,每八行出现的横线是因为ascii数据按列写,而ascii可见字符最高位恒为0,所以首位肯定是黑像素(诚挚邀请大家学python以外还要学一下matlab,相对更方便。。) 解码后有