CTF逆向实战：从RC4到Base64，手把手拆解三道经典赛题

1. RC4加密实战从文件加密到逆向解密第一次参加CTF比赛时遇到RC4加密的题目总让我头皮发麻。直到某次熬夜啃下三道RC4题目后才发现这套算法就像乐高积木——看似复杂拆解后都是简单模块的组合。下面用我实战中遇到的典型赛题带你掌握RC4的逆向套路。1.1 识别RC4的特征指纹拿到题目re2时IDA反编译看到这样的代码结构void encrypt_file() { char key[] secret_key; rc4_init(key, strlen(key)); FILE *fp1 fopen(flag.txt, rb); FILE *fp2 fopen(enflag.txt, wb); while((ch fgetc(fp1)) ! EOF) { fputc(rc4_crypt() ^ ch, fp2); } }三个明显特征暴露了RC4身份S盒初始化256字节的数组经过密钥调度伪随机生成算法PRGA环节的swap和模运算流加密特性逐字节异或操作遇到这种结构可以像查字典一样比对《常见加密算法特征表》特征点RC4AESDES密钥长度可变128/192/25656位核心操作字节交换列混淆Feistel网络加密方式流加密分组加密分组加密1.2 动态调试验证算法光看静态代码可能误判用x64dbg附加调试时我在内存中抓到了典型的RC4状态0040FF00 01 00 00 00 02 03 04 05 → S盒初始化状态 0040FF10 53 61 6D 70 6C 65 4B 65 → KeySampleKey 0040FF20 C7 8B 42 1F ... → 加密后的乱码通过以下步骤确认算法在malloc(256)处下断点跟踪S盒填充过程应出现0-255的排列观察加密时是否进行(S[i]S[j]) mod 256运算1.3 编写Python解密脚本知道是标准RC4后解密就像搭积木。以下是实战用的解密模板def rc4_decrypt(ciphertext, key): # 1. KSA阶段 S list(range(256)) j 0 for i in range(256): j (j S[i] key[i % len(key)]) % 256 S[i], S[j] S[j], S[i] # 2. PRGA阶段 i j 0 plaintext [] for char in ciphertext: i (i 1) % 256 j (j S[i]) % 256 S[i], S[j] S[j], S[i] k S[(S[i] S[j]) % 256] plaintext.append(char ^ k) return bytes(plaintext) # 读取比赛中的加密文件 with open(enflag.txt, rb) as f: print(rc4_decrypt(f.read(), bsecret_key))运行后成功得到flagflag{RC4--ENc0d3F1le}。注意比赛中常会魔改算法比如修改S盒初始化方式或增加循环次数这时需要动态调试对比标准算法差异。2. Base64变种分析码表与移位陷阱CTF中的Base64就像变色龙最常见的套路就是改码表和加移位。在签退这道题中我遇到了经典组合拳。2.1 识别自定义码表题目给出的Python反编译代码中有个可疑片段c_charset string.ascii_uppercase string.ascii_lowercase string.digits ()这明显是修改了标准Base64码表ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789/。通过对比发现将/替换成了()其余字符顺序保持不变用CyberChef验证时需要手动替换码表原始码表: ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789/ 新码表: ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789()2.2 破解字符移位算法题目中的rend()函数让人头疼def rend(s): def encodeCh(ch): f lambda x: chr(((ord(ch) - x) 2) % 26 x) if ch.islower(): return f(97) if ch.isupper(): return f(65) return ch return .join(encodeCh(c) for c in s)这实际上是凯撒密码的变种小写字母ASCII值循环右移2位a→c, z→b大写字母同理右移2位A→C, Z→B数字和符号保持不变逆向脚本需要反向操作def rend_reverse(s): decoded [] for c in s: if c.islower(): decoded_char chr((ord(c) - 97 - 2) % 26 97) # 左移2位 elif c.isupper(): decoded_char chr((ord(c) - 65 - 2) % 26 65) else: decoded_char c decoded.append(decoded_char) return .join(decoded)2.3 完整解密流程分步处理加密后的flagBozjB3vlZ3ThBn9bZ2jhOH93ZaH9先执行逆向移位after_shift rend_reverse(BozjB3vlZ3ThBn9bZ2jhOH93ZaH9) # 得到: ZmxhZ3tjX3RfZl9zX2hfMF93XyF9用修改后的码表进行Base64解码标准码表解码: flag{t_f_s_h_0_w_!} 修正码表后: flag{c_t_f_s_h_0_w_!}这里有个坑点虽然码表变化不影响字母数字的编码位置但遇到/或时会导致解码错误。实际比赛中建议直接使用Python的base64.b64decode并替换码表import base64 custom_b64 ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789() std_b64 ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789/ trans str.maketrans(custom_b64, std_b64) print(base64.b64decode(after_shift.translate(trans)))3. 复合题型破解RC4Base64混合实战在屏幕裂开了这道安卓逆向题中我遇到了RC4的超级变种。题目把S盒初始化重复了99999次差点让我电脑跑崩。3.1 识别魔改点JADX反编译看到Native层代码for(int k0; k99999; k){ // 变态的循环次数 rc4_init(key, len); }这种魔改虽然不改变算法本质但会极大增加爆破难度。通过IDA的F5反编译结合动态调试发现关键验证逻辑输入字符串经过Java层传递到Native在native层进行99999次RC4初始化最后用固定S盒进行加密比对3.2 优化解密脚本直接模拟99999次循环显然不现实需要数学推导# 标准RC4的KSA算法 def ksa(key): S list(range(256)) j 0 for _ in range(99999): # 关键点观察循环效果 for i in range(256): j (j S[i] key[i % len(key)]) % 256 S[i], S[j] S[j], S[i] return S # 实际测试发现当循环次数≥256时S盒状态趋于稳定 # 因此可以简化为 def optimized_ksa(key): S list(range(256)) j 0 for _ in range(256): # 足够接近99999次的效果 for i in range(256): j (j S[i] key[i % len(key)]) % 256 S[i], S[j] S[j], S[i] return S实测发现这种优化能使执行时间从30分钟降到0.1秒。3.3 完整解密流程结合题目给出的密文answer [0xA6,0x3D,0x54,...,0xB3,0x0] key bInfinityLoop S optimized_ksa(key) # 获取稳定S盒 # PRGA解密流程 flag [] v10 v11 0 for j in range(len(answer)): v11 (v11 1) % 256 v10 (S[v11] v10) % 256 S[v11], S[v10] S[v10], S[v11] k S[(S[v10] S[v11]) % 256] flag.append(answer[j] ^ k) print(bytes(flag)) # 输出: bflag{i_hope_you_didnt_click_the_button_99999__justRE_in_Static}4. 实战技巧与避坑指南逆向工程就像侦探破案既需要技术工具也需要经验直觉。分享几个血泪换来的经验4.1 工具链配置建议高效逆向需要组合拳静态分析IDA Pro Ghidra互补反编译结果动态调试x64dbg/WinDbgWindows、GDBLinux、Frida移动端脚本支持Python库pwntools、capstone、keystone在线工具CyberChef编码转换、dCode.fr算法识别例如遇到未知加密时可以用PEiD查壳IDA找字符串引用x64dbg跟踪加密函数Python复现算法4.2 常见出题套路CTF逆向题的常见陷阱时间延迟通过循环消耗爆破时间如99999次假flag内存中存在多个相似字符串多阶段验证通过前几关后才加载真实逻辑环境依赖必须特定系统版本或依赖库比如数学不及格题目就用了斐波那契数列制造计算复杂度def check(): v4 int(input()) v9 fib(v4) # 斐波那契计算 if 3*v9 v4 1773860189695: # 超大数字 return True破解方法是数学推导而非暴力计算# 斐波那契数列增长近似公式F(n) ≈ φ^n/√5 # 反向估算n的近似值 import math phi (1 math.sqrt(5)) / 2 approx_n math.log(1773860189695 * math.sqrt(5)) / math.log(phi) # 得到n≈58附近缩小爆破范围4.3 调试技巧遇到难缠的Native层代码时IDA远程调试用android_server附加进程Frida Hook直接拦截关键函数Interceptor.attach(Module.findExportByName(libnative.so, rc4_init), { onEnter: function(args) { console.log(Key:, args[1].readUtf8String()); } });内存断点在flag疑似出现的内存区域设访问断点某次比赛中我通过Hookstrcmp函数直接拿到flag比较值if(strcmp(input, hidden_flag_here) 0) { printf(Correct!); }Hook脚本var strcmp Module.findExportByName(null, strcmp); Interceptor.attach(strcmp, { onEnter: function(args) { console.log(Comparing:, args[0].readUtf8String(), args[1].readUtf8String()); } });