逆向签到:
使用了Ruby的打包exe工具ocra,ocra全称为:OneClick Ruby Application Builder,就是将运行ruby脚本需要的环境,包括script、rubygems、interpreter等等,全部打包进一个可执行的exe文件中,非常类似C/C++里面的编译器。
使用OCRA打包好的One-Click执行文件,就不需要用户搭建复杂的运行环境了。
特点是exe本身只会对脚本和ruby程序进行释放,然后调用ruby去执行脚本,对脚本没有保护作用,释放出来的脚本就是原脚本,直接拿来逆完事。
拿到附件,发现输入flag的时候,不输入,直接回车,会有下面的报错:
所以直接来到报错中出现的目录下,找到ruby脚本。
注意程序运行完之后会删除上面解压出来的那个目录,所以运行程序后,停在输入flag的那一步,接着去找上面的目录中的ruby脚本。
AES的ecb模式,有密文和密钥,然后直接在线解密:
这个报错有一部分是碰巧碰出来的,正常我们可以用process monitor来监测进程,找到ruby文件,具体见该师傅题解。
