N1CTF Junior re pyramid 题目解析与教学<\/h1>

概述<\/h2>
本题是一个Python逆向题目，涉及多层嵌套结构：EXE -> PYC -> PYD -> 白盒AES加密。主要考察Python逆向、RC4密钥流爆破、白盒AES差分故障分析等技能。<\/p>

解题步骤<\/h2>

第一步：EXE解包与PYC反编译<\/h3>

使用pyinstxtractor.py<\/code>解包提供的EXE文件<\/li>
获取chal.pyc<\/code>文件<\/li>

使用PyLingual等工具反编译PYC得到源代码<\/li>
<\/ol>
反编译后的主要逻辑：<\/p>
import<\/span> pyramid
<\/span><\/span>import<\/span> os
<\/span><\/span>
<\/span><\/span>text =<\/span> 'A pyramid fortified with intricate defenses looms before you. <\/span>\n<\/span>Its secrets are locked behind layers of puzzles. <\/span>\n<\/span>You stand at its base, challenged to unravel them all.'<\/span>
<\/span><\/span>print('･････････････････････････････････････････････････････････････････'<\/span>)
<\/span><\/span>for<\/span> line in<\/span> text.<\/span>split('<\/span>\n<\/span>'<\/span>):
<\/span><\/span>    print(f<\/span>'  <\/span>{<\/span>line}<\/span>'<\/span>)
<\/span><\/span>print('･････････････････････････････････････････････････････････････････'<\/span>)
<\/span><\/span>a=<\/span>input()
<\/span><\/span>pyramid.<\/span>a_long_way_to_treasure()
<\/span><\/span>try<\/span>:
<\/span><\/span>    os.<\/span>remove('checkinput.pyd'<\/span>)
<\/span><\/span>except<\/span> Exception<\/span> as<\/span> e:
<\/span><\/span>    pass<\/span>
<\/span><\/span><\/code><\/pre>第二步：分析PYD文件<\/h3>

使用IDA打开checkinput.pyd<\/code><\/li>
定位pyramid.a_long_way_to_treasure()<\/code>函数<\/li>
发现动态解密逻辑：

大字节数组(0x327B2长度)与密钥"bangdreamitsmygo"逐字节异或<\/li>
解密后得到新的PYC文件<\/li>
<\/ul>
<\/li>
<\/ol>
解密代码示例：<\/p>
# 手动提取数据并解密<\/span>
<\/span><\/span>large_data =<\/span> [...<\/span>]  # 从IDA中提取的0x327B2长度字节数组<\/span>
<\/span><\/span>key =<\/span> b<\/span>"bangdreamitsmygo"<\/span>
<\/span><\/span>decrypted =<\/span> bytes([large_data[i] ^<\/span> key[i %<\/span> len(key)] for<\/span> i in<\/span> range(len(large_data))])
<\/span><\/span><\/code><\/pre>第三步：解密后的PYC分析<\/h3>
解密后的文件具有PYC文件头特征(0xE3开头)，反编译后得到真实逻辑：<\/p>

用户输入作为key<\/li>
使用FNV-1a(32-bit)哈希将key压缩为32位整数<\/li>
通过ctypes调用advapi32的SystemFunction033(RC4加密)<\/li>
使用RC4解密数据并加载为PYD文件<\/li>
<\/ol>
第四步：RC4密钥流爆破<\/h3>
已知条件：<\/p>

正常PYD文件头：b'\x4D\x5A\x90\x00'<\/code><\/li>
密文开头：b'\xb7\xc3\xbc\xe5'<\/code><\/li>
<\/ul>
爆破思路：<\/p>
# 参考RC4暴力破解算法<\/span>
<\/span><\/span>for<\/span> keystream_byte in<\/span> range(256<\/span>):
<\/span><\/span>    if<\/span> plaintext_byte ^<\/span> ciphertext_byte ==<\/span> keystream_byte:
<\/span><\/span>        # 找到匹配的密钥流字节<\/span>
<\/span><\/span><\/code><\/pre>最终得到密钥流：B7 BC 71 42<\/code><\/p>
第五步：白盒AES分析<\/h3>
解密得到的PYD文件包含白盒AES加密：<\/p>


识别白盒AES特征<\/strong>：<\/p>

大型查找表<\/li>
复杂的字节置换操作<\/li>
多轮加密结构<\/li>
<\/ul>
<\/li>

差分故障分析(DFA)攻击<\/strong>：<\/p>

在第8轮列混淆处设置断点<\/li>
修改单字节并观察输出差异<\/li>
收集正常密文和16个故障密文<\/li>
<\/ul>
<\/li>

使用工具<\/strong>：<\/p>

phoenixAES<\/code>：进行DFA攻击<\/li>
aes_keyschedule.c<\/code>：计算轮密钥<\/li>
<\/ul>
<\/li>
<\/ol>
攻击步骤：<\/p>
# 安装phoenixAES<\/span>
<\/span><\/span>pip install phoenixAES
<\/span><\/span>
<\/span><\/span># 编译密钥计划工具<\/span>
<\/span><\/span>gcc -o aes_keyschedule aes_keyschedule.c
<\/span><\/span><\/code><\/pre>
提取最后一轮轮密钥<\/strong>并反向推导得到原始AES密钥<\/li>
<\/ol>
第六步：最终解密<\/h3>
使用得到的AES密钥解密最终密文，获取flag。<\/p>
关键技术点<\/h2>


Python逆向技巧<\/strong>：<\/p>

PyInstaller解包<\/li>
PYC反编译<\/li>
PYD文件分析<\/li>
<\/ul>
<\/li>

RC4密码分析<\/strong>：<\/p>

已知明文攻击<\/li>
密钥流爆破<\/li>
<\/ul>
<\/li>

白盒密码分析<\/strong>：<\/p>

识别白盒实现特征<\/li>
差分故障分析(DFA)<\/li>
轮密钥推导<\/li>
<\/ul>
<\/li>

工具使用<\/strong>：<\/p>

IDA Pro静态分析<\/li>
动态调试技巧<\/li>
专用密码分析工具<\/li>
<\/ul>
<\/li>
<\/ol>
防护与加固建议<\/h2>

避免在代码中硬编码密钥<\/li>
使用代码混淆技术<\/li>
实现反调试机制<\/li>
避免使用白盒密码实现<\/li>
使用多层加密保护敏感逻辑<\/li>
<\/ol>
总结<\/h2>
本题展示了从外层包装到核心加密算法的完整逆向工程过程，涉及多种逆向技术和密码学分析方法。通过逐步剥离保护层，最终攻克白盒AES加密，体现了现代CTF题目中常见的多层防御体系破解方法。<\/p>
掌握这些技术不仅有助于CTF竞赛，也对理解软件保护机制和密码学实现有重要意义。<\/p>

N1CTF Junior re pyramid 题目解析与教学<\/h1>

概述<\/h2> 本题是一个Python逆向题目，涉及多层嵌套结构：EXE -> PYC -> PYD -> 白盒AES加密。主要考察Python逆向、RC4密钥流爆破、白盒AES差分故障分析等技能。<\/p>

解题步骤<\/h2>

第六步：最终解密<\/h3> 使用得到的AES密钥解密最终密文，获取flag。<\/p>

概述<\/h2>
本题是一个Python逆向题目，涉及多层嵌套结构：EXE -> PYC -> PYD -> 白盒AES加密。主要考察Python逆向、RC4密钥流爆破、白盒AES差分故障分析等技能。<\/p>

第六步：最终解密<\/h3>
使用得到的AES密钥解密最终密文，获取flag。<\/p>