[日本語] [English]

Luciafer's Cryptoware IOC 2

ファイル fkduohv-d-jhvfklfnwhu-wr-gdun-dqjho-01.oodev が与えられ、ファイル名の復号結果を要求された。

Luciafer's Cryptoware ということから、Decrypting Lytton Labs Cryptoware 1 で与えられた実行可能ファイルのGhidraによる逆コンパイル結果を参照すると、
main.main 関数において、main.findFilesWithExt 関数で拡張子 .llabs のファイルを探した後、main.rotateText 関数を呼び出しているようだった。
main.rotateText 関数を見ると以下の行があり、ROT13のような処理をしていると推測できた。

uVar3 = (int)((uint)(byte)(cVar2 - 0x27) + param_3 % 0x1a) % 0x1a;

CyberChefでファイル名にROT13をかけると、Amount: 23 で拡張子が .llabs となった。
この時の変換結果に基づき、flagが得られた。

ROT13 - CyberChef

flag{charles-a-geschickter-to-dark-angel-01.llabs}

writeup by MikeCAT

DEADFACE CTF