文章目錄
- 前言
- 一、Mysterious
- 1.exeinfo
- 2.run
- 3.IDA分析
- 二、666
- 1.exeinfo
- 2.IDA
- 三、總結
前言
本篇文章用于記錄Mysterious以及666兩個題的解題思路,
一、Mysterious
1.exeinfo
32位可執行檔案,
2.run
3.IDA分析
(1)首先使用string(快捷鍵是 shift+F12)看看能不能找到有用的資訊
發現了“well done”,然后定位到出現welldone的函式,然后F5反編譯,
(2)下面是反編譯后的代碼:
int __stdcall sub_401090(HWND hWnd, int a2, int a3, int a4)
{
int v4; // eax
char Source[260]; // [esp+50h] [ebp-310h] BYREF
CHAR Text[5]; // [esp+154h] [ebp-20Ch] BYREF
char v8[252]; // [esp+159h] [ebp-207h] BYREF
__int16 v9; // [esp+255h] [ebp-10Bh]
char v10; // [esp+257h] [ebp-109h]
int Value; // [esp+258h] [ebp-108h]
CHAR String[260]; // [esp+25Ch] [ebp-104h] BYREF
memset(String, 0, sizeof(String));
Value = 0;
if ( a2 == 16 )
{
DestroyWindow(hWnd);
PostQuitMessage(0);
}
else if ( a2 == 273 )
{
if ( a3 == 1000 )
{
GetDlgItemTextA(hWnd, 1002, String, 260);
strlen(String);
if ( strlen(String) > 6 )
ExitProcess(0);
v4 = atoi(String);
Value = v4 + 1;
if ( v4 == 122 && String[3] == 'x'
&& String[5] == 'z' && String[4] == 'y' )
{
strcpy(Text, "flag");
memset(v8, 0, sizeof(v8));
v9 = 0;
v10 = 0;
_itoa(Value, Source, 10);
strcat(Text, "{");
strcat(Text, Source);
strcat(Text, "_");
strcat(Text, "Buff3r_0v3rf|0w");
strcat(Text, "}");
MessageBoxA(0, Text, "well done", 0);
}
SetTimer(hWnd, 1u, 0x3E8u, TimerFunc);
}
if ( a3 == 1001 )
KillTimer(hWnd, 1u);
}
return 0;
}
(3)通過分析這個函式,可以大概搞清楚這個程式的邏輯,應該是在輸入框輸入一個字串,然后存盤在 String 中,然后通過判斷輸入是否滿足條件:
v4 == 122 && String[3] == 'x' && String[5] == 'z' && String[4] == 'y'
如果滿足條件就生成flag,然后呼叫MessageBoxA函式,彈個框把flag顯示出來,
(4)現在就來分析輸入什么字串可以滿足上面的那個條件
注意到下面代碼:
strlen(String);
if ( strlen(String) > 6 )
ExitProcess(0);
v4 = atoi(String);
Value = v4 + 1;
if ( v4 == 122 && String[3] == 'x'
&& String[5] == 'z' && String[4] == 'y' )
可以知道這個字串的長度不能大于6,另外注意到atoi這個函式,如果對這個函式不熟悉,那么做這個題時一開始會有比較大的疑惑,為了說明atoi函式的特性,我寫了個demo來測驗這個函式:
(5)atoi函式適用于將字串“123”轉換為 整形數 123的,注意到上圖中,如果是“123xyz”的話,atoi函式還是會將其中前半部分的數字型字符轉換為 整形數,也就是123,
了解了atoi函式之后,再接著分析代碼,就很容易推斷出string的應該是122xyz
(6)然后運行這個程式,鍵入 122xyz 得到:
二、666
1.exeinfo
64位elf檔案
2.IDA
(1)找到主函式,F5反編譯:
int __cdecl main(int argc, const char **argv, const char **envp)
{
char s[240]; // [rsp+0h] [rbp-1E0h] BYREF
char v5[240]; // [rsp+F0h] [rbp-F0h] BYREF
memset(s, 0, 0x1EuLL);
printf("Please Input Key: ");
__isoc99_scanf("%s", v5);
encode(v5, (__int64)s);
if ( strlen(v5) == key )
{
if ( !strcmp(s, enflag) )
puts("You are Right");
else
puts("flag{This_1s_f4cker_flag}");
}
return 0;
}
(2)重點分析encode函式和變數enflag和key
enflag
使用ida_python腳本將這個enflag列印出來,然后直接粘貼復制到python腳本里,ida_python腳本如下:
from ida_bytes import get_byte as dd
addr = here()
print("%x"%addr)
arr = []
for i in range(19):
arr.append(dd(addr+1*i))
print(arr)
變數key
encode函式:
int __fastcall encode(const char *a1, __int64 a2)
{
char v3[104]; // [rsp+10h] [rbp-70h]
int v4; // [rsp+78h] [rbp-8h]
int i; // [rsp+7Ch] [rbp-4h]
i = 0;
v4 = 0;
if ( strlen(a1) != key )
return puts("Your Length is Wrong");
for ( i = 0; i < key; i += 3 )
{
v3[i + 64] = key ^ (a1[i] + 6);
v3[i + 33] = (a1[i + 1] - 6) ^ key;
v3[i + 2] = a1[i + 2] ^ 6 ^ key;
*(_BYTE *)(a2 + i) = v3[i + 64];
*(_BYTE *)(a2 + i + 1LL) = v3[i + 33];
*(_BYTE *)(a2 + i + 2LL) = v3[i + 2];
}
return a2;
}
比較簡單,所以用python寫個逆程序的腳本,就可以得到flag了,
(3)腳本如下:
s = [105, 122, 119, 104, 114, 111, 122, 34, 34,
119, 34, 118, 46, 75, 34, 46, 78, 105, 0]
key = 18
a=[]
for i in range(18):
a.append(0)
i =0
while i<key:
'''
s[i] = key ^ (a[i] + 6)
s[i+1] = (a[i+1] - 6 ) ^ key
s[i+2] = a[i+2] ^ 6 ^ key
'''
a[i] = (s[i] ^ key) - 6
a[i+1] = (s[i+1] ^ key) + 6
a[i+2] = (s[i+2] ^ key) ^ 6
i = i + 3
print(a)
flag = ''
for i in a:
flag = flag + chr(i)
print(flag)
三、總結
atoi函式適用于將字串“123”轉換為 整形數 123的,注意到上圖中,如果是“123xyz”的話,atoi函式還是會將其中前半部分的數字型字符轉換為 整形數,也就是123,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/264438.html
標籤:其他
下一篇:day05