题目下载:下载
载入查壳工具,无壳,直接载入IDA 。查看main函数 。
从这里的std::cout,std:cin可以知道这应该就是输出与输入操作,输入为v11,和 。在main函数里观察v11好像没有什么重要操作,而在函数中出现过,初步判断是flag 。对于函数应该就是简单的对执行对象进行初始化操作,并不是关键函数 。那从后往前分析 。
我们想要走到"Go on. Off you go. tuctf{",那就要v4大于等于0,而v4是由(v9)求出,所以这可能是个关键函数,跟进:有3个do...while循环语句,先看第一个 。
创建空间给v14,然后把a1赋值给v2,然后又给了v12,v14 。看if语句,如果条件符合则v4=-1,看到这里第一反应就是肯定不能走v4=-1这个路 。(后面会解释) 。所以让3*(v3/3)==v3且v12==[v3/3]就行 。这个条件的意思是v3从0开始要是3的倍数并且以v3为下标的v12的那个数要等于[v3/3] 。进入 。
有8个元素,并且满足v3/3在这个数组范围中,所以初步判断v3==0,3,6,9,12,15,18,21 。也就对应flag的0,3,6,9,12,15,18,21位(其实这个flag一共18位,后面可知) 。
解释为什么v4!=-1
如果v4==-1,那么的值为负数,回到函数调用处后赋值给v4,v4为负值,就会执行Ahhh,不会输出flag 。
【攻防世界】看下一个do...while 。
上面可知把a1赋值给v14,这里又把v14的地址赋值给指针v5,v6,然后进行异或操作,所以这里是对v6即flag进行异或加密 。
看第三个do...while
do...while循环中有if判断,如果v11为2执行子句1并且v11又赋值为0,所以v11不可能超过2 。不是2就执行else语句,通过观察可知最初v11=0,而让v11变化的就是else语句中的++v11,所以v11一直是0,1,2,0,1,2...循环 。搞懂了if...else后看看里面的关键的if语句
第一个if语句是确定flag的第2,5,8,11,14,17位 。因为当do...while循环 2,5,8,11,14,17次时,v11==2,才会执行这里,而且v5在遍历flag正好遍历到2,5,8,11,14,17位 。所以就剩下flag的1,4,7,10,13,16位未知,所以第二个if应该和这个有关 。
在看第二个if,v10是flag的2,5,8,11,14,17位的前两位的乘积,如下图知
既然我们知道了其余的flag位数就能通过这个if条件求出flag的1,4,7,10,13,16位,这里用正向爆破比较容易 。
为什么flag有18位
v8初值为1,并且v8==19时就停止循环了,而v5是在遍历flag,所以一共遍历18次,所以flag应该18位 。
我们观察,,数组是db类型,而我们需要dd型,利用内嵌导出数据:
from idc_bc695 import *addr=[0x601840,0x601860,0x601880]list=[]for a in addr:for i in range(6):list.append(Dword(a+4*i))print('sucessful')print(list)
代码:(注意flag异或解密回去)
firstchar=[65, 105, 110, 69, 111, 97] #变化后第0,3,6,9,12,15位thirdchar=[751, 708, 732, 711, 734, 764]#变化后第2,5,8,11,14,17位masterarray=[471, 12, 580, 606, 147, 108]#第1,4,7,10,13,16一系列操作后与之相等的数组#求对a1异或的数据列表v7list=[666,]v7=666for i in range(17):v7=v7+v7%5list.append(v7)print(list)#求flag第0,3,6,9,12,15位flag= [0 for i in range(18)]index1=0for i in range(0,16,3):flag[i]=firstchar[index1]index1=index1+1print(flag)#求第2,5,8,11,14,17位 index2=0for i in range(2,18,3):flag[i]=list[i]^thirdchar[index2]index2=index2+1print(flag)#求第1,4,7,10,13,16位index3=0for i in range(1,17,3):for j in range(32,127):if ((list[i-1]^firstchar[index3])*(list[i]^j))%thirdchar[index3]==masterarray[index3]:flag[i]=jindex3=index3+1breakprint('tuctf{'+"".join(map(chr,flag))+'}')#tuctf{AfricanOrEuropean?}
- 题目分类整理
- HDU4614【线段树。】【花瓶与插花】
- 魔兽世界的RP服务器是什么回事 魔兽RP服务器
- 投资是最好的
- 经典的题目
- Python 练习003 ——小人接球游戏
- BUUCTF_Web题目题解记录1
- 导师男团来袭 | 开源之夏2022,与Alluxio一起探索数据编排的奇妙世界
- [NOI2015]荷马史诗 - Huffman树
- 算法部分