无论风暴把我带到什么样的岸边,我都将以主人的身份上岸。
——贺拉斯
目录
1.查壳
2.静态分析
分析信息
猜测
3.wp
1.查壳
x86-64
拖入64位IDA
2.静态分析
找到main函数,按下F5反编译
int __cdecl main(int argc, const char **argv, const char **envp)
{
unsigned int v4; // [rsp+14h] [rbp-Ch]
unsigned __int64 v5; // [rsp+18h] [rbp-8h]
v5 = __readfsqword(0x28u);
welcome(argc, argv, envp);
puts("_________________");
puts("try to patch me and find flag");
v4 = 0;
puts("please input a lucky number");
__isoc99_scanf("%d", &v4);
patch_me(v4);
puts("OK,see you again");
return 0;
}我们可以看__isoc99_scanf("%d", &v4);输入一个number之后进入了patch_me(v4);函数,应该重点
关注patch_me(v4);点击这个函数跟进
int __fastcall patch_me(int a1)
{
int result; // eax
if ( a1 % 2 == 1 )
result = puts("just finished");
else
result = get_flag();
return result;
}just finished应该不是我们希望的结果,说明number应该能整除2
继续跟进get_flag()
unsigned __int64 get_flag()
{
unsigned int v0; // eax
int i; // [rsp+4h] [rbp-3Ch]
int j; // [rsp+8h] [rbp-38h]
__int64 s; // [rsp+10h] [rbp-30h]
char v5; // [rsp+18h] [rbp-28h]
unsigned __int64 v6; // [rsp+38h] [rbp-8h]
v6 = __readfsqword(0x28u);
v0 = time(0LL);
srand(v0);
for ( i = 0; i <= 4; ++i )
{
switch ( (unsigned __int64)(unsigned int)(rand() % 200) )
{
case 1uLL:
puts("OK, it's flag:");
memset(&s, 0, 0x28uLL);
strcat((char *)&s, f1);
strcat((char *)&s, &f2);
printf("%s", &s);
break;
case 2uLL:
printf("Solar not like you");
break;
case 3uLL:
printf("Solar want a girlfriend");
break;
case 4uLL:
s = 9180147350284624745LL;
v5 = 0;
strcat(&f2, (const char *)&s);
break;
case 5uLL:
for ( j = 0; j <= 7; ++j )
{
if ( j % 2 == 1 )
*(&f2 + j) -= 2;
else
--*(&f2 + j);
}
break;
default:
puts("emmm,you can't find flag 23333");
break;
}
}
return __readfsqword(0x28u) ^ v6;
}rand()函数用来产生随机数,但是,rand()的内部实现是用线性同余法实现的,是伪随机数,由于周期较长,因此在一定范围内可以看成是随机的。
rand()会返回一个范围在0到RAND_MAX(至少是32767)之间的伪随机数(整数)。
rand() % 200,那取模之后就是0到200的随机数
case 1uLL:
puts("OK, it's flag:");
memset(&s, 0, 0x28uLL);
strcat((char *)&s, f1);
strcat((char *)&s, &f2);
printf("%s", &s);
break;
当随机数是1的时候,输出OK, it's flag:
memset(&s, 0, 0x28uLL);
将s进行了赋值
然后字符串后面加上f1,点击跟进f1,得到f1是'GXY{do_not_'
跟进f2,发现没有值
不知道f2有点懵,可能是别的地方赋值了
分析信息
点击f2,找到所有的f2
发现case4进行了赋值
case 4uLL:
s = 9180147350284624745LL;
v5 = 0;
strcat(&f2, (const char *)&s);
break;
给s赋值,将s赋值给f2,f2是9180147350284624745
我们知道进行了5次switch操作,for ( i = 0; i <= 4; ++i )
case 5uLL:
for ( j = 0; j <= 7; ++j )
{
if ( j % 2 == 1 )
*(&f2 + j) -= 2;
else
--*(&f2 + j);
}
case5也对f2进行了操作
猜测
说明按照一定顺序执行这几个case,会拼出一个flag
我们猜测这个顺序,case2和case3没有什么实际操作
case4给f2赋值->case5对赋值后的f2操作->case1对于f1和f2进行拼接
那我们按照这个思路编写脚本得出flag
3.wp
flag = 'GXY{do_not_'
f2 = [0x69,0x63,0x75,0x67,0x60,0x6F,0x66,0x7F]
s = ''
for i in range(8):
if i % 2 == 1:
s = chr(int(f2[i]) - 2)
else:
s = chr(int(f2[i]) - 1)
flag += s
print(flag)flag{do_not_hate_me}
其他buuctf逆向题解可以关注我的专栏
