GDOUCTF2023 Reverse题解

news2024/12/22 23:39:14

文章目录

  • 题目附件
  • Check_Your_Luck
  • TEA
    • 基本逻辑:
    • show函数
    • setKey函数
    • encode函数(tea算法):
    • judge函数
    • 解题脚本
  • doublegame
    • snakefun
    • 迷宫
    • 关键循环

题目附件

链接:https://pan.baidu.com/s/1W0GisS4R-rHYHK4Bu167_g?pwd=nw4c

Check_Your_Luck

可以看到五条方程,根据方程可以求解出对应的值

请添加图片描述

Z3库解不出来,所以用了在线解方程云算网(原名云算子)-在线求解线性方程组 (yunsuan.info)

flag: NSSCTF{4544_123_677_1754_777}

TEA

基本逻辑:

  1. 调用show函数,提示输入输出
  2. 以十六进制读取输入,可以得知共10*4=40字符
  3. 设置key数组
  4. 将input复制到arr数组中
  5. tea加密
  6. judge判断是否正确
  7. 输出flag
    请添加图片描述

mainfun代码:

__int64 mainfun()
{
  char *v0; // rdi
  __int64 i; // rcx
  char v3[32]; // [rsp+0h] [rbp-20h] BYREF
  char v4; // [rsp+20h] [rbp+0h] BYREF
  int v5; // [rsp+24h] [rbp+4h]
  int result; // [rsp+44h] [rbp+24h]
  unsigned int key[12]; // [rsp+68h] [rbp+48h] BYREF
  int input[16]; // [rsp+98h] [rbp+78h] BYREF
  int arr[31]; // [rsp+D8h] [rbp+B8h] BYREF
  int j; // [rsp+154h] [rbp+134h]
  int k; // [rsp+174h] [rbp+154h]
  int m; // [rsp+194h] [rbp+174h]

  v0 = &v4;
  for ( i = 102i64; i; --i )//没作用
  {
    *v0 = 0xCCCCCCCC;
    v0 += 4;
  }
  sub_7FF7B3C8137F(&unk_7FF7B3C93009);	//没作用
  v5 = 32;//tea循环次数
  result = 0;
  key[0] = 1234;
  key[1] = 5678;
  key[2] = 9012;
  key[3] = 3456;	//设置key,但是这里设置的值是混淆的,下方会重新设置
  memset(input, 0, 40ui64);
  arr[15] = 0;
  arr[23] = 0;
  show();			//提示flag输入是以0x12345678这样的形式
  for ( j = 0; j < 10; ++j )
    scanf("%x", &input[j]);	//以16进制读取,共10个,所以有10*4=40字符
  setKey(key);		//设置key
  copy(input, arr);		//将input的内容复制到arr
  encode(input, key);	//对input加密
  result = judge(input);	//判断加密后的数组是否正确
  if ( result )	
  {
    printf("you are right\n");
    for ( k = 0; k < 10; ++k )
    {
      for ( m = 3; m >= 0; --m )
        printf("%c", (arr[k] >> (8 * m)));	//如果正确则输出input,即flag
    }
  }
  else
  {
    printf("fault!\nYou can go online and learn the tea algorithm!");
  }
  sub_7FF7B3C81311(v3, &unk_7FF7B3C8AE90);
  return 0i64;
}

show函数

请添加图片描述

setKey函数

请添加图片描述

encode函数(tea算法):

__int64 __fastcall tea(unsigned int *arr, unsigned int *key)
{
  __int64 result; // rax
  int v3; // [rsp+44h] [rbp+24h]
  int i; // [rsp+64h] [rbp+44h]
  unsigned int v5; // [rsp+84h] [rbp+64h]
  unsigned int sum; // [rsp+C4h] [rbp+A4h]

  result = sub_7FF7B3C8137F(&unk_7FF7B3C93009);//没用
  for ( i = 0; i <= 8; ++i )
  {
    v5 = 0;
    sum = 0xF462900 * i;//delta与标准的tea并不同
    v3 = i + 1;
    do
    {
      ++v5;
      arr[i] += sum ^ (arr[v3] + ((arr[v3] >> 5) ^ (16 * arr[v3]))) ^ (sum + key[sum & 3]);
      arr[v3] += (sum + key[(sum >> 11) & 3]) ^ (arr[i] + ((arr[i] >> 5) ^ (16 * arr[i])));
      sum += 0xF462900;//关键算法和tea区别不大
    }
    while ( v5 <= 32 );                         // 注意这里是从0到32,共33次循环
    result = (i + 1);
  }
  return result;
}

judge函数

请添加图片描述

解题脚本

#include <stdio.h>
int main()
{
int v3; // [rsp+44h] [rbp+24h]
int i; // [rsp+64h] [rbp+44h]
unsigned int v5; // [rsp+84h] [rbp+64h]
int sum; // [rsp+C4h] [rbp+A4h]
int key[4] = {2233,4455,6677,8899 };
unsigned int arr[10];
arr[0] = 0x1A800BDA;
arr[1] = 0xF7A6219B;
arr[2] = 0x491811D8;
arr[3] = 0xF2013328;
arr[4] = 0x156C365B;
arr[5] = 0x3C6EAAD8;
arr[6] = 0x84D4BF28;
arr[7] = 0xF11A7EE7;
arr[8] = 0x3313B252;
arr[9] = 0xDD9FE279;
for (i = 8; i >=0; i--)
{
v5 = 0;
sum = 0xF462900 * i;
for (int j = 0; j < 33; j++)
sum += 0xF462900;
v3 = i + 1;
do
{
sum -= 0xF462900;
arr[v3] -= (sum + key[(sum >> 11) & 3]) ^ (arr[i] + ((arr[i] >> 5) ^ (16 * arr[i])));
arr[i] -= sum ^ (arr[v3] + ((arr[v3] >> 5) ^ (16 * arr[v3]))) ^ (sum + key[sum & 3]);
++v5;
} while (v5 <= 32);//33次循环
}
for (int k = 0; k < 10; ++k)
{
    for (int m = 3; m >= 0; --m)
        printf("%c", (arr[k] >> (8 * m)));
}
//HZCTF{hzCtf_94_re666fingcry5641qq}
return 0;

doublegame

进来找不到关键函数,查看strings看到类似迷宫的东西,根据字符串可以定位到关键函数

请添加图片描述

snakefun

通过patch可以修改得分判断条件,从而进入game2
请添加图片描述

__int64 __fastcall snakefun(int a1, int a2)
{
  char *v2; // rdi
  __int64 i; // rcx
  char v5[32]; // [rsp+0h] [rbp-20h] BYREF
  char v6; // [rsp+20h] [rbp+0h] BYREF
  char chr[212]; // [rsp+24h] [rbp+4h] BYREF

  v2 = &v6;
  for ( i = 10i64; i; --i )
  {
    *(_DWORD *)v2 = -858993460;
    v2 += 4;
  }
  sub_7FF6BD89141A((__int64)&unk_7FF6BD8A90A6);
  if ( dword_7FF6BD8A1E60[42 * a2 + 42 * dword_7FF6BD8A0178 + a1 + dword_7FF6BD8A0174] == 2 )
  {
    ++dword_7FF6BD8A0170;
    score += 10;
    sub_7FF6BD8911A9(7i64);
    sub_7FF6BD89130C(0i64, 22i64);
    printf(aD_2, (unsigned int)score);          // 当前得分
    setFood();                                  // 生成食物
  }
  else if ( dword_7FF6BD8A1E60[42 * a2 + 42 * dword_7FF6BD8A0178 + a1 + dword_7FF6BD8A0174] == 1
         || dword_7FF6BD8A1E60[42 * a2 + 42 * dword_7FF6BD8A0178 + a1 + dword_7FF6BD8A0174] == 4 )
  {
    Sleep(0x3E8u);
    system("cls");
    sub_7FF6BD8911A9(7i64);
    sub_7FF6BD89130C(28i64, 8i64);
    sub_7FF6BD8911DB();                         // 分数还差一点
    if ( score > 16 )                           // score13371337
      sub_7FF6BD89136B();                       // jump to game 2
    sub_7FF6BD8910E6();                         // 保存最高记录失败
    sub_7FF6BD89130C(28i64, 11i64);
    printf("GAME OVER");
    while ( 1 )
    {
      sub_7FF6BD89130C(28i64, 14i64);
      printf(asc_7FF6BD89D320);                 // 是否再来一局
      scanf_0("%c", chr);
      if ( chr[0] == 'y' || chr[0] == 'Y' )
        break;
      if ( chr[0] == 'n' || chr[0] == 'N' )
      {
        sub_7FF6BD89130C(28i64, 16i64);
        exit(0);
      }
      sub_7FF6BD89130C(28i64, 16i64);
      printf(asc_7FF6BD89D3A0);                 // 选择错误
    }
    system("cls");
    someidea();                                 // 提示
  }
  return sub_7FF6BD8913B1(v5, &unk_7FF6BD89CFC0);
}
/* Orphan comments:
打破最高记录
继续加油,最高记录分为
*/

迷宫

这是迷宫图:

请添加图片描述

注意这里多了一堵墙

请添加图片描述

下面还有一个大循环

关键循环

v24 = 0;
  key = 0;
  hang = 15;
  lie = 0;
  shang = 7;                                    // 8行
  slie = 20;                                    // 21列
  for ( j = 0; j <= 20; ++j )
    puts(&Buffer[22 * j]);                      // 打印迷宫
  printf("Please to save the cat!\n");
  while ( hang != shang || lie != slie )        // 好像不是走到@的位置
  {
    chr = getchar();
    switch ( chr )
    {
      case 's':
        if ( Buffer[22 * hang + 22 + lie] != '0' )
        {
          Buffer[22 * hang++ + lie] = ' ';
          Buffer[22 * hang + lie] = '@';
        }
        break;
      case 'w':
        if ( Buffer[22 * hang - 22 + lie] != '0' )
        {
          Buffer[22 * hang-- + lie] = ' ';
          Buffer[22 * hang + lie] = '@';
        }
        break;
      case 'a':
        if ( Buffer[22 * hang - 1 + lie] != '0' )
        {
          if ( Buffer[22 * hang - 1 + lie] == '*' )// 先到*这里
            v7[20] = '0';	//设置墙
          Buffer[22 * hang + lie--] = ' ';
          Buffer[22 * hang + lie] = '@';
        }
        break;
      default:
        if ( chr == 'd' && Buffer[22 * hang + 1 + lie] != '0' )
        {
          Buffer[22 * hang + lie++] = ' ';
          Buffer[22 * hang + lie] = '@';
        }
        break;
    }
    system("cls");
    for ( j = 0; j <= 20; ++j )
      puts(&Buffer[22 * j]);                    // 打印迷宫
    puts(&v19[100 * v24]);                      // 请救猫
    if ( v7[20] == '0' )
    {
      key = judge(0i64);                        // 判断key
      if ( key == 13376013 )
      {
        v24 = 1;
        v7[20] = ' ';                           // 打通终点前的墙
        Buffer[22 * hang + lie] = ' ';
        hang = 15;
        lie = 0;
        v11[0] = '@';                           // 回到起点
        ++v24;
      }
      else
      {
        printf("error");
      }
    }
  }

循环功能:

  1. shang,slie是终点;hang,lie是当前位置

  2. 从@的位置出发,经路径dddssssddwwwwddssddwwwwwwddddssa救到小猫后回到起点;同时小猫所在位置由’*‘变为’ ',且第8行第20列的空格变为0

  3. 然后要求输入key,key可以根据judge函数反推出来是13371337

  4. 再从起点出发,经路径dddssssddwwwwddssddwwwwwwddddssaassddddwwwwddwwwwddd走出迷宫

  5. 所以path:dddssssddwwwwddssddwwwwwwddddssaassddddwwwwddwwwwddd key:13371337

  6. 根据提示可以求出flag:NSSCTF{811173b05afff098b4e0757962127eac13371337}

提示函数:

请添加图片描述

位置由’*‘变为’ ',且第8行第20列的空格变为0

  1. 然后要求输入key,key可以根据judge函数反推出来是13371337

  2. 再从起点出发,经路径dddssssddwwwwddssddwwwwwwddddssaassddddwwwwddwwwwddd走出迷宫

  3. 所以path:dddssssddwwwwddssddwwwwwwddddssaassddddwwwwddwwwwddd key:13371337

  4. 根据提示可以求出flag:NSSCTF{811173b05afff098b4e0757962127eac13371337}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/425059.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Flutter开发日常练习-小猫咪杂货店

贴三张效果图 1.欢迎页面 2.商品展示列表 3.购物车页面 因为数据是本地的所以创建本地数据 final List _shopItems [["ZaoShui.", "25.00", "assets/8b10de68e58cfef6bd5f22e5321537.jpg", Colors.green],["ZaoQi.", "25.0…

Unity --- 枪类与子弹类的设计初探 与 Physics Material

1.类的设计方法 --- 首先将不同的对象相同的行为和方法做到一个类A中&#xff0c;然后再给每个对象各创建一个类&#xff0c;并且都继承大类A&#xff0c;同时在自己的类中创建自己独有的方法或者属性 1.一般子弹的射击都是用射线检测的方式去做的 --- 用碰撞器会出现我们不想要…

STM32-高级定时器输出比较模式实验

比较输出功能&#xff1a;定时器通过对预设的比较值与定时器特定寄存器的值做比较之后&#xff0c;并依据相应的输出模式从而实现各类输出&#xff0c;如PWM输出、电平翻转、单脉冲模式等。一般来说&#xff0c;STM32的通用定时器和高级定时器都具有比较输出功能&#xff0c;不…

使用putty在云服务器上安装jdk

在云服务器上安装jdk的步骤&#xff1a; 1. 登录到云服务器&#xff0c;打开putty终端&#xff0c;并使用root账户登录。 2. 在终端中输入以下命令&#xff0c;更新软件包列表&#xff1a; sudo apt-get update 3. 安装OpenJDK 8&#xff0c;请在终端中输入以下命令&#…

leetcode-1041. 困于环中的机器人

leetcode-1041. 困于环中的机器人1. 算法题目2 . 实现思路3. 参考代码1. 算法题目 题目如下&#xff1a; 在无限的平面上&#xff0c;机器人最初位于 (0, 0) 处&#xff0c;面朝北方。注意: 北方向 是y轴的正方向。南方向 是y轴的负方向。东方向 是x轴的正方向。西方向 是x轴的…

Level_2(2)题目整理

文章目录L2-022 重排链表&#xff08;模拟❗&#xff09;L2-023 图着色问题L2-024 部落(并查集)L2-025 分而治之&#xff08;与 L2-023差不多&#xff0c;邻接表遍历&#xff09;L2-026 小字辈&#xff08;求树的深度&#xff09;L2-027 名人堂与代金券(&#x1f4a1;处理&…

统信 UOS 20 初体验

统信 UOS 20 初体验1、下载UOS 202、安装UOS 202.1、发行版选择debian 10 64位2.2、选择Graphic2.3、语言中文2.4、开始安装2.5、安装完后重启2.6、登录UOS 206、使用UOS6.1、包管理器1、下载UOS 20 下载的是服务器免费授权版 https://www.chinauos.com/resource/download-ser…

[Java]面向对象高级篇

文章目录包装类包装类层次结构基本类型包装类特殊包装类数组一维数组多维数组可变长参数字符串String类StringBuilder类内部类成员内部类静态内部类局部内部类匿名内部类Lambda表达式方法引用异常机制自定义异常抛出异常异常的处理常用工具类数学工具类随机数数组工具类包装类 …

【AIGC】Visual ChatGPT 视觉模型深度解析

欢迎关注【youcans的AGI学习笔记】原创作品 【AIGC】Visual ChatGPT 视觉模型深度解析1. 【Visual- ChatGPT】火热来袭2. 【Visual-GPT】操作实例2.1 处理流程2.2 操作实例3. 【Visual-GPT】技术原理分析3.1 技术原理3.2 系统架构3.3 模块说明3.4 Prompt Manager 功能与规则3.5…

Distilling Knowledge via Knowledge Review(引言翻译)

翻译得可能不太准确&#xff0c;希望有能力的各位批评指正&#xff01; Introduction 第一段 深度卷积神经网络&#xff08;CNN&#xff09;在计算机视觉多数任务中取得了显著的成功。 然而&#xff0c;卷积网络的成功往往伴随着相当大的计算和内存消耗&#xff0c; 使得将…

人工智能交互系统界面设计(Tkinter界面设计)

文章目录前言一、项目介绍二、项目准备三、项目实施1.导入相关库文件2.人脸信息验证功能3.语音交互与TCP数据通信4.数据信息可视化四、相关附件前言 在现代信息化时代&#xff0c;图形化用户界面&#xff08;Graphical User Interface, GUI&#xff09;已经成为各种软件应用和…

SpringBoot——Scheduled定时任务

目录 1.静态定时任务 2.动态定时任务 在一些业务场景中&#xff0c;我们需要定义一些任务在我们指定的时间或是每隔一个时间段就自动执行&#xff0c;来作为任务的前提&#xff0c;保证业务的执行。比如&#xff1a;我们需要一个定时任务&#xff0c;每天早上6点执行&#xf…

【springcloud 微服务】Spring Cloud Alibaba Nacos使用详解

目录 一、前言 二、nacos介绍 2.1 什么是 Nacos 2.2 nacos 核心能力 2.2.1 服务发现和服务健康监测 2.2.2 动态配置服务 2.2.3 动态 DNS 服务 2.2.4 服务及其元数据管理 2.2.5 nacos生态地图 2.3 与其他配置中心对比 三、nacos快速部署 3.1 获取安装包 3.2 修改脚…

【分享NVIDIA GTC 23大会干货】加速生成式AI在生物学和医疗领域的应用

【分享NVIDIA GTC 23大会干货】加速生成式AI在生物学和医疗领域的应用1. NVIDIA医疗领域AI计算平台——NVIDIA CLARA2. NVIDIA CLARA医学影像子平台——MONAI3. NVIDIA CLARA医疗设备子平台——Holoscan4. NVIDIA基因组学解决方案Parabricks5. NVIDIA药物研发解决方案6. 个人思…

互联网医院源码|互联网医院软件体现智慧医疗的优势

现在大家看病一般都会直接在互联网医院平台上去就诊&#xff0c;每次大家需要看病时&#xff0c;可以在手机上直接去预约指定的医生&#xff0c;同城周边的所有医院都是可以去直接选择的&#xff0c;这样也可以去帮助大家节省很多的看病时间&#xff0c;在互联网医院软件中所具…

【ApiPost】实现【gRPC】调试【上手篇】

ApiPost下载地址 下载中心-Apipost-中文版接口调试与文档管理工具Apipost官方下载中心为您提供Apipost软件最新版本,其中包括Windows、Mac、Linux等多个客户端的安装包&#xff0c;Apipost下载就上Apipost.cn&#xff0c;国内专业的接口测试软件,一键生成API文档。https://www…

中核科技:科技匠心 智启未来

​  2023 年4月 13—15 日&#xff0c;2023年易派客工业品展览会、石油石化工业展览会、第七届中国石油和化工行业采购年会&#xff0c;在苏州国际博览中心胜利召开。本次展会展览面积53000平方米&#xff0c;参展企业500余家&#xff0c;汇集了中国工业制造领域的大型国企央…

Parcel 实践指南

Parcel 是一个极速零配置的 Web 应用程序打包器。它的零配置特性使得开发者可以更快速地进行项目的构建。本文将向你展示如何在项目中实践 Parcel&#xff0c;并讨论一些性能优化策略以及不同场景下的最佳实践。 总结 Parcel 是一个强大而灵活的打包工具&#xff0c;它可以让你…

【Python_Scrapy学习笔记(八)】基于Scrapy框架实现多级页面数据抓取

基于Scrapy框架实现多级页面数据抓取 前言 本文中介绍 如何基于 Scrapy 框架实现多级页面数据的抓取&#xff0c;并以抓取汽车之家二手车数据为例进行讲解。 正文 在介绍如何基于 Scrapy 框架实现多级页面数据的抓取之前&#xff0c;先介绍下 Scrapy 框架的请求对象 reques…

Linux超级强大的十六进制dump工具:XXD命令,我教你应该如何使用!

在Linux操作系统中&#xff0c;XXD是一个十六进制dump工具&#xff0c;可以将二进制文件转换为十六进制表示&#xff0c;并以可读的形式显示。XXD命令可用于显示文件内容、编辑文件等用途。本文将介绍如何在Linux中使用XXD命令。 安装XXD命令 通常情况下&#xff0c;XXD命令已…