[GXYCTF2019]luck_guy1题解

举报
御麟 发表于 2023/04/26 21:03:49 2023/04/26
【摘要】 ​ 无论风暴把我带到什么样的岸边,我都将以主人的身份上岸。                                                                                                ——贺拉斯目录1.查壳2.静态分析 分析信息 猜测3.wp1.查壳​编辑x86-64拖入64位IDA2.静态分析 ​编辑找到main函数,按下F...

 无论风暴把我带到什么样的岸边,我都将以主人的身份上岸。

                                                                                                ——贺拉斯

目录

1.查壳

2.静态分析 

分析信息

 猜测

3.wp



1.查壳

编辑

x86-64

拖入64位IDA

2.静态分析 

编辑

找到main函数,按下F5反编译

int __cdecl main(int argc, const char **argv, const char **envp)
{
  unsigned int v4; // [rsp+14h] [rbp-Ch]
  unsigned __int64 v5; // [rsp+18h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  welcome(argc, argv, envp);
  puts("_________________");
  puts("try to patch me and find flag");
  v4 = 0;
  puts("please input a lucky number");
  __isoc99_scanf("%d", &v4);
  patch_me(v4);
  puts("OK,see you again");
  return 0;
}

我们可以看__isoc99_scanf("%d", &v4);输入一个number之后进入了patch_me(v4);函数,应该重点

关注patch_me(v4);点击这个函数跟进

int __fastcall patch_me(int a1)
{
  int result; // eax

  if ( a1 % 2 == 1 )
    result = puts("just finished");
  else
    result = get_flag();
  return result;
}

just finished应该不是我们希望的结果,说明number应该能整除2

继续跟进get_flag()

unsigned __int64 get_flag()
{
  unsigned int v0; // eax
  int i; // [rsp+4h] [rbp-3Ch]
  int j; // [rsp+8h] [rbp-38h]
  __int64 s; // [rsp+10h] [rbp-30h]
  char v5; // [rsp+18h] [rbp-28h]
  unsigned __int64 v6; // [rsp+38h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  v0 = time(0LL);
  srand(v0);
  for ( i = 0; i <= 4; ++i )
  {
    switch ( (unsigned __int64)(unsigned int)(rand() % 200) )
    {
      case 1uLL:
        puts("OK, it's flag:");
        memset(&s, 0, 0x28uLL);
        strcat((char *)&s, f1);
        strcat((char *)&s, &f2);
        printf("%s", &s);
        break;
      case 2uLL:
        printf("Solar not like you");
        break;
      case 3uLL:
        printf("Solar want a girlfriend");
        break;
      case 4uLL:
        s = 9180147350284624745LL;
        v5 = 0;
        strcat(&f2, (const char *)&s);
        break;
      case 5uLL:
        for ( j = 0; j <= 7; ++j )
        {
          if ( j % 2 == 1 )
            *(&f2 + j) -= 2;
          else
            --*(&f2 + j);
        }
        break;
      default:
        puts("emmm,you can't find flag 23333");
        break;
    }
  }
  return __readfsqword(0x28u) ^ v6;
}

rand()函数用来产生随机数,但是,rand()的内部实现是用线性同余法实现的,是伪随机数,由于周期较长,因此在一定范围内可以看成是随机的。

rand()会返回一个范围在0到RAND_MAX(至少是32767)之间的伪随机数(整数)。

rand() % 200,那取模之后就是0到200的随机数

case 1uLL:
        puts("OK, it's flag:");
        memset(&s, 0, 0x28uLL);
        strcat((char *)&s, f1);
        strcat((char *)&s, &f2);
        printf("%s", &s);
        break;

当随机数是1的时候,输出OK, it's flag:

memset(&s, 0, 0x28uLL);

将s进行了赋值

然后字符串后面加上f1,点击跟进f1,得到f1是'GXY{do_not_'

编辑

 跟进f2,发现没有值

编辑

 不知道f2有点懵,可能是别的地方赋值了

编辑

分析信息

点击f2,找到所有的f2

发现case4进行了赋值

case 4uLL:
        s = 9180147350284624745LL;
        v5 = 0;
        strcat(&f2, (const char *)&s);
        break;

给s赋值,将s赋值给f2,f2是9180147350284624745

我们知道进行了5次switch操作,for ( i = 0; i <= 4; ++i )

case 5uLL:
        for ( j = 0; j <= 7; ++j )
        {
          if ( j % 2 == 1 )
            *(&f2 + j) -= 2;
          else
            --*(&f2 + j);
        }

case5也对f2进行了操作

 猜测

说明按照一定顺序执行这几个case,会拼出一个flag

我们猜测这个顺序,case2和case3没有什么实际操作

case4给f2赋值->case5对赋值后的f2操作->case1对于f1和f2进行拼接

那我们按照这个思路编写脚本得出flag

3.wp

flag = 'GXY{do_not_'
f2 = [0x69,0x63,0x75,0x67,0x60,0x6F,0x66,0x7F]
s = ''
for i in range(8):
    if i % 2 == 1:
        s = chr(int(f2[i]) - 2)
    else:
        s = chr(int(f2[i]) - 1)
    flag += s
print(flag)

flag{do_not_hate_me}

其他buuctf逆向题解可以关注我的专栏

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。