测试文件:https://static2.ichunqiu.com/icq/resources/fileupload//CTF/JCTF2014/re200
参考文章:https://blog.csdn.net/chenlycly/article/details/53378196
1.程序分析
检测时发现不是PE文件,但是打开16进制却发现了MZ标识,因此我们能够判断文件中存在错误。
1.1 第一处错误
通过观察,发现指向PE文件头的地址为E9,但是实际的地址却是E8。
1.2 第二处错误
将地址修改正确之后,在010Editor打开文件,导入EXE模板
可以看到,正确的PE文件标识应该是0x00004550,但是文件中是0x00FF4550,修改FF为00
将修改后的文件保存为EXE文件
2.IDA打开
定位到main函数
1 __int64 __cdecl main_0()
2 {
3 int v0; // eax
4 __int64 v1; // rax
5 int v2; // eax
6 int v3; // ST08_4
7 int v4; // eax
8 int v5; // eax
9 int v6; // eax
10 int v7; // eax
11 int v8; // eax
12 int v9; // eax
13 int v11; // [esp-10h] [ebp-170h]
14 int v12; // [esp-Ch] [ebp-16Ch]
15 char *v13; // [esp-8h] [ebp-168h]
16 int v14; // [esp-4h] [ebp-164h]
17 int *v15; // [esp+Ch] [ebp-154h]
18 int k; // [esp+D4h] [ebp-8Ch]
19 int j; // [esp+E0h] [ebp-80h]
20 int i; // [esp+ECh] [ebp-74h]
21 char v19; // [esp+FBh] [ebp-65h]
22 int v20; // [esp+104h] [ebp-5Ch]
23 int Dst; // [esp+108h] [ebp-58h]
24 int v22; // [esp+10Ch] [ebp-54h]
25 int v23; // [esp+110h] [ebp-50h]
26 int v24; // [esp+114h] [ebp-4Ch]
27 int v25; // [esp+118h] [ebp-48h]
28 char Str1; // [esp+14Ch] [ebp-14h]
29 int v27; // [esp+14Dh] [ebp-13h]
30 int v28; // [esp+151h] [ebp-Fh]
31 char v29; // [esp+155h] [ebp-Bh]
32
33 v0 = sub_411154(std::cout, "欢迎来到数字游戏 请输入9个数字");
34 std::basic_ostream<char,std::char_traits<char>>::operator<<(v0, std::endl);
35 Str1 = 0;
36 v27 = 0;
37 v28 = 0;
38 v29 = 0;
39 v20 = 0;
40 j_memset(&Dst, 0, 0x3Cu);
41 for ( i = 0; i < 9; ++i )
42 std::basic_istream<char,std::char_traits<char>>::operator>>(std::cin, &v20 + i);// v20中输入9个数字
43 if ( v22 * Dst * v20 / 11 != 106 ) // 需要满足条件1
44 goto LABEL_31;
45 if ( (Dst ^ v20) != v22 - 4 ) // 需要满足条件2
46 goto LABEL_31;
47 HIDWORD(v1) = (v22 + Dst + v20) % 100; // v1的计算表达式,反向推倒,需要满足条件3
48 if ( HIDWORD(v1) != 34 ) // v1 = 34
49 goto LABEL_31;
50 if ( v23 == 80 ) // v23=80
51 {
52 for ( j = 0; j < 3; ++j )
53 {
54 HIDWORD(v1) = (j + 1) % 3;
55 for ( *(&Str1 + j) = *((_BYTE *)&v20 + 4 * HIDWORD(v1)) + *(&v20 + j % 3); ; *(&Str1 + j) /= 2 )
56 {
57 while ( *(&Str1 + j) < 33 )
58 {
59 HIDWORD(v1) = j;
60 *(&Str1 + j) *= 2;
61 }
62 if ( *(&Str1 + j) <= 126 )
63 break;
64 v1 = *(&Str1 + j);
65 }
66 }
67 if ( v24 == 94 && v25 == 98 ) // v24=94,v25=98
68 {
69 for ( k = 3; k < 9; ++k )
70 {
71 for ( *(&Str1 + k) = *(&Str1 + (k + 1) % 3) + *(&Str1 + k % 3); ; *(&Str1 + k) /= 2 )
72 {
73 while ( *(&Str1 + k) < 33 )
74 *(&Str1 + k) *= 2;
75 if ( *(&Str1 + k) <= 126 )
76 break;
77 }
78 }
79 if ( !j_strcmp(&Str1, "*&8P^bP^b") )
80 {
81 v2 = sub_411154(std::cout, "success!");
82 std::basic_ostream<char,std::char_traits<char>>::operator<<(v2, std::endl);
83 v14 = std::endl; // 换行
84 v13 = "abc}";
85 v12 = v22;
86 v11 = Dst;
87 v3 = v20;
88 v15 = &v11;
89 v4 = sub_411154(std::cout, "jlflag{");
90 v5 = std::basic_ostream<char,std::char_traits<char>>::operator<<(v4, v3);
91 v6 = std::basic_ostream<char,std::char_traits<char>>::operator<<(v5, v11);
92 v7 = std::basic_ostream<char,std::char_traits<char>>::operator<<(v6, v12);
93 v8 = sub_411154(v7, v13);
94 std::basic_ostream<char,std::char_traits<char>>::operator<<(v8, v14);// 以上输出的组合为v4 v3 v11 v12 v13 v14
95 sub_4112D0(std::cin, &v19);
96 goto LABEL_32;
97 }
98 LABEL_31:
99 v9 = sub_411154(std::cout, "please try again!");
100 std::basic_ostream<char,std::char_traits<char>>::operator<<(v9, std::endl);
101 goto LABEL_32;
102 }
103 }
104 LABEL_32:
105 v14 = HIDWORD(v1);
106 v13 = 0;
107 return *(_QWORD *)&v13;
108 }
2.1 代码分析
通过第90~94行代码,我们知道正确的flag为组合[v4 v3 v11 v12 v13 v14],其中v4="jlflag{",v13="abc}",v14=std::endl
因此我们只需要求出v3,v11,v12即可,通过第85~87行代码,我们知道v12 = v22;v11 = Dst;v3 = v20;
我们能够通过这三个变量满足的三个表示,求出三个数的值。
3.脚本获取
for v22 in range(100):
for dst in range(100):
for v20 in range(100):
if v22*dst*v20//11 == 106 and (v22 + dst + v20) % 100 == 34:
if (dst^v20) == v22 - 4:
if (v22 + dst + v20) % 100 == 34:
print("jlflag{%d%d%dabc}"%(v22, dst, v20), end='\n')
jlflag{61315abc}
jlflag{61513abc}
jlflag{13615abc}
jlflag{13156abc}
jlflag{15613abc}
jlflag{15136abc}
将这6组得到的flag一组一组试,就能得到正确flag。(记得去掉jl)
4.get flag!
flag{15613abc}