网上其他的WP写的都比较简略,所以写一篇比较详细的解题思路,供新手参考,大神请绕过。
首先大致看一下程序的逻辑
可以看到成功的条件是v9
,而v9
是v13
与字符串"you_know_how_to_remove_junk_code
"比较的结果。然后追一下v13
的数据流,看看v13
是怎么来的。
可以看到v13
的定义,以及一个关键函数sub_401000
,为什么说是关键函数呢,因为函数的参数包含了刚定义的v13
,以及你的输入v11
。
我们跟进去看一看,注意我们想知道的是v13
是怎么得到的,而v13
作为第二个参数,在函数sub_401000
里是a2
,我们顺着a2
去看。
上图为是经过拼接处理的,可以得到这样的关系v12 = v18 = a2 = v13
,然后对v12
进行了赋值处理。上面有一个数组byte_414E40
,里面的内容如下图所示,有的WP说一看就知道是base64解码表,然而我比较菜,没有看出来为啥是base64解码表,去网上查阅资料,最后终于弄懂了,详情请参考C语言实现base64编码,这篇文章介绍了原理和代码实现,把代码从头到尾研究一遍就懂了下面的图是什么了。
分析完整个函数,知道函数sub_401000
是base64解码函数了,得到的信息是程序将你的输入
---->base64解码
---->得到v13
。
然后继续往下分析,然后有一堆代码,看着就不是我能理解的,但是那堆看不懂的代码在一个if语句
中,下面有个for循环,这个是我能看懂的,就是把v13所指的字符串
挨个与0x25
异或,好像看到了逆向的常规操作,异或。
那我就先猜测v15>=0x10
这个条件不成立吧,毕竟七分逆向三分猜嘛,你的输入
---->base64解码
---->得到v13
---->与0x25异或
---->与“you_know_how_to_remove_junk_code”比较
---->结果
。按照这个思路逆着写一个脚本
import base64
s = "you_know_how_to_remove_junk_code"
f = ''
for i in s:
f += chr(ord(i) ^ 0x25)
print(f)
print(base64.b64encode(f.encode()))
就得到了flag。
不过,我将正确的flag输入,用OD调试跟踪,发现,程序根本没有进入for循环,wtf,居然用错误的思路弄出了正确的答案,哎,只能继续分析那些令人头疼的代码了
xmmword
用于具有MMX和SSE (XMM)指令的128位多媒体操作数(也不知道翻译的对不对,官方解释是“Used for 128-bit multimedia operands with MMX and SSE (XMM) instructions.”)。
SEE指令,参考(https://www.jianshu.com/p/d718c1ea5f22)
- load(set)系列,用于加载数据,从内存到暂存器。
__m128i _mm_load_si128(__m128i *p);
__m128i _mm_loadu_si128(__m128i *p);
- store系列,用于将计算结果等SSE暂存器的数据保存到内存中。
void _mm_store_si128 (__m128i *p, __m128i a);
void _mm_storeu_si128 (__m128i *p, __m128i a);
_mm_load_si128
函数表示从内存中加载一个128bits值到暂存器,也就是16字节,**注意:**p必须是一个16字节对齐的一个变量的地址。返回可以存放在代表寄存器的变量中的值。
_mm_loadu_si128
函数和_mm_load_si128
一样的,但是不要求地址p是16字节对齐。
store系列的_mm_store_si128
和_mm_storeu_si128
函数,与上面的load系列的函数是对应的。 表示将__m128i 变量a的值存储到p所指定的地址中去。
_mm_xor_si128
用于计算128位(16字节)的按位异或,然后通过v14
控制循环结束的条件,可以看到v14
增长的步长为16
,而且通过上面得到的flag值解码得到的字符串为32个字节
大小,正好是16的整数倍
。
所以,基本上逻辑已经清楚了,上面图片也已经注释了,发现实际上和下面for循环的功能是一样的,可能是为了降低难度给的提示吧。至于判断条件中的v6
,以及v15
还没有研究明白,有懂的大佬可以指点一下,估计研究反汇编代码可能知道他们的具体含义,先这样,以后有时间了再来研究这道题的反汇编代码。