攻防世界RE:CatFly

最新推荐文章于 2024-05-31 10:46:10 发布
最新推荐文章于 2024-05-31 10:46:10 发布
阅读量629 收藏 2
点赞数 1
文章标签: java 前端 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lynnette177/article/details/132616817
版权

文件到手 先拖进IDA 发现可以用linux运行一下

运行效果如图,最下面指示次数,最上面有字符串,猜测Flag可能和最上面的字符串有关系。回到IDA,搜索一下Main函数

跳转到0x681A

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  size_t v3; // rbx
  __int16 v5[4]; // [rsp+10h] [rbp-4B0h] BYREF
  time_t time1; // [rsp+18h] [rbp-4A8h] BYREF
  time_t timer; // [rsp+20h] [rbp-4A0h] BYREF
  int longind; // [rsp+2Ch] [rbp-494h] BYREF
  __int64 s[129]; // [rsp+30h] [rbp-490h] BYREF
  int v10; // [rsp+43Ch] [rbp-84h]
  double v11; // [rsp+440h] [rbp-80h]
  char *v12; // [rsp+448h] [rbp-78h]
  int v13; // [rsp+450h] [rbp-70h]
  unsigned int v14; // [rsp+454h] [rbp-6Ch]
  unsigned __int8 v15; // [rsp+45Ah] [rbp-66h]
  char v16; // [rsp+45Bh] [rbp-65h]
  int n; // [rsp+45Ch] [rbp-64h]
  int v18; // [rsp+460h] [rbp-60h]
  char v19; // [rsp+467h] [rbp-59h]
  int m; // [rsp+468h] [rbp-58h]
  unsigned int k; // [rsp+46Ch] [rbp-54h]
  char v22; // [rsp+473h] [rbp-4Dh]
  int v23; // [rsp+474h] [rbp-4Ch]
  unsigned __int64 v24; // [rsp+478h] [rbp-48h]
  int v25; // [rsp+484h] [rbp-3Ch]
  int v26; // [rsp+488h] [rbp-38h]
  int v27; // [rsp+48Ch] [rbp-34h]
  char v28; // [rsp+490h] [rbp-30h]
  bool v29; // [rsp+491h] [rbp-2Fh]
  unsigned __int16 v30; // [rsp+492h] [rbp-2Eh]
  int v31; // [rsp+494h] [rbp-2Ch]
  unsigned int v32; // [rsp+498h] [rbp-28h]
  unsigned int i; // [rsp+49Ch] [rbp-24h]
  int v34; // [rsp+4A0h] [rbp-20h]
  unsigned int j; // [rsp+4A4h] [rbp-1Ch]
  char *haystack; // [rsp+4A8h] [rbp-18h]

  haystack = 0LL;
  i = 0;
  v32 = 0;
  v31 = 0;
  memset(s, 0, 1024);
  v30 = 0;
  v29 = 0;
  v28 = 0;
  v27 = 90;
  while ( 1 )
  {
    v26 = getopt_long(a1, a2, "eshiItnd:f:r:R:c:C:W:H:", &longopts, &longind);
    if ( v26 == -1 )
      break;
    if ( !v26 && !*((_QWORD *)&longopts.flag + 4 * longind) )
      v26 = *(&longopts.val + 8 * longind);
    switch ( v26 )
    {
      case 'C':
        dword_E1F8 = atoi(optarg);
        break;
      case 'H':
        dword_E1EC = (64 - atoi(optarg)) / 2;
        dword_E1F0 = (atoi(optarg) + 64) / 2;
        break;
      case 'I':
        v28 = 1;
        break;
      case 'R':
        dword_E1F0 = atoi(optarg);
        break;
      case 'W':
        dword_E1F4 = (64 - atoi(optarg)) / 2;
        dword_E1F8 = (atoi(optarg) + 64) / 2;
        break;
      case 'c':
        dword_E1F4 = atoi(optarg);
        break;
      case 'd':
        if ( atoi(optarg) > 9 && atoi(optarg) <= 1000 )
          v27 = atoi(optarg);
        break;
      case 'e':
        dword_E104 = 0;
        break;
      case 'f':
        dword_104C4 = atoi(optarg);
        break;
      case 'h':
        sub_67F0(a2);
        exit(0);
      case 'i':
        v29 = 1;
        break;
      case 'r':
        dword_E1EC = atoi(optarg);
        break;
      case 's':
        dword_E108 = 0;
        break;
      case 't':
        dword_104C0 = 1;
        break;
      default:
        continue;
    }
  }
  if ( dword_104C0 )
  {
    v29 = v28 == 0;
    sub_6669();
    for ( i = 0; i <= 0xFF; ++i )
    {
      if ( *((_BYTE *)&unk_104E0 + i) )
      {
        sub_66AF(*((unsigned __int8 *)&unk_104E0 + i), i);
        fflush(stdout);
      }
    }
    for ( i = 0; i <= 0xFF; ++i )
    {
      if ( *((_BYTE *)&unk_105E0 + i) )
      {
        sub_66AF(*((unsigned __int8 *)&unk_105E0 + i), i);
        fflush(stdout);
      }
    }
    signal(14, sub_64C0);
    if ( !_setjmp(env) )
    {
      alarm(1u);
LABEL_58:
      while ( !feof(stdin) && v32 <= 1 )
      {
        v16 = getchar();
        v15 = 0;
        if ( v16 == -1 )
        {
          v16 = getchar();
          switch ( v16 )
          {
            case -16:
              v31 = 0;
              if ( LOBYTE(s[0]) == 24 )
              {
                alarm(2u);
                haystack = strndup((const char *)s + 2, 0x3FEuLL);
                ++v32;
              }
              else if ( LOBYTE(s[0]) == 31 )
              {
                alarm(2u);
                dword_E1FC = (BYTE1(s[0]) << 8) | BYTE2(s[0]);
                dword_E200 = (BYTE3(s[0]) << 8) | BYTE4(s[0]);
                ++v32;
              }
              break;
            case -15:
              sub_66AF(241LL, 0LL);
              fflush(stdout);
              break;
            case -6:
              v31 = 1;
              v30 = 0;
              memset(s, 0, 0x400uLL);
              break;
            case -5:
            case -4:
              v15 = getchar();
              if ( !*((_BYTE *)&unk_105E0 + v15) )
                *((_BYTE *)&unk_105E0 + v15) = -4;
              sub_66AF(*((unsigned __int8 *)&unk_105E0 + v15), v15);
              fflush(stdout);
              if ( v16 == -5 && v15 == 24 )
              {
                printf("%c%c%c%c%c%c", 255LL, 250LL, 24LL, 1LL, 255LL, 240LL);
                fflush(stdout);
              }
              break;
            case -3:
            case -2:
              v15 = getchar();
              if ( !*((_BYTE *)&unk_104E0 + v15) )
                *((_BYTE *)&unk_104E0 + v15) = -2;
              sub_66AF(*((unsigned __int8 *)&unk_104E0 + v15), v15);
              fflush(stdout);
              break;
            case -1:
              v32 = 2;
              break;
            default:
              goto LABEL_58;
          }
        }
        else if ( v31 && v30 <= 0x3FEu )
        {
          *((_BYTE *)s + v30++) = v16;
        }
      }
    }
    alarm(0);
  }
  else
  {
    haystack = getenv("TERM");
    ioctl(0, 0x5413uLL, v5);
    dword_E1FC = (unsigned __int16)v5[1];
    dword_E200 = (unsigned __int16)v5[0];
  }
  v34 = 2;
  if ( haystack )
  {
    for ( j = 0; ; ++j )
    {
      v3 = j;
      if ( v3 >= strlen(haystack) )
        break;
      haystack[j] = tolower(haystack[j]);
    }
    if ( strstr(haystack, "xterm") )
    {
      v34 = 1;
    }
    else if ( strstr(haystack, "toaru") )
    {
      v34 = 1;
    }
    else if ( strstr(haystack, "linux") )
    {
      v34 = 3;
    }
    else if ( strstr(haystack, "vtnt") )
    {
      v34 = 5;
    }
    else if ( strstr(haystack, "cygwin") )
    {
      v34 = 5;
    }
    else if ( strstr(haystack, "vt220") )
    {
      v34 = 6;
    }
    else if ( strstr(haystack, "fallback") )
    {
      v34 = 4;
    }
    else if ( strstr(haystack, "rxvt-256color") )
    {
      v34 = 1;
    }
    else if ( strstr(haystack, "rxvt") )
    {
      v34 = 3;
    }
    else if ( strstr(haystack, "vt100") && dword_E1FC == 40 )
    {
      v34 = 7;
    }
    else if ( !strncmp(haystack, "st", 2uLL) )
    {
      v34 = 1;
    }
  }
  v25 = 0;
  signal(2, sub_64A8);
  signal(13, sub_64E6);
  if ( !dword_104C0 )
    signal(28, handler);
  switch ( v34 )
  {
    case 1:
      qword_FE20 = (__int64)"\x1B[48;5;17m";
      qword_FE30 = (__int64)"\x1B[48;5;231m";
      qword_FDF8 = (__int64)"\x1B[48;5;16m";
      qword_FEC0 = (__int64)"\x1B[48;5;230m";
      qword_FDE0 = (__int64)"\x1B[48;5;175m";
      qword_FE28 = (__int64)"\x1B[48;5;162m";
      qword_FEB0 = (__int64)"\x1B[48;5;196m";
      qword_FDF0 = (__int64)"\x1B[48;5;214m";
      qword_FE18 = (__int64)"\x1B[48;5;226m";
      qword_FDD8 = (__int64)"\x1B[48;5;118m";
      qword_FEA8 = (__int64)"\x1B[48;5;33m";
      qword_FE98 = (__int64)"\x1B[48;5;19m";
      qword_FE10 = (__int64)"\x1B[48;5;240m";
      qword_FDE8 = (__int64)"\x1B[48;5;175m";
      break;
    case 2:
      qword_FE20 = (__int64)"\x1B[104m";
      qword_FE30 = (__int64)"\x1B[107m";
      qword_FDF8 = (__int64)"\x1B[40m";
      qword_FEC0 = (__int64)"\x1B[47m";
      qword_FDE0 = (__int64)"\x1B[105m";
      qword_FE28 = (__int64)"\x1B[101m";
      qword_FEB0 = (__int64)"\x1B[101m";
      qword_FDF0 = (__int64)"\x1B[43m";
      qword_FE18 = (__int64)"\x1B[103m";
      qword_FDD8 = (__int64)"\x1B[102m";
      qword_FEA8 = (__int64)"\x1B[104m";
      qword_FE98 = (__int64)"\x1B[44m";
      qword_FE10 = (__int64)"\x1B[100m";
      qword_FDE8 = (__int64)"\x1B[105m";
      break;
    case 3:
      qword_FE20 = (__int64)"\x1B[25;44m";
      qword_FE30 = (__int64)"\x1B[5;47m";
      qword_FDF8 = (__int64)"\x1B[25;40m";
      qword_FEC0 = (__int64)"\x1B[5;47m";
      qword_FDE0 = (__int64)"\x1B[5;45m";
      qword_FE28 = (__int64)"\x1B[5;41m";
      qword_FEB0 = (__int64)"\x1B[5;41m";
      qword_FDF0 = (__int64)"\x1B[25;43m";
      qword_FE18 = (__int64)"\x1B[5;43m";
      qword_FDD8 = (__int64)"\x1B[5;42m";
      qword_FEA8 = (__int64)"\x1B[25;44m";
      qword_FE98 = (__int64)"\x1B[5;44m";
      qword_FE10 = (__int64)"\x1B[5;40m";
      qword_FDE8 = (__int64)"\x1B[5;45m";
      break;
    case 4:
      qword_FE20 = (__int64)"\x1B[0;34;44m";
      qword_FE30 = (__int64)"\x1B[1;37;47m";
      qword_FDF8 = (__int64)"\x1B[0;30;40m";
      qword_FEC0 = (__int64)"\x1B[1;37;47m";
      qword_FDE0 = (__int64)"\x1B[1;35;45m";
      qword_FE28 = (__int64)"\x1B[1;31;41m";
      qword_FEB0 = (__int64)"\x1B[1;31;41m";
      qword_FDF0 = (__int64)"\x1B[0;33;43m";
      qword_FE18 = (__int64)"\x1B[1;33;43m";
      qword_FDD8 = (__int64)"\x1B[1;32;42m";
      qword_FEA8 = (__int64)"\x1B[1;34;44m";
      qword_FE98 = (__int64)"\x1B[0;34;44m";
      qword_FE10 = (__int64)"\x1B[1;30;40m";
      qword_FDE8 = (__int64)"\x1B[1;35;45m";
      off_FA88 = (char *)&unk_BCFF;
      break;
    case 5:
      qword_FE20 = (__int64)"\x1B[0;34;44m";
      qword_FE30 = (__int64)"\x1B[1;37;47m";
      qword_FDF8 = (__int64)"\x1B[0;30;40m";
      qword_FEC0 = (__int64)"\x1B[1;37;47m";
      qword_FDE0 = (__int64)"\x1B[1;35;45m";
      qword_FE28 = (__int64)"\x1B[1;31;41m";
      qword_FEB0 = (__int64)"\x1B[1;31;41m";
      qword_FDF0 = (__int64)"\x1B[0;33;43m";
      qword_FE18 = (__int64)"\x1B[1;33;43m";
      qword_FDD8 = (__int64)"\x1B[1;32;42m";
      qword_FEA8 = (__int64)"\x1B[1;34;44m";
      qword_FE98 = (__int64)"\x1B[0;34;44m";
      qword_FE10 = (__int64)"\x1B[1;30;40m";
      qword_FDE8 = (__int64)"\x1B[1;35;45m";
      off_FA88 = (char *)&unk_BD06;
      break;
    case 6:
      qword_FE20 = (__int64)&unk_BD09;
      qword_FE30 = (__int64)&unk_BD0C;
      qword_FDF8 = (__int64)"  ";
      qword_FEC0 = (__int64)&unk_BD0F;
      qword_FDE0 = (__int64)&unk_BD12;
      qword_FE28 = (__int64)&unk_BD15;
      qword_FEB0 = (__int64)&unk_BD0F;
      qword_FDF0 = (__int64)&unk_BD18;
      qword_FE18 = (__int64)&unk_BD1B;
      qword_FDD8 = (__int64)&unk_BD1E;
      qword_FEA8 = (__int64)&unk_BD21;
      qword_FE98 = (__int64)&unk_BD24;
      qword_FE10 = (__int64)&unk_BD27;
      qword_FDE8 = (__int64)&unk_BD2A;
      v25 = 1;
      break;
    case 7:
      qword_FE20 = (__int64)&unk_BD2D;
      qword_FE30 = (__int64)&unk_BD2F;
      qword_FDF8 = (__int64)&unk_BD31;
      qword_FEC0 = (__int64)&unk_BD33;
      qword_FDE0 = (__int64)&unk_BD35;
      qword_FE28 = (__int64)&unk_BD37;
      qword_FEB0 = (__int64)&unk_BD33;
      qword_FDF0 = (__int64)&unk_BD39;
      qword_FE18 = (__int64)&unk_BD3B;
      qword_FDD8 = (__int64)&unk_BD3D;
      qword_FEA8 = (__int64)&unk_BD3F;
      qword_FE98 = (__int64)&unk_BD41;
      qword_FE10 = (__int64)&unk_BD43;
      qword_FDE8 = (__int64)&unk_BD45;
      v25 = 1;
      dword_E1FC = 40;
      break;
    default:
      break;
  }
  if ( dword_E1F4 == dword_E1F8 )
  {
    dword_E1F4 = (dword_E1FC / -2 + 64) / 2;
    dword_E1F8 = (dword_E1FC / 2 + 64) / 2;
    byte_104CB = 1;
  }
  if ( dword_E1EC == dword_E1F0 )
  {
    dword_E1EC = (65 - dword_E200) / 2;
    dword_E1F0 = (dword_E200 + 63) / 2;
    byte_104CC = 1;
  }
  if ( dword_E108 )
  {
    printf("\x1BkNyanyanyanyanyanyanya...\x1B\\");
    printf("\x1B]1;Nyanyanyanyanyanyanya...\a");
    printf("\x1B]2;Nyanyanyanyanyanyanya...\a");
  }
  if ( dword_E104 )
    printf("\x1B[H\x1B[2J\x1B[?25l");
  else
    printf("\x1B[s");
  if ( v29 )
  {
    v14 = 5;
    for ( j = 0; j < v14; ++j )
    {
      sub_65E2(3LL);
      printf("                             \x1B[1mNyancat Telnet Server\x1B[0m");
      sub_65E2(2LL);
      printf("                   written and run by \x1B[1;32mK. Lange\x1B[1;34m @_klange\x1B[0m");
      sub_65E2(2LL);
      printf("        If things don't look right, try:");
      sub_65E2(1LL);
      printf("                TERM=fallback telnet ...");
      sub_65E2(2LL);
      printf("        Or on Windows:");
      sub_65E2(1LL);
      printf("                telnet -t vtnt ...");
      sub_65E2(2LL);
      printf("        Problems? Check the website:");
      sub_65E2(1LL);
      printf("                \x1B[1;34mhttp://nyancat.dakko.us\x1B[0m");
      sub_65E2(2LL);
      printf("        This is a telnet server, remember your escape keys!");
      sub_65E2(1LL);
      printf("                \x1B[1;31m^]quit\x1B[0m to exit");
      sub_65E2(2LL);
      printf("        Starting in %d...                \n", v14 - j);
      fflush(stdout);
      usleep(0x61A80u);
      if ( dword_E104 )
        printf("\x1B[H");
      else
        printf("\x1B[u");
    }
    if ( dword_E104 )
      printf("\x1B[H\x1B[2J\x1B[?25l");
  }
  time(&timer);
  v13 = 1;
  v24 = 0LL;
  v23 = 0;
  v22 = 0;
  v12 = off_FA88;
  while ( v13 )
  {
    if ( dword_E104 )
      printf("\x1B[H");
    else
      printf("\x1B[u");
    for ( k = dword_E1EC; (int)k < dword_E1F0; ++k )
    {
      for ( m = dword_E1F4; m < dword_E1F8; ++m )
      {
        if ( (int)k <= 23 || (int)k > 42 || m >= 0 )
        {
          if ( m >= 0 && k <= 63 && m <= 63 )
          {
            v19 = off_FA20[v24][k][m];
            off_FA88 = sub_6314((unsigned int)v24, k, m, (__int64)v12);
          }
          else
          {
            v19 = 44;
          }
        }
        else
        {
          v18 = (2 - m) % 16 / 8;
          if ( ((v24 >> 1) & 1) != 0 )
            v18 = 1 - v18;
          s[128] = (__int64)",,>>&&&+++###==;;;,,";
          v19 = asc_BFE3[v18 + k - 23];
          if ( !v19 )
            v19 = 44;
        }
        if ( v25 )
        {
          printf("%s", *((const char **)&unk_FCC0 + v19));
        }
        else if ( v19 == v22 || !*((_QWORD *)&unk_FCC0 + v19) )
        {
          printf("%s", off_FA88);
        }
        else
        {
          v22 = v19;
          printf("%s%s", *((const char **)&unk_FCC0 + v19), off_FA88);
        }
      }
      sub_65E2(1LL);
    }
    if ( dword_E100 )
    {
      time(&time1);
      v11 = difftime(time1, timer);
      v10 = sub_63FF((unsigned int)(int)v11);
      for ( n = (dword_E1FC - 29 - v10) / 2; n > 0; --n )
        putchar(32);
      dword_E1E8 += printf("\x1B[1;37mYou have nyaned for %d times!\x1B[J\x1B[0m", (unsigned int)++dword_108E0);
    }
    v22 = 0;
    ++v23;
    if ( dword_104C4 && v23 == dword_104C4 )
      sub_6471();
    if ( !off_FA20[++v24] )
      v24 = 0LL;
    usleep(1000 * v27);
  }
  return 0LL;
}

根据printf的输出来找,那么跟输出字符串相关的是off_FA88,而且注意到这里有dword_E1E8 += printf("\x1B[1;37mYou have nyaned for %d times!\x1B[J\x1B[0m", (unsigned int)++dword_108E0); 是最下面一行的输出。

我们先来看off_FA88 = sub_6314((unsigned int)v24, k, m, (__int64)v12);

跳转到sub_6314

char *__fastcall sub_6314(__int64 a1, int a2, int a3, __int64 a4)
{
  if ( a2 != 18 )
    return (char *)a4;
  if ( a3 <= 4 || a3 > 54 )
    return (char *)a4;
  byte_104C9 = 32;
  dword_E120[a3 - 5] ^= sub_62B5();
  if ( (unsigned __int8)sub_62E3(dword_E120[a3 - 5]) )
    byte_104C8 = dword_E120[a3 - 5] & 0x7F;
  else
    byte_104C8 = 32;
  return &byte_104C8;
}

注意传入的参数a4,即v12,其实就是off_FA88。所以这里只在a2=18的时候运行,下方代码在a3=0到a3=50各执行一次。相当于一个循环。

写出如下C++代码

 

 

sub6314用到了我们不知道的E120,先追过去看

直接提取出来数组 

unsigned int e120[] = { 0x27FB ,0x27A4 ,0x464E ,0x0E36 ,0x7B70 ,0x5E7A ,0x1A4A ,0x45C1 ,0x2BDF ,0x23BD ,0x3A15 ,0x5B83 ,0x1E15 ,0x5367,
0x50B8 ,0x20CA ,0x41F5 ,0x57D1 ,0x7750 ,0x2ADF ,0x11F8 ,0x9BB ,0x5724 ,0x7374 ,0x3CE6 ,0x646E ,0x10C ,0x6E10 ,0x64F4,
0x3263 ,0x3137 ,0x0B8 ,0x229C ,0x7BCD ,0x73BD ,0x480C ,0x14DB ,0x68B9 ,0x5C8A ,0x1B61 ,0x6C59 ,0x5707 ,0x9E6 ,0x1FB9,
0x2AD3 ,0x76D4 ,0x3113 ,0x7C7E ,0x11E0 ,0x6C70 };

发现在62B5里面也更改了、而且返回也用到了E1E8的值,想起来我们在main函数看到的printf。

dword_E1E8 += printf("\x1B[1;37mYou have nyaned for %d times!\x1B[J\x1B[0m", (unsigned int)++dword_108E0);

我们知道printf函数的返回值,其实就是打印出来的字符串的长度。

所以只需要在外面再套一层while(1)死循环,每一次都执行E1E8的自增。直到获得Flag后跳出。

完整代码如下:


#include<iostream>

unsigned int e120[] = { 0x27FB ,0x27A4 ,0x464E ,0x0E36 ,0x7B70 ,0x5E7A ,0x1A4A ,0x45C1 ,0x2BDF ,0x23BD ,0x3A15 ,0x5B83 ,0x1E15 ,0x5367,
0x50B8 ,0x20CA ,0x41F5 ,0x57D1 ,0x7750 ,0x2ADF ,0x11F8 ,0x9BB ,0x5724 ,0x7374 ,0x3CE6 ,0x646E ,0x10C ,0x6E10 ,0x64F4,
0x3263 ,0x3137 ,0x0B8 ,0x229C ,0x7BCD ,0x73BD ,0x480C ,0x14DB ,0x68B9 ,0x5C8A ,0x1B61 ,0x6C59 ,0x5707 ,0x9E6 ,0x1FB9,
0x2AD3 ,0x76D4 ,0x3113 ,0x7C7E ,0x11E0 ,0x6C70 };

unsigned int dword_E1E8 = 0x1106;

bool __fastcall sub_62E3(char a1)
{
    return (a1 & 0x7Fu) <= 0x7E && (a1 & 0x7Fu) > 0x20;
}
__int64 sub_62B5()
{
    dword_E1E8 = 1103515245 * dword_E1E8 + 12345;
    return (dword_E1E8 >> 10) & 0x7FFF;
}

int main() {
    unsigned int dword_108E0 = 0;
    int num = 0;
    while (1) {
        char flag[50];
        for (int i = 0; (int)i < 50; ++i) {
            e120[i] ^= sub_62B5();
            if ((unsigned __int8)sub_62E3(e120[i]))
                flag[i] = e120[i] & 0x7F;
            else
                flag[i] = 32;
        }
        if (!strncmp(flag, "CatCTF", 6)) {
            std::cout << "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n";
            puts(flag);
            std::cout << "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n";
            break;
        }
        dword_E1E8 += printf("\x1B[1;37mYou have nyaned for %d times!\x1B[J\x1B[0m", (unsigned int)++dword_108E0);
        std::cout << "\n";
    }
    system("pause");
    return 0;
}

最后应该在一亿次左右获得Flag。这种做法的问题是,由于每一次都调用printf,跑的时间太长了。既然我们知道printf的返回值是字串长度,也可以手动计算。除了\x1B这一整体算作一个字符,%d忽略,其他字符总共41个。然后再计算整数值的长度,用来进行自增,这也是可以的。

int charnum(unsigned int dword_108E0) {
    int i = 0;
    while (dword_108E0) {
        dword_108E0 = dword_108E0 / 10;
        i++;
    }
    return i;
}

dword_E1E8+=41+charnum(++dword_108E0);

这样也是可以的。

跑到一亿多次之后获得结果,用时四十分钟左右。

如果我们手动计算字符串的长度,再来跑Flag的话,几十秒就出结果了


#include<iostream>

unsigned int e120[] = { 0x27FB ,0x27A4 ,0x464E ,0x0E36 ,0x7B70 ,0x5E7A ,0x1A4A ,0x45C1 ,0x2BDF ,0x23BD ,0x3A15 ,0x5B83 ,0x1E15 ,0x5367,
0x50B8 ,0x20CA ,0x41F5 ,0x57D1 ,0x7750 ,0x2ADF ,0x11F8 ,0x9BB ,0x5724 ,0x7374 ,0x3CE6 ,0x646E ,0x10C ,0x6E10 ,0x64F4,
0x3263 ,0x3137 ,0x0B8 ,0x229C ,0x7BCD ,0x73BD ,0x480C ,0x14DB ,0x68B9 ,0x5C8A ,0x1B61 ,0x6C59 ,0x5707 ,0x9E6 ,0x1FB9,
0x2AD3 ,0x76D4 ,0x3113 ,0x7C7E ,0x11E0 ,0x6C70 };

unsigned int dword_E1E8 = 0x1106;

int charnum(int dword_108E0) {
    int i = 0;
    while (dword_108E0) {
        dword_108E0 = dword_108E0 / 10;
        i++;
    }
    return i;
}

bool __fastcall sub_62E3(char a1)
{
    return (a1 & 0x7Fu) <= 0x7E && (a1 & 0x7Fu) > 0x20;
}
__int64 sub_62B5()
{
    dword_E1E8 = 1103515245 * dword_E1E8 + 12345;
    return (dword_E1E8 >> 10) & 0x7FFF;
}

int main() {
    unsigned int dword_108E0 = 0;
    while (1) {
        char flag[50];
        for (int i = 0; (int)i < 50; ++i) {
            e120[i] ^= sub_62B5();
            if ((unsigned __int8)sub_62E3(e120[i]))
                flag[i] = e120[i] & 0x7F;
            else
                flag[i] = 32;
        }
        if (!strncmp(flag, "CatCTF", 6)) {
            std::cout << "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n";
            puts(flag);
            std::cout << "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n"<< dword_108E0;
            break;
        }
        dword_108E0 += 1;
        dword_E1E8 += 41;
        dword_E1E8 += charnum(dword_108E0);

    }
    system("pause");
    return 0;
}

Lynnette177
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
CTF之《抓到一只苍蝇》解析
douyuchen_jl的博客
07-08 2887
文件地址: http://pan.baidu.com/s/1bnGWbqJ 提取码:oe6w 下载下来为 pcapng格式,用wireshak打开。 可以看到JJFLY ,哦不,fly.rar size:525701. 路径中存在upload,可猜测为上传,过滤规则为http.request.method=="POST"; 后面几个post包里面应该是文件碎片 第2-6个文
攻防世界——catfly
Nike_name的博客
03-31 266
结束了!难度一的catfly情节!梦魇
re学习(29)攻防世界-CatFly(复原反汇编)
m0_66039322的博客
08-07 1437
Windows提供的DLL文件中包含了允许基于 Windows 的程序在 Windows 环境下操作的许多函数和资源。三.C语言编写代码能力的提高,还有那跑了两分钟的代码(第一次见跑这么长时间的,还以为写错了.....)DLL(Dynamic Link Library)文件,即动态链接库,也有人称作应用程序拓展。DLL是一个包含可由多个程序,同时使用的代码和数据的库。发现关键代码如下:(用‘N’键进行了相关的名称修改)找到主要函数:(以及由上面三部分对应的代码部分)
攻防世界 | WP】CAT
ethan18的博客
02-14 3891
攻防世界 | WP】CAT解题步骤学习知识URL编码什么是URL编码 解题步骤 学习知识 URL编码 什么是URL编码 url编码是一个编码格式,它和utf-8或者GBK编码的区别是url编码是针对除了字母数字之外的字符进行编码,比如说: ASCII码控制字符:字符范围 00-1F 十六进制(0-31 十进制)和 7F(127 十进制) 非ASCII编码格式字符 ...
攻防世界Cat
qq_46230755的博客
01-11 607
打开后有个输入框简单测试一下 题目提醒了cat那感觉大概率就是要cat /flag了 试了一些简单的姿势发现都被过滤了 观察一下发现可以修改url 会进行自动的解码,于是尝试输入%80发现出现了网页源码 复制后新建一个html进行打开 没什么思路,看了别的师傅的wp,发现原来题目有提示 RTFM of PHP CURL===>>read the fuck manul of PHP CURL??? 然后别的师傅说了 我们使用@进行文件传递,对文件进行读取之后还会把内容传给url参
攻防世界CAT解题思路
m0_64583632的博客
04-21 520
题目来源: XCTF 题目描述:抓住那只猫
攻防世界-逆向
m0_64180167的博客
03-09 193
打开IDA进入主函数F5 反编译发现了‘’输入密码‘’ “密码错误” “nice”其中有一个if语句 双击sub_4006FD进入判断函数语句发现有3个带有字符串的变量我们进行分析我们开始编写exp得到flag Code_Talkers。
网络攻防路3-xctf Cat
大紫明宫空离境
12-08 463
抓住那只猫 打开题目,一脸茫然,输入域名是什么意思?题目提示loli.club,然而输入并没有什么反应,谷歌一下,FLAG在哪里 1 他们是怎么想到字符过滤的? 2 这种http://111.198.29.45:59577/index.php?url=%80,是什么错误? 3 怎么知道答案在 database 中/opt/api/database.sqlite3 4 多一个@是什么意思...
JAVAEE之多线程进阶(2)_ CAS概念、实现原理、ABA问题及解决方案
2301_80653026的博客
05-29 1363
CAS全称Compare and swap,字面意思:”比较并交换“,它是一条 CPU 并发原语,用于判断内存中某个值是否为预期值,如果是则更改为新的值,这个过程是原子的。全称 Compare and swap, 即 “比较并交换”. 相当于通过一个原子的操作, 同时完成 “读取内存, 比较是否相等, 修改内存” 这三个步骤. 本质上需要 CPU 指令的支撑。
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 873
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Spring6基础笔记
质胜文则野,文胜质则史。文质彬彬,然后君子。
05-21 1194
Spring 是一款主流的 Java EE 轻量级开源框架 ,Spring 由“Spring 之父”Rod Johnson 提出并创立,其目的是用于简化 Java 企业级应用的开发难度和开发周期。Spring的用途不仅限于服务器端的开发。从简单性、可测试性和松耦合的角度而言,任何Java应用都可以从Spring中受益。Spring 框架除了自己提供功能外,还提供整合其他技术和框架的能力。Spring 自诞生以来备受青睐,一直被广大开发人员作为 Java 企业级应用程序开发的首选。时至今日,Spring 俨然
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 485
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
java多线程创建方式
weixin_57763462的博客
05-28 1038
这种方式是通过创建一个实现了Runnable接口的类,并实现run()方法来创建线程。然后将这个类的对象作为参数传递给Thread类的构造器,并调用Thread对象的start()方法来启动线程。这种方式是通过创建一个实现了Callable接口的类,实现call()方法,并使用FutureTask或者ExecutorService来创建线程。这种方式的优点在于,由于Java不支持多重继承,如果你的类需要继承其他类,那么实现Runnable接口将是唯一的选择。// 在这里定义线程的执行逻辑。
Redis学习笔记【基础篇】
qq_42192253的博客
05-30 768
这样以来,我们就可以把不同类型的数据区分开了。从而避免了key的冲突问题。HSET key field value:添加或者修改hash类型key的field的值。获取sorted set 中的指定元素的排名:ZRANK key member。HGET key field:获取一个hash类型key的field的值。通过给key添加前缀加以区分,不过这个前缀不是随便加的,有一定的规范。HMSET:批量添加多个hash类型key的field的值。HMGET:批量获取多个hash类型key的field的值。
C语言基础——数组
2302_80177460的博客
05-27 1042
C语言基础——字符串与数组及部分操作符-CSDN博客),这里再简单说明一下吧。我们都知道,如果我们在C语言中想要创建很多个变量,如果是一个一个创建的话那效率太低下了,这个时候或许会有人想到用循环来搞定,但是我们再细想想,如果用循环来表示的话我们应该把这组数据储存在哪里呢,如果只是创建一个变量的话那么后一次循环会覆盖掉前一次循环,但是如果创建很多个变量的话又不好在循环之中插入,这个时候我们便可以使用我们心心念念的数组啦。我们这一章节就来具体看看数组到底是什么吧。
Java入门基础教程-字面量、变量、关键字与标识符
码客笔记
05-27 153
变量是存储数据值的容器,其值可以在程序执行过程中被修改。变量有一个名字(即标识符),并且总是与特定的数据类型相关联。在Java中,变量的声明和初始化是分开的,但也可以同时进行。大家不要被这个词搞晕了,它其实很简单,我们知道计算机是来处理数据的,字面量其实就是告诉程序员数据在程序中的书写格式。所谓标志符其实就是我们自己取的名字。像前面我们取的类名,变量名其实都是标志符。如何识别那些单词是关键字?
继承与无参构造器
2301_79842503的博客
05-30 185
Java中,当你创建一个子类的实例时,如果子类构造函数没有显式地调用父类的构造函数,那么编译器会自动插入一个对父类无参构造函数的调用(如果父类中存在这样的构造函数)。这是Java中构造函数链式调用的一个基本规则,确保父类在子类之前被正确初始化。这个过程是Java中对象初始化的一个重要部分,确保在子类访问或修改从父类继承的任何状态之前,父类已经完成了其自己的初始化。的构造函数内部,你输出了"Student()无参构造器后执行了",这是在。的构造函数执行之后发生的。的构造函数执行之前,编译器会自动先调用。
Servlet搭建博客系统
Smarmot的博客
05-31 261
现在我们可以使用Servlet来搭建一个动态(前后端可以交互)的博客系统.(使用Hexo只能实现一个纯静态的网页,即只能在后台自己上传博客)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值