运行一下,还是一样的套路,需要输入字符串,随便输入就会失败。直接退出。
查壳无壳,直接放进IDA看main函数。
小于四位直接跳到错误结束。大于四位先判断前四位是不是EIS{ 怀疑这个跟flag有关。
再往下看又比较了str[28]和125的区别。Str里面自然是字符,我们把125换成字符正好是}
所以这里判断的逻辑是,先看看字符长度够不够4,再看前四位是不是EIS{ 最后一个是不是}。所以我们需要的flag的格式肯定是EIS{flag...}。再去看表示成功之前的判断条件,前往4011c0函数
传入的参数是Str的指针,然后还是先判断够不够4位长,够了才继续。如果够了的话,就进行拷贝操作。拷贝的范围是从第五个字符开始(str4)直到结束的前一个(len-1),然后把strlen处的最后一个字符赋值为0,就是结束符。
为什么要这么做呢,从第五个开始,这样忽略掉EIS{,最后一个不要,就是不要}。这样就把str中间的内容拷贝到v7里面去了。
所以这里面的计算,只涉及到花括号中间的内容。我们最终的flag,还需要加上EIS{}。
现在就可以开始分析计算的内容了。
这里的for是对v7内的所有字符进行操作,看到熟悉的65 90 97 122 就知道 这是把大小写颠倒操作。然后再传入sub_4013C0,把返回值和byte_4420B0[i]进行异或操作,得出来的结果写入Str2中。如果最后Str2和"GONDPHyGjPEKruv{{pj]X@rF"相同,那么就说明用户输入的是正确的flag。
知道了这个,我们就可以反过来写,来推导正确的flag。
首先去看看4420B0这个数组有什么,直接导出
再去看sub_4013C0函数
这里因为是逆过程,所以需要反过来写,先-72再异或0x55。
返回值写入v7。然后把v7大小写颠倒,就可以得到flag括号中的内容了。然后加上外套输出。
至于strlen,可以在main看到
所以flag中间的东西也就是29-4-1=24个。循环写到i<24就行了。
#include <iostream>
char byte_4420B0[32] ={....};
int __cdecl resub_4013C0(int a1)
{
return (a1 - 72) ^ 0x55;
}
int main()
{
int v2;
char v7[128]="";
char tmpv7;
char Str2[] = "GONDPHyGjPEKruv{{pj]X@rF";
for (int i = 0; i < 24; ++i)
{
// Str2[i] = byte_4420B0[i] ^ sub_4013C0(v7[i]);
tmpv7 = byte_4420B0[i] ^ Str2[i];
v7[i] = resub_4013C0(tmpv7);
v2 = 0;
if (v7[i] >= 97 && v7[i] <= 122)
{
v7[i] -= 32;
v2 = 1;
}
if (!v2 && v7[i] >= 65 && v7[i] <= 90)
v7[i] += 32;
}
std::cout << "EIS{" << v7 << "}" << std::endl;
}
运行得出结果