题目地址:https://adworld.xctf.org.cn/task/answer?type=reverse&number=4&grade=0&id=5078&page=1
发现程序是一个ELF文件,将其放入Linux环境中进行分析,发现程序是64位的
直接拖进ida64
step1、从main函数开始分析,使用F5查看伪代码
题目说是涉及算法逆向,应该是通过一系列比较可以得到正确的结果
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
size_t v3; // rsi
int i; // [rsp+3Ch] [rbp-54h]
char s[36]; // [rsp+40h] [rbp-50h]
int v6; // [rsp+64h] [rbp-2Ch]
__int64 v7; // [rsp+68h] [rbp-28h]
char v8[8]; // [rsp+70h] [rbp-20h]
int v9; // [rsp+8Ch] [rbp-4h]
/*
v8是":"AL_RT^L*.?+6/46"这个字符串
V7是一个ll型的十进制数28537194573619560
然后逆序进行计算的话,28537194573619560转换为16进制是65626d61726168
接着转文本得到ebmarah
然后通过别的题解了解到这个需要将其倒序使用harambe
*/
v9 = 0;
strcpy(v8, ":\"AL_RT^L*.?+6/46"); //将指定字符串复制到v8
v7 = 28537194573619560LL;//ebmarah 单击鼠标右键,先转化为十六进制,再转化为字符串
v6 = 7;
printf("Welcome to the RC3 secure password guesser.\n", a2, a3);
printf("To continue, you must enter the correct password.\n");
printf("Enter your guess: ");
__isoc99_scanf("%32s", s);//s是用户输入的字符串,先进行比较长度
v3 = strlen(s);
if ( v3 < strlen(v8) )//如果长度比v8小,则进入sub_4007C0函数
sub_4007C0();//双击查看,可以看出输出字符串Incorrect password,然后,退出
for ( i = 0; i < strlen(s); ++i )//如果长度大于或等与v8则进入下面的循环
{
if ( i >= strlen(v8) )
sub_4007C0();
if ( s[i] != (char)(*((_BYTE *)&v7 + i % v6) ^ v8[i]) )//如果输入的字符串和经过运算后的后字符串不等,则进入sub_4007c0
sub_4007C0();//输出Incorrect password
}
sub_4007F0();//You entered the correct password!\nGreat job!\n
}
补:这里(char)(((_BYTE )&v7 + i % v6) ^ v8[i])
BYTE 经查询,是相当于unsigned char
然后可以得到一个二进制码与后面v8[i]进行异或运算,然后转换为char类型依次比较
所以把每一个比较的字符存储进行输出就可以得到flag
证明输入的字符串就是flag
发现算法的关键在于 V6、V7、V8 的异或处理,通过分析得到如下代码:
key1=":\"AL_RT^L*.?+6/46" #v8
key2="harambe" #v7
key3=7 #v6
flag=''
for i in range(0,len(key1)):
flag += chr(ord(key1[i])^ord(key2[i%key3]))
print(flag)
RC3-2016-XORISGUD
ord():是将字符串转换为ascii格式,为了方便运算
chr():是将ascii转换为字符串
至于为什么要倒序使用harambe也是看了大佬的WP才知道的 [●´Å`●] ~~
x86系列的CPU都是以小端序储存数据的,即低位字节存入低地址,高位字节存入高地址,所以正确的字符串应该反过来
603
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
