NYCTF reverse ---------single

最新推荐文章于 2023-07-28 17:39:08 发布
最新推荐文章于 2023-07-28 17:39:08 发布
阅读量511 收藏
点赞数
分类专栏: CTF 新操作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caobo_lq666/article/details/81901211
版权

这道题目是南京邮电CTF平台的reverse题目single(最后一道,但不是最有难度的一道)

题目链接如下:https://cgctf.nuptsast.com/challenges#Re

不多讲,拖进IDA分析,如下:

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  char s; // [rsp+0h] [rbp-70h]
  unsigned __int64 v5; // [rsp+68h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  memset(&s, 0, 0x64uLL);
  puts("Input string:");
  scanf("%s", &s);
  sub_40070E(&s);                               // 简单限制字符范围、长度
  sub_40078B(&s, (__int64)&unk_602080);
  sub_400AD4((__int64)&unk_602080);
  puts("Congratulations!");
  printf("flag{%s}", &s);
  return 0LL;
}

在总体上,可以清楚的分析出程序的大致逻辑:读入flag,经过三个函数的检查来判断是否是真正的flag。

下面逐个分析这三个函数。

1.

size_t __fastcall sub_40070E(const char *a1)
{
  size_t result; // rax
  int i; // [rsp+1Ch] [rbp-14h]

  if ( strlen(a1) > 0x51 )
    wrong();
  for ( i = 0; ; ++i )
  {
    result = strlen(a1);
    if ( i >= result )
      break;
    if ( a1[i] <= 47 || a1[i] > 57 )            // flag字符ASICL在[48,57]
      wrong();
  }
  return result;
}

 意图很明显,限制flag的长度不超过0x51,且flag的组成字符只限于0\1\2\3\4\5\6\7\8\9。

2.

size_t __fastcall sub_40078B(const char *a1, __int64 a2)
{
  size_t result; // rax
  int i; // [rsp+1Ch] [rbp-14h]

  for ( i = 0; ; ++i )
  {
    result = strlen(a1);
    if ( i >= result )
      break;
    if ( a1[i] != 48 )                          // a[i]!='0'
    {
      if ( !a1[i] || *(_BYTE *)(i + a2) )       // if ( a2[i]!=0 )
        wrong();                                // flag不为0的时候,会改变
      *(_BYTE *)(i + a2) = a1[i] - 48;          // a2[i]=a1[i]-'0'
    }
  }
  return result;
}

 

这是一个通过遍历flag的每一个字符来为一个数组a2初始化的函数,逻辑就是初始化的规则:

当flag[i]!='0'时,a2[i]一定为0(否则flag错误),并且要重新赋值a2[i]=flag[i]-'0';

3.

unsigned __int64 __fastcall sub_400AD4(__int64 a1)
{
  sub_400833(a1);
  sub_4008FE(a1);
  return sub_4009C9(a1);
}

 第三个函数其实就是判断的关键所在了,这里面有三个子函数。逐个分析

(1)

unsigned __int64 __fastcall sub_400833(__int64 a1)
{
  signed int i; // [rsp+18h] [rbp-28h]
  signed int j; // [rsp+1Ch] [rbp-24h]
  signed int k; // [rsp+1Ch] [rbp-24h]
  char s[24]; // [rsp+20h] [rbp-20h]
  unsigned __int64 v6; // [rsp+38h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  for ( i = 0; i <= 8; ++i )
  {
    memset(s, 0, 0xAuLL);
    for ( j = 0; j <= 8; ++j )
      ++s[*(unsigned __int8 *)(9 * i + j + a1)];// s[ a1[9*i+j] ]++
    for ( k = 1; k <= 9; ++k )
    {
      if ( s[k] != 1 )
        wrong();
    }                                           // 每一行都必须全有1\2\3\4\5\6\7\8\9
  }
  return __readfsqword(0x28u) ^ v6;
}

 这里面需要尤其注意,  ++s[*(unsigned __int8 *)(9 * i + j + a1)]和9*9的嵌套循环 足以让你怀疑是一个9*9的数组。

而需要注意到,判断部分是在for(i=0;i<9;i++)i里面的,这就很容易知道其实就是需要满足每一行必须有1\2\3\4\5\6\7\8\9

(2)和(1)逻辑一样,不过是限制每列都有1\2\3\4\5\6\7\8\9

(3)

unsigned __int64 __fastcall sub_4009C9(__int64 a1)
{
  signed int i; // [rsp+1Ch] [rbp-34h]
  int j; // [rsp+20h] [rbp-30h]
  signed int l; // [rsp+20h] [rbp-30h]
  int k; // [rsp+24h] [rbp-2Ch]
  signed int v6; // [rsp+28h] [rbp-28h]
  signed int v7; // [rsp+2Ch] [rbp-24h]
  char s[24]; // [rsp+30h] [rbp-20h]
  unsigned __int64 v9; // [rsp+48h] [rbp-8h]

  v9 = __readfsqword(0x28u);
  v6 = 3;
  v7 = 3;
  for ( i = 0; i <= 8; ++i )
  {
    memset(s, 0, 0xAuLL);
    for ( j = v6 - 3; j < v6; ++j )
    {
      for ( k = v7 - 3; k < v7; ++k )
        ++s[*(unsigned __int8 *)(9 * j + k + a1)];// 从上到下 从左到右的 不重合的  3*3需要是1\2\3\4\5\6\7\8\9
    }
    for ( l = 1; l <= 9; ++l )
    {
      if ( s[l] != 1 )
        wrong();
    }
    if ( v7 == 9 )
    {
      v7 = 3;
      v6 += 3;
    }
    else
    {
      v7 += 3;
    }
  }
  return __readfsqword(0x28u) ^ v9;
}

分析一下嵌套循环以及判断函数,发现其实还是相似的。不同的是,这里每次判断的九个数是3*3的小数组,按照从上到下,从左到右不重合的顺序检查。

这样一来,其实可以知道这是一个“数独”游戏。根据原有数据,在线填写之后,不要忘记了 把原有数据更改为0.就达到了flag.

 

flag{401095728057800001802040305000321589500479002923586000105060203300008950269750804}。

还木人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cgctf RE Single
qq_42192672的博客
12-17 504
应该就是输入正确的字符串就好,拖进IDA 其实就是经过了三个函数做变换 40070E 检查输入的字符是否合法 40078B 如果输入的不为0,对应的c一定要为0 400AD4 又是三个函数,革命尚未成功啊 400833、4008FE,这两个函数结合起来看似乎会豁然开朗 可以感觉到我们在处理一个9*9的棋盘,第一个函数在处理行,第二个函数在处理列,每一个...
算法分析:2019_UNCTF一道逆向题目
m0_64973256的博客
03-17 453
一.下载程序得到查壳得到一个64位的elf文件 二.直接拖进IDA进行静态分析 一拖进IDA便看到了main函数中一些关键字符“You are Right”、“flag{.....}” int __cdecl main(int argc, const char **argv, const char **envp) { char s[240]; // [rsp+0h] [rbp-1E0h] BYREF char v5[240]; // [rsp+F0h] [rbp-F0h] BYREF
CG-CTF single
YenKoc的博客
04-10 382
一.拖入ida,先静态分析一下 发现有三个函数,点击进去看看 a1为0时,当a2[i]为0时,将自身的值赋值到该位置,a1为0时,就不需要动。 这三个函数都是在暗示这东西是个数独,每行每列,都有1到9的数字,并且不能重复。。。 把之前的数取出来,用在线的数组求解器操作一下 同时写个脚本,将之前不是零的地方改成0,就是flag shudu=[0x00, 0x03, 0x00, 0x06, ...
re学习笔记(16)CG-CTF-re-Single
逆向随笔
12-03 419
新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:single IDA64打开,找到main函数 这里判断出输入的字符串都为数字 这里对数据进行一定的处理 sub_400AD4()函数 emmmm不知道咋写脚本,,,看了cgctf RE Single By:xiaoyuyulala 才知道这是数独游戏…… 好叭先把原来的数组打印出来 先提取原来的 然后使用数独求解器进行解密...
[AFCTF2018]Single
m0_64598287的博客
07-28 346
现在的关键问题是不知道Plain-Cipher的字符映射关系。只需要反向替换即可解密脚本。
react-native-reverse-geo
06-05
从你的项目内部运行npm install react-native-reverse-geo --save 在 XCode 中,在项目导航器中,右键单击Libraries ➜ Add Files to [your project's name] 转到node_modules ➜ react-native-reverse-geo并添加...
Python-ReversemodeAutomaticDifferentiation
08-11
Reverse-mode Automatic Differentiation
Object-C基础教程.pdf
最新发布
07-10
**步骤1:** 在Xcode中创建一个新的iOS项目,选择"Single View App"模板。 **步骤2:** 设计用户界面。可以使用Storyboard或纯代码来设计界面元素,如按钮、标签等。 **步骤3:** 编写代码以响应用户操作。例如,在...
Python-dockerscanDocker安全分析
08-10
dockerscan: Docker安全分析
reverse-im.el
05-06
安装手动的M-x package-install RET reverse-im RET使用使用包改用提供的次要模式(有关详细信息,请参阅 ): ( use-package reverse-im :ensure t :custom (reverse-im-input-methods '( " russian-computer " )) ...
__readfsbyte、__readfsdword、__readfsqword、__readfsword
u013043103的博客
06-25 3247
Microsoft 专用 从偏移量的指定位置读取内存相对 FS 段开头。 语法 unsigned char __readfsbyte( unsigned long Offset ); unsigned short __readfsword( unsigned long Offset ); unsigned long __readfsdword( unsigned long Offset ); unsigned __int64 __readfsqword( unsi...
buuctf刷题记录(2)
weixin_53409153的博客
06-06 685
不一样的flag 对于这种题,一般最开始就是需要查壳吧: 查壳后发现无壳32位,然后就直接拖入IDA,shift+f12查看: 跟进,然后f5查看伪代码: 可以看见,这是一个while循环,然后在while循环上面有一行代码,很重要qmemcpy(&v3, _data_start__, 0x19u);跟进后可以看见: 然后再回头看伪代码: while ( 1 ) { puts("you can choose one action to execute"); puts(
数据类型--ULL、ll
程序狗的成长之路
10-14 2万+
long long为64bit,
常见文件文件头
热门推荐
Xerath的博客
10-01 5万+
各类文件的文件头标志 1、从Ultra-edit-32中提取出来的 JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47 GIF (gif),文件头:47494638 TIFF (tif),文件头:49492A00 Windows Bitmap (bmp),文件头:424D CAD (dwg),文件头:41433130 Adobe Photosh
三个pwn题
weixin_52640415的博客
06-28 1674
shortcut :格式化字符串漏洞写溢出 lucky_guy:alloca负值覆盖ret babynote:libc-2.31禁用exec写 ORW free_hook->sigreturnframe-> setcontex+61->orw
Chunk Extend and Overlapping(HITCON Trainging lab13)
九层台
08-13 609
数据结构 unsigned __int64 create_heap() { _QWORD *v0; // rbx signed int i; // [rsp+4h] [rbp-2Ch] size_t size; // [rsp+8h] [rbp-28h] char buf; // [rsp+10h] [rbp-20h] unsigned __int64 v5; // [r...
0ull 是什么意思?
weixin_34174422的博客
01-08 3008
unsigned long long 类型的0 同理:#define     DEV_IIC1             ( (u64)1 &lt;&lt;  7ULL)    这个作用是64位中的第7位作为i2c1的系统中的设备号
栈溢出技巧-中
蚁景网安学院
04-02 1142
基于报错类的栈保护canary这个值被称作金丝雀(“canary”)值,指的是矿工曾利用金丝雀来确认是否有气体泄漏,如果金丝雀因为气体泄漏而中毒死亡,可以给矿工预警。在brop中也提到过,...
南邮 CTF平台部分 write up
qq_42863361的博客
08-02 1901
南邮 CTF部分 write up web md5 collision 看源代码
C语言的三种整型数据类型:int、short int和long int
飞奔的火鸟
03-15 4138
int数据类型的位数为16位,short int数据类型的位数也是16位。而long int的位数为32位,可用来存储比较大的整数。 short int 和 long int可以缩写为short 和 long。              C语言中的整型数据类型int、short int 和 long int   名称 全称类型说明符 缩写类型说明符       位数           ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值