[BUUCTF]REVERSE - [GWCTF 2019]xxor
首先查壳
发现是.elf文件,linux环境运行下
拖到IDA,找到main
__int64 __fastcall main(int a1, char **a2, char **a3)
{
int i; // [rsp+8h] [rbp-68h]
int j; // [rsp+Ch] [rbp-64h]
__int64 v6[6]; // [rsp+10h] [rbp-60h] BYREF
__int64 v7[6]; // [rsp+40h] [rbp-30h] BYREF
v7[5] = __readfsqword(0x28u);
puts("Let us play a game?");
puts("you have six chances to input");
puts("Come on!");
memset(v6, 0, 40);
for ( i = 0; i <= 5; ++i )
{
printf("%s", "input: ");
__isoc99_scanf("%d", (char *)v6 + 4 * i);
}
memset(v7, 0, 40);
for ( j = 0; j <= 2; ++j )
{
dword_601078 = v6[j];
dword_60107C = HIDWORD(v6[j]);
sub_400686((unsigned int *)&dword_601078, dword_601060);
LODWORD(v7[j]) = dword_601078;
HIDWORD(v7[j]) = dword_60107C;
}
if ( (unsigned int)sub_400770(v7) != 1 )
{
puts("NO NO NO~ ");
exit(0);
}
puts("Congratulation!\n");
puts("You seccess half\n");
puts("Do not forget to change input to hex and combine~\n");
puts("ByeBye");
return 0LL;
}
输入要求是6个整数,每个整数提供 4字节
的存储空间。
存储到 8字节
的v6
数组中。所以这6个数据实际上只占用了3个v6
数组。
同时要注意的是该程序的环境是 x86-64
用的是小端序,即地址高位存储数据的高位,地址低位存储数据的低位。
这里用p[6]
代表输入数据,则p[6]
在v6
数组中的位置如下:
分清楚地址高低位和数据高低位尤其重要。在接下来的加密过程中要用到。
输入完成后的3次循环中,以 j = 0
举例:
dword_601078 = v6[0];
dword_60107C = HIDWORD(v6[0]);
由于 v6
是 8字节
的而 dword_601078
是 4字节
的。所以直接将 v6[0]
赋给 dword_601078
。实际上只是得到的是 v6[0]
数据低位的 4个字节
。也就是上述中的 p[0]
,而 dword_60107C
就是 p[1]
。
知道了对应的变量,接下进入加密函数。
__int64 __fastcall sub_400686(unsigned int *a1, _DWORD *a2)
{
__int64 result; // rax
unsigned int v3; // [rsp+1Ch] [rbp-24h]
unsigned int v4; // [rsp+20h] [rbp-20h]
int v5; // [rsp+24h] [rbp-1Ch]
unsigned int i; // [rsp+28h] [rbp-18h]
v3 = *a1; //表示数据低位
v4 = a1[1]; //也就是(unsigned int *)&dword_601078 + 4 = (unsigned int *)&dword_60107C 表示数据高位
v5 = 0;
for ( i = 0; i <= 63; ++i )
{
v5 += 1166789954;
v3 += (v4 + v5 + 11) ^ ((v4 << 6) + *a2) ^ ((v4 >> 9) + a2[1]) ^ 32;
v4 += (v3 + v5 + 20) ^ ((v3 << 6) + a2[2]) ^ ((v3 >> 9) + a2[3]) ^ 16;
}
*a1 = v3;
result = v4;
a1[1] = v4;
return result;
}
a2可以直接跟进查看
分析输出可以知道数据又重新返回到数据高低位。
在逆向加密函数前必须先知道v7数组的值。看判断语句中的 sub_400770
函数
__int64 __fastcall sub_400770(_DWORD *a1)
{
if ( a1[2] - a1[3] == 2225223423LL
&& a1[3] + a1[4] == 4201428739LL
&& a1[2] - a1[4] == 1121399208LL
&& *a1 == -548868226
&& a1[5] == -2064448480
&& a1[1] == 550153460 )
{
puts("good!");
return 1LL;
}
else
{
puts("Wrong!");
return 0LL;
}
}
利用python中的z3约束求解出,脚本如下:
from z3 import *
a0, a1, a2, a3, a4, a5 = Ints('a0 a1 a2 a3 a4 a5')
s = Solver()
s.add(a2 - a3 == 2225223423)
s.add(a3 + a4 == 4201428739)
s.add(a2 - a4 == 1121399208)
s.add(a0 == -548868226)
s.add(a5 == -2064448480)
s.add(a1 == 550153460)
if s.check() == sat:
print(s.model())
else:
print("false")
# [a2 = 3774025685,
# a1 = 550153460,
# a5 = -2064448480,
# a0 = -548868226,
# a3 = 1548802262,
# a4 = 2652626477]
得到 v7
的值
继续对加密函数逆向求解
#include <stdio.h>
#include <iostream>
int main()
{
unsigned int a[6] = { -548868226, 550153460, 3774025685, 1548802262, 2652626477, 2230518816 };
unsigned int a2[4] = { 2,2,3,4};
unsigned int v3;
unsigned int v4;
int v5;
for (int i = 0; i < 6; i += 2)
{
v3 = a[i];
v4 = a[i+1];
v5 = 1166789954 * 64;
for (int j = 0; j < 64; ++ j )
{
v4 -= (v3 + v5 + 20) ^ ((v3 << 6) + a2[2]) ^ ((v3 >> 9) + a2[3]) ^ 16;
v3 -= (v4 + v5 + 11) ^ ((v4 << 6) + *a2) ^ ((v4 >> 9) + a2[1]) ^ 32;
v5 -= 1166789954;
}
a[i] = v3;
a[i+1] = v4;
}
for (int i = 0; i < 6; ++ i )
{
std::cout << *((char*)&a[i] + 2) << *((char*)&a[i] + 1) << *((char*)&a[i]);
}
return 0;
}
最后得到的 v6
数组输出为字符即可,每个 4字节
的unsigned int
对应 1字节
的 char
但输出发现有1位 char
是空白的,所以输出3位 char
。
得到flag:flag{re_is_great!}