[GUET-CTF2019] number_game

最新推荐文章于 2023-05-29 19:38:09 发布
最新推荐文章于 2023-05-29 19:38:09 发布
阅读量1.1k 收藏 1
点赞数 2
分类专栏: Reserve 文章标签: c语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/firfis/article/details/126696584
版权

这一题卡了很久,主要是在递归上面,对树这个数据结构不是很敏感。还有,这递归实在不太符合人的思维方式 😦
程序流程大概就是通过建立一个二叉树,用中序遍历对输入进行了一个加密(应该算是吧),最后用一个5*5的二维数组数独检验flag是否正确

函数分析

main函数

unsigned __int64 __fastcall main(int a1, char **a2, char **a3)
{
  __int64 v4; // [rsp+8h] [rbp-38h]
  __int64 v5; // [rsp+10h] [rbp-30h] BYREF
  __int16 v6; // [rsp+18h] [rbp-28h]
  __int64 v7; // [rsp+20h] [rbp-20h] BYREF
  __int16 v8; // [rsp+28h] [rbp-18h]
  char v9; // [rsp+2Ah] [rbp-16h]
  unsigned __int64 v10; // [rsp+38h] [rbp-8h]

  v10 = __readfsqword(0x28u);
  v5 = 0LL;
  v6 = 0;
  v7 = 0LL;
  v8 = 0;
  v9 = 0;
  __isoc99_scanf("%s", &v5);
  if ( (unsigned int)sub_4006D6((const char *)&v5) )
  {
    v4 = sub_400758(&v5, 0LL, 10LL);
    sub_400807(v4, &v7);
    v9 = 0;
    sub_400881(&v7);
    if ( (unsigned int)sub_400917() )
    {
      puts("TQL!");
      printf("flag{");
      printf("%s", (const char *)&v5);
      puts("}");
    }
    else
    {
      puts("your are cxk!!");
    }
  }
  return __readfsqword(0x28u) ^ v10;
}

sub_4006D6

__int64 __fastcall sub_4006D6(const char *a1)
{
  int i; // [rsp+1Ch] [rbp-4h]

  if ( strlen(a1) == 10 )
  {
    for ( i = 0; i <= 9; ++i )
    {
      if ( a1[i] > '4' || a1[i] <= 47 )
        goto LABEL_2;
    }
    return 1LL;
  }
  else
  {
LABEL_2:
    puts("Wrong!");
    return 0LL;
  }
}

要求输入的字符串长度为10,字符范围为'0'-'4'

sub_400758

_QWORD *__fastcall sub_400758(__int64 a1, int a2, unsigned int a3)
{
  char v5; // [rsp+1Fh] [rbp-11h]
  _QWORD *v6; // [rsp+28h] [rbp-8h]

  v5 = *(_BYTE *)(a2 + a1);
  if ( v5 == ' ' || v5 == '\n' || a2 >= (int)a3 )
    return 0LL;
  v6 = malloc(0x18uLL);
  *(_BYTE *)v6 = v5;
  v6[1] = sub_400758(a1, 2 * a2 + 1, a3);
  v6[2] = sub_400758(a1, 2 * (a2 + 1), a3);
  return v6;
}

该函数作用是建一个二叉树,每个节点申请了0x18位的空间,也就是3个字节。
v6[0]存储节点的值v6[1]存储 左子树的地址v6[2]存储 右子树的地址
树的结构与对应的输入值的关系如下图
对应关系

sub_400807

__int64 __fastcall sub_400807(__int64 v4, __int64 v7)
{
  __int64 result; // rax

  result = v4;
  if ( v4 )
  {
    sub_400807(*(_QWORD *)(v4 + 8), v7);
    *(_BYTE *)(v7 + dword_601080++) = *(_BYTE *)v4;
    return sub_400807(*(_QWORD *)(v4 + 16), v7);
  }
  return result;
}

可知v7是这棵树的中序遍历, 则v7input之间的对应关系如下:

0123456789
v7Input[7]Input[3]Input[8]Input[1]Input[9]Input[4]Input[0]Input[5]Input[2]Input[6]

sub_400881

__int64 __fastcall sub_400881(char *a1)
{
  __int64 result; // rax

  byte_601062 = *a1;
  byte_601067 = a1[1];
  byte_601069 = a1[2];
  byte_60106B = a1[3];
  byte_60106E = a1[4];
  byte_60106F = a1[5];
  byte_601071 = a1[6];
  byte_601072 = a1[7];
  byte_601076 = a1[8];
  result = (unsigned __int8)a1[9];
  byte_601077 = a1[9];
  return result;
}

作用是将v7数组放入相应的内存单元中

sub_400917

__int64 sub_400917()
{
  unsigned int v1; // [rsp+0h] [rbp-10h]
  int i; // [rsp+4h] [rbp-Ch]
  int j; // [rsp+8h] [rbp-8h]
  int k; // [rsp+Ch] [rbp-4h]

  v1 = 1;
  for ( i = 0; i <= 4; ++i )
  {
    for ( j = 0; j <= 4; ++j )
    {
      for ( k = j + 1; k <= 4; ++k )
      {
        if ( *((_BYTE *)&unk_601060 + 5 * i + j) == *((_BYTE *)&unk_601060 + 5 * i + k) )
          v1 = 0;
        if ( *((_BYTE *)&unk_601060 + 5 * j + i) == *((_BYTE *)&unk_601060 + 5 * k + i) )
          v1 = 0;
      }
    }
  }
  return v1;
}

作用是判断首地址为60106的内存单元看作5行5列的二维数组,并且要求每行每列不能出现相同的值,可以看成是一个简易版的数独。
将数据取出,并稍作处理
v7
手动解密,得到 v7 = ['0', '4', '2', '1', '4', '2', '1', '4', '3', '0']
根据上述的v7input之间的对应关系,将v7映射到input中,脚本如下:

map = [7, 3, 8, 1, 9, 4, 0, 5, 2, 6] # 对应关系
v7 = ['0', '4', '2', '1', '4', '2', '1', '4', '3', '0']
flag = [0]*10

for i in range(10):
    flag[map[i]] = v7[i]

print(''.join(str(i) for i in flag))
# 1134240024

当然手动对应也可以,但感觉代码写出来会更加明白一点

程序验证

在这里插入图片描述
flag{1134240024}
没有问题

firfis
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
libbabeltrace-ctf-dev_1.5.6-2+deb10u1_all.deb
11-11
统信UOS资源包
i-SOON_CTF_2019:2019第二届安洵杯过渡环境
03-09
i-SOON_CTF_2019 2019第二届安洵杯部分过渡环境/源码 收集分类为大型/大型CTF比赛赛题,提供容器化专属翻译环境。 如有争议,或转型问题请电联
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
[BUUCTF]REVERSE——[GUET-CTF2019]number_game
mcmuyanga的博客
02-03 622
[GUET-CTF2019]number_game 附件 步骤 例行检查,64位程序,无壳 64位ida载入 程序很简单,一开始让我们输入一个字符串,存放在v5中,之后通过sub_4006D6()、sub_400758()、sub_400807()、sub_400881()、sub_400917()几个函数的操作,最后输出flag。 sub_4006D6() sub_400758() sub_400807() sub_400881()给a1[]赋值 sub_400917(),关键判断函数,满足该
[GUET-CTF2019]number_game[数独]
最新发布
m0_73393932的博客
05-29 964
逆向
buuctf——(GUET-CTF2019number_game
yhfgs的博客
09-26 414
1.查壳。 无壳,64位。 2.IDAfan'bai
Buuctf [GUET-CTF2019]number_game 题解
OrientalGlass的博客
03-09 462
⑤judge2()函数实际上是将上一步操作中的内存空间保存的数据视为5*5矩阵,判断每行每列是否有重复元素,也就是一个数独问题。这里的dword_601080单元实际作用是循环计数变量,我最开始也看错了,以为是arr的值++这个函数是递归的将上一步得到的二叉树root用中序遍历的方式存储到arr_stor数组中。也就是说我们按照0-9的顺序输入,实际上会被转换成这样的位置存储到arr_stor数组内。本质上就是判断每行每列是否有重复元素,如果有就错误,所以这是一个5*5矩阵的数独问题。
BUUCTF [GUET-CTF2019]number_game
Kemomimi_的博客
02-02 300
整个流程还是比较清楚的:你输入v5,v4是用v5生成的一个奇怪东西(其实是树,假设没看出来),它经过某种排列(其实是中序遍历)后存到了v7里面,v7就是5x5数独的答案。
BUUCTF-[GUET-CTF2019]number_game1
weixin_61154173的博客
01-28 237
二叉树,通过顺序A->B->D->H,找到最左的H,并输出H,然后返回输出H的同层次同根的结点I并输出,最后输出子根D,继续找D的同层次同子根结点E并输出,最后再输出子根B,然后找到与B同层次同根的结点C,然后通过C->F->J的顺序找到J,并重复上述操作;通过顺序A->B->D->H,找到最左的H,并输出H,然后返回,输出H的子根D,然后找到D的右子树I并输出,然后继续输出D的子根B,找到B的右子树E并输出,然后找到B的根A并输出;最后的输出顺序:H-I-D-E-B-J-F-G-C-A;
re学习笔记(49)BUUCTF-re-[GUET-CTF2019]number_game
逆向随笔
03-02 1733
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:[GUET-CTF2019]number_game IDA64位载入,进入main函数 函数sub_4006D6()函数是验证用户输入长度和字符范围 看了一下判断条件sub_400917()函数,明显的5*5数独游戏的规则 看下sub_400881(v7)函数 将25个数中为#号的替换为v7中的数值 input中的...
[GUET-CTF2019]number_game学习笔记
a5555678744的博客
02-07 1139
此题一开始让我疑惑的地方就是那些递归算法的逆向问题,最后到底会生成哪些元素,我自己分析甚至最后生成的字符数量都不对,其实还是没法很清晰地分析递归算法的结果,另外就是对一些特殊的形式还是不够敏感,比如这串代码 这个递归有两层,分别是2*a+1和2*a+2,前面还有个直接赋值的,这不是有点像前序遍历吗?题目中出现的加密都不是毫无章法的加密,看到一个加密算法的时候要先将它和已知的加密算法向比较,先从整体理解再深入到细节中,直接分析细节容易让认识片面,只知道一些自己推出来的结论。 题目开始 显然这里.
buuctf刷题记录17 [GUET-CTF2019]number_game
ytj00的博客
08-01 493
ida打开进入主函数 先看第一个if里面的函数 首先是判断输入长度是否为10,然后逐个检查输入的字符是否是在0到4之间 然后我们看主函数中第二个if里的函数sub_400917 自己看没看懂…看了看别人的wp才知道这是个数独游戏(第一次接触这种题),这个是个5*5的数独游戏其中行和列都不能有重复的 14#23 30#1# 0#23# #3##0 42##1 就是这个样子,不考虑中间那些函数,我们应该输入0421421430,输入以后不对,应该是中间的函数做了某些调换或者其他操作 然后,sub_40
KWA_Write-UP-CTF_Muhammad-Irsyad-Ali_05311840000041
03-18
Dokumentasi CTF-穆罕默德·伊尔萨德·阿里(Muhammad Irsyad Ali) 问题清单 UTCTF 2021 初学者 完整性检查1.说明您可以在#announcements频道的说明中找到该标志! 2.标志utflag {welcome_to_utctf}![替代文字]...
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
BUUCTF-RE-[GUET-CTF2019]number_game
Henlenl的博客
05-10 204
文章目录查壳IDA 分析IDA动调get flag 查壳 我们知道这是没有壳的 IDA 分析 我们来到关键的函数 main函数 我们进入到 sub_4006D6函数看看 上述函数主要是,让用户输入的长度为10 且输入范围只能是 ‘0’ - ‘4’ IDA动调 既然显示wrong 那我们就可以在该位置断点 我们先在服务端输入0123456789 然后 F8单步就行 到jz这个地方将数值改为0 使其代码继续执行 执行到此处的时候我们就可以知道v7的值了 那么我们就知道对应下标的值了 解
re -19 buuctf [GUET-CTF2019]number_game
weixin_45847059的博客
11-26 505
[GUET-CTF2019]number_game 前话:看明白这题,需要点二叉树基础,最起码要明白数是如何存储的,即若根节点序号为n,左子节点为2n+1,右子节点为2n+2。前序遍历:根左右,中序遍历:左根右,后序遍历:左右根。 打开ida后,定位到关键函数 对第一个函数sub_4006D6跟进分析 传进来的参数v5是输入的字符串,所以输入的字符串长度为10,数值为0-3 跟进第二个函数sub_400758分析 此处malloc(n)即为申请n个字节内存空间。 对于a1也就是传进来的参数v5只有最后
[GUET-CTF2019]number_game 1
sky123博客
01-07 778
由于flag可能的数量为 510<1075^{10}<10^7510<107 且单次判断复杂度很小,因此可以直接爆破flag。 #include<bits/stdc++.h> using namespace std; char a14[26] = "14#2330#1#0#23##3##042##1"; int dword_601080; #define pr(x) cout<<#x<<": "<<x<<endl typedef
BUUCTF Reverse/[GUET-CTF2019]number_game
ookami6497的博客
08-03 319
BUUCTF Reverse/[GUET-CTF2019]number_game 先看文件信息 IDA64位打开 unsigned __int64 __fastcall main(int a1, char **a2, char **a3) { __int64 v4; // [rsp+8h] [rbp-38h] __int64 v5; // [rsp+10h] [rbp-30h] BYREF __int16 v6; // [rsp+18h] [rbp-28h] __int64 v7
[GUET-CTF2019]number_game-buu刷题记录4
Asteri5m
04-13 202
0x00 查壳 上来先查壳,无壳。并且可以看到是ELF文件,这里就直接用IDA64打开就好。 0x01 IDA分析 打开之后可以看到main函数,直接转过去分析: 这里的逻辑清晰可见,v5就是我们的输入,只要函数sub_400917返回真值,if条件语句成立即可输出flag。所以我们转到函数里面分析: 一个数独游戏,这里的两个if语句则是判断行和列有无重复值,数独的数据则保存在unk_601060里面,所以根据这个规则直接把它解出来,得到一个数列。然后返回main函数继续分析,依次向上分析函数,发现s
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值