[GUET-CTF2019]re
下载附件,直接shift+f12查看字符串
发现输入flag的地方点进去然后交叉引用(x)追踪到主函数然后f5看伪代码
sub_40F950一看就是printf,那么下面那个必然就是scanf.
紧跟着下面一个if判断,条件为真,就说明破解成功。由此可知
sub_4009AE为解题关键。
双击进去看代码
典型z3约束器求解
直接拿Python写脚本
from z3 import *
s = Solver()
flag = [0]*32
for i in range(32):
flag[i] = Int('flag['+str(i)+']')
s.add( 1629056 * flag[0] == 166163712 )
s.add( 6771600 * flag[1] == 731332800 )
s.add( 3682944 * flag[2] == 357245568 )
s.add( 10431000 * flag[3] == 1074393000 )
s.add( 3977328 * flag[4] == 489211344 )
s.add( 5138336 * flag[5] == 518971936 )
s.add( 7532250 * flag[7] == 406741500 )
s.add( 5551632 * flag[8] == 294236496 )
s.add( 3409728 * flag[9] == 177305856 )
s.add( 13013670 * flag[10] == 650683500 )
s.add( 6088797 * flag[11] == 298351053 )
s.add( 7884663 * flag[12] == 386348487 )
s.add( 8944053 * flag[13] == 438258597 )
s.add( 5198490 * flag[14] == 249527520 )
s.add( 4544518 * flag[15] == 445362764 )
s.add( 3645600 * flag[17] == 174988800 )
s.add( 10115280 * flag[16] == 981182160 )
s.add( 9667504 * flag[18] == 493042704 )
s.add( 5364450 * flag[19] == 257493600 )
s.add( 13464540 * flag[20] == 767478780 )
s.add( 5488432 * flag[21] == 312840624 )
s.add( 14479500 * flag[22] == 1404511500 )
s.add( 6451830 * flag[23] == 316139670 )
s.add( 6252576 * flag[24] == 619005024 )
s.add( 7763364 * flag[25] == 372641472 )
s.add( 7327320 * flag[26] == 373693320 )
s.add( 8741520 * flag[27] == 498266640 )
s.add( 8871876 * flag[28] == 452465676 )
s.add( 4086720 * flag[29] == 208422720 )
s.add( 9374400 * flag[30] == 515592000 )
s.add(5759124 * flag[31] == 719890500)
s.check()
flag = s.model()
print(flag)
结果乱七八糟,放到txt文档里面查找替换成列表。再放到python里遍历列表以字符型进行输出
flag = [0]*32
flag[10] = 50
flag[23] = 49
flag[4] = 123
flag[30] = 55
flag[21] = 57
flag[5] = 101
flag[15] = 98
flag[9] = 52
flag[22] = 97
flag[19] = 48
flag[1] = 108
flag[24] = 99
flag[17] = 48
flag[7] = 54
flag[3] = 103
flag[27] = 57
flag[18] = 51
flag[16] = 97
flag[8] = 53
flag[11] = 49
flag[28] = 51
flag[25] = 48
flag[2] = 97
flag[12] = 49
flag[13] = 49
flag[0] = 102
flag[20] = 57
flag[29] = 51
flag[31] = 125
flag[26] = 51
flag[14] = 48
for i in flag:
print(chr(i),end='')
这里发现没有第6位,可以使用burpsuite进行爆破,我这里直接给出flag