我解出来的密码可以通过程序检验,但是通不过buuctf的检验,能通过buuctf检验的密码通不过程序检验,感觉是buuctf的答案错了
查壳
32位,无壳
拖入ida
32行之前的代码都是常规的读取用户输入的功能,32行的sub_401090对v7进行了某些操作,但是不需要在意因为题目里已经给出了用户名是welcomebeijing,在往下看就看到了打破死循环的条件,sub_401830应当返回非0值。
跟进sub_401830
直接看返回值,发现是v14等于某个值,往上回溯,发现v14的值只与76行的函数有关。
继续跟进
发现了很多if,显然是要让这些if全部成立才能满足条件,即v17应为"dbappsec",于是继续往上回溯,发现只有两处决定了v17的值。
64行的异或待会直接看OD即可,先跟进70行的函数
v4是我们输入的用户名的长度,明显大于8,于是a3永远小于v4,故这个函数里决定v17值的地方只有一处,即26行的异或,其中a2是用户名的形参,a3是v17的形参。这个函数的功能就是让用户名的前8位和v17的前8位进行异或,由于后面不再对v17进行赋值,所以这就是v17最终的值。
接下来我们要解决的第一次对v17进行赋值的异或操作。
首先要确定异或操作的地址
右键64行再同步即可,再进入IDA ViewA,图模式切换成流模式就可以看到64行的汇编语言。
可以看到xor的地址位401B3E计算偏移量是B3E
拖入OD
找到偏移量为B3E的地址并下断点
输入用户名,再随便输个密码
可以看到OD成功把程序断下来了,依次查看寄存器里的内容
可以发现这是在把我们的输入每两个字符为一组合并成一个十六进制数再和一个固定的数组异或。到了这一步就简单了,前面程序做了什么已经完全不用看了。异或数组为[0x2a, 0xd7, 0x92, 0xe9, 0x53, 0xe2, 0xc4, 0xcd]
然后就可以直接写脚本了。
脚本
v17_ = "dbappsec"
user = "welcomebeijing"
v17 = []
for i in range(8):
v17.append(ord(v17_[i]) ^ ord(user[i]))
password = ""
byte_416050 = [0x2a, 0xd7, 0x92, 0xe9, 0x53, 0xe2, 0xc4, 0xcd]
for i in range(8):
password+=hex(v17[i]^byte_416050[i]).replace('0x','')
print(password)
得出密码为39d09ffa4cfcc4cc,将其代入程序
成功,再按照题目要求进行md5小写加密(用的是这个网站https://icyberchef.com/#recipe=MD5()&input=MzlkMDlmZmE0Y2ZjYzRjYw)
返回buuctf提交时却发现失败了,看了下别人的博客,发现直接忽略sub_401710函数,只异或byte_416050写的脚本提交可以通过buuctf的判断,但是sub_401710函数是肯定不能忽略的,因为它更新了v17的值,所以通不过程序的检验,这波我认为是buuctf的答案错了。