[网鼎杯 2020 青龙组]jocker
-
例行检查,无壳,32位程序
-
运行一下看看大概的情况
-
32位ida载入
进入encrypt函数会报错,0x40151D处反编译失败40151D:无法转换为伪代码
我一开始以为是堆栈不平衡导致,后来发现恢复后也没法f5
看程序的逻辑,大概这边的代码被加密了,24~25行代码的作用就是给这个函数代码进行解密,这个函数后面在说,先继续往下看。 -
wrong(),一个简单的加密函数
-
omg()
经过wrong处理的字符串得到unk_4030c0里的结果
-
先求一下我们输入的数据
a=[0x66,0x6B,0x63,0x64,0x7F,0x61,0x67,0x64,0x3B,0x56, 0x6B,0x61,0x7B,0x26,0x3B, 0x50,0x63,0x5F,0x4D,0x5A,0x71,0x0C,0x37,0x66]
string=""
for i in range(24):
if i&1:
string+=chr(a[i]+i)
else:
string+=chr(a[i]^i)
print(string)
flag{fak3_alw35_sp_me!!}
- 拿去提交不对,毕竟程序还没有结束,下面还有一个for循环,跟0x41进行了异或,看代码应该是对encrypt函数的地址进行了解码,在这之后应该就能看到真正的encrypt函数了。动调,在这之后下断点,查看encrypt函数。
找到encrypt函数部分
看到原来的data数据变成了汇编代码,从encrypt函数的起始地址0x401500开始选取,选取所有没有编译的text段数据,按c,点击force
然后在0x401500处右击创建函数,现在就能看到encrpty函数里的内容了
大概就是将带入的数据与Buffer进行异或操作,然后得到unk_403040地址上的值
提取一下得到unk_403040=[0xe,0xd,0x9,0x6,0x13,0x5,0x58,0x56,0x3e,0x6,0xc,0x3c,0x1f,0x57,0x14,0x6b,0x57,0x59,0xd]
Buffer=“hahahaha_do_you_find_me?”
这边计算一下带入的数据是多少
result=[0xe,0xd,0x9,0x6,0x13,0x5,0x58,0x56,0x3e,0x6,0xc,0x3c,0x1f,0x57,0x14,0x6b,0x57,0x59,0xd]
flag=""
haha="hahahaha_do_you_find_me?"
for i in range(19):
flag+=chr(ord(haha[i])^(result[i]))
print(flag)
#flag{d07abccf8a410c
flag不全,
- 继续往下看findally函数
一样一开始将数据转换成了data型,转换一下,然后创建函数
这下就看的更迷了,12行的if看的我一脸懵,也有可能是我修复函数的时候出了问题,而且v4是随机生成的。
这边看到了v3是长度为5的字符串,之前算出了19位的flag,根据之前的程序,flag的长度应该是24,所以这剩下的5位应该是flag的末尾,然后由于flag的格式是flag{},那么 :^ } 得到71,再将%tp&分别异或71,得到b37a
因此最后的结果是 flag{d07abccf8a410cb37a}