攻防世界 REVERSE 新手区/maze

最新推荐文章于 2022-05-12 18:59:07 发布
最新推荐文章于 2022-05-12 18:59:07 发布
阅读量263 收藏 2
点赞数 1
分类专栏: # 攻防世界 Reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ookami6497/article/details/118710301
版权

攻防世界 REVERSE 新手区/maze

在这里插入图片描述

老规矩先查壳,没加壳而且是64位的

在这里插入图片描述

用IDA64位打开,找到main函数F5查看伪代码

在这里插入图片描述

这是一个迷宫题,必然是有迷宫图在里面,然后走的路径就是输出的flag

接下来还是分析代码

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  signed __int64 v3; // rbx
  signed int v4; // eax
  bool v5; // bp
  bool v6; // al
  const char *v7; // rdi
  __int64 v9; // [rsp+0h] [rbp-28h]

  v9 = 0LL;
  puts("Input flag:");
  scanf("%s", &s1, 0LL);
  if ( strlen(&s1) != 24 || strncmp(&s1, "nctf{", 5uLL) || *(&byte_6010BF + 24) != 125 )
  {
LABEL_22:
    puts("Wrong flag!");
    exit(-1);
  }
  v3 = 5LL;
  if ( strlen(&s1) - 1 > 5 )
  {
    while ( 1 )
    {
      v4 = *(&s1 + v3);
      v5 = 0;
      if ( v4 > 78 )
      {
        v4 = (unsigned __int8)v4;
        if ( (unsigned __int8)v4 == 79 )
        {
          v6 = sub_400650((_DWORD *)&v9 + 1);
          goto LABEL_14;
        }
        if ( v4 == 111 )
        {
          v6 = sub_400660((int *)&v9 + 1);
          goto LABEL_14;
        }
      }
      else
      {
        v4 = (unsigned __int8)v4;
        if ( (unsigned __int8)v4 == 46 )
        {
          v6 = sub_400670(&v9);
          goto LABEL_14;
        }
        if ( v4 == 48 )
        {
          v6 = sub_400680((int *)&v9);
LABEL_14:
          v5 = v6;
          goto LABEL_15;
        }
      }
LABEL_15:
      if ( !(unsigned __int8)sub_400690(asc_601060, HIDWORD(v9), (unsigned int)v9) )
        goto LABEL_22;
      if ( ++v3 >= strlen(&s1) - 1 )
      {
        if ( v5 )
          break;
LABEL_20:
        v7 = "Wrong flag!";
        goto LABEL_21;
      }
    }
  }
  if ( asc_601060[8 * (signed int)v9 + SHIDWORD(v9)] != 35 )
    goto LABEL_20;
  v7 = "Congratulations!";
LABEL_21:
  puts(v7);
  return 0LL;
}

通过分析可知输入的flag长度为24,存储在s1中,且开头为nctf{,最后一个必然是 ‘}

哦对了,这题目挺奇怪的,跟进函数再按ESC返回函数的参数会变,这是变完后的,下面是一开始的代码

当你跟进while语句中的四个函数再返回时,这些函数的参数都会改变,最后变成上面的那段代码。不知道是不是我IDA的版本问题

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  const char *v3; // rsi
  signed __int64 v4; // rbx
  signed int v5; // eax
  char v6; // bp
  char v7; // al
  const char *v8; // rdi
  __int64 v10; // [rsp+0h] [rbp-28h]

  v10 = 0LL;
  puts("Input flag:");
  scanf("%s", &s1, 0LL);
  if ( strlen(&s1) != 24 || (v3 = "nctf{", strncmp(&s1, "nctf{", 5uLL)) || *(&byte_6010BF + 24) != 125 )
  {
LABEL_22:
    puts("Wrong flag!");
    exit(-1);
  }
  v4 = 5LL;
  if ( strlen(&s1) - 1 > 5 )
  {
    while ( 1 )
    {
      v5 = *(&s1 + v4);
      v6 = 0;
      if ( v5 > 78 )
      {
        v5 = (unsigned __int8)v5;
        if ( (unsigned __int8)v5 == 79 )
        {
          v7 = sub_400650((char *)&v10 + 4, v3);
          goto LABEL_14;
        }
        if ( v5 == 111 )
        {
          v7 = sub_400660((char *)&v10 + 4, v3);
          goto LABEL_14;
        }
      }
      else
      {
        v5 = (unsigned __int8)v5;
        if ( (unsigned __int8)v5 == 46 )
        {
          v7 = sub_400670(&v10, v3);
          goto LABEL_14;
        }
        if ( v5 == 48 )
        {
          v7 = sub_400680(&v10, v3);
LABEL_14:
          v6 = v7;
          goto LABEL_15;
        }
      }
LABEL_15:
      v3 = (const char *)HIDWORD(v10);
      if ( !(unsigned __int8)sub_400690(asc_601060, HIDWORD(v10), (unsigned int)v10) )
        goto LABEL_22;
      if ( ++v4 >= strlen(&s1) - 1 )
      {
        if ( v6 )
          break;
LABEL_20:
        v8 = "Wrong flag!";
        goto LABEL_21;
      }
    }
  }
  if ( asc_601060[8 * (signed int)v10 + SHIDWORD(v10)] != 35 )
    goto LABEL_20;
  v8 = "Congratulations!";
LABEL_21:
  puts(v8);
  return 0LL;
}

看到最后有个输出 v8 = “Congratulations!”;的那么就从这里开始作为突破口

  if ( asc_601060[8 * (signed int)v10 + SHIDWORD(v10)] != 35 )
    goto LABEL_20;
  v8 = "Congratulations!";
LABEL_21:
  puts(v8);
  return 0LL;

跟进asc_601060,看来这里存储的是迷宫图,数了下长度为64

在这里插入图片描述

查一下35的ASCII码为# ,而迷宫里面刚好有一个#,最后是要走到这里才能输出Congratulations!

然后看while循环里面,有几个数字,这些就是走的方式,由这4个键控制上下左右。

在这里插入图片描述

然后就是一个一个点进函数看了

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述在这里插入图片描述

然后看到这个函数

在这里插入图片描述
在这里插入图片描述

查了下ASCII码35是#,32是‘ ’(空格) ,意思就是说必须要按着路径来走,不能走到障碍物上,然后看这句
result = *(unsigned __int8 *)(a1 + a2 + 8LL * a3);,迷宫存储是一个一维数组,但是一定是按二维数组来使用,从这句代码中推出每一行是8个字符,然后将那段迷宫按8个字符一行来划分。

我把空格的地方填成了x,最初始的位置替换成了I,这样更路线好看一些

      Ix******
      *xxx*xx*
      ***x*x**
      **xx*x**
      *xx*#xx*
      **x***x*
      **xxxxx*
      *********

数了一下从起始位置走到终点#刚好18步

接下来就分析上下左右是由哪些字符所控制的

从上面的四个函数的返回值两两相同,要么是返回 v1>0 要么是返回 v1<8

可以先随便带一个数进去,比如一开始一定是要往右走一步,假设右是79,带入发现撞到障碍物了,然后假设右是111,发现可以不会撞到障碍物。依次带入发现,46不行,48可以。

然后要往下走一步,带入发现,111和48可以,79和46不行。

说明111和48是分别控制右或下的,79和46是分别控制左或上的,所以可以分成两种情况

 	79		111		46		48
 1)上		下		左		右
 2)左		右		上		下

      Ix******
      *xxx*xx*
      ***x*x**
      **xx*x**
      *xx*#xx*
      **x***x*
      **xxxxx*
      *********

你问我为啥不用ASCII码对应的字母表示,,,因为这玩意太容易搞混了,79对应的是O(字母大O)111对应的是o(字母小o)48对应的是0(数字0)46对应的是.(小数点.)

然后按照路径来走分为两种情况,写出脚本

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
int main()
{
/*    Ix******
      *xxx*xx*
      ***x*x**
      **xx*x**
      *xx*#xx*
      **x***x*
      **xxxxx*
      *********/
      int a[] = {48,111,48,48,111,111,46,111,111,111,48,48,48,48,79
      ,79,46,46};
      int b[] = {111,48,111,111,48,48,79,48,48,48,111,111,111,111,
      46,46,79,79};
      printf("第一种情况:nctf{");
      for(int i = 0; i < 18; i++)
      {
          printf("%c",a[i]);
      }
      printf("}\n");
      printf("第二种情况:nctf{");

      for(int i = 0; i < 18; i++)
      {
          printf("%c",b[i]);
      }
      printf("}\n");
    return 0;

}

运行得到结果:(请在里面找一下0和O)

在这里插入图片描述

正确flag是第二个

ofo300
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
攻防世界REVERSE新手练习 - maze
m0_60377292的博客
08-09 172
maze - wp
攻防世界--maze
weixin_30876945的博客
09-02 260
测试文件下载:https://adworld.xctf.org.cn/media/task/attachments/fa4c78d25eea4081864918803996e615 1.准备 获得信息 64位文件 2.IDA打开 选择main函数,反编译为C代码。 1 __int64 __fastcall main(__int64 a1, cha...
攻防世界Reverse-maze
西电卢本伟的博客
05-12 973
ctf、逆向、迷宫问题、攻防世界
攻防世界Reversemaze(未完善)
Pai_Space
11-22 1326
1.解题过程: 由于是迷宫题,分为两个部分: ①迷宫图 ②迷宫规则 首先查找字符串发现一串符号,推测是迷宫图,但不知道怎么排列 接着f5反编译得到代码,应该就是迷宫的规则,所以开始分析代码(下面三张图的注释) 接着我们要分析四个 if 语句中的四个函数 注意:二维数组在存储时是按行排列的,四个函数都是bool返回False或者True 1)函数 sub_400650 作用:v9的下一个字节 -1 对应 将 v9 对应的位置向左移一个位置,并将此位置v5赋予对应的符号 ...
攻防世界 reverse 新手练习 Hello, CTF
ChaoYue_miku的博客
05-08 378
题目来源:Pediy CTF 2018 0、下载附件,使用EXEinfo PE查看文件类型 发现是32位程序,Microsoft Visual C++编译,没有加壳 1、使用IDA 32打开,反编译(F5)main函数 2、分析代码逻辑 首先字符串”437261636b4d654a757374466f7246756e“被复制给变量v13。 在输入的字符串长度小于17时,将接收的10进制字符逐个转换为16进制,然后拼接得到变量v10。 之后进行了一次判断,如果v10和v13相等,..
【广东大学生网络攻防大赛】Reverse | pyre 题目附件
05-24
【广东大学生网络攻防大赛】Reverse | pyre 题目附件
reverse-maze-pathfinding:https
06-07
反向迷宫寻路 例子 $ cd reverse-maze-pathfinding $ javac * .java $ cat samples/sample.txt | java Maze From (1, 1) to (1, 3) From (1, 3) to (1, 1)
Reverse Current/Battery Protection Circuits
08-27
TI application report. Using a diode or N/P-MOSFET.
reverse.zip_VHDL/FPGA/Verilog_Visual_C++_
08-11
reverse 是反转单词倒序输出句子,翻转句子中单词的顺序
攻防世界 REVERSE 新手/re1
ookami6497的博客
04-03 2921
攻防世界 REVERSE 新手/re1 先看题,题目描述没啥有用信息,直接下附件 打开 先随便输个数 估计是个字符串匹配的题,接下来用IDA32位打开 看到有个strcmp函数,比较v5和v9,然后判断v3,根据v3给出相应的结果。这时我看到了个printf(aFLAG),满怀欣喜地点进去看了 啊?这么快就得到答案了么?(并没有。。) 看下描述,和运行的那个程序一样结果,看来是假的 那么那个else后输出的就应该是代表正确的答案了,跟进unk_413E90
攻防世界 reverse 新手练习 re1
ChaoYue_miku的博客
05-06 299
题目来源:DUTCTF 0、下载附件,使用EXEinfo PE查看文件类型 发现是32位可执行文件 1、使用IDA 32打开文件,查看main函数(F5反编译) 逻辑比较简单,有一个v5和v9的字符串比较,满足条件后输出flag,这里双击查看xmmword_413E34这一变量 发现了可疑的变量内容 2、将3074656D30633165577B465443545544h选中,按A键转换为字符串 3、得到flag:DUTCTF{We1c0met0DUTCTF} ...
逆向-攻防世界-maze
weixin_30245867的博客
04-27 192
题目提示是走迷宫。 IDA载入程序分析。 输入字符长度必须是24,开头必须是nctf{,结尾必须是}。在125处按R就可以变成字符。 sub_400650和sub_400660是关键函数,分析sub_400650。 v10的下一字节减1. sub_400660v10的下一字节加1. 分析这两个函数。 v10减1. v10加1 再看最后的比较函数。 v9就是...
攻防世界reverse新手整理
Lenard404的博客
07-29 522
小白终于过了新手TUT insanity 查壳 打开IDA用万能的F5查看main函数 有效信息不足,再用万能的shift+F12查看字符串 得到flag: 9447{This_is_a_flag} pthon-trade pyc文件不能用IDA反编译,所以利用在线反编译工具。 在线反编译(python反编译 - 在线工具 (tool.lu)) #!/usr/bin/env python # visit https://tool.lu/pyc/ for more information impor
攻防世界 maze
qq_42882717的博客
11-26 125
题目 步骤 总结 nctf{o0oo00O000oooo…OO}
攻防世界 Reverse 新手练习 1-12 全详解
闵行小鱼塘
11-28 3860
本篇是攻防世界 Reverse 新手练习的全解
re学习笔记(18)攻防世界-re-maze
逆向随笔
12-28 598
新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:攻防世界-re新手-maze 下载地址:maze 参考资料: IDA宏定义
攻防世界reverse新手writeup
a370793934的专栏
11-27 1334
第一题 re1.exe 0x01.运行程序 可以看到需要输入正确的flag 那么现在,我们需要判断程序是多少位的,有没有加壳 0x02.exeinfope查详细信息 可以看到程序是32位的,是Microsoft Visual c++编译的,并且没有加壳 注:查壳工具还有PEID,EID,但是推荐EID或者exeinfope,因为,PEID查壳的时候有...
攻防世界reverse
最新发布
07-27
攻防世界(reverse)是一个CTF(Capture The Flag)比赛平台,旨在提供一个实践和学习网络安全攻防技术的环境。参赛者需要通过解决一系列的安全难题来获取Flag(标志),Flag是一个特定字符串,代表着成功攻击或者防御...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ofo300

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值