1、查壳没壳,64位c++
2、ida主函数
为啥我16行的输入函数只有个%s?日了狗了
据动态调试,应该是把存在了v14里。
先不管,把41行开始的判断语句解决掉。4个字符串的运算,由已知的三个字符串求outputString。
爆搜就完事了,python list返回索引值的index函数更显高级。
a1234567890Qwer=[ 0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38, 0x39, 0x30,
0x2D, 0x3D, 0x21, 0x40, 0x23, 0x24, 0x25, 0x5E, 0x26, 0x2A,
0x28, 0x29, 0x5F, 0x2B, 0x71, 0x77, 0x65, 0x72, 0x74, 0x79,
0x75, 0x69, 0x6F, 0x70, 0x5B, 0x5D, 0x51, 0x57, 0x45, 0x52,
0x54, 0x59, 0x55, 0x49, 0x4F, 0x50, 0x7B, 0x7D, 0x61, 0x73,
0x64, 0x66, 0x67, 0x68, 0x6A, 0x6B, 0x6C, 0x3B, 0x27, 0x41,
0x53, 0x44, 0x46, 0x47, 0x48, 0x4A, 0x4B, 0x4C, 0x3A, 0x22,
0x5A, 0x58, 0x43, 0x56, 0x42, 0x4E, 0x4D, 0x3C, 0x3E, 0x3F,
0x7A, 0x78, 0x63, 0x76, 0x62, 0x6E, 0x6D, 0x2C, 0x2E, 0x2F,
0x00]
a46200860044218 =[
0x28, 0x5F, 0x40, 0x34, 0x36, 0x32, 0x30, 0x21, 0x30, 0x38,
0x21, 0x36, 0x5F, 0x30, 0x2A, 0x30, 0x34, 0x34, 0x32, 0x21,
0x40, 0x31, 0x38, 0x36, 0x25, 0x25, 0x30, 0x40, 0x33, 0x3D,
0x36, 0x36, 0x21, 0x21, 0x39, 0x37, 0x34, 0x2A, 0x33, 0x32,
0x33, 0x34, 0x3D, 0x26, 0x30, 0x5E, 0x33, 0x26, 0x31, 0x40,
0x3D, 0x26, 0x30, 0x39, 0x30, 0x38, 0x21, 0x36, 0x5F, 0x30,
0x2A, 0x26, 0x00
]
a55565653255552 =[
0x35, 0x35, 0x35, 0x36, 0x35, 0x36, 0x35, 0x33, 0x32, 0x35,
0x35, 0x35, 0x35, 0x32, 0x32, 0x32, 0x35, 0x35, 0x36, 0x35,
0x35, 0x36, 0x35, 0x35, 0x35, 0x35, 0x32, 0x34, 0x33, 0x34,
0x36, 0x36, 0x33, 0x33, 0x34, 0x36, 0x35, 0x33, 0x36, 0x36,
0x33, 0x35, 0x34, 0x34, 0x34, 0x32, 0x36, 0x35, 0x36, 0x35,
0x35, 0x35, 0x35, 0x35, 0x32, 0x35, 0x35, 0x35, 0x35, 0x32,
0x32, 0x32, 0x00
]
output=''
for i in range(62):
index1=a1234567890Qwer.index(a46200860044218[i])
index2=a1234567890Qwer.index(a55565653255552[i])
index3=23*index2+index1
output+=chr(index3)
print(output)
输出结果
然后向上看,有个UnDecorateSymbolName函数,上网搜说是对修饰的逆,就是把编译器修饰之前的原函数名搞出来。
转载解释:反修饰指定已修饰的 C++ 符号名,就是将一个已经修饰的符号符号名变为没修饰前的符号名。而修饰又是什么呢?简单的说,就是当编译器在读取我们写的变量名/函数的时候,是不可能直接把我们的命名直接读入的,这样可能会导致与读入的代码指令相混淆,所以必须把这些变量名/函数经过一定格式的转化,而这个转化的过程就是修饰。
了解修饰规则后,有如下函数(其他题解扒来的):
#include<iostream>
using namespace std;
class R0Pxx {
public:
R0Pxx(){
unsigned char a;
My_Aut0_PWN(&a);
}
private:
char My_Aut0_PWN(unsigned char*) {
printf("%s", __FUNCDNAME__);
return '0';
}
};
int main() {
new R0Pxx();
getchar();
return 0;
}
其中的_FUNCDNAME_,经查,代表的就是一个函数的修饰名。
于是得修饰名:?My_Aut0_PWN@R0Pxx@@AEAADPEAE@Z
再往上看,sub_7FF7D9AC15C0函数点进去
很像二叉树后根遍历,但这a1+1 a1+2理解不能。再往上那个v4的函数有点大,逆不了一点。
于是狠狠试,ABCDEFGHIJKLMNOPQRSTUVWXYZabcde总共31个字母往里怼,动调发现A,B,D,H,P次序,画个图发现应该是由根向下逐行依次填满二叉树。
手填二叉树图得Z0@tREEyuP@xADA?M_A0_WNPx@@AAPE
然后发现不对,心碎。
原因是我上面修饰的结果不对。
烂完了
如果我根据命名规则手撸的话
前面部分没问题,关键是@@后面,按照命名规则,private对应AAE,前一个char*对应PAD,后一个unsigned char*对应PAE,得出结果?My_Aut0_PWN@ROPxx@@AAEPADPAE@Z
啧,硬凑也能凑出来。
新的手填二叉树:
Z0@tRAEyuP@xAAA?M_A0_WNPx@@EPDP
md5加密
63b148e750fed3a33419168ac58083f5
头都干昏了