首先,下载解压拖进exe里。
然后拖进ida64,
shift+f12,明显看见The flag is HZCTF{md5(path)+score},所以我们接下来的目标就是找到path和score。
然后由上图清晰可见迷宫,所以我们应该先找到迷宫函数,我的做法是双击please to save the cat,跟进找到迷宫函数。
注意看,多了一个条件。
接下来是写迷宫脚本,
maze = [
[1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1],
[1, 0, 1, 0, 1, 0, 1, 0, 0, 0, 0, 0, 1, 0, 0, 0, 0, 0, 1, 0, 1],
[1, 0, 1, 0, 1, 0, 1, 1, 1, 1, 1, 0, 1, 1, 1, 1, 1, 0, 1, 0, 1],
[1, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 1],
[1, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 0, 1, 1, 1, 0, 1, 0, 1, 0, 1],
[1, 0, 1, 0, 0, 0, 0, 0, 1, 0, 1, 0, 1, 0, 0, 0, 1, 0, 1, 0, 1],
[1, 0, 1, 0, 1, 0, 1, 1, 1, 1, 1, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1],
[1, 0, 1, 0, 1, 0, 0, 0, 0, 0, 1, 0, 0, 0, 1, 0, 1, 0, 0, 0, 0],
[1, 0, 1, 1, 1, 0, 1, 0, 1, 0, 1, 1, 1, 0, 1, 0, 1, 0, 1, 0, 1],
[1, 0, 0, 0, 0, 0, 1, 0, 1, 0, 1, 0, 1, 0, 1, 0, 1, 0, 1, 0, 1],
[1, 0, 1, 1, 1, 1, 1, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 0, 1, 0, 1],
[1, 0, 0, 0, 0, 0, 1, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 0, 1, 0, 1],
[1, 1, 1, 0, 1, 0, 1, 0, 1, 0, 1, 1, 1, 0, 1, 0, 1, 0, 1, 0, 1],
[1, 0, 1, 0, 1, 0, 1, 0, 1, 0, 1, 0, 0, 0, 1, 0, 1, 0, 1, 0, 1],
[1, 0, 1, 1, 1, 1, 1, 1, 1, 0, 1, 0, 1, 1, 1, 0, 1, 1, 1, 1, 1],
[0, 0, 0, 0, 1, 0, 0, 0, 1, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1],
[1, 0, 1, 0, 1, 0, 1, 0, 1, 0, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1],
[1, 0, 1, 0, 1, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1],
[1, 1, 1, 0, 1, 0, 1, 1, 1, 1, 1, 0, 1, 0, 1, 1, 1, 0, 1, 1, 1],
[1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1],
[1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1]]
usedmap=[[0 for i in range(len(maze))]for i in range(len(maze[0]))]
sti=15 #迷宫起点设置
stj=0
edi=7 #迷宫终点设置
edj=20
flag=''
def dfs(x,y):
global flag
if x==edi and y==edj:
print(flag)
return
if maze[x+1][y]==0 and usedmap[x+1][y]==0:
usedmap[x][y]=1
flag+='s'
dfs(x+1,y)
flag=flag[:-1]
usedmap[x][y]=0
if maze[x-1][y]==0 and usedmap[x-1][y]==0:
usedmap[x][y]=1
flag+='w'
dfs(x-1,y)
flag=flag[:-1]
usedmap[x][y]=0
if maze[x][y+1]==0 and usedmap[x][y+1]==0:
usedmap[x][y]=1
flag+='d'
dfs(x,y+1)
flag=flag[:-1]
usedmap[x][y]=0
if maze[x][y-1]==0 and usedmap[x][y-1]==0:
usedmap[x][y]=1
flag+='a'
dfs(x,y-1)
flag=flag[:-1]
usedmap[x][y]=0
dfs(sti,stj)
运行出来dddssssddwwwwddssddwwwwwwddddssaassddddwwwwddwwwwddd即为path,再通过在线工具把path通过md5加密,结果为811173b05afff098b4e0757962127eac。那么接下来就是找score。
红框即重要函数,下面我们双击跟进函数查看。
所以可知v27(图上注释部分v7即v27)即为key,下面我们写脚本,把v27的原来值解出来。
#include<stdio.h>
int main()
{
unsigned int x;
scanf("%u",&x);
x=x^0x1DC4u;
printf("%u",x);
return 0;
}
所以v27原始值为13371337,根据提示flag已经解出。即为NSSCTF{811173b05afff098b4e0757962127eac13371337}.