CTF—游戏过关
(一)、题目描述
本题下载后是一个.exe文件,执行后发现每当输入一个n值,图形不断根据数字变化的,如图1所示。
图1 题目
(二)、解题步骤
借助IDA工具查看.exe文件。
步骤如下:
1、 查看string模式(view—>Open Subview—>string)。可以看到.rdata:0050B0F0 00000015 C done!!! the flag is ,说明flag就在此处。双击可以得到相应的代码段。
图2 IDA中.exe文件的string模式
2、 如图3所示,在此处使用快捷键Ctrl+x找到存放 (DoneTheFlagIs; "done!!! the flag is ")的交叉引用地址Up o sub_45E940+28 。
图3 交叉引用地址
3、 根据交查引用地址,找到一段代码,如图4所示。使用快捷键F5编译成C语言。简单来讲V3的值是由第一步原来(V3+i)地址存放的值与(V60+i)的值按位异或,第二步得到的值再与16进制的ox13u按位异或得到。题目中也给出了(V3+i)和(V60+i)的值。可解出现在 V3的值。
图4 交叉引用地址
4.、如图5所示,使用python解题。
#v3:原代码v3-v59的值
v3 = [123,32,18,98,119,108,65,41,124,80,125,38,124,111,74,49,83,108,94,108,84,6,96,83,44,121,104,110,32,95,117,101,99,123,127,119,96,48,107,71,92,29,81,107,90,85,64,12,43,76,86,13,114,1,117,126,0]
#v60:原代码v60-v116的值
v60 = [18,64,98,5,2,4,6,3,6,48,49,65,32,12,48,65,31,78,62,32,49,32,1,57,96,3,21,9,4,62,3,5,4,1,2,3,44,65,78,32,16,97,54,16,44,52,32,64,89,45,32,65,15,34,18,16,0]
s = ""
for i in range(56):
v3[i] = v3[i] ^ v60[i]
v3[i] = v3[i] ^ 0x13
s += chr(v3[i])
print(s)
图6 python
(三)、总结
1、 通过IDA工具解题,须熟练快捷键。
2、 逆变解题。