工具
IDA+angr
思路展开
题目时间久远,我的kali运行时,libcrypto.so.1.0.0:的库找不到,题目没法运行,IDA直接打开,看算法逆算法也可。
main函数
从后往前理逻辑,我发现&s被md5加密后有一段字符串,&s又经历SHA1算法和一些组合算法最终生成flag,&s连接两个分支,从md5出发逆推&s,再求出flag,岂不美哉。找md5在线解密,发现解密不了,遂此法置之。
静态方法不行,就动态方法,angr来跑,求出输入就可,那就找输入的约束条件,找来找去,找到sub_400EA0函数,只有这一个函数约束输入,满足这个函数,再将输入输进去,就应该可以出flag。
angr脚本模拟执行这个函数
import angr
proj=angr.Project('./pseudorandom', load_options={"auto_load_libs":False})
st=proj.factory.blank_state(addr=0x400EA0) #执行函数的入口
st.regs.rdi=oxffff #动调可知,那随机数不随机,永远是0xffff
st.se.add(st.regs.rsi<=0x7fffffff) #输入的格式"%d",十进制有符号整型数,最大0x7fffffff
pg = proj.factory.simulation_manager(st)
pg.explore(find=0x401039, avoid=0x400AE0) #0x401039是函数执行成功返回值所在处
s=pg.one_found
s.solver.add(s.memory.load(s.regs.rbp-0x8,4)!=0) #load 读取指定寄存器的数据
print(pg.found[0].state.posix.dumps(0)) #打印符合条件的输出
求出输入,将输入输进去,你会发现规律,输入=前一个输入*2
得到flag
nullcon{50_5tup1d_ch4113ng3_f0r_e1i73er_71k3-y0u}