BUUCTF Reverse 不一样的flag
伪代码分析
int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
char v3[29]; // [esp+17h] [ebp-35h] BYREF
int v4; // [esp+34h] [ebp-18h]
int v5; // [esp+38h] [ebp-14h] BYREF
int i; // [esp+3Ch] [ebp-10h]
_BYTE v7[12]; // [esp+40h] [ebp-Ch] BYREF
__main();
v4 = 0;
strcpy(v3, "*11110100001010000101111#");
while ( 1 )
{
puts("you can choose one action to execute");
puts("1 up");
puts("2 down");
puts("3 left");
printf("4 right\n:");
scanf("%d", &v5);
if ( v5 == 2 )
{
++*(_DWORD *)&v3[25];
}
else if ( v5 > 2 )
{
if ( v5 == 3 )
{
--v4;
}
else
{
if ( v5 != 4 )
LABEL_13:
exit(1);
++v4;
}
}
else
{
if ( v5 != 1 )
goto LABEL_13;
--*(_DWORD *)&v3[25];
}
for ( i = 0; i <= 1; ++i )
{
if ( *(int *)&v3[4 * i + 25] < 0 || *(int *)&v3[4 * i + 25] > 4 )
exit(1);
}
if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == '1' )
exit(1);
if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == '#' )
{
puts("\nok, the order you enter is the flag!");
exit(0);
}
}
}
-
首先从这段代码可以得知**
1
对应up
,2
对应down
,3
对应left
,4
对应right
**,然后读入操作并将其存入v5
puts("you can choose one action to execute"); puts("1 up"); puts("2 down"); puts("3 left"); printf("4 right\n:"); scanf("%d", &v5);
-
然后看下面的代码
if ( v5 == 2 ) { ++*(_DWORD *)&v3[25]; } else if ( v5 > 2 ) { if ( v5 == 3 ) { --v4; } else { if ( v5 != 4 ) LABEL_13: exit(1); ++v4; } } else { if ( v5 != 1 ) goto LABEL_13; --*(_DWORD *)&v3[25]; }
可以被简化为
switch (v5) { case '1': --v3; case '2': ++v3; case '3': --v4; case '4': ++v4; }
可以看出**
v3
用于存储y轴坐标,v4
用于存储x轴坐标** -
最后的判断如下
if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == '#' ) { puts("\nok, the order you enter is the flag!"); exit(0); }
可以简化为
if ( v7[5 * v3 + v4] == '#' ) { puts("\nok, the order you enter is the flag!"); exit(0); }
这里值得注意的是最后的坐标判定,坐标表示为
5 * y坐标 + x坐标
,可以理解为地图的宽度为5这里的地图字符串不难找出
*11110100001010000101111#
将其转化为宽度为5的地图可以这么表示
* 1 1 1 1 0 1 0 0 0 0 1 0 1 0 0 0 0 1 0 1 1 1 1 #
起始坐标为
*
,1
为墙壁,0
为道路,#
为终点 -
所以最后的的操作字符串为
222441144222
-
得到flag
flag{222441144222}