攻防世界逆向高手题之notsequence

最新推荐文章于 2022-04-28 00:15:00 发布
最新推荐文章于 2022-04-28 00:15:00 发布
阅读量433 收藏 3
点赞数 3
分类专栏: 逆向 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/119959830
版权

逆向工程 杨辉三角 算法分析 攻防世界 程序解密
关键词由CSDN通过智能技术生成
CTF 同时被 2 个专栏收录
173 篇文章 33 订阅
订阅专栏
逆向
99 篇文章 34 订阅
订阅专栏

攻防世界逆向高手题之notsequence

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的notsequence
在这里插入图片描述

这道题,算是我真正接触逆向算法的题目了,有点兴奋。
.
.
下载附件,照例扔入exeinfope中查看信息:
在这里插入图片描述
.
无壳,32位ELF文件,照例扔入32位IDA中查看伪代码,有Main函数看main函数:
在这里插入图片描述

.
.
题型是与用户输入有关的生成型flag,逻辑是经过两个check,分析第一个check函数v2 = sub_80486CD(&unk_8049BE0):
在这里插入图片描述
这里一开始我没看懂,按照反向逆向逻辑来看双重循环的话我得知道v5的值,但是这里并没有,所以我在主函数处发现了v2=20,但是又不确定v2在第二个check函数里有没有改变过,结果是没有。所以v5=v2=20,有了v5的值就可以进行反向第一个check中双层循环中的 for ( j = 0; j <= v5; ++j )循环了。
在这里插入图片描述
.
.
可是之后我还是逆向不了,我知道v3的个数和v5一样,可是v3 += *(_DWORD *)(4 * (j + i) + input_flag)这句代码标识v3是在input_flag中跳着取的啊,那这个逻辑逆向起来就相当麻烦了,我不会。(哭~)
.
.
查了资料才发现这是杨辉三角,算法逆向题,没办法,只能跟着wp走了,并附上我自己的见解。
.
.
首先这里积累第一个经验,附上杨辉三角解析:

[1] #0 /1 |2^0=1
[1, 1] #1 /2 |2^1=2
[1, 2, 1] #3 /3 |2^2=4
[1, 3, 3, 1] #6 /4 |2^3=8
[1, 4, 6, 4, 1] #10 /5 |2^4=16
[1, 5, 10, 10, 5, 1]
[1, 6, 15, 20, 15, 6, 1]
[1, 7, 21, 35, 35, 21, 7, 1]
[1, 8, 28, 56, 70, 56, 28, 8, 1]
[1, 9, 36, 84, 126, 126, 84, 36, 9, 1]
[1, 10, 45, 120, 210, 252, 210, 120, 45, 10, 1]
.
.
这样来看杨辉三角第一批特征:
(1)最左边代表行号,0就是第0行。(行号从0开始)
(2)第1个字符在数组中的位置,#后的数字。
(3)一行的有几个数字 /后的内容。
(4)整行的和。|后的内容,是2的行号次方(行号得从0开始)
.
.
![在这里插入图片描述](https://img-blog.csdnimg.cn/ac472da135d14a209a6851ad422f47ad.png).
.
.
这样来看杨辉三角第二批特征:
第n行数字的和为2^(n) ,行号从0开始
1=2^(0-0), 1+1=2^(1-0), 1+2+1=2^(2-0), 1+3+3+1=2^(3-0) ,1+4+6+4+1=2^(4-0), 1+5+10+10+5+1=2^(5-0)。
.
.
斜线上数字的和等于其向左(从左上方到右下方的斜线),拐角上的数字。(在图中以用红线标好)
1+1=2,1+1+1=3,1+1+1+1=4,1+2=3,1+2+3=6,1+2+3+4=10,1+3=4,1+3+6=10,1+4=5

.
.
.
接下来分析check1函数代码:


int __cdecl sub_80486CD(int input_flag)
{
  int j; // [esp+0h] [ebp-14h]
  int v3; // [esp+4h] [ebp-10h]
  int i; // [esp+8h] [ebp-Ch]
  int v5; // [esp+Ch] [ebp-8h]

  v5 = 0;			//这里积累第二个经验:通过v5的0、1、2、3……然后退出循环中 i 表达式的前几个值0、1、3、6、10……可以发现问题,因为这不是遍历或者有规律的遍历(每次检查第四个),而且v5 * (v5 + 1) / 2 是等差数列的公式,结合前面的逻辑逆向麻烦性,由此要知道考的是算法。
  for ( i = 0; i <= 1024 && *(_DWORD *)(4 * i + input_flag); i = v5 * (v5 + 1) / 2 )
  {
    v3 = 0;
    for ( j = 0; j <= v5; ++j )		//这里积累第三个经验:在杨辉三角那里,每一行的数的总和等于2的以该行号的次方,行号从0开始算起。
      v3 += *(_DWORD *)(4 * (j + i) + input_flag);
    if ( 1 << v5 != v3 )                        // 所以这里v5是行上数的个数,这里1 << v5就表示2的v5次方,就是2的行号次方(从0开始)。 v3 += *(_DWORD *)(4 * (j + i) + input_flag)中i是v5行前的杨辉三角的个数,因为我们是一维排列杨辉三角的,所以只能用(4 * (j + i)这种表达式来遍历第v5上的v5+1个数(杨辉三角行从0开始!)
      return -1;
    ++v5;
  }
  return v5;
}

所以这段代码check1函数的作用是检测每一行求和结果为2`k
可以抽象成一个二维结构,有[k] 行(第一行k=0),每行开头为第k*(k+1)/2个数。
.
.
.
接着分析check2函数的代码:

int __cdecl sub_8048783(int input_flag, int k_20)
{
  int v3; // [esp+10h] [ebp-10h]
  int v4; // [esp+14h] [ebp-Ch]
  int i; // [esp+18h] [ebp-8h]
  int v6; // [esp+1Ch] [ebp-4h]

  v6 = 0;
  for ( i = 1; i < k_20; ++i )				//这里i总0、1、2……这样连续递增
  {
    v4 = 0;
    v3 = i - 1;										//这里v3从0、1、2、这样连续递增,
    if ( !*(_DWORD *)(4 * i + input_flag) )
      return 0;
    while ( k_20 - 1 > v3 )
    {
      v4 += *(_DWORD *)(4 * (v3 * (v3 + 1) / 2 + v6) + input_flag);		//这里积累第四个经验:这里等差数列表达式v3 * (v3 + 1) / 2前面说过了,是杨辉三角的行,v6从0开始递增,表示取杨辉三角v3行的v6列的值,而在这个循环中v3是变换的,也就是取得杨辉三角的行是变化的,而v6在此一个该循环中是固定的,所以可以看成是取每一行(v3)的同一个列(v6)
      ++v3;
    }
    if ( *(_DWORD *)(4 * (v3 * (v3 + 1) / 2 + i) + input_flag) != v4 )		//这里由于前面循环++v3后表明行号向下了一行,而 i 从1开始,v6从0开始,所以 i 永远比 v6大1。所以这里可以看作[0]-[k-1]行的 [v6] 列求和等于[k]行的 [i] 

      return 0;
    ++v6;
  }
  return 1;
}

这里check2函数验证的就是杨辉三角的这个特征:
在这里插入图片描述
.
.
.
所以答案很明显了,是杨辉三角的前20行就是答案,这里积累第5个经验,写杨辉三角生成脚本:(代码标注很详细了,希望对自己日后有帮助!)

def triangles():
	s=[1]	#这里s[1]作为杨辉三角函数起始值
	while True:		#无限循环生成杨辉三角
		yield s		#每次返回一行的杨辉三角列表
		s.append(0)	#给杨辉三角下一列扩充一个数的空间,因为每一行比上一行多1个
		s=[s[i-1]+s[i] for i in range(len(s))]	#覆盖生成杨辉三角行列表,满足杨辉三角的下一行的第n个数等于上一行的第n和n-1的和
n=0		#设置计数器,因为只打印前20行
flag=''
for i in triangles():	#每次获取从triangels函数的yield返回的一行列表
	#print(i)	#打印每一行杨辉三角
	flag+=''.join(map(str,i))		#返回通过指定字符连接序列中元素后生成的新字符串,以str为间隔,默认为逗号。而列表就是逗号间隔的
	n+=1
	if n==20:
		break
import hashlib
flag=hashlib.md5(flag.encode()).hexdigest()		#这里把flag的列表流变成了字节流,就去掉了列表保留了每个元素了,然后直接加密
print("RCTF{"+flag+"}")

.
.
结果:
在这里插入图片描述
.
.
总结:

1:
首先这里积累第一个经验,附上杨辉三角解析:
[1] #0 /1 |2^0=1
[1, 1] #1 /2 |2^1=2
[1, 2, 1] #3 /3 |2^2=4
[1, 3, 3, 1] #6 /4 |2^3=8
[1, 4, 6, 4, 1] #10 /5 |2^4=16
[1, 5, 10, 10, 5, 1]
[1, 6, 15, 20, 15, 6, 1]
[1, 7, 21, 35, 35, 21, 7, 1]
[1, 8, 28, 56, 70, 56, 28, 8, 1]
[1, 9, 36, 84, 126, 126, 84, 36, 9, 1]
[1, 10, 45, 120, 210, 252, 210, 120, 45, 10, 1]
.
.
这样来看杨辉三角第一批特征:
(1)最左边代表行号,1就是第1行。
(2)第1个字符在数组中的位置,#后的数字。
(3)一行的有几个数字 /后的内容。
(4)整行的和。|后的内容,是2的行号次方(行号得从0开始)
.
.
![在这里插入图片描述](https://img-blog.csdnimg.cn/ac472da135d14a209a6851ad422f47ad.png).
.
.
这样来看杨辉三角第二批特征:
第n行数字的和为2^(n-1) 。1=2^(1-1), 1+1=2^(2-1), 1+2+1=2^(3-1), 1+3+3+1=2^(4-1) ,1+4+6+4+1=2^(5-1), 1+5+10+10+5+1=2^(6-1)。
.
.
斜线上数字的和等于其向左(从左上方到右下方的斜线)或向右拐弯(从右上方到左下方的斜线),拐角上的数字。(在图中以用红线标好)
1+1=2,1+1+1=3,1+1+1+1=4,1+2=3,1+2+3=6,1+2+3+4=10,1+3=4,1+3+6=10,1+4=5

2:
这里积累第二个经验:通过v5的0、1、2、3……然后退出循环中 i 表达式的前几个值0、1、3、6、10……可以发现问题,因为这不是遍历或者有规律的遍历(每次检查第四个),而且v5 * (v5 + 1) / 2 是等差数列的公式,结合前面的逻辑逆向麻烦性,由此要知道考的是算法。
for ( i = 0; i <= 1024 && *(_DWORD *)(4 * i + input_flag); i = v5 * (v5 + 1) / 2 )

3:
这里积累第三个经验:在杨辉三角那里,每一行的数的总和等于2的以该行号的次方,行号从0开始算起。 所以这里v5是行上数的个数,这里1 << v5就表示2的v5次方,就是2的行号次方(从0开始)。 v3 += *(_DWORD *)(4 * (j + i) + input_flag)中i是v5行前的杨辉三角的个数,因为我们是一维排列杨辉三角的,所以只能用(4 * (j + i)这种表达式来遍历第v5上的v5+1个数(杨辉三角行从0开始!)

4:
v4 += *(_DWORD *)(4 * (v3 * (v3 + 1) / 2 + v6) + input_flag); //这里积累第四个经验:这里等差数列表达式v3 * (v3 + 1) / 2前面说过了,是杨辉三角的行,v6从0开始递增,表示取杨辉三角v3行的v6列的值,而在这个循环中v3是变换的,也就是取得杨辉三角的行是变化的,而v6在此一个该循环中是固定的,所以可以看成是取每一行(v3)的同一个列(v6)。
.
if ( *(_DWORD *)(4 * (v3 * (v3 + 1) / 2 + i) + input_flag) != v4 ) //这里由于前面循环++v3后表明行号向下了一行,而 i 从1开始,v6从0开始,所以 i 永远比 v6大1。所以这里可以看作[0]-[k-1]行的 [v6] 列求和等于[k]行的 [i]

5: 这里积累第5个经验,写杨辉三角生成脚本:(代码标注很详细了,希望对自己日后有帮助!)
`
def triangles():
s=[1] #这里s[1]作为杨辉三角函数起始值
while True: #无限循环生成杨辉三角
yield s #每次返回一行的杨辉三角列表
s.append(0) #给杨辉三角下一列扩充一个数的空间,因为每一行比上一行多1个
s=[s[i-1]+s[i] for i in range(len(s))] #覆盖生成杨辉三角行列表,满足杨辉三角的下一行的第n个数等于上一行的第n和n-1的和
n=0 #设置计数器,因为只打印前20行
flag=’’
for i in triangles(): #每次获取从triangels函数的yield返回的一行列表
#print(i) #打印每一行杨辉三角
flag+=’’.join(map(str,i)) #返回通过指定字符连接序列中元素后生成的新字符串,以str为间隔,默认为逗号。而列表就是逗号间隔的
n+=1
if n==20:
break
import hashlib
flag=hashlib.md5(flag.encode()).hexdigest() #这里把flag的列表流变成了字节流,就去掉了列表保留了每个元素了,然后直接加密
print(“RCTF{”+flag+"}")

解毕!敬礼!

沐一 · 林
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
攻防世界 web高手进阶区 10分 Guess
闵行小鱼塘
11-03 1327
继续ctf的旅程,开始攻防世界web高手进阶区的10分,本文是Guess的writeup
攻防世界 web高手进阶区 10分 TimeKeeper
闵行小鱼塘
10-19 1393
继续ctf的旅程,开始攻防世界web高手进阶区的10分,本文是TimeKeeper的writeup
攻防世界 notsequence
12-21
notsequence 自己算法太菜了, 这道的2个函数始终没看懂… 看了writeup, 杨辉三角形! 看了writeup, 自己慢慢的分析了下. 首先, check1函数. 原创文章 3获赞 1访问量 108 关注 私信 展开阅读全文 作者:B&X
攻防世界-notsequence
臭nana的博客
09-22 1163
ida反编译主函数 需要满足三个条件,两个check函数和最后的v2==20,第一个函数内容为 signed int __cdecl sub_80486CD(int a1) { int j; // [esp+0h] [ebp-14h] int v3; // [esp+4h] [ebp-10h] int i; // [esp+8h] [ebp-Ch] int v5; // ...
XCTF 攻防世界 notsequence
qq_41071646的博客
04-26 755
这道。。。 当我看到 这两个check 的时候 整个人就不好了 这都是什么鬼啊。 。。。。 然后 我就想着暴力跑一下试试 然后试着angr 的符号执行 但是因为范围太大了 所以我放弃了 要是有师傅用这个搞出来了 还希望能够说一下 然后 只能硬核分析算法了 (下面是 angr的脚本) #!/usr/bin/python2 #coding=utf8 import ...
notsequence 攻防世界
re1wn
04-20 885
notsequence 攻防世界
攻防世界 web高手进阶区 10分 url
闵行小鱼塘
10-19 1579
继续ctf的旅程,开始攻防世界web高手进阶区的10分,本文是url的writeup
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界 Reverse高手进阶区 2分 notsequence
闵行小鱼塘
01-04 323
继续ctf的旅程,攻防世界Reverse高手进阶区的2分,本篇是notsequence的writeup
notsequence
XFox_的博客
09-20 163
notsequence 打开是EIF文件,直接拖进IDA查看字符串 反汇编找到main函数 首先要满足check1和check2即sub_80486CD和sub_80486CD 最后满足v2 == 20 int __cdecl main() { _DWORD *v0; // eax int v2; // [esp+14h] [ebp-Ch] _DWORD *v3; // [esp+1Ch] [ebp-4h] memset(&unk_8049BE0, 0, 0x4000u);
XCTF 进阶 RE notsequence
A_dmin的博客
10-02 344
XCTF 进阶 RE notsequence 直接进入正,下载文件,无壳,直接使用ida打开找到关键函数:
攻防notsequence(杨辉三角的判断)
m0_62690279的博客
04-12 2205
攻防notsequence 杨辉三角 https://baike.baidu.com/item/%E6%9D%A8%E8%BE%89%E4%B8%89%E8%A7%92/215098 拖入ida 看main函数 int __cdecl main() { _DWORD *v0; // eax int v2; // [esp+14h] [ebp-Ch] _DWORD *v3; // [esp+1Ch] [ebp-4h] memset(&unk_8049BE0, 0, 0x4000u);
notsequence 寒假逆向生涯(9/100)
寻梦&之璐
01-16 1776
notsequence目,挺简单的,首先无壳,直接拖进ida,然后查看了一下伪代码 轻易发现只需要满足三点就行 sub_80486CD((int)&unk_8049BE0) (unsigned __int8)sub_8048783((int)&unk_8049BE0, v2) ^ 1 v2 == 20 sub_80486CD((int)&unk_8049BE0) 伪代码 signed int __cdecl sub_80486CD(int a1) { int j; /
RCTF-2015-notsequence WP
qq_41252520的博客
09-05 1458
前言 这道目有多解,但是只有一组解是flag。再次提醒自己,搞逆向的数学一定要学好,至少大学之前的数学还能有印象! 分析 程序无花无壳,直接IDA反编译。 结构很清晰,分别来看这两个 check 函数。 通过测试可以得知这些 下标 的含义,如果我们用符号来作为输出,就会很清晰了: 然后这个函数检测的就是行 i 的数字之和 v3 = 2i。其实数学好的话,仅看这个函数就立马想到是 杨辉...
蓝桥杯 试 基础练习 杨辉三角形
weixin_45619069的博客
03-03 780
基础练习 杨辉三角形 目描述 杨辉三角形又称Pascal三角形,它的第i+1行是(a+b)i的展开式的系数。 它的一个重要性质是:三角形中的每个数字等于它两肩上的数字相加。   下面给出了杨辉三角形的前4行:      1     1   1    1   2  1 1  3  3  1 给出n,输出它的前n行。 测试用例分析 输入格式: 输入包含一个数n。 输出格式: 输出杨辉三角形的前n行。每一行从这一行的第一个数开始依次输出,中间使用一个空格分隔。请不要在前面输出多余的空格。
杨辉三角计算机中的应用,杨辉三角
weixin_29982199的博客
07-02 2984
杨辉三角,是二项式系数在三角形中的一种几何排列,中国南宋数学家杨辉1261年所著的《详解九章算法》一书中出现。在欧洲,帕斯卡(1623----1662)在1654年发现这一规律,所以这个表又叫做帕斯卡三角形。帕斯卡的发现比杨辉要迟393年,比贾宪迟600年。[1]杨辉三角是中国数学史上的一个伟大成就。[1]中文名杨辉三角外文名Pascal's Triangle别称贾宪三角形、帕斯卡三角形表...
[ctf.show.reverse] 吃瓜杯 签层饼,Tea_tube_pot
weixin_52640415的博客
04-28 577
签层饼 真有一千层函数呀,沿着输入存入的两个变量找,找到3个函数: 主函数给出了flag的组织方式, check1说number2<882408, check2说number1 = number2^333509 check_n说返回的条件,但是由于这个数是个随机数不能确定,而且number2很小可以爆破。 int __cdecl main_0(int argc, const char **argv, const char **envp) { int v3; // eax pri
[BUUCTF]REVERSE解记录 刮开有奖
weixin_44192213的博客
02-27 288
1.拖入ida32位中 直接查看主函数。可以找到其中的dialogfunc函数 if ( a2 == 272 ) { result = 1; } else { if ( a2 != 273 ) return 0; if ( (_WORD)a3 == 1001 ) { memset(&String, 0, 0xFFFFu); GetDlgItemTextA(hDlg, 1000, &String, 0.
攻防世界pwn新手答案
最新发布
08-10
回答: 对于攻防世界pwn新手,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲区大小时,会覆盖到相邻的内存区域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单练习区 答(1-10解)](https://blog.csdn.net/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值