攻防世界逆向高手题之hackme
继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的hackme
下载附件,照例扔入exeinfope中查看信息:
64位ELF文件无壳,照例扔入IDA64中查看伪代码信息,有main函数看main函数,结果没有main函数:
.
没有main函数就运行程序收集显示信息:
找到两个字符串,直接在strings窗口双击跟踪,找到主要逻辑函数:
.
这里积累第一个经验:如第一个红框所示, sub_407470((unsigned int)“Give me the password: “, a2, a3, a4, a5, a6, a2);
sub_4075A0((unsigned int)”%s”, (unsigned int)v16, v6, v7, v8, v9, v14);
人傻了,这么多个参数。双击跟踪进去不是嵌套就是复杂代码,查看反汇编,好像又没有调用这么多参数。以为是什么复杂的高端函数,开始怕了。结果才发现,这就是根据C语言函数可变参数的特性反汇编出来的,其实就是普通的输出和输入函数而已。果然还是自己经验太少,太菜了~。
.
.
跨过这个坎继续往下走,第一个红框v10范围是0~21,第二个红框数组又以v10作为下标,猜测是一个22的遍历数组操作,第三个红框是判断,所以逆向逻辑很简单。关键是最外面的v25的10次循环后面查了资料说是v10是一个随机数,范围也的确是0 ~ 21,但是不是顺序来取值的,结合外面v25的10循环就是随机从数组中抽取10个下标来比较,那我们直接顺序取整个下标操作也是一样的。
.
.
根据前面回顾的逆向解题流程:
第一步确定Flag字符数量。
.
第二步找到已确定的字符串作为基点来反推falg字符。
.
第三步找出逻辑中与flag直接相关的部分,该部分可以正向爆破或者从尾到头的反向逻辑。
然后找到与flag没有直接关联的部分,该部分无需逆向逻辑,直接正向流程复现即可。
按照流程来即可写出逆向逻辑脚本:
key1=[95, 242, 94, 139, 78, 14, 163, 170, 199, 147, 129, 61, 95, 116, 163, 9, 145, 43, 73, 40, 147, 103]
flag=""
for i in range(10):
for a in range(22):
v15=0
v12=key1[a]
v10=a+1
v14=0
for i in range(v10):
v14+=1
v15=1828812941*v15+12345
flag+=chr((v12^v15)&0xff)
print(flag)
这里积累第二个经验:一开始我flag+=chr((v12^v15)&0xff)没加 &0xff,然后报错,我以为源程序中会有溢出导致的数重置,但是想起程序是64位的,不应该超范围啊。然后我看到源代码有__int8这个限制,这是取前8位啊,可是python中怎么取前8位呢?查了资料才发现有&0xff这种方法,因为&在Python中是逻辑与运算,所以与的时候就保留了v12 ^ v15的前8位,就达到取前8位的目的了,取前16,32位都可以套用这个方法。
.
.
结果:(这里我一开始没理解是随机抽取10次,所以我照搬,结果循环了10次)
.
.
总结:
1:
这里积累第一个经验:如第一个红框所示, sub_407470((unsigned int)“Give me the password: “, a2, a3, a4, a5, a6, a2);
sub_4075A0((unsigned int)”%s”, (unsigned int)v16, v6, v7, v8, v9, v14);
人傻了,这么多个参数。双击跟踪进去不是嵌套就是复杂代码,查看反汇编,好像又没有调用这么多参数。以为是什么复杂的高端函数,开始怕了。结果才发现,这就是根据C语言函数可变参数的特性反汇编出来的,其实就是普通的输出和输入函数而已。果然还是自己经验太少,太菜了~。
2:
这里积累第二个经验:一开始我flag+=chr((v12^v15)&0xff)没加 &0xff,然后报错,我以为源程序中会有溢出导致的数重置,但是想起程序是64位的,不应该超范围啊。然后我看到源代码有__int8这个限制,这是取前8位啊,可是python中怎么取前8位呢?查了资料才发现有&0xff这种方法,因为&在Python中是逻辑与运算,所以与的时候就保留了v12 ^ v15的前8位,就达到取前8位的目的了,取前16,32位都可以套用这个方法。
解毕!敬礼!