0x01. 進入環境,下載下傳附件
題目給出的一個python檔案和key,大緻看了看代碼,key其實就是生成的檔案,我們要利用key的格式去想辦法還原flag
0x02. 代碼分析
0x02_1. flag的格式
from flag import flag
assert flag.startswith("flag{")
assert flag.endswith("}")
assert len(flag)==27 這段代碼第一行表示從flag檔案中,導入了flag。這不是廢話麼!
剩下的2-4行代碼我們可以知道,flag的形式為flag{***},且flag的長度為27位,那麼括号中的長度為21位。
0x02_2. 參數分析
R=int(flag[5:-1],2)
mask=0x100002 R取了flag中間部分并且以二進制形式轉換為數字,那麼我們就知道了flag括号内的東西一定是0或者1,我們可以調出idle測試一下
代碼中的
print(int('101',2)) # 輸出為 5 那麼可以推出來,flag一定為0101的字元存在形式,也就是說,一共有21位的0和1組合字元串,那麼可能性為
0x02_3. 加密函數
def lfsr(R,mask):
output = (R << 1) & 0xffffff # 字元R邏輯左移一位并與0xffffff做與操作
i=(R&mask)&0xffffff # R和mask做與操作後與0xffffff做與操作
lastbit=0
while i!=0:
lastbit^=(i&1) # 求i和1的與操作再與lastbit異或
i=i>>1
output^=lastbit
return (output,lastbit) 回頭看lfsr函數,最終目的得到一個加密輸出
0x02_4. key檔案的由來
f=open("key","ab")
for i in range(12):
tmp=0
for j in range(8):
(R,out)=lfsr(R,mask)
tmp=(tmp << 1)^out
f.write(chr(tmp))
f.close() 第一行打開了個key檔案并可寫,最終i循環12次,每一次執行8個位加密和異或操作,得到一個位元組的tmp,最終将其寫入檔案f中。
那麼我們可以知道key檔案的長度一定為12位。嘗試用winhex打開key檔案可以瞅瞅,如圖:
果然是12位元組的資料。
0x03. 解題代碼
# 原始加密函數
def lfsr(R, mask):
output = (R << 1) & 0xffffff
i = (R & mask) & 0xffffff
lastbit = 0
while i != 0:
lastbit ^= (i & 1)
i = i >> 1
output ^= lastbit
return output, lastbit
# 檢測函數,判斷加密後的結果list2是否和原始list1相同
def check(list1, list2):
for i in range(12):
if list1[i] != list2[i]:
return False
return True
# 拿到key檔案的資料
with open('pic/key', 'rb') as file:
f = file.read()
s_list = []
for c in f:
s_list.append(c)
mask = 0x100002
# 一共有2^21種排列組合
for i in range(1 << 21):
print(i)
tmp_list = []
R = i
for j in range(12):
tmp = 0
for k in range(8):
(R, out) = lfsr(R, mask)
tmp = (tmp << 1) ^ out
tmp_list.append(tmp)
# 如果key和最終加密的結果相同,那麼表示找到了flag
if check(s_list, tmp_list):
print(bin(i))
break ![mysql5.7的sql優化[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)