天天看點
傳回

BUUCTF 逆向工程(reverse)之[GXYCTF2019]luck_guy

用IDA64打開,進入到

get_flag

函數

unsigned __int64 get_flag()
{
  unsigned int v0; // eax
  char v1; // al
  signed int i; // [rsp+4h] [rbp-3Ch]
  signed int j; // [rsp+8h] [rbp-38h]
  __int64 s; // [rsp+10h] [rbp-30h]
  char v6; // [rsp+18h] [rbp-28h]
  unsigned __int64 v7; // [rsp+38h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  v0 = time(0LL);
  srand(v0);
  for ( i = 0; i <= 4; ++i )
  {
    switch ( rand() % 200 )
    {
      case 1:
        puts("OK, it's flag:");
        memset(&s, 0, 0x28uLL);
        strcat((char *)&s, f1);
        strcat((char *)&s, &f2);
        printf("%s", &s);
        break;
      case 2:
        printf("Solar not like you");
        break;
      case 3:
        printf("Solar want a girlfriend");
        break;
      case 4:
        v6 = 0;
        s = 0x7F666F6067756369LL;
        strcat(&f2, (const char *)&s);
        break;
      case 5:
        for ( j = 0; j <= 7; ++j )
        {
          if ( j % 2 == 1 )
            v1 = *(&f2 + j) - 2;
          else
            v1 = *(&f2 + j) - 1;
          *(&f2 + j) = v1;
        }
        break;
      default:
        puts("emmm,you can't find flag 23333");
        break;
    }
  }
  return __readfsqword(0x28u) ^ v7;
}

首先這裡用到了随機數,但是想通過随機數來擷取flag有點不現實,或者說是太難了。。。。

v0 = time(0LL);
srand(v0);
for ( i = 0; i <= 4; ++i )
	switch ( rand() % 200 )

是以主要的點在case 1 ~ case 5,但是case 2和case 3這兩個是printf的輸出語句,并沒有什麼用。是以可以不考慮。然後再進一步分析可以看出來具體步驟是case 4 —》 case 5 —》 case 1

case 4:

case 4:
v6 = 0;		// 這裡的v6可以不考慮
s = 0x7F666F6067756369LL;	// 這裡要把16進制轉為字元串,并且是逆序的(之是以是逆序的應該是和stack的存儲結構有關)
strcat(&f2, (const char *)&s);	// 把s的值指派給f2(指派前的f2是空字元)
break;

case 5

for ( j = 0; j <= 7; ++j )
{
	if ( j % 2 == 1 ) 	v1 = *(&f2 + j) - 2;
	else 				v1 = *(&f2 + j) - 1;	
	*(&f2 + j) = v1;
}
break;

如果看不懂上面的代碼,可以把它改成這樣下面的代碼。它們是等價的:

for ( j = 0; j <= 7; ++j )
{
	if ( j % 2 == 1 ) 	v1 = f2[j] - 2;
	else 				v1 = f2[j] - 1;	
	f2[j] = v1;
}
break;

case 1

puts("OK, it's flag:");
memset(&s, 0, 0x28uLL);
strcat((char *)&s, f1);		// 這裡的f1的值為:GXY{do_not_
strcat((char *)&s, &f2);	// 連結f1和f2的字元串就是flag(這個f2是我們逆向出來的)
printf("%s", &s);
break;
BUUCTF 逆向工程(reverse)之[GXYCTF2019]luck_guy

Python3代碼

key1 = "GXY{do_not_"
# 這裡的key2的值為:0x7F666F6067756369,以兩個一組來分割。這是為将16進制轉成對應的字元
key2 = [ 0x7F, 0x66, 0x6F, 0x60, 0x67, 0x75, 0x63, 0x69 ][::-1] # 注意要把這裡的數組反過來
flag = key1

for i in range(0,len(key2)):
    x = key2[i]
    if i % 2 == 1: x = x - 2
    else:          x = x - 1
    flag = flag + chr(x)
print(flag)     # 輸出的值為:GXY{do_not_hate_me},再把前面的GXY改成flag就是我們要的flag了
BUUCTF 逆向工程(reverse)之[GXYCTF2019]luck_guy

是以最終的flag為:

flag{do_not_hate_me}
ctf # 逆向工程 逆向工程
上一篇: BUUCTF Reverse [GXYCTF2019]luck_guy WriteUpluck_guy-WP
下一篇: [GXYCTF2019]luck_guy

繼續閱讀