[BUUCTF]REVERSE——SimpleRev
2024-09-06 23:47:12
SimpleRev
步骤:
- 例行查壳儿,,无壳,64位程序
- 64位ida载入,看main函数
关键代码段在Decry函数里
unsigned __int64 Decry()
{
char v1; // [rsp+Fh] [rbp-51h]
int v2; // [rsp+10h] [rbp-50h]
int v3; // [rsp+14h] [rbp-4Ch]
int i; // [rsp+18h] [rbp-48h]
int v5; // [rsp+1Ch] [rbp-44h]
char src[8]; // [rsp+20h] [rbp-40h]
__int64 v7; // [rsp+28h] [rbp-38h]
int v8; // [rsp+30h] [rbp-30h]
__int64 v9; // [rsp+40h] [rbp-20h]
__int64 v10; // [rsp+48h] [rbp-18h]
int v11; // [rsp+50h] [rbp-10h]
unsigned __int64 v12; // [rsp+58h] [rbp-8h]
v12 = __readfsqword(0x28u);
*(_QWORD *)src = 'SLCDN';
v7 = 0LL;
v8 = 0;
v9 = 'wodah';
v10 = 0LL;
v11 = 0;
text = (char *)join(key3, &v9); // text=killswodah
strcpy(key, key1); // key=ADSFK
strcat(key, src); // key=ADSFKSLCDN
v2 = 0;
v3 = 0;
getchar();
v5 = strlen(key); // v5=10
for ( i = 0; i < v5; ++i ) // 大写字母转小写
{
if ( key[v3 % v5] > 64 && key[v3 % v5] <= 90 )// key=adsfkslcdn
key[i] = key[v3 % v5] + 32;
++v3;
}
printf("Please input your flag:", src);
while ( 1 )
{
v1 = getchar();
if ( v1 == '\n' )
break;
if ( v1 == ' ' )
{
++v2;
}
else
{
if ( v1 <= 96 || v1 > 122 )
{
if ( v1 > 64 && v1 <= 90 ) // 大写字母变换
str2[v2] = (v1 - 39 - key[v3++ % v5] + 97) % 26 + 97;
}
else // 小写字母变换
{
str2[v2] = (v1 - 39 - key[v3++ % v5] + 97) % 26 + 97;
}
if ( !(v3 % v5) )
putchar(32);
++v2;
}
}
if ( !strcmp(text, str2) )
puts("Congratulation!\n");
else
puts("Try again!\n");
return __readfsqword(0x28u) ^ v12;
}
程序大概的执行过程是先把key1和scr复制到key中然后对key进行一番操作,然后输入flag到str2中,对str2进行一番操作后跟text进行比较,比较正确则输出congratulation,我们已经知道了text里的值,我们可以逆向算法,推出输入的flag
由于对26的取余运算弄的我有的懵,下面是其他师傅对取余算法的逆向
值得注意的是取模操作,如a/b=c······d,进行你操作时c(我们可称之为放大倍数)是未知的,因此需要使用循环对放大倍数从0进行尝试,直到有符合要求的结果,但经过实践发现对于text全部字符而言这个c并不是一致的,比如第一个字符的c为0,第二个字符的c为1,第三个为3,都有可能,但从比较过程来看,text全是字母,因此可用条件语句筛选出符合条件的情况,即他的ASCII码>=65&&<=90或>=97&&<=122
使用两层循环,第一层表示放大倍数,第二层表示对text的是个字符依次进行操作,
自己操作的时候输出的答案不对
key = "adsfkndcls"
text= "killshadow"
flag=""
v5 = len(key);
for i in range(5):
for j in range(10):
x=chr( ord(text[j]) - 97 + i * 26 - 97 + ord(key[j]) + 39)
if x.isupper():
flag+=x
print (flag)
print ('flag{'+flag+'}')
我之后用了比较笨的爆破方法获取的flag
key="adsfkndcls"
text="killshadow"
flag=""
loop="ABCDEFGHIJKLMNOPQRSTUVWXYZ"
v3 = 0
v5 = len(key)
for i in range(0,len(text)):
for j in loop:
if ord(text[i])==(ord(j)-39-ord(key[i])+97)%26+97:
flag+=j
print ('flag{'+flag+'}')
最新文章
- python导入cx_Oracle报错的问题!
- ASP.NET使用ConfigurationSection在Web.Config创建自定义配置节集合
- JS魔法堂:再识IE的内存泄露
- 移动端web app自适应布局探索与总结
- Codeforces Gym 100531D Digits 暴力
- 1062: [NOI2008]糖果雨 - BZOJ
- 一个简单的web服务器例子
- 用aspx文件作为模板
- androidstudio下载地址
- HMM:隐马尔可夫模型HMM
- Git打标签与版本控制规范
- 单页面应用(SPA)
- [Artoolkit] Framework Analysis of nftSimple
- rpgmakermv(8) XY_TitleMenu插件
- git中 .ignore文件的配置 忽略不想上传的文件
- Python MRO_C3
- 利用sql语句进行增删改查
- Bitter Sweet Symphony
- Texas Instruments matrix-gui-2.0 hacking -- run_script.php
- JAVA StringUtils需要导入的包