CTFshow Reverse 逆向4 学习记录
题目
分析过程
是一个无壳,64位的文件
丢到IDA里面,找到main函数
1 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) 2 { 3 __int64 v3; // rdx 4 char *v4; // [rsp+20h] [rbp-18h] 5 6 qword_140004618 = (__int64)malloc(16ui64); // "ui64"表示无符号的64位整数 7 qword_140004620 = qword_140004618; 8 *(_QWORD *)(qword_140004618 + 8) = 0i64; // *(_QWORD *) 作为一个整体,通常用于将一个地址(或其他整数)转换为一个指向64位无符号整数的指针,并获取该地址上的值。 9 // i64表示64位带符号整数 10 sub_140001020("请输入正确的数字:\n"); 11 sub_140001080("%lld"); // %lld是对应 long long 12 sub_1400010E0(v4, v3); 13 }
代码还是很好理解的,我们继续看看sub_1400010E0函数
1 void __fastcall __noreturn sub_1400010E0(char *input, __int64 a2) 2 { 3 int v2; // er9 4 __int64 input_int64; // r8 5 char *v4; // r10 6 char v5; // al 7 __int64 v6; // rbx 8 char v7; // cl 9 char v8; // [rsp+1Fh] [rbp-3F9h] 10 char v9; // [rsp+20h] [rbp-3F8h] BYREF 11 12 v2 = 0; 13 input_int64 = (__int64)input; 14 if ( input ) 15 { 16 v4 = &v9; // v4存放v9字符串的地址,是一个指针 17 do 18 { 19 ++v4; // 将指针往后移动 20 ++v2; // 记录循环次数 21 v5 = a4890572163qwe[input_int64 + -26 * (input_int64 / 26)];// )(*&^%489$!057@#><:2163qwe 22 input_int64 /= 26i64; 23 *(v4 - 1) = v5; // 因为之前+1了,-1又移动回去,就是存放在原来的地址 24 } 25 while ( input_int64 ); 26 } 27 v6 = v2; 28 while ( v6 ) 29 { 30 v7 = *(&v8 + v6--); 31 sub_1400011E0(v7 ^ 7); 32 } 33 sub_140001220(); 34 } 35 /* Orphan comments: 36 )(*&^%489$!057@#><:2163qwe 37 */
提取出最难理解的一部分
v5 = a4890572163qwe[input_int64 + -26 * (input_int64 / 26)];
input_int64 /= 26i64;
)(*&^%489$!057@#><:2163qwe——刚好26个字符
括号里面举例子更好去理解
- 假设input_int64是8:
- 8+ -16*(8/26)=8+ -26*0=8
- 8/26=0——结束循环
- 假设input_int64=28:
- 28+ -26*(28/26)=28+ -26*1=2
- 28/26=1
- 1+ -26*(1/26)=1+ -26*0=1
- 1/16=0——结束循环
你可以看作这是一个26位的循环,我们要找到input_int64在循环中对应的位置,也就是数组的索引
v7 = *(&v8 + v6--);
这里突然出现一个v8,还是取v8的地址,我们看看栈
发现v8就在v9上面,这行代码就是取出v9中的数赋值给v7,为后面的异或操作做准备
接着看看sub_1400011E0函数
1 _QWORD *__fastcall sub_1400011E0(char a1) 2 { 3 _QWORD *result; // rax 4 __int64 v3; // rdx 5 6 result = malloc(16ui64); 7 v3 = qword_140004618; 8 qword_140004618 = (__int64)result; 9 *(_QWORD *)(v3 + 8) = result; // 将result存储到v3 + 8地址处,也就是qword_140004618 + 8地址处 10 *(_BYTE *)v3 = a1; // 将a1的值存储到v3地址处,也就是qword_140004618地址处 11 result[1] = 0i64; // 将result的第二个_QWORD大小的元素设置为0 12 return result; 13 }
这个函数的作用是动态分配了16字节的内存空间
接着看看sub_140001220函数
可以输出成功的局部声明在while循环里面,v7判断关键
一开始我遗漏了条件,不知道qword_140004620里面放的是什么 (我有预感是异或操作结果,但是我们需要找到证据)
在main函数中:qword_140004620 = qword_140004618;
在sub_1400011E0函数中:*(_BYTE *)v3 = a1;
a1就是经过异或操作的结果,v3地址就是qword_140004618地址
所以qword_140004620里面放的就是异或操作的结果
两个if就是判断异或结果与字符串的比较结果是否相同
判断结果将影响v4与v7的值,而从打印结果
这个循环直到(v2 < 14)条件不成立结束
逆向脚本
从最后一个sub_140001220函数往前推,将 /..v4p$$!>Y59- 与7异或,得到sub_1400010E0函数中的v7,也就是v9字符串,最重要的是可以得出其在 )(*&^%489$!057@#><:2163qwe 中对应的索引值
思路大概就是这样,写脚本吧
1 str1 = ')(*&^%489$!057@#><:2163qwe' 2 str2 = '/..v4p$$!>Y59-' 3 v7 = '' 4 a = [] 5 6 # 对 str2 中的每个字符进行异或运算,并将结果存储在 v7 中 7 for i in range(len(str2)): 8 v7 += chr(ord(str2[i]) ^ 7) 9 10 # 对于 v7 中的每个字符,找到其在 table 中的索引并存储在列表 a 中 11 for j in v7: 12 a.append(str1.index(j)) 13 14 flag = 0 15 # 将 a 中的索引转换为 26 进制数字,并存储在 flag 中 16 for z in range(len(a)): 17 flag *= 26 18 flag += a[z] 19 20 print(flag)
flag
flag{2484524302484524302}
