一道简单的CTF的解题步骤
程序没有二次加工,没有反调试机制,反编译看起来挺直白的,如下:
主要是输入flag后,经过两次计算,第一次是使用base编码表对输入的flag变换,第二次是对经过修改的flag计算base64,跟程序内部已有的编码结果进行比较。
![]()
程序先从接收输入的flag,判断字符串长度为48个字节,前五个字节为"flag{",最后一个字节为'}',ascii值为125。
接下来对Dst中从下标为5开始进行变换,即对"flag{"后面字符串进行变换。
图中的计算过程如下
Dst[v17] = base64[(~v17 & 0x7FFFFFFFu) % (unsigned __int64)(((~v17 & 0x7FFFFFFF) >> 31) ^ (unsigned int)(((~v17 & 0x7FFFFFFF) >> 31)+ 64))] ^ (Dst[v17] - v17);
v17为索引,等价于
Dst[index]=base64[(~index&0x7FFFFFFF)%64]^(Dst[index] - index)
等价于
Dst[index]=base64[63-index]^(Dst[index] - index)
第一步变换完成后 "flag"{后面的内容已经修改了,且存在部分的不可见字符数据
接下来看第二步
![]()
右侧代码中v21+v3为Dst中的数据,对Dst中的数据进行base64编码,再与内部的字符串比较。
![]()
所以这个时候解题思路应该为:对字符串"zMXHz3SfvgTQwbWDFWiomWDYCxDpdK1VaWmbhrfsuvvEuGiceW0Rk0u8Ehm8Eee/"进行base64解码,得到第一次变换后的数据,然后根据
Dst[index]=base64[63-index]^(Dst[index] - index)
对用户输入的代码进行还原,第一次变换只对下标为5及之后数据进行了变换,
使用刚才(解码后的数据^base64[63-index])+index,即可得到用户输入的数据。
求解代码如下:
using namespace std;
static inline bool is_base64(unsigned char c) {
return (isalnum(c) || (c == '+') || (c == '/'));
}
std::string base64_decode(std::string const& encoded_string) {
const std::string base64_chars =
"abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/";
int in_len = encoded_string.size();
int i = 0;
int j = 0;
int in_ = 0;
unsigned char char_array_4[4], char_array_3[3];
std::string ret;
int iArraySourceBase = 0;
unsigned char char_array_Source[49] = { 0 };
while (in_len-- && (encoded_string[in_] != '=') && is_base64(encoded_string[in_])) {
char_array_4[i++] = encoded_string[in_]; in_++;
if (i == 4) {
for (i = 0; i <4; i++)
char_array_4[i] = base64_chars.find(char_array_4[i]);
char_array_3[0] = (char_array_4[0] << 2) + ((char_array_4[1] & 0x30) >> 4);
char_array_3[1] = ((char_array_4[1] & 0xf) << 4) + ((char_array_4[2] & 0x3c) >> 2);
char_array_3[2] = ((char_array_4[2] & 0x3) << 6) + char_array_4[3];
char_array_Source[0 + iArraySourceBase] = char_array_3[0];
char_array_Source[1 + iArraySourceBase] = char_array_3[1];
char_array_Source[2 + iArraySourceBase] = char_array_3[2];
for (i = 0; (i < 3); i++)
ret += char_array_3[i];
i = 0;
iArraySourceBase += 3;
}
}
if (i) {
for (j = i; j <4; j++)
char_array_4[j] = 0;
for (j = 0; j <4; j++)
char_array_4[j] = base64_chars.find(char_array_4[j]);
char_array_3[0] = (char_array_4[0] << 2) + ((char_array_4[1] & 0x30) >> 4);
char_array_3[1] = ((char_array_4[1] & 0xf) << 4) + ((char_array_4[2] & 0x3c) >> 2);
char_array_3[2] = ((char_array_4[2] & 0x3) << 6) + char_array_4[3];
for (j = 0; (j < i - 1); j++)
ret += char_array_3[j];
}
for (int iIndex = 5; iIndex < 48; iIndex++)
{
int iYingSheIndex = (~iIndex & 0x7FFFFFFFu)
% (unsigned __int64)(((~iIndex & 0x7FFFFFFF) >> 31) ^ (unsigned int)(((~iIndex & 0x7FFFFFFF) >> 31)
+ 64));
//上面的等价于 iYingSheIndex = 63-iIndex;
unsigned char cc = base64_chars[iYingSheIndex];
char result = (char_array_Source[iIndex] ^ cc) + iIndex;
char_array_Source[iIndex] = result;
}
//char_array_Source 是最终结果
printf("%s\n", char_array_Source);
return ret;
}
int _tmain(int argc, _TCHAR* argv[])
{
base64_decode(std::string("zMXHz3SfvgTQwbWDFWiomWDYCxDpdK1VaWmbhrfsuvvEuGiceW0Rk0u8Ehm8Eee/"));
getchar();
return 0;
}
最终结果为
![]()
参考链接:
- base64解码 https://www.cnblogs.com/codebai/p/16280354.html
浙公网安备 33010602011771号