算法分析:2019_UNCTF一道逆向题目
## 算法分析:2019_UNCTF一道逆向题目
### 一.下载程序得到查壳得到一个64位的elf文件
### 二.直接拖进IDA进行静态分析
#### 一拖进IDA便看到了main函数中一些关键字符“You are Right”、“flag{.....}”
```
int __cdecl main(int argc, const char **argv, const char **envp)
{
char s; // BYREF
char v5; // BYREF
memset(s, 0, 0x1EuLL);
printf("Please Input Key: ");
__isoc99_scanf("%s", v5);
encode(v5, s);
if ( strlen(v5) == key )
{
if ( !strcmp(s, enflag) )
puts("You are Right");
else
puts("flag{This_1s_f4cker_flag}");
}
return 0;
}
```
#### 但是仔细查看逻辑便可得到整个程序的具体逻辑:
##### ①让用户输入一个字符串,放入v5字符数组中
##### ②将v5的首地址与s的首地址作为encode函数的两个参数
##### ③对比v5的长度是否等于key,如果等于则继续判断s指向的字符串是否等于enflag变量,如果s指向的字符串是等于enflag变量则提示“You are Right”,否则提示“flag{.....}”
#### 到这里其实我们可以推测出这个“flag{.....}”并不是正确的flag值,而只是一个作者设计的诱饵
### 三.对症下药
#### 通过第二步骤的分析,现在我们知道等待我们解决的就只有encode函数和key、enflag变量的值
##### ①首先跟入encode函数,查看逻辑
```
int __fastcall encode(const char *a1, __int64 a2)
{
char v3; //
int v4; //
int i; //
i = 0;
v4 = 0;
if ( strlen(a1) != key )
return puts("Your Length is Wrong");
for ( i = 0; i < key; i += 3 )
{
v3 = key ^ (a1 + 6);
v3 = (a1 - 6) ^ key;
v3 = a1 ^ 6 ^ key;
*(_BYTE *)(a2 + i) = v3;
*(_BYTE *)(a2 + i + 1LL) = v3;
*(_BYTE *)(a2 + i + 2LL) = v3;
}
return a2;
}
```
##### encode的形参a1、a2的对应实参是main函数中的v5(用户输入字符串首地址)、s(定义的空字符串首地址)
##### encode代码中的if ( strlen(a1) != key )可以直接得知a1(v5)指向的字符串长度要等于key,既然遇到了,那我们就先把key找出来,双击key
##### 此时可以得到key=0x12h=18,也就是说我们输入的字符串正确长度要是18,否则就是错误的,if分析完继续往下走
```
for ( i = 0; i < key; i += 3 )
{
v3 = key ^ (a1 + 6);
v3 = (a1 - 6) ^ key;
v3 = a1 ^ 6 ^ key;
*(_BYTE *)(a2 + i) = v3;
*(_BYTE *)(a2 + i + 1LL) = v3;
*(_BYTE *)(a2 + i + 2LL) = v3;
}
```
##### 阅读这个for结构可以知道最后被更改的值只有a2(main函数中的s数组),所以我们这个时候我们就要回到调用者函数main函数中查看a2在encode中更改后又发生了什么?
```
if ( strlen(v5) == key )
{
if ( !strcmp(s, enflag) )
puts("You are Right");
else
puts("flag{This_1s_f4cker_flag}");
}
```
##### 好,s(encode中的a2)数组在encode中操作完了以后用来和enflag对比,如果对比相同则提示"You are Right",那说明s数组就是最后的flag变换值,它必须要等于enflag才证明我们输入的字符串是正确的,双击查看enflag是多少,如图enflag = "izwhroz""w"v.K".Ni"(还没有转义),那此时我们就可以通过刚才encode的逻辑反推出v5(我们输入的字符串)是多少了,回到encode
```
for ( i = 0; i < key; i += 3 )
{
v3 = key ^ (a1 + 6);
v3 = (a1 - 6) ^ key;
v3 = a1 ^ 6 ^ key;
*(_BYTE *)(a2 + i) = v3;
*(_BYTE *)(a2 + i + 1LL) = v3;
*(_BYTE *)(a2 + i + 2LL) = v3;
}
```
##### 注意,通过刚才的分析,a2(main函数中的s)就是"izwhroz""w"v.K".Ni"(还没有转义),a1(main函数中的v5,我们输入的字符串),那我们的最终目的就是要求出a1指向的字符串,所以我们就朝着能解出a1的方向走
##### 阅读代码:要求a1则求v3,要求v3则只用用我们已知的a2来反解,所以可以得到如下解密脚本
```
#include <stdio.h>
#include <Windows.h>
int main()
{
char input;
int v3 = { 0 };
char enflag[] = "izwhroz\"\"w\"v.K\".Ni";
int key = 18;
for (int i = 0; i < key; i += 3)
{
v3 = *(BYTE*)(enflag + i + 2);
v3 = *(BYTE*)(enflag + i + 1);
v3 = *(BYTE*)(enflag + i);
input = v3 ^ key ^ 6;
input = (v3 ^ key) + 6;
input = (v3 ^ key) - 6;
}
for (size_t i = 0; i < 18; i++)
{
printf("%c", input);
}
return 0;
}
```
### 四.得到结果
支持,谢谢分享 谢谢啦学习一下 今天又是仰望大佬的一天!!!{:1_921:} 感谢分享
页:
[1]