吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3568|回复: 4
收起左侧

[CTF] 算法分析:2019_UNCTF一道逆向题目

[复制链接]
Panel 发表于 2022-3-7 20:39

算法分析:2019_UNCTF一道逆向题目

一.下载程序得到查壳得到一个64位的elf文件

image-20220307195742881.png

二.直接拖进IDA进行静态分析

一拖进IDA便看到了main函数中一些关键字符“You are Right”、“flag{.....}”

image-20220307200030210.png

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[240]; // [rsp+0h] [rbp-1E0h] BYREF
  char v5[240]; // [rsp+F0h] [rbp-F0h] BYREF

  memset(s, 0, 0x1EuLL);
  printf("Please Input Key: ");
  __isoc99_scanf("%s", v5);
  encode(v5, s);
  if ( strlen(v5) == key )
  {
    if ( !strcmp(s, enflag) )
      puts("You are Right");
    else
      puts("flag{This_1s_f4cker_flag}");
  }
  return 0;
}
但是仔细查看逻辑便可得到整个程序的具体逻辑:
①让用户输入一个字符串,放入v5字符数组中
②将v5的首地址与s的首地址作为encode函数的两个参数
③对比v5的长度是否等于key,如果等于则继续判断s指向的字符串是否等于enflag变量,如果s指向的字符串是等于enflag变量则提示“You are Right”,否则提示“flag{.....}”
到这里其实我们可以推测出这个“flag{.....}”并不是正确的flag值,而只是一个作者设计的诱饵

三.对症下药

通过第二步骤的分析,现在我们知道等待我们解决的就只有encode函数和key、enflag变量的值
①首先跟入encode函数,查看逻辑

image-20220307201422762.png

int __fastcall encode(const char *a1, __int64 a2)
{
  char v3[104]; // [rsp+10h] [rbp-70h]
  int v4; // [rsp+78h] [rbp-8h]
  int i; // [rsp+7Ch] [rbp-4h]

  i = 0;
  v4 = 0;
  if ( strlen(a1) != key )
    return puts("Your Length is Wrong");
  for ( i = 0; i < key; i += 3 )
  {
    v3[i + 64] = key ^ (a1[i] + 6);
    v3[i + 33] = (a1[i + 1] - 6) ^ key;
    v3[i + 2] = a1[i + 2] ^ 6 ^ key;
    *(_BYTE *)(a2 + i) = v3[i + 64];
    *(_BYTE *)(a2 + i + 1LL) = v3[i + 33];
    *(_BYTE *)(a2 + i + 2LL) = v3[i + 2];
  }
  return a2;
}
encode的形参a1、a2的对应实参是main函数中的v5(用户输入字符串首地址)、s(定义的空字符串首地址)
encode代码中的if ( strlen(a1) != key )可以直接得知a1(v5)指向的字符串长度要等于key,既然遇到了,那我们就先把key找出来,双击key

image-20220307201901831.png

此时可以得到key=0x12h=18,也就是说我们输入的字符串正确长度要是18,否则就是错误的,if分析完继续往下走
  for ( i = 0; i < key; i += 3 )
  {
    v3[i + 64] = key ^ (a1[i] + 6);
    v3[i + 33] = (a1[i + 1] - 6) ^ key;
    v3[i + 2] = a1[i + 2] ^ 6 ^ key;
    *(_BYTE *)(a2 + i) = v3[i + 64];
    *(_BYTE *)(a2 + i + 1LL) = v3[i + 33];
    *(_BYTE *)(a2 + i + 2LL) = v3[i + 2];
  }
阅读这个for结构可以知道最后被更改的值只有a2(main函数中的s数组),所以我们这个时候我们就要回到调用者函数main函数中查看a2在encode中更改后又发生了什么?
 if ( strlen(v5) == key )
  {
    if ( !strcmp(s, enflag) )
      puts("You are Right");
    else
      puts("flag{This_1s_f4cker_flag}");
  }
好,s(encode中的a2)数组在encode中操作完了以后用来和enflag对比,如果对比相同则提示"You are Right",那说明s数组就是最后的flag变换值,它必须要等于enflag才证明我们输入的字符串是正确的,双击查看enflag是多少,如图enflag = "izwhroz""w"v.K".Ni"(还没有转义),那此时我们就可以通过刚才encode的逻辑反推出v5(我们输入的字符串)是多少了,回到encode

image-20220307203024487.png

for ( i = 0; i < key; i += 3 )
  {
    v3[i + 64] = key ^ (a1[i] + 6);
    v3[i + 33] = (a1[i + 1] - 6) ^ key;
    v3[i + 2] = a1[i + 2] ^ 6 ^ key;
    *(_BYTE *)(a2 + i) = v3[i + 64];
    *(_BYTE *)(a2 + i + 1LL) = v3[i + 33];
    *(_BYTE *)(a2 + i + 2LL) = v3[i + 2];
  }
注意,通过刚才的分析,a2(main函数中的s)就是"izwhroz""w"v.K".Ni"(还没有转义),a1(main函数中的v5,我们输入的字符串),那我们的最终目的就是要求出a1指向的字符串,所以我们就朝着能解出a1的方向走
阅读代码:要求a1则求v3,要求v3则只用用我们已知的a2来反解,所以可以得到如下解密脚本
#include <stdio.h>
#include <Windows.h>

int main()
{        
        char input[18];
        int v3[104] = { 0 };
        char enflag[] = "izwhroz\"\"w\"v.K\".Ni";
        int key = 18;
    for (int i = 0; i < key; i += 3)
    {
                v3[i + 2] = *(BYTE*)(enflag + i + 2);
                v3[i + 33] = *(BYTE*)(enflag + i + 1);
                v3[i + 64] = *(BYTE*)(enflag + i);
                input[i + 2] = v3[i + 2] ^ key ^ 6;
                input[i + 1] = (v3[i + 33] ^ key) + 6;
                input[i] = (v3[i + 64] ^ key) - 6;

    }
        for (size_t i = 0; i < 18; i++)
        {
                printf("%c", input[i]);
        }
        return 0;

}

四.得到结果

image-20220307203927578.png

免费评分

参与人数 2威望 +1 吾爱币 +21 热心值 +2 收起 理由
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
bclx + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

allycn 发表于 2022-3-8 09:30
支持,谢谢分享
aummcci 发表于 2022-3-9 19:46
一天饭钱 发表于 2022-3-10 09:57
ALchenxin 发表于 2022-3-30 10:32
感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-25 02:13

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表