网鼎杯-re-joker

打开后是一个windows下的pe文件,查壳,无壳,为32位的可执行文件,使用IDA(32)打开,f5一键反编译,发现反编译不了,显示positive sp value has been found,那就开始看汇编把!

 

这里需要我们输入flag,通过后面的判断可以知道,输入字符长度为24,继续往下:

 

 

 ,,

这里可以看出来,flag经过了两个函数,__Z5wrongPc和__Z3omgPc如下:

前者主要对flag进行一些操作,偶数位(从0开始)^i,奇数位-1,得到的结果值传入后者再与字符串unk_4030C0进行比较

 这里,发现有错误的输出,但输出错误并不会影响到整个程序的进行,而且后序的传参传的仍是原来的值,所以这里是个假的flag!!!好把,做题的时候我没有发现,(把假的flag求出来后才发现是假的>~<,但不影响啦)继续,

这里,进去__Z7encryptPc函数后,什么都没有,而箭头指向的地方是个循环解密的过程,换至OD中动态调试,运行到 call 401500处,

 

 f7单步跟踪,发现函数流程如下:

 

 判断[ebp+0x1c](计数器,起始值为0)的值是否等于0x12,然后从input中取出对应的字符与404012处对应的字符进行异或,异或后的值再与[ebp+eax*4-0x6c]中的值相比较,相等则继续直至退出循环,若有一个不相等则退出程序, 查看[ebp+eax*4-0x6c]中的值,如图:

 

 因此可以求出flag[0:19]的值,还剩下最后5个,往后继续,有提示"come here",因此继续往下运行,必要时更改标志寄存器的值,跳过一些判断,跳出该函数处

 

 运行到call 40159a处,f7单步进入,函数开头为,

结尾为

函数开头将5个数,放入了[ebp-0x11]地址处,继续运行至0x401617处,发现就是将flag的第一个字符与开头的第一个字符相比较,若相等则输出Really???若不相等就是输出I hide the last past,但这肯定是不相等的,再结合提示猜测与最后flag的五个字符有关,因为flag最后一位为'}',故猜测flag即为开头五个字符与ord('}')-0x3a异或得到,脚本如下:

c=[0x0E,0x0D,0x09, 0x06,0x13,0x05,0x58, 0x56,0x3E,0x06,0x0C, 0x3C,0x1F,0x57,0x14, 0x6B,0x57,0x59,0xd]

d=[0x25,0x74,0x70,0x26,0x3A]


b='hahahaha_do_you_find_me?'
print(len(a),len(b),len(c))

for i in range(19):
    temp=ord(b[i])^c[i]
    print(chr(temp),end='')

for i in d:
    x=i^(ord('}')^0x3a)
    print(chr(x),end='')

得到结果即为flag!!!

 

posted @ 2020-09-30 09:39  jane_315  阅读(284)  评论(0编辑  收藏  举报