[GXYCTF2019]luck_guy1题解
无论风暴把我带到什么样的岸边,我都将以主人的身份上岸。
——贺拉斯
目录
1.查壳
2.静态分析
分析信息
猜测
3.wp
1.查壳
x86-64
拖入64位IDA
2.静态分析
找到main函数,按下F5反编译
int __cdecl main(int argc, const char **argv, const char **envp)
{unsigned int v4; // [rsp+14h] [rbp-Ch]unsigned __int64 v5; // [rsp+18h] [rbp-8h]v5 = __readfsqword(0x28u);welcome(argc, argv, envp);puts("_________________");puts("try to patch me and find flag");v4 = 0;puts("please input a lucky number");__isoc99_scanf("%d", &v4);patch_me(v4);puts("OK,see you again");return 0;
}
我们可以看__isoc99_scanf("%d", &v4);输入一个number之后进入了patch_me(v4);函数,应该重点
关注patch_me(v4);点击这个函数跟进
int __fastcall patch_me(int a1)
{int result; // eaxif ( a1 % 2 == 1 )result = puts("just finished");elseresult = get_flag();return result;
}
just finished应该不是我们希望的结果,说明number应该能整除2
继续跟进get_flag()
unsigned __int64 get_flag()
{unsigned int v0; // eaxint i; // [rsp+4h] [rbp-3Ch]int j; // [rsp+8h] [rbp-38h]__int64 s; // [rsp+10h] [rbp-30h]char v5; // [rsp+18h] [rbp-28h]unsigned __int64 v6; // [rsp+38h] [rbp-8h]v6 = __readfsqword(0x28u);v0 = time(0LL);srand(v0);for ( i = 0; i <= 4; ++i ){switch ( (unsigned __int64)(unsigned int)(rand() % 200) ){case 1uLL:puts("OK, it's flag:");memset(&s, 0, 0x28uLL);strcat((char *)&s, f1);strcat((char *)&s, &f2);printf("%s", &s);break;case 2uLL:printf("Solar not like you");break;case 3uLL:printf("Solar want a girlfriend");break;case 4uLL:s = 9180147350284624745LL;v5 = 0;strcat(&f2, (const char *)&s);break;case 5uLL:for ( j = 0; j <= 7; ++j ){if ( j % 2 == 1 )*(&f2 + j) -= 2;else--*(&f2 + j);}break;default:puts("emmm,you can't find flag 23333");break;}}return __readfsqword(0x28u) ^ v6;
}
rand()函数用来产生随机数,但是,rand()的内部实现是用线性同余法实现的,是伪随机数,由于周期较长,因此在一定范围内可以看成是随机的。
rand()会返回一个范围在0到RAND_MAX(至少是32767)之间的伪随机数(整数)。
rand() % 200,那取模之后就是0到200的随机数
case 1uLL:
puts("OK, it's flag:");
memset(&s, 0, 0x28uLL);
strcat((char *)&s, f1);
strcat((char *)&s, &f2);
printf("%s", &s);
break;
当随机数是1的时候,输出OK, it's flag:
memset(&s, 0, 0x28uLL);
将s进行了赋值
然后字符串后面加上f1,点击跟进f1,得到f1是'GXY{do_not_'
跟进f2,发现没有值
不知道f2有点懵,可能是别的地方赋值了
分析信息
点击f2,找到所有的f2
发现case4进行了赋值
case 4uLL:
s = 9180147350284624745LL;
v5 = 0;
strcat(&f2, (const char *)&s);
break;
给s赋值,将s赋值给f2,f2是9180147350284624745
我们知道进行了5次switch操作,for ( i = 0; i <= 4; ++i )
case 5uLL:
for ( j = 0; j <= 7; ++j )
{
if ( j % 2 == 1 )
*(&f2 + j) -= 2;
else
--*(&f2 + j);
}
case5也对f2进行了操作
猜测
说明按照一定顺序执行这几个case,会拼出一个flag
我们猜测这个顺序,case2和case3没有什么实际操作
case4给f2赋值->case5对赋值后的f2操作->case1对于f1和f2进行拼接
那我们按照这个思路编写脚本得出flag
3.wp
flag = 'GXY{do_not_'
f2 = [0x69,0x63,0x75,0x67,0x60,0x6F,0x66,0x7F]
s = ''
for i in range(8):if i % 2 == 1:s = chr(int(f2[i]) - 2)else:s = chr(int(f2[i]) - 1)flag += s
print(flag)
flag{do_not_hate_me}
其他buuctf逆向题解可以关注我的专栏
[GXYCTF2019]luck_guy1题解相关推荐
- BUUCTF reverse题解汇总
本文是BUUCTF平台reverse题解的汇总 题解均来自本人博客 目录 Page1 Page2 Page3 Page4 Page1 easyre reverse1 reverse2 内涵的软件 新年 ...
- [GXYCTF2019]Ping Ping Ping
[GXYCTF2019]Ping Ping Ping 这是一道考察命令执行的题目,其中涉及到的知识点是空格的绕过. 一.前置知识 做这道题之前,我们先来看一下linux中对空格的绕过有哪些方法: ${ ...
- [JS][dfs]题解 | #迷宫问题#
题解 | #迷宫问题# 题目链接 迷宫问题 题目描述 定义一个二维数组 N*M ,如 5 × 5 数组下所示: int maze[5][5] = { 0, 1, 0, 0, 0, 0, 1, 1, 1 ...
- [JS][dp]题解 | #打家劫舍(一)#
题解 | #打家劫舍(一)# 题目链接 打家劫舍(一) 题目描述 描述 你是一个经验丰富的小偷,准备偷沿街的一排房间,每个房间都存有一定的现金,为了防止被发现,你不能偷相邻的两家,即,如果偷了第一家, ...
- [JS]题解 | #魔法数字#
题解 | #魔法数字# 题目链接 魔法数字 题目描述 牛妹给牛牛写了一个数字n,然后又给自己写了一个数字m,她希望牛牛能执行最少的操作将他的数字转化成自己的. 操作共有三种,如下: 在当前数字的基础上 ...
- [JS]题解 | #岛屿数量#
题解 | #岛屿数量# 题目链接 岛屿数量 题目描述 时间限制:1秒 空间限制:256M 描述 给一个01矩阵,1代表是陆地,0代表海洋, 如果两个1相邻,那么这两个1属于同一个岛.我们只考虑上下左右 ...
- [JS] 题解:提取不重复的整数
题解:提取不重复的整数 https://www.nowcoder.com/practice/253986e66d114d378ae8de2e6c4577c1 时间限制:1秒 空间限制:32M 描述 输 ...
- 洛谷-题解 P2672 【推销员】
独门思路!链表加优先队列! 这题一望,贪心是跑不掉了,但是我贪心并不好,所以想到了一个复杂一些但思路更保稳的做法 思路: 1 因为是离线操作,所以我们可以倒着求,先求x=n的情况,因为那样直接就知道了 ...
- [洛谷1383]高级打字机 题解
题解 这道题一看就珂以用主席树啊 这是一道神奇的题目,那么我们先敲一个主席树,然后维护一个数组len,表示下一次应该在len + 1插入, 之后对于T操作,在上一个版本的len + 1上直接执行插入 ...
最新文章
- Tessellation (曲面细分) Displacement Mapping (贴图置换)
- BZOJ1747 [Usaco2005 open]Expedition 探险
- boost log 能不能循环覆盖_前端基础进阶(十四):深入核心,详解事件循环机制...
- poj 1904 King's Quest
- 一起学Hadoop——Hadoop的前世今生
- 23种设计模式C++源码与UML实现--建造者模式
- QDoc标记命令Markup Commands
- python之时间日期time
- sublime text 3安装及使用
- MySQL 基本查询、条件查询、投影查询
- 3Dcnn 降假阳性模型调试(八)
- ubuntu中安装apache ab命令进行简单压力测试
- 万维网之父:Facebook、Google 等硅谷巨头必须被拆分!
- 领域驱动设计 软件核心复杂性应对之道_DDD - 领域驱动设计对软件复杂度的应对(上)...
- HTTP协议详解(经典)
- Matlab 终止正在运行的程序
- php xss漏洞扫描工具,XSS漏洞扫描器工具:XSpear
- R语言ggplot2可视化:使用ggpubr包的ggboxplot函数可视化分组箱图、使用ggpar函数改变图形化参数(palette、修改可视化图像边框色为灰色渐变配色方案)
- python火车票自我编写_自己动手写100行Python代码抢火车票!
- 14.0高等数学五- 函数的幂级数展开(泰勒级数或者麦克劳林级数)
热门文章
- mysql插入并更新(on duplicate key update)
- centos信任自建CA证书
- nubia基于android深度定制的ui,首家Android 5.0公测 nubia UI 2.8发布
- python实现matlab stretchlim函数和imadjust函数
- 当「知识付费」插上「区块链」的翅膀,智豆让学习成为一种生产力
- 【赵强老师】Weblogic节点管理器和架构
- 【GeoServer】发布图层
- impalasql根据特殊符号劈开截取字符串
- cn域名注册公司哪家好?企业注册cn域名有什么意义?
- SEO 基础知识? 2023学习SEO最佳指南