RE-攻防世界 logmein
阿新 • • 發佈:2020-08-16
logmein
難度係數: 3.0
題目來源: RC3 CTF 2016
題目描述:菜雞開始接觸一些基本的演算法逆向了
題目附件: 附件1
查一下殼,無殼,ELF程式
拖入IDA檢視,找到main函式,F5反彙編
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { size_t v3; // rsi int i; // [rsp+3Ch] [rbp-54h] char s[36]; // [rsp+40h] [rbp-50h] int v6; // [rsp+64h] [rbp-2Ch] __int64 v7; // [rsp+68h] [rbp-28h] char v8[8]; // [rsp+70h] [rbp-20h] int v9; // [rsp+8Ch] [rbp-4h] v9 = 0; strcpy(v8, ":\"AL_RT^L*.?+6/46"); v7 = 28537194573619560LL; v6 = 7; printf("Welcome to the RC3 secure password guesser.\n", a2, a3); printf("To continue, you must enter the correct password.\n"); printf("Enter your guess: "); __isoc99_scanf("%32s", s); v3 = strlen(s); if ( v3 < strlen(v8) ) sub_4007C0(v8); for ( i = 0; i < strlen(s); ++i ) { if ( i >= strlen(v8) ) ((void (*)(void))sub_4007C0)(); if ( s[i] != (char)(*((_BYTE *)&v7 + i % v6) ^ v8[i]) ) ((void (*)(void))sub_4007C0)(); } sub_4007F0(); }
這裡邏輯很明確,sub_4007C0 是輸出失敗的函式,而sub_4007F0()是flag正確的函式。
那麼其實flag就主要要符合 s[i] != (char)(*((_BYTE *)&v7 + i % v6) ^ v8[i]) 這一句
BYTE是一種資料型別,在windows.h標頭檔案下,由此編寫EXP
EXP在此!
#include <stdio.h> #include <string.h> #include <windows.h> main(){ int i,len; long long v7=28537194573619560LL; char v8[50] ,s[36]; strcpy(v8, ":\"AL_RT^L*.?+6/46"); len = strlen(v8); for ( i = 0; i < len; ++i ) { s[i] = (char)(*((BYTE *)&v7 + i % 7) ^ v8[i]); printf("%c",s[i]); } }