1.兴趣是最好的老师
首先我们把根据PE文件的格式知道这个文件本身有错误,所以不能在IDA中打开,我们先把它在010Editor.exe中修改一下,我们把PE头改为50 45 00 00,然后就把它拉入IDA中,然后打开,找到有程序的开始进行分析。
__int64 main_0()
{
int v0; // edx
__int64 v1; // ST00_8
int v3; // [esp+0h] [ebp-1A0h]
const char **v4; // [esp+4h] [ebp-19Ch]
const char **v5; // [esp+8h] [ebp-198h]
int v6; // [esp+Ch] [ebp-194h]
int i; // [esp+D4h] [ebp-CCh]
int v8; // [esp+E0h] [ebp-C0h]
int v9; // [esp+ECh] [ebp-B4h]
int v10; // [esp+F0h] [ebp-B0h]
int v11; // [esp+F4h] [ebp-ACh]
int v12; // [esp+F8h] [ebp-A8h]
int v13; // [esp+FCh] [ebp-A4h]
int v14; // [esp+100h] [ebp-A0h]
int v15; // [esp+104h] [ebp-9Ch]
int v16; // [esp+108h] [ebp-98h]
int v17; // [esp+10Ch] [ebp-94h]
int v18; // [esp+110h] [ebp-90h]
int v19; // [esp+114h] [ebp-8Ch]
int v20; // [esp+118h] [ebp-88h]
int v21; // [esp+11Ch] [ebp-84h]
int v22; // [esp+120h] [ebp-80h]
int v23; // [esp+124h] [ebp-7Ch]
int v24; // [esp+128h] [ebp-78h]
int v25; // [esp+12Ch] [ebp-74h]
int v26; // [esp+130h] [ebp-70h]
int v27; // [esp+134h] [ebp-6Ch]
int v28; // [esp+138h] [ebp-68h]
int v29; // [esp+13Ch] [ebp-64h]
int v30; // [esp+140h] [ebp-60h]
char v31; // [esp+14Fh] [ebp-51h]
char v32[17]; // [esp+178h] [ebp-28h]
char v33; // [esp+189h] [ebp-17h]
char v34; // [esp+18Ah] [ebp-16h]
char v35; // [esp+18Bh] [ebp-15h]
char v36; // [esp+18Ch] [ebp-14h]
char v37; // [esp+18Dh] [ebp-13h]
v31 = 0;
v9 = 1;
v10 = 4;
v11 = 14;
v12 = 10;
v13 = 5;
v14 = 36;
v15 = 23;
v16 = 42;
v17 = 13;
v18 = 19;
v19 = 28;
v20 = 13;
v21 = 27;
v22 = 39;
v23 = 48;
v24 = 41;
v25 = 42;
v26 = 26;
v27 = 20;
v28 = 59;
v29 = 4;
v30 = 0;
printf("please enter flag:");
while ( 1 )
{
v6 = getch();
v32[v31] = v6;
if ( !(_BYTE)v6 || v32[v31] == 13 )
break;
if ( v32[v31] == 8 )
{
printf("\b\b");
--v31;
}
else
{
printf("%c", v32[v31++]);
}
}
v8 = 0;
for ( i = 0; i < 17; ++i )
{
if ( v32[i] != byte_415768[*(&v9 + i)] )
v8 = 1;
}
if ( v33 != 49 || v34 != 48 || v35 != 50 || v36 != 52 || v37 != 125 )
v8 = 1;
v32[v31] = 0;
printf("\r\n");
if ( v8 )
{
printf("wrong\n");
main(v3, v4, v5);
}
else
{
printf("success\n");
}
system("pause");
HIDWORD(v1) = v0;
LODWORD(v1) = 0;
return v1;
}分析函数可以得知,只有当变量V8=0时,flag才是正确的,所以我们需要满足v8=0成立的条件,所以通过如下对于各变量的地址值,通过对各变量地址值作为所给字符串形成的字符数组的数组下标分别按计算的顺序取出,即可得到答案。
for ( i = 0; i < 17; ++i )
{
if ( v32[i] != byte_415768[*(&v9 + i)] )
v8 = 1;
}
if ( v33 != 49 || v34 != 48 || v35 != 50 || v36 != 52 || v37 != 125 )
v8 = 1;这个循环判断了长度为17的数组v32中的每个字符是否与数组byte_415768[]中的对应字符是否相等。在IDA PRO中双击byte_415768[],会跳到其定义处,
!!!!!!
语句byte_415768[(&v9+ i)]中&v9表示取变量v9的地址,然后假设游标量i,再用运算符找对应地址的值,i从0变到17,那么byte_41576[]中的序号依次为v9,v10,v11,….v25,共计17个变量的值,而byte_415768[1]=’K’,byte_415768[4]=’E,byte_415768[14]=‘Y’,byte_415768[10]={……
最终可以得到KEY{e2s6ry3r5s8f6这17个字符,这是答案的上半部分,然后观察代码中if ( v33 != 49 || v34 != 48 || v35 != 50 || v36 != 52 || v37 != 125 )
v8 = 1
下半部分由v8的第二部分赋值代码来获得,这里面有多个变量的或非判断,即v33,v34,v35,v36不等于49,48,50,52,125时,v3就为1。从终端录入的一般是用ascii码存放,所以查 49,48,50,52,125对应的ASCII码为’1’,’0’,’2’,’4’,’}’,显然是字符串“1024}”。
用Python编写脚本为:
a='sKfxEeft}f{gyrYgthtyhifsjei53UUrrr_t2cdsef66246087138\0087138'
b=[1,4,14,10,5,36,23,42,13,19,28,13,27,39,48,41,42,26,20,59,4,0]
for i in range(17):
print(a[b[i]],end='')
print('1024}')结果为:KEY{e2s6ry3r5s8f61024}
2.ctf2,please input your key
使用IDA打开这个题后,找到程序的代码如下:
nt __cdecl main()
{
char s; // [esp+10h] [ebp-110h]
printf("Input flag:");
sub_80485A0(&s, 0x100u);
if ( (unsigned __int8)sub_8048630(&s) )
puts("Flag is right.");
else
puts("Flag is wrong.");
return 0;
}由上得知,如果我们满足unsigned __int8)sub_8048630(&s)这个条件,我们就会得到正确的flag,我们点开sub_8048630,得到下列代码
int __cdecl sub_8048630(char *s)
{
size_t v1; // eax
int v3; // edx
if ( s )
{
v1 = strlen(s);#strlen()函数作用为获取字符串的长度
if ( v1 )
{
if ( v1 == 29 )
{
v3 = 0;
while ( s[v3] == byte_8049AE0[(unsigned __int8)((unsigned __int8)byte_8049B15[v3] / 3u - 2)] )
{
if ( ++v3 == 29 )
return 1;
}
}
}
}
return 0;
}分析上述代码可得,我们输入的v1的长度要等于29,这时v3初始值为0,程序可以向下运行,当v3=29的时候,我们就会得到我们想要的flag,接着我们要分析一下
while ( s[v3] == byte_8049AE0[(unsigned __int8)((unsigned __int8)byte_8049B15[v3] / 3u - 2)] )这段代码的含义,我们找到s[v3]要等于后面的,程序才可以继续向下面执行,首先,我们点开byte_8049B15这个
看到了这一列16进制的数,然后我们选定这个区域按快捷键shift+E得到这些16进制数,
{
0x48, 0x5D, 0x8D, 0x24, 0x84, 0x27, 0x99, 0x9F, 0x54, 0x18,
0x1E, 0x69, 0x7E, 0x33, 0x15, 0x72, 0x8D, 0x33, 0x24, 0x63,
0x21, 0x54, 0x0C, 0x78, 0x78, 0x78, 0x78, 0x78, 0x1B
}
接着我们打开byte_8049AE0这个
得到了一串字符串’lk2j9Gh}AgfY4ds-a6QW1#k5ER_T[cvLbV7nOm3ZeX{CMt8SZo]U’
s[v3] == byte_8049AE0[(unsigned __int8)((unsigned __int8)byte_8049B15[v3] / 3u - 2)] 表示s[i]等于将那些16进制除以3再减去2,然后取整型,然后再对应字符串取相应位置的字符,
编写python脚本如下所示:
a=[0x48, 0x5D, 0x8D, 0x24, 0x84, 0x27, 0x99, 0x9F, 0x54, 0x18,
0x1E, 0x69, 0x7E, 0x33, 0x15, 0x72, 0x8D, 0x33, 0x24, 0x63,
0x21, 0x54, 0x0C, 0x78, 0x78, 0x78, 0x78, 0x78, 0x1B]
b=[]
for i in range(len(a)):
b.append(int(a[i]/3-2))
s='lk2j9Gh}AgfY4ds-a6QW1#k5ER_T[cvLbV7nOm3ZeX{CMt8SZo]U'
flag=''
for j in range(len(b)):
flag+=s[b[j]]
print(flag) 得到的结果为:kctf{YoU_hAVe-GOt-fLg_233333}
. append() 方法向列表的尾部添加一个新的元素,只接受一个参数。