首先查壳
无壳,然后用IDA打开,跳转到main函数
反编译到C
int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
_BYTE v3[29]; // [esp+17h] [ebp-35h] BYREF
int v4; // [esp+34h] [ebp-18h]
int v5; // [esp+38h] [ebp-14h] BYREF
int i; // [esp+3Ch] [ebp-10h]
_BYTE v7[12]; // [esp+40h] [ebp-Ch] BYREF
__main();
v3[26] = 0;
*(_WORD *)&v3[27] = 0;
v4 = 0;
strcpy(v3, "*11110100001010000101111#");
while ( 1 )
{
puts("you can choose one action to execute");
puts("1 up");
puts("2 down");
puts("3 left");
printf("4 right\n:");
scanf("%d", &v5);
if ( v5 == 2 )
{
++*(_DWORD *)&v3[25];
}
else if ( v5 > 2 )
{
if ( v5 == 3 )
{
--v4;
}
else
{
if ( v5 != 4 )
LABEL_13:
exit(1);
++v4;
}
}
else
{
if ( v5 != 1 )
goto LABEL_13;
--*(_DWORD *)&v3[25];
}
for ( i = 0; i <= 1; ++i )
{
if ( *(int *)&v3[4 * i + 25] < 0 || *(int *)&v3[4 * i + 25] > 4 )
exit(1);
}
if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == 49 )
exit(1);
if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == 35 )
{
puts("\nok, the order you enter is the flag!");
exit(0);
}
}
}
打开程序
叫我们输入数字然后实现操作
首先是定义了 byte类型的数组,然后是int类型(占用四个字节)的v4,v5,i(实际上也可以叫做v6)
这里的复制字符串的操作,是将这25个字符(每个字符一个字节)复制到v3的0~24的位置
然后下面便是根据我们的输入(V5)来判断
主要是看后面的判断语句
当以int类型强制转化的v3[25]转化的数或者v3[29]大于4或者小于0的时候,程序异常退出
这里为什么是4*i呢?
别忘了,int类型占有四个字节
然后继续看下面,发现49和35的ascii码正好对应1和#,再结合上面那一大堆01字符串和所谓的“up”"down",猜想是一个迷宫。破案了,实际上v3[25]与v3[29]指的就是你所在位置的行和列
以int类型(Dword,也就是双字,四个字节)表示的行的位置占用了v3数组的25~28的位置
至于为什么要减去41呢?
这里要减去的数组是v7,从最上面的定义来看,v7数组的第一个字节地址=v3数组首字节地址+29+4*3=41,当然要根据v3的内容来判断你是否走正确
最后简单画一个图,得出flag
flag{222441144222}