1.BUUCTF刷题
不一样的flag
32位,无壳。
伪代码:
v4=0;
strcpy(v3, "*11110100001010000101111#");
while ( 1 )
{
puts("you can choose one action to execute");
puts("1 up");
puts("2 down");
puts("3 left");
printf("4 right\n:");
scanf("%d", &v5);
if ( v5 == 2 )
{
++*(_DWORD *)&v3[25];
//*(_DWORD *)是强制类型转化;v3[25]='#'
}
else if ( v5 > 2 )
{
if ( v5 == 3 )
{
--v4;
}
else
{
if ( v5 != 4 )
LABEL_13:
exit(1);
++v4;
}
}
else
{
if ( v5 != 1 )
goto LABEL_13;
--*(_DWORD *)&v3[25];
}
for ( i = 0; i <= 1; ++i )
{
if ( *(int *)&v3[4 * i + 25] < 0 || *(int *)&v3[4 * i + 25] > 4 )
exit(1);
}
if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == 49 )//ascll(49)=’1‘
exit(1);
if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == 35 )//ascll(35)=’#‘
{
puts("\nok, the order you enter is the flag!");
exit(0);
}
}
1,2,3,4代表上下左右,这应该是类似于走迷宫那种,v3的长度是25,所以推测这25个字符代表地图,*为入口,#为出口,0代表可通过的路。
*1111
01000
01010
00010
1111#
所以输入顺序应该为222441144222。
SimpleRev
知识点:大端存储与小端存储
1-1
即text==str2成立时,为正确的flag。
unsigned __int64 Decry()
{
char v1; // [rsp+Fh] [rbp-51h]
int v2; // [rsp+10h] [rbp-50h]
int v3; // [rsp+14h] [rbp-4Ch]
int i; // [rsp+18h] [rbp-48h]
int v5; // [rsp+1Ch] [rbp-44h]
char src[8]; // [rsp+20h] [rbp-40h] BYREF
__int64 v7; // [rsp+28h] [rbp-38h]
int v8; // [rsp+30h] [rbp-30h]
__int64 v9[2]; // [rsp+40h] [rbp-20h] BYREF
int v10; // [rsp+50h] [rbp-10h]
unsigned __int64 v11; // [rsp+58h] [rbp-8h]
v11 = __readfsqword(0x28u);
*(_QWORD *)src = 0x534C43444ELL;//SLCDN
v7 = 0LL;
v8 = 0;
v9[0] = 0x776F646168LL;//wodah
v9[1] = 0LL;
v10 = 0;
text = (char *)join(key3, v9);
strcpy(key, key1);
strcat(key, src);
v2 = 0;
v3 = 0;
getchar();
v5 = strlen(key);
for ( i = 0; i < v5; ++i )//转小写
{
if ( key[v3 % v5] > 64 && key[v3 % v5] <= 90 )
key[i] = key[v3 % v5] + 32;
++v3;
}
printf("Please input your flag:");
while ( 1 )
{
v1 = getchar();
if ( v1 == 10 )
break;
if ( v1 == 32 )
{
++v2;
}
else
{
if ( v1 <= 96 || v1 > 122 )
{
if ( v1 > 64 && v1 <= 90 )
{
str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;
++v3;
}
}
else
{
str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97;
++v3;
}
if ( !(v3 % v5) )
putchar(32);
++v2;
}
}
if ( !strcmp(text, str2) )
puts("Congratulation!\n");
else
puts("Try again!\n");
return __readfsqword(0x28u) ^ v11;
}
此时要注意,给出的文件是ELF文件,用于linux平台,而linux平台默认为小端存储,所以在实际存储中,是反着的。又因为程序中使用strcat和join函数来进行字符串拼接,所以key="ADSFKNDCLS",text="killshadow"。
代码的逻辑是输入flag,然后经过一系列变换,最后会变换为text。写个py脚本反向生成flag即可。
//python3
key="adsfkndcls"
text="killshadow"
flag=""
for v2 in range(0,10):
for i in range(65,123):
if i in range(91,97):
break
if ord(text[v2]) == (i - 39 - ord(key[v2]) + 97) % 26 + 97://程序中的v3%v5,这里直接用下标计数器v2来表示,这是为什么?暂时没想清楚。
flag = flag + chr(i)
print(flag)#KLDQCUDFZO
2.Bugku刷题
赛博朋克
没有给解压密码,应该是伪加密。将后缀改为rar即可。
txt文件中以png开头,所以这应该是个图片,将后缀改为png。
尝试用binwalk分离文件,但是并没有什么用。
使用zsteg查看图片。
2-1
直接看到flag。
