测试文件:https://buuoj.cn/files/7458c5c0ce999ac491df13cf7a7ed9f1/SimpleRev?token=eyJ0ZWFtX2lkIjpudWxsLCJ1c2VyX2lkIjoxOTAzLCJmaWxlX2lkIjoyNDN9.XXnIgg.L-8ifBkOTka-7o-QXZDkKNm77x4

1.准备

获取信息

  1. 64位文件

2.IDA打开

将main函数反编译为C代码

 int __cdecl __noreturn main(int argc, const char **argv, const char **envp)

 {

   int v3; // eax

   char v4; // [rsp+Fh] [rbp-1h]

   while (  )

   {

     while (  )

     {

       printf("Welcome to CTF game!\nPlease input d/D to start or input q/Q to quit this program: ", argv, envp);

       v4 = getchar();

       if ( v4 != 'd' && v4 != 'D' )

         break;

       Decry();

     }

     if ( v4 == 'q' || v4 == 'Q' )

       Exit();

     puts("Input fault format!");

     v3 = getchar();

     putchar(v3);

   }

 }

3.代码分析

很明显,这道题的关键在于Decry()

 unsigned __int64 Decry()

 {

   char v1; // [rsp+Fh] [rbp-51h]

   int v2; // [rsp+10h] [rbp-50h]

   int v3; // [rsp+14h] [rbp-4Ch]

   int i; // [rsp+18h] [rbp-48h]

   int v5; // [rsp+1Ch] [rbp-44h]

   char src[]; // [rsp+20h] [rbp-40h]

   __int64 v7; // [rsp+28h] [rbp-38h]

   int v8; // [rsp+30h] [rbp-30h]

   __int64 v9; // [rsp+40h] [rbp-20h]

   __int64 v10; // [rsp+48h] [rbp-18h]

   int v11; // [rsp+50h] [rbp-10h]

   unsigned __int64 v12; // [rsp+58h] [rbp-8h]

   v12 = __readfsqword(0x28u);

   *(_QWORD *)src = 'SLCDN';

   v7 = 0LL;

   v8 = ;

   v9 = 'wodah';

   v10 = 0LL;

   v11 = ;

   text = join(key3, (const char *)&v9);         // text = 'killshadow'

   strcpy(key, key1);

   strcat(key, src);                             // key = 'ADSFKNDCLS'

   v2 = ;

   v3 = ;

   getchar();

   v5 = strlen(key);                             // v5 = 10

   for ( i = ; i < v5; ++i )

   {

     if ( key[v3 % v5] >  && key[v3 % v5] <=  )// key = 'adsfkndcls'

       key[i] = key[v3 % v5] + ;

     ++v3;

   }

   printf("Please input your flag:", src);

   while (  )

   {

     v1 = getchar();

     if ( v1 ==  )

       break;

     if ( v1 ==  )

     {

       ++v2;

     }

     else

     {

       if ( v1 <=  || v1 >  )

       {

         if ( v1 >  && v1 <=  )              // 大写字母

           str2[v2] = (v1 -  - key[v3++ % v5] + ) %  + ;

       }

       else                                      // 小写字母

       {

         str2[v2] = (v1 -  - key[v3++ % v5] + ) %  + ;

       }

       if ( !(v3 % v5) )

         putchar(' ');

       ++v2;

     }

   }

   if ( !strcmp(text, str2) )

     puts("Congratulation!\n");

   else

     puts("Try again!\n");

   return __readfsqword(0x28u) ^ v12;

 }

转换成可以运行的C代码是

 #include <bits/stdc++.h>

 #pragma warning(disable:4996)

 int main(void)

 {

     int i, j, n = , v5 = , v3 = , v2 = ;

     char v1;

     char flag[] = {  };

     char str2[] = {  };

     char key[] = "ADSFKNDCLS";

     char text[] = "killshadow";

     for (i = ; i < v5; ++i)

     {

         if (key[v3 % v5] >  && key[v3 % v5] <= )

             key[i] = key[v3 % v5] + ;

         ++v3;

     }

     printf("Please input your flag:");

     while ()

     {

         v1 = getchar();

         printf("v1:%c\nv2:%d\n\n", v1, v2);

         if (v1 == ) {

             printf("进入1\n");

             break;

         }

         if (v1 == )

         {

             printf("进入2\n");

             ++v2;

         }

         else

         {

             if (v1 <=  || v1 > )

             {

                 if (v1 >  && v1 <= ) {

                     str2[v2] = (v1 -  - key[v3++ % v5] + ) %  + ;

                     printf("计算1\n");

                 }

             }

             else

             {

                 str2[v2] = (v1 -  - key[v3++ % v5] + ) %  + ;

                 printf("计算1\n");

             }

             if (!(v3 % v5))

                 putchar(' ');

             ++v2;

         }

     }

     if (!strcmp(text, str2))

         puts("Congratulation!\n");

     else {

         printf("str2:%s\n", str2);

         puts("Try again!\n");

     }

     system("PAUSE");

     return ;

 }

第30~35行代码的实际作用是将大写字母转换为小写。

第37~61行代码实际上就是遍历输入的字符(flag),进行str2[v2] = (v1 - 39 - key[v3++ % v5] + 97) % 26 + 97;运算,最后与text比较。

因此我们只要反向就能求出输入的v1

4.程序获取flag

#include <bits/stdc++.h>

#pragma warning(disable:4996)

int main(void)

{

    int i, j, n = , v5 = , v3 = , v2 = ;

    char v1;

    char flag[] = {  };

    char str2[] = {  };

    char key[] = "ADSFKNDCLS";

    char text[] = "killshadow";

    for (i = ; i < v5; ++i)

    {

        if (key[v3 % v5] >  && key[v3 % v5] <= )

            key[i] = key[v3 % v5] + ;

        ++v3;

    }

    for (j = ; j < ; ++j) {

        for (v2 = ; v2 < ; ++v2) {

            v1 = text[v2] -  +  * j -  + key[v3++ % v5] + ;

            if ((v1 >=  && v1 <= ) || (v1 >=  && v1 <= )) {

                flag[v2] = v1;

                if (++n == ) {

                    printf("%s\n", flag);

                    system("PAUSE");

                    return ;

                }

            }

        }

    }

    system("PAUSE");

    return ;

}

5.get flag!

flag{KLDQCUDFZO}

BUUCTF--SimpleRev的更多相关文章

  1. [BUUCTF]REVERSE——SimpleRev

    SimpleRev 附件 步骤: 例行查壳儿,,无壳,64位程序 64位ida载入,看main函数 关键代码段在Decry函数里 unsigned __int64 Decry() { char v1; ...

  2. 刷题记录:[BUUCTF 2018]Online Tool

    目录 刷题记录:[BUUCTF 2018]Online Tool 一.知识点 1.escapeshellarg和escapeshellcmd使用不当导致rce 刷题记录:[BUUCTF 2018]On ...

  3. BUUOJ reverse SimpleRev (爆破)

    SimpleRev SimpleRev(flag需加上flag{}再提交) 注意:得到的 flag 请包上 flag{} 提交 拖到ida 找到关键函数: unsigned __int64 Decry ...

  4. BUUCTF RE部分题目wp

    RE 1,easyre拖进ida,得到flag 2,helloworld 将文件拖入apk改之理,得到flag 3,xor拖进ida,就是简单异或,写脚本 glo=[0x66,0x0a,0x6b,0x ...

  5. BUUCTF 部分wp

    目录 Buuctf crypto 0x01传感器 提示是曼联,猜测为曼彻斯特密码 wp:https://www.xmsec.cc/manchester-encode/ cipher: 55555555 ...

  6. buuctf misc 刷题记录

    1.金三胖 将gif分离出来. 2.N种方法解决 一个exe文件,果然打不开,在kali里分析一下:file KEY.exe,ascii text,先txt再说,base64 图片. 3.大白 crc ...

  7. BUUCTF知识记录

    [强网杯 2019]随便注 先尝试普通的注入 发现注入成功了,接下来走流程的时候碰到了问题 发现过滤了select和where这个两个最重要的查询语句,不过其他的过滤很奇怪,为什么要过滤update, ...

  8. buuctf misc wp 01

    buuctf misc wp 01 1.金三胖 2.二维码 3.N种方法解决 4.大白 5.基础破解 6.你竟然赶我走 1.金三胖 root@kali:~/下载/CTF题目# unzip 77edf3 ...

  9. buuctf misc wp 02

    buuctf misc wp 02 7.LSB 8.乌镇峰会种图 9.rar 10.qr 11.ningen 12.文件中的秘密 13.wireshark 14.镜子里面的世界 15.小明的保险箱 1 ...

  10. BUUCTF WEB-WP(3)

    BUUCTF WEB 几道web做题的记录 [ACTF2020 新生赛]Exec 知识点:exec命令执行 这题最早是在一个叫中学生CTF平台上看到的类似,比这题稍微要复杂一些,多了一些限制(看看大佬 ...

随机推荐

  1. unigui ios微信界面错位和点击失灵问题

    IOS微信下会出现二个严重问题: 1.输入框失去焦点导致控件错位,造成无点正常点击. 此问题是微信自带浏览器,一直遗留问题, 尝试了多种方法始终无解.因此要用来开发公众号的一定要注意. 2.界面下移 ...

  2. SpringBoot搭建基于Spring+SpringMvc+Mybatis的REST服务

    Maven Plugin管理 通常,让你的Maven POM文件继承 spring-boot-starter-parent,并声明一个或多个 Starter POMs依赖即可. spring-boot ...

  3. BFC、IFC、GFC和FFC

    基本概念 Box 是 CSS 布局的对象和基本单位, 直观点来说,就是一个页面是由很多个Box 组成的.元素的类型和 display 属性,决定了这个 Box 的类型. 不同类型的 Box, 会参与不 ...

  4. 设计模式学习笔记——Bridge 桥接模式

    先说一下我以前对桥接模式的理解:当每个类中都使用到了同样的属性或方法时,应该将他们单独抽象出来,变成这些类的属性和方法(避免重复造轮子),当时的感觉是和三层模型中的model有点单相似,也就是让mod ...

  5. C++ 对象间通信框架 V2.0 ××××××× 之(二)

    公共头文件:ss_type_def.h ================================================================================ ...

  6. AI移动,缓慢转身设置(针对AI Character)

    AICharacter自身: Use Controller Rotation Yaw设为False Auto Possess AI 设为 Placed in World or Spawned Char ...

  7. SpringBoot项目属性配置-第二章

    SpringBoot入门 1. 相信很多人选择Spring Boot主要是考虑到它既能兼顾Spring的强大功能,还能实现快速开发的便捷.我们在Spring Boot使用过程中,最直观的感受就是没有了 ...

  8. 【洛谷P1219 八皇后】

    参考思路见白书(一本通) 题目链接 题目描述 检查一个如下的6 x 6的跳棋棋盘,有六个棋子被放置在棋盘上,使得每行.每列有且只有一个,每条对角线(包括两条主对角线的所有平行线)上至多有一个棋子. 上 ...

  9. oracle 11g 数据库恢复技术 ---03 补充日志

    三 补充日志(supplemental logging) 补充日志是对重做记录中变更矢量的补充信息,增加了变更矢量记载的记录量.Oracle某些功能要求启用补充日志才能正常或更好的工作,比如logmi ...

  10. web 前端2 CSS

    CSS CSS是Cascading Style Sheets的简称,中文称为层叠样式表,用来控制网页数据的表现,可以使网页的表现与数据内容分离. 一 css的四种引入方式 1.行内式          ...