攻防世界--maze
测试文件下载:https://adworld.xctf.org.cn/media/task/attachments/fa4c78d25eea4081864918803996e615
1.准备
获得信息
- 64位文件
2.IDA打开
选择main函数,反编译为C代码。
__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
const char *v3; // rsi
signed __int64 v4; // rbx
signed int v5; // eax
char v6; // bp
char v7; // al
const char *v8; // rdi
__int64 v10; // [rsp+0h] [rbp-28h] v10 = 0LL;
puts("Input flag:");
scanf("%s", &s1, 0LL);
if ( strlen(&s1) != || (v3 = "nctf{", strncmp(&s1, "nctf{", 5uLL)) || *(&byte_6010BF + ) != )
{
LABEL_22:
puts("Wrong flag!");
exit(-);
}
v4 = 5LL;
if ( strlen(&s1) - > )
{
while ( )
{
v5 = *(&s1 + v4);
v6 = ;
if ( v5 > )
{
v5 = (unsigned __int8)v5;
if ( (unsigned __int8)v5 == )
{
v7 = sub_400650((char *)&v10 + , v3);
goto LABEL_14;
}
if ( v5 == )
{
v7 = sub_400660((char *)&v10 + , v3);
goto LABEL_14;
}
}
else
{
v5 = (unsigned __int8)v5;
if ( (unsigned __int8)v5 == )
{
v7 = sub_400670(&v10, v3);
goto LABEL_14;
}
if ( v5 == )
{
v7 = sub_400680(&v10, v3);
LABEL_14:
v6 = v7;
goto LABEL_15;
}
}
LABEL_15:
v3 = (const char *)HIDWORD(v10);
if ( !(unsigned __int8)sub_400690(asc_601060, HIDWORD(v10), (unsigned int)v10) )
goto LABEL_22;
if ( ++v4 >= strlen(&s1) - )
{
if ( v6 )
break;
LABEL_20:
v8 = "Wrong flag!";
goto LABEL_21;
}
}
}
if ( asc_601060[ * (signed int)v10 + SHIDWORD(v10)] != )
goto LABEL_20;
v8 = "Congratulations!";
LABEL_21:
puts(v8);
return 0LL;
}
打开字符串的视图,我们可以看到
.data: asc_601060 db ' ******* * **** * **** * *** *# *** *** *** *********',
2.1 代码分析
__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
signed __int64 v4; // rbx
signed int v5; // eax
char v6; // bp
char v7; // al
const char *v8; // rdi
__int64 v10; // [rsp+0h] [rbp-28h] v10 = 0LL;
puts("Input flag:");
scanf("%s", &s1, 0LL); if ( strlen(&s1) != || strncmp(&s1, "nctf{", 5uLL) || *(&byte_6010BF + ) != ) //len(s1) = 24, s1开头为'nctf',
{
LABEL_22:
puts("Wrong flag!");
exit(-);
}
v4 = 5LL; //flag总长24,已知5个长度,v4表示输入的表示方向的字符数。
if ( strlen(&s1) - > )
{
while ( )
{
v5 = *(&s1 + v4); //v5 = s1[5]
v6 = ;
if ( v5 > 'N' )//v5 > 'N'
{
v5 = (unsigned __int8)v5;
if ( (unsigned __int8)v5 == 'O' ) //1. 当v5 == 'O'的情况,表示左移
{
v7 = sub_400650((char *)&v10 + , v3); //v10--,表示位置的列数-1,v7判断是否越界(越界返回:FALSE, 未越界返回:TRUE)
goto LABEL_14;
}
if ( v5 == 'o' ) //2. 当v5 == 'o‘的情况,表示右移
{
v7 = sub_400660((char *)&v10 + , v3); //v10++,表示位置的列数+1,
goto LABEL_14;
}
} else//v5 < 'N'
{
v5 = (unsigned __int8)v5;
if ( (unsigned __int8)v5 == '.') //3. v5 == '.'的情况, 表示上移
{
v7 = sub_400670(&v10, v3); //v10--,表示位置的行数-1,
goto LABEL_14;
}
if ( v5 == '' ) //4. v5=='0'的情况,表示下移
{
v7 = sub_400680(&v10, v3); //v10++, 表示位置的行数+1
LABEL_14:
v6 = v7; //赋值给v6,下面判断走迷宫时,是否越界
goto LABEL_15;
}
} LABEL_15:
if ( !(unsigned __int8)sub_400690((__int64)asc_601060, SHIDWORD(v10), v10) )//判断该位置的字符是' ', '#'或者'*'中的哪种,如果是'*'则,返回再次寻路
goto LABEL_22;
if ( ++v4 >= strlen(&s1) - ) //因为最后以'}'结尾,所以strlen(s1) - 1。我们需要找到中间18个字符
{
if ( v6 )//判断是否越界(未越界退出循环)
break;
LABEL_20:
v8 = "Wrong flag!";
goto LABEL_21;
}
}
}
if ( asc_601060[ * (signed int)v10 + SHIDWORD(v10)] != )//判断是否到达'#'处,没有到达,继续返回循环,进行移动
goto LABEL_20;
v8 = "Congratulations!";
LABEL_21:
puts(v8);
return 0LL;
}
通过代码分析,能够判断出那一串字符实际上就是一个迷宫,通过'.', '0', 'O', 'o'来控制移动,V10实际上就是一个二维数组,一维表示X轴,二维表示Y轴。
2.2 方向判断
在汇编代码中
.text:00000000004006B7 mov dword ptr [rsp+28h+var_28+],
.text:00000000004006BF mov dword ptr [rsp+28h+var_28],
我们能够知道,v9高位表示x轴,v9低位表示y轴,
通过函数
__int64 __fastcall sub_400690(__int64 a1, int a2, int a3)
{
__int64 result; // rax result = *(unsigned __int8 *)(a1 + a2 + 8LL * a3);//a1是迷宫,a2是列,a3是行。通过行列计算迷宫对应位置的字符
LOBYTE(result) = (_DWORD)result == || (_DWORD)result == ;//如果是' '或者'#‘返回TRUE,是'*’返回FALSE
return result;
}
sub_400690函数中是a2+a3*8,即a3表示行,a2表示列。返回到调用函数处,即v10高位表示列,低位表示行。那么就可以判断出'O','o'表示左右,'.','0'表示上下
2.3 迷宫表示
通过a2+a3*8我们也能了解到这个迷宫有8行,总共64个字符,也就是8x8的迷宫,表示出来就是。
******
***
******
*****
**#*
******
***
********
2.4 解迷宫
起点(1,1),只能走0,要走到‘#’,找到路径右下右右下下左下下下右右右右上上左左
写出脚本
str = "右下右右下下左下下下右右右右上上左左"
str = str.replace('上', '.')
str = str.replace('下', '')
str = str.replace('左', 'O')
str = str.replace('右', 'o') str = 'nctf{' + str + '}' print(str)
3.get flag!
nctf{oo0oo00O000oooo..OO}
攻防世界--maze的更多相关文章
- 逆向-攻防世界-maze
题目提示是走迷宫. IDA载入程序分析. 输入字符长度必须是24,开头必须是nctf{,结尾必须是}.在125处按R就可以变成字符. sub_400650和sub_400660是关键函数,分析sub_ ...
- 攻防世界 maze NJUPT CTF 2017
迷宫题 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 signed __int64 mid_i; // rbx 4 ...
- CTF--web 攻防世界web题 robots backup
攻防世界web题 robots https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=506 ...
- CTF--web 攻防世界web题 get_post
攻防世界web题 get_post https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5 ...
- 攻防世界 web进阶练习 NewsCenter
攻防世界 web进阶练习 NewsCenter 题目是NewsCenter,没有提示信息.打开题目,有一处搜索框,搜索新闻.考虑xss或sql注入,随便输入一个abc,没有任何搜索结果,页面也没有 ...
- 【攻防世界】高手进阶 pwn200 WP
题目链接 PWN200 题目和JarvisOJ level4很像 检查保护 利用checksec --file pwn200可以看到开启了NX防护 静态反编译结构 Main函数反编译结果如下 int ...
- XCTF攻防世界Web之WriteUp
XCTF攻防世界Web之WriteUp 0x00 准备 [内容] 在xctf官网注册账号,即可食用. [目录] 目录 0x01 view-source2 0x02 get post3 0x03 rob ...
- 攻防世界 | CAT
来自攻防世界官方WP | darkless师傅版本 题目描述 抓住那只猫 思路 打开页面,有个输入框输入域名,输入baidu.com进行测试 发现无任何回显,输入127.0.0.1进行测试. 发现已经 ...
- 攻防世界 robots题
来自攻防世界 robots [原理] robots.txt是搜索引擎中访问网站的时候要查看的第一个文件.当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在, ...
随机推荐
- bzoj 3569 DZY Loves Chinese II 随机算法 树上倍增
题意:给你一个n个点m条边的图,有若干组询问,每次询问会选择图中的一些边删除,删除之后问此图是否联通?询问之间相互独立.此题强制在线. 思路:首先对于这张图随便求一颗生成树,对于每一条非树边,随机一个 ...
- MySQL重复数据中限定操作n条
对于一个表,有时可能里面有很多重复的条,比如: +-----------+---------+| coupon_id | user_id |+-----------+---------+| 8 | 1 ...
- 【leetcode】813. Largest Sum of Averages
题目如下: 解题思路:求最值的题目优先考虑是否可以用动态规划.记dp[i][j]表示在数组A的第j个元素后面加上第i+1 (i从0开始计数)个分隔符后可以得到的最大平均值,那么可以得到递归关系式: d ...
- Task9.Attention
注意力模型最近几年在深度学习各个领域被广泛使用,无论是图像处理.语音识别还是自然语言处理的各种不同类型的任务中,都很容易遇到注意力模型的身影.所以,了解注意力机制的工作原理对于关注深度学习技术发展的技 ...
- 【LOMBOK】能引入 @Slf4j 注解,不能识别 log 的解决方法
问题: 在pom.xml中加入引入了lombok的依赖,可以引用@Slf4j注解不能识别log 如:注:上面一篇博客,已经说明lombok的安装了,但是用的时候还有点问题. 1).把lombok.ja ...
- 20180803-Java 流(Stream)、文件(File)和IO
Java 流(Stream).文件(File)和IO 下面的程序示范了用read()方法从控制台不断读取字符直到用户输入"q". // 使用BufferedReader 在控制台读 ...
- CF1137F Matches Are Not a Child's Play
我们定义一棵树的删除序列为:每一次将树中编号最小的叶子删掉,将该节点编号加入到当前序列的最末端,最后只剩下一个节点时将该节点的编号加入到结尾.现在给出一棵n个节点的树,有m次操作: up v:将v号节 ...
- laravel5.6 常规框架部署和配置文件说明
示例demo文件位置: 入口默认index.php文件地址: 例如: /laravel5.6/public/index.php (1) 必须先初始化路由web.php文件地址: 例如: /larave ...
- python中用os.walk查找全部的子文件
import os import shutil # 要遍历查找的文件所在的父文件夹 trajectory_filename =r"D:\mapping" # 要粘贴到的目标文件夹 ...
- flask-script实现自动刷新页面调试
本文flask==1.0.2 1.导入extension包 from flask_script import Manager 2.使用manager管理工具 app = Flask(__name__) ...