测试文件:https://adworld.xctf.org.cn/media/task/attachments/fac4d1290e604fdfacbbe06fd1a5ca39.exe

1.准备

获取信息:

  • 32位文件

2.IDA打开

打开main函数

 int __cdecl main(int argc, const char **argv, const char **envp)

 {

   void *v3; // eax

   int v4; // edx

   void *v5; // eax

   int result; // eax

   void *v7; // eax

   void *v8; // eax

   void *v9; // eax

   size_t i; // [esp+4Ch] [ebp-8Ch]

   char v11[]; // [esp+50h] [ebp-88h]

   char v12[]; // [esp+58h] [ebp-80h]

   char v13; // [esp+74h] [ebp-64h]

   v3 = (void *)sub_402B30(&unk_446360, "Give me your flag:");// 这两段代码直接理解成printf即可。下面的代码同样如此

   sub_4013F0(v3, (int (__cdecl *)(void *))sub_403670);

   sub_401440((int)&dword_4463F0, v4, (int)v12, );

   if ( strlen(v12) <  && strlen(v12) >  )

   {

     strcpy(v11, "EIS{");

     for ( i = ; i < strlen(v11); ++i )

     {

       if ( v12[i] != v11[i] )                   // flag前四位为"ESI{"

       {

         v7 = (void *)sub_402B30(&unk_446360, "Sorry, keep trying! ");

         sub_4013F0(v7, (int (__cdecl *)(void *))sub_403670);

         return ;

       }

     }

     if ( v13 ==  )

     {

       if ( sub_4011C0(v12) )

         v9 = (void *)sub_402B30(&unk_446360, "Congratulations! ");

       else

         v9 = (void *)sub_402B30(&unk_446360, "Sorry, keep trying! ");

       sub_4013F0(v9, (int (__cdecl *)(void *))sub_403670);

       result = ;

     }

     else

     {

       v8 = (void *)sub_402B30(&unk_446360, "Sorry, keep trying! ");

       sub_4013F0(v8, (int (__cdecl *)(void *))sub_403670);

       result = ;

     }

   }

   else

   {

     v5 = (void *)sub_402B30(&unk_446360, "Sorry, keep trying!");

     sub_4013F0(v5, (int (__cdecl *)(void *))sub_403670);

     result = ;

   }

   return result;

 }

3.代码分析

看到第32行代码

if ( sub_4011C0(v12) )

    v9 = (void *)sub_402B30(&unk_446360, "Congratulations! ");

这里通过sub_4011C0(v12)传入输入的flag来判断真假,打开函数

 bool __cdecl sub_4011C0(char *a1)

 {

   size_t v2; // eax

   signed int v3; // [esp+50h] [ebp-B0h]

   char v4[]; // [esp+54h] [ebp-ACh]

   int v5; // [esp+74h] [ebp-8Ch]

   int v6; // [esp+78h] [ebp-88h]

   size_t i; // [esp+7Ch] [ebp-84h]

   char v8[]; // [esp+80h] [ebp-80h]

   if ( strlen(a1) <=  )

     return ;

   i = ;

   v6 = ;

   while ( i < strlen(a1) -  )

     v8[v6++] = a1[i++];

   v8[v6] = ;

   v5 = ;

   v3 = ;

   memset(v4, , 0x20u);

   for ( i = ; ; ++i )

   {

     v2 = strlen(v8);

     if ( i >= v2 )

       break;

     if ( v8[i] >=  && v8[i] <=  )

     {

       v8[i] -= ;

       v3 = ;

     }

     if ( !v3 && v8[i] >=  && v8[i] <=  )

       v8[i] += ;

     v4[i] = byte_4420B0[i] ^ sub_4013C0(v8[i]);

     v3 = ;

   }

   return strcmp("GONDPHyGjPEKruv{{pj]X@rF", v4) == ;

 }

这里i是从4开始即flag的第四位开始,对flag的操作分为了两部分:

  1. 第26行代码~第32行代码,将flag中的大写字母转小写,小写字母转大写。
  2. 第33行代码对每位字符进行异或操作。

第一步不必多说,第二步byte_4420B0数组从文件中提取出来

0D       1D  0C   2F  2B  1F

1E   0F      0A 2F 1E 1A 2D 0C

sub_4013C0(v8[i])函数为

int __cdecl sub_4013C0(int a1)

{

  return (a1 ^ 0x55) + ;

}

最后得到的字符串V4为

GONDPHyGjPEKruv{{pj]X@rF

因此我们只需要逆向操作还原flag即可

4.脚本获取

n = 28

val1 = [0x0D,0x13,0x17,0x11,0x02,0x01,0x20,0x1D,0x0C,0x02,0x19,0x2F,0x17,0x2B,

        0x24,0x1F,0x1E,0x16,0x09,0x0F,0x15,0x27,0x13,0x26,0x0A,0x2F,0x1E,0x1A,

        0x2D,0x0C,0x22,0x04]

v4 = "GONDPHyGjPEKruv{{pj]X@rF"

v8 = ""

flag = ""

for i in range(len(v4)):

    v8 += chr(((ord(v4[i]) ^ val1[i]) - 72) ^ 0x55)

for i in range(len(v8)):

    if ord(v8[i]) >= 97 and ord(v8[i]) <= 122:

        flag += chr(ord(v8[i]) - 32)

    elif ord(v8[i]) >= 65 and ord(v8[i]) <= 90:

        flag += chr(ord(v8[i]) + 32)

    else:

        flag += v8[i]

print('EIS{'+flag+'}')

5.get flag!

EIS{wadx_tdgk_aihc_ihkn_pjlm}

攻防世界--IgniteMe的更多相关文章

  1. CTF--web 攻防世界web题 robots backup

    攻防世界web题 robots https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=506 ...

  2. CTF--web 攻防世界web题 get_post

    攻防世界web题 get_post https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5 ...

  3. 攻防世界 web进阶练习 NewsCenter

    攻防世界 web进阶练习 NewsCenter   题目是NewsCenter,没有提示信息.打开题目,有一处搜索框,搜索新闻.考虑xss或sql注入,随便输入一个abc,没有任何搜索结果,页面也没有 ...

  4. 【攻防世界】高手进阶 pwn200 WP

    题目链接 PWN200 题目和JarvisOJ level4很像 检查保护 利用checksec --file pwn200可以看到开启了NX防护 静态反编译结构 Main函数反编译结果如下 int ...

  5. XCTF攻防世界Web之WriteUp

    XCTF攻防世界Web之WriteUp 0x00 准备 [内容] 在xctf官网注册账号,即可食用. [目录] 目录 0x01 view-source2 0x02 get post3 0x03 rob ...

  6. 攻防世界 | CAT

    来自攻防世界官方WP | darkless师傅版本 题目描述 抓住那只猫 思路 打开页面,有个输入框输入域名,输入baidu.com进行测试 发现无任何回显,输入127.0.0.1进行测试. 发现已经 ...

  7. 攻防世界 robots题

    来自攻防世界 robots [原理] robots.txt是搜索引擎中访问网站的时候要查看的第一个文件.当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在, ...

  8. 【攻防世界】 高手进阶区 Recho WP

    0x00 考察点 考察点有三个: ROP链构造 Got表劫持 pwntools的shutdown功能 0x01 程序分析 上来三板斧 file一下 checksec --file XXX chmod ...

  9. CTF -攻防世界-crypto新手区(5~11)

    easy_RSA 首先如果你没有密码学基础是得去恶补一下的 然后步骤是先算出欧拉函数 之后提交注意是cyberpeace{********}这样的 ,博主以为是flag{}耽误了很长时间  明明没算错 ...

随机推荐

  1. 2018百度之星初赛B轮 rect

    rect Accepts: 1654 Submissions: 2948 Time Limit: 2000/1000 MS (Java/Others) Memory Limit: 131072/131 ...

  2. The GuidRepresentation for the reader is CSharpLegacy, which requires the binary sub type to be Uuid

    使用客户端链接MongoDb报错 The GuidRepresentation for the reader is CSharpLegacy, which requires the binary su ...

  3. Selenium 多窗口切换

    我们在操作网页的时候,点击有些页面的链接,会重新打开一个窗口,我们要在新页面上操作,就得切换窗口 比如在百度首页的登录框点击注册,会重新打开一个注册的新页面,要在新页面注册,就得先切进新页面 那我们怎 ...

  4. 使用私有仓库(Docker Registry 2.0)管理镜像

    1. 执行以下命令新建并启动一个Docker Registry 2.0 docker run -d -p 5000:5000 --restart=always --name registry2 reg ...

  5. MUI注

    1.调试模式: 边改边看:左侧显示代码,右侧实时观看修改效果.可以调出“浏览器控制台”观测数据变化效果. 真机运行:电脑和手机都安装“360手机助手”,手机安装“F:\Program Files\HB ...

  6. JDBC API访问数据库的基本步骤。

    JDBC本质:官方定义了一套操作所有关系型数据库的规则(接口),各个数据库厂商实现这个接口,提供数据库驱动jar包. 我们可以使用这套接口(JDBC)编程,真正执行的代码是驱动jar包中的实现类. 任 ...

  7. git reset --hard 操作后的数据恢复

    在进行正文之前先简单介绍下git reset 命令 git reset git reset 命令用于改变当前的仓库状态,简单的场景用例:假设一次修改了两个文件,然而需要对这两个文件分别进行两次提交,在 ...

  8. python - assert 断言 语句

    使用assert断言是学习python一个非常好的习惯,python assert 断言句语格式及用法很简单. 用法:在没完善一个程序之前,我们不知道程序在哪里会出错,与其让它在运行时崩溃,不如在出现 ...

  9. ES6实现数组去重

    ES6 提供了新的数据结构 Set.它类似于数组,但是成员的值都是唯一的,没有重复的值. Array.from方法可以将 Set 结构转为数组. 扩展运算符内部调用的是数据结构的 Iterator 接 ...

  10. js中的相等

    概述 今天学习 jest,看文档的时候发现 jest 用到了 Object.is(),以前没有见过,所以记录下来,供以后开发时参考,相信对其他人也有用. 注意:Object.is的文档在这里 Obje ...