2020 巅峰极客 WP_ Re

第一题：virus

是一个win32 的题，没给加壳。

主函数：

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  int v5; // [esp+14h] [ebp-4Ch]
  int v6; // [esp+3Ch] [ebp-24h]
  int v7; // [esp+40h] [ebp-20h]
  int v8; // [esp+44h] [ebp-1Ch]
  int v9; // [esp+48h] [ebp-18h]
  int v10; // [esp+4Ch] [ebp-14h]
  size_t v11; // [esp+50h] [ebp-10h]
  int v12; // [esp+54h] [ebp-Ch]
  int i; // [esp+58h] [ebp-8h]
  int v14; // [esp+5Ch] [ebp-4h]

  __main();
  puts("There is a long way to defeat it.");
  scanf("%s", flag);
  v12 = strlen(flag);                           // 获取有效长度
  v6 = 0;
  v7 = 0;
  v8 = 0;
  v9 = 0;                                       // v6 v7 v8 v9 4个分别保存 "-" 在flag中的序号
                                                //
  v10 = 0;
  v14 = 0;
  v11 = 0;
  for ( i = 0; i < v12; ++i )
  {
    if ( flag[i] == '-' )
    {
      v3 = v14++;
      *(&v6 + v3) = i;
    }
    if ( !v14 )
    {
      *(&v5 + i) = flag[i] - '0';
      if ( *(&v5 + i) > 9 || *(&v5 + i) < 0 )   // 第一个前 "-" 只能是数字 0 - 9
        return 0;                               // 在 *(&v5 + i)中写入之后参与4个迷宫的顺序
    }
  }
  if ( v14 != 4 )                               // 输入的flag中有4个 “-”
    return 0;
  v10 = v12;
  for ( i = 1; i <= v14; ++i )
  {
    v11 = *(&v6 + i) - *(&v6 + i - 1) - 1;      // 将flag的2、3、4、5部分的字符数，即对应迷宫的出走步数依次写入v11
    if ( step[i] != v11 )                       // step[4]: {0x13 , 0x19 , 0x1A , 0x1C} 用step中限定的步数参与迷宫
      return 0;
    strncpy(&road[200 * i], &flag[*(&v6 + i - 1) + 1], v11);// 将输入的flag的第2、3、4、5部分(对应迷宫的出走路径)去掉 "-"之后拷入road
  }
  for ( i = 0; i <= 3; ++i )
  {
    if ( check_flag((int)&global_map + 0xC8 * *(&v5 + i), *(&v5 + i), &road[200 * (i + 1)]) )
    {
      puts("How about try again?");
      return 0;
    }
    if ( i == 3 )
      printf("Great! We will defeat it!!! your flag is flag{%s}", flag);
  }
  return 0;
}

main函数的条理还是很清晰的

接收一串形如  "  XXXX—XXXX—XXXX—XXXX—XXXX  "的字符串

检查flag中的  "  -  "的数量(必须是4个)和位置，

将第一部分的字符按位减去0x30要求不大于9且不小于0并保存在*（&v5 + i），所以第一部分应该是纯数字。

将flag的第 2、3、4、5部分经过位数检查之后 &road[200 * i]

再往后就是通过函数check_flag 校验flag

我们检查check_flag的参数后发现 global_map记录的是4个迷宫：
 

整理后如下：

迷宫及起始地址：                 路径及所需步数：    

0x403108:
||||||||||||||| 0 0 0 0 0  >>>  dddddddddsssssaaaaaaaaawww -- 0x1A
||||||||||||||| 0 0 0 0 0
||||||||||||||| 0 0 0 0 0
||s.........||| 0 0 0 0 0
|||||||||||.||| 0 0 0 0 0
||d||||||||.||| 0 0 0 0 0
||.||||||||.||| 0 0 0 0 0
||.||||||||.||| 0 0 0 0 0
||..........||| 0 0 0 0 0
||||||||||||||| 0 0 0 0 0 

0x4031D0:
||||||||||||||||||| 0   >>>   sdsdsdsdsdsdsddwdwdwdwdwdwdw -- 0x1C
||s|||||||||||||d|| 0
||..|||||||||||..|| 0
|||..|||||||||..||| 0
||||..|||||||..|||| 0
|||||..|||||..||||| 0
||||||..|||..|||||| 0
|||||||..|..||||||| 0
||||||||...|||||||| 0
||||||||||||||||||| 0 

0x403298:
||||||||||||||| 0 0 0 0 0  >>>  aaaaaaaaasssssssddddddddd -- 0x19
||.........s||| 0 0 0 0 0
||.|||||||||||| 0 0 0 0 0
||.|||||||||||| 0 0 0 0 0
||.|||||||||||| 0 0 0 0 0
||.|||||||||||| 0 0 0 0 0
||.|||||||||||| 0 0 0 0 0
||.|||||||||||| 0 0 0 0 0
||.........d||| 0 0 0 0 0
||||||||||||||| 0 0 0 0 0 

0x403360:
||||||||||||||| 0 0 0 0 0    >>>  wwwwwdddddddddsssss  -- 0x13
||||||||||||||| 0 0 0 0 0
||||||||||||||| 0 0 0 0 0
|||..........|| 0 0 0 0 0
|||.||||||||.|| 0 0 0 0 0
|||.||||||||.|| 0 0 0 0 0
|||.||||||||.|| 0 0 0 0 0
|||.||||||||.|| 0 0 0 0 0
|||s||||||||d|| 0 0 0 0 0
||||||||||||||| 0 0 0 0 0 

可以发现每个迷宫之间的偏移都是 0XC8 ，&global_map 到0X403108的偏移也是0XC8

每个迷宫所需的步数都可以在main函数中的step数组里找到 ，故而这四个迷宫的顺序应该是 4312 ，即flag的第一部分是4312

上面提到过，flag的2、3、4、5部分对应各个迷宫的走法，所以 ，将 4312 和 各个迷宫的走法按顺序拼接之后就是真正的flag。

FLAG ：flag{4312-wwwwwdddddddddsssss-aaaaaaaaasssssssddddddddd-dddddddddsssssaaaaaaaaawww-sdsdsdsdsdsdsddwdwdwdwdwdwdw}

 第二题：fu!k_py

解压开来是一个 .pyc 文件，第一步自然是对它进行反编译：

说实话，Python不太好的我看到这套娃式的代码时人都不好了。

但为了能多搞点分，还是硬着头皮看了下去。

我能识别的信息并不多

这里有个 input ，flag应该是从这里输入的，包含 "  flag{}  "且总长度必须为 87 个字符。

然后是这个：

应该是有个有关 9 x 9 数组的信息

很容易让人往数独方面想

而且后面还有一堆的什么  check(xx) != 45，而 1 + 2 + 3  + 4 + 5 + 6 + 7 + 8 + 9 = 45

之后我找了个数独的解密网站按位填入 ：

然后将整个数独中的数整理下来，并套上flag{} 提交，最终通过了。

FLAG: flag{145327698839654127672918543496185372218473956753296481367542819984761235521839764}