测试文件:https://static2.ichunqiu.com/icq/resources/fileupload//CTF/JCTF2014/re200

参考文章:https://blog.csdn.net/chenlycly/article/details/53378196

1.程序分析

检测时发现不是PE文件,但是打开16进制却发现了MZ标识,因此我们能够判断文件中存在错误。

1.1 第一处错误

通过观察,发现指向PE文件头的地址为E9,但是实际的地址却是E8。

1.2 第二处错误

将地址修改正确之后,在010Editor打开文件,导入EXE模板

可以看到,正确的PE文件标识应该是0x00004550,但是文件中是0x00FF4550,修改FF为00

将修改后的文件保存为EXE文件

2.IDA打开

定位到main函数

 __int64 __cdecl main_0()

 {

   int v0; // eax

   __int64 v1; // rax

   int v2; // eax

   int v3; // ST08_4

   int v4; // eax

   int v5; // eax

   int v6; // eax

   int v7; // eax

   int v8; // eax

   int v9; // eax

   int v11; // [esp-10h] [ebp-170h]

   int v12; // [esp-Ch] [ebp-16Ch]

   char *v13; // [esp-8h] [ebp-168h]

   int v14; // [esp-4h] [ebp-164h]

   int *v15; // [esp+Ch] [ebp-154h]

   int k; // [esp+D4h] [ebp-8Ch]

   int j; // [esp+E0h] [ebp-80h]

   int i; // [esp+ECh] [ebp-74h]

   char v19; // [esp+FBh] [ebp-65h]

   int v20; // [esp+104h] [ebp-5Ch]

   int Dst; // [esp+108h] [ebp-58h]

   int v22; // [esp+10Ch] [ebp-54h]

   int v23; // [esp+110h] [ebp-50h]

   int v24; // [esp+114h] [ebp-4Ch]

   int v25; // [esp+118h] [ebp-48h]

   char Str1; // [esp+14Ch] [ebp-14h]

   int v27; // [esp+14Dh] [ebp-13h]

   int v28; // [esp+151h] [ebp-Fh]

   char v29; // [esp+155h] [ebp-Bh]

   v0 = sub_411154(std::cout, "欢迎来到数字游戏 请输入9个数字");

   std::basic_ostream<char,std::char_traits<char>>::operator<<(v0, std::endl);

   Str1 = ;

   v27 = ;

   v28 = ;

   v29 = ;

   v20 = ;

   j_memset(&Dst, , 0x3Cu);

   for ( i = ; i < ; ++i )

     std::basic_istream<char,std::char_traits<char>>::operator>>(std::cin, &v20 + i);// v20中输入9个数字

   if ( v22 * Dst * v20 /  !=  )            // 需要满足条件1

     goto LABEL_31;

   if ( (Dst ^ v20) != v22 -  )                 // 需要满足条件2

     goto LABEL_31;

   HIDWORD(v1) = (v22 + Dst + v20) % ;        // v1的计算表达式,反向推倒,需要满足条件3

   if ( HIDWORD(v1) !=  )                      // v1 = 34

     goto LABEL_31;

   if ( v23 ==  )                              // v23=80

   {

     for ( j = ; j < ; ++j )

     {

       HIDWORD(v1) = (j + ) % ;

       for ( *(&Str1 + j) = *((_BYTE *)&v20 +  * HIDWORD(v1)) + *(&v20 + j % ); ; *(&Str1 + j) /=  )

       {

         while ( *(&Str1 + j) <  )

         {

           HIDWORD(v1) = j;

           *(&Str1 + j) *= ;

         }

         if ( *(&Str1 + j) <=  )

           break;

         v1 = *(&Str1 + j);

       }

     }

     if ( v24 ==  && v25 ==  )               // v24=94,v25=98

     {

       for ( k = ; k < ; ++k )

       {

         for ( *(&Str1 + k) = *(&Str1 + (k + ) % ) + *(&Str1 + k % ); ; *(&Str1 + k) /=  )

         {

           while ( *(&Str1 + k) <  )

             *(&Str1 + k) *= ;

           if ( *(&Str1 + k) <=  )

             break;

         }

       }

       if ( !j_strcmp(&Str1, "*&8P^bP^b") )

       {

         v2 = sub_411154(std::cout, "success!");

         std::basic_ostream<char,std::char_traits<char>>::operator<<(v2, std::endl);

         v14 = std::endl;                        // 换行

         v13 = "abc}";

         v12 = v22;

         v11 = Dst;

         v3 = v20;

         v15 = &v11;

         v4 = sub_411154(std::cout, "jlflag{");

         v5 = std::basic_ostream<char,std::char_traits<char>>::operator<<(v4, v3);

         v6 = std::basic_ostream<char,std::char_traits<char>>::operator<<(v5, v11);

         v7 = std::basic_ostream<char,std::char_traits<char>>::operator<<(v6, v12);

         v8 = sub_411154(v7, v13);

         std::basic_ostream<char,std::char_traits<char>>::operator<<(v8, v14);// 以上输出的组合为v4 v3 v11 v12 v13 v14

         sub_4112D0(std::cin, &v19);

         goto LABEL_32;

       }

 LABEL_31:

       v9 = sub_411154(std::cout, "please try again!");

       std::basic_ostream<char,std::char_traits<char>>::operator<<(v9, std::endl);

       goto LABEL_32;

     }

   }

 LABEL_32:

   v14 = HIDWORD(v1);

   v13 = ;

   return *(_QWORD *)&v13;

 }

2.1 代码分析

通过第90~94行代码,我们知道正确的flag为组合[v4 v3 v11 v12 v13 v14],其中v4="jlflag{",v13="abc}",v14=std::endl

因此我们只需要求出v3,v11,v12即可,通过第85~87行代码,我们知道v12 = v22;v11 = Dst;v3 = v20;

我们能够通过这三个变量满足的三个表示,求出三个数的值。

3.脚本获取

for v22 in range(100):

    for dst in range(100):

        for v20 in range(100):

            if v22*dst*v20//11 == 106 and (v22 + dst + v20) % 100 == 34:

                if (dst^v20) == v22 - 4:

                    if (v22 + dst + v20) % 100 == 34:

                        print("jlflag{%d%d%dabc}"%(v22, dst, v20), end='\n')

jlflag{61315abc}
jlflag{61513abc}
jlflag{13615abc}
jlflag{13156abc}
jlflag{15613abc}
jlflag{15136abc}

将这6组得到的flag一组一组试,就能得到正确flag。(记得去掉jl

4.get flag!

flag{15613abc}

JCTF 2014 小菜两碟的更多相关文章

  1. JCTF 2014 小菜一碟

    测试文件:https://static2.ichunqiu.com/icq/resources/fileupload//CTF/JCTF2014/re100 1.准备 获得信息 ZIP文件 Java文 ...

  2. JCTF 2014(Reverse)

    小菜一碟: 点击下载附件 下载的附件没有后缀,用c32打开看看 是apk文件,用Smali2JavaUI打开 程序把输入框的字符串反转,然后进行MD5加密,最后进行base64编码,与NzU2ZDJm ...

  3. ▲教你如何轻易的做linux计划任务▲——小菜一碟

    一次性计划任务的安排: at :安排作业在某一时刻执行一次(一般都是用它) batch:安排作业在系统负载不重时执行一次 第一步: #service atd start  开启一次性计划任务   at ...

  4. JCTF 2014(Misc)

    小试身手: 点击下载附件 res/raw/hehe,打开 得到flag

  5. java制作二维码的两种方式

    原博:http://www.importnew.com/15028.html Zebra Crossing(ZXing)是一个很棒的,几乎可以在所有平台(Android.JavaSE.iPhone.R ...

  6. SQL Server 2014与TFS 2013的错误(TF53001:管理员已取消数据库操作)

    服务器环境: - TFS 2013 with Update 2 - SQL Server 2014(两个节点数据库服务器配置了AlwaysOn高可用性) - Windows Server 2012 R ...

  7. 转载:iOS开发之让你的应用“动”起来

    在iOS中随处都可以看到绚丽的动画效果,实现这些动画的过程并不复杂,今天将带大家一窥iOS动画全貌.在这里你可以看到iOS中如何使用图层精简非交互式绘图,如何通过核心动画创建基础动画.关键帧动画.动画 ...

  8. iOS开发系列--让你的应用“动”起来

    --iOS核心动画 概览 在iOS中随处都可以看到绚丽的动画效果,实现这些动画的过程并不复杂,今天将带大家一窥iOS动画全貌.在这里你可以看到iOS中如何使用图层精简非交互式绘图,如何通过核心动画创建 ...

  9. [翻译]用 Puppet 搭建易管理的服务器基础架构(4)

    我通过伯乐在线翻译了一个Puppet简明教程,一共分为四部分,这是第四部分. 原文地址:http://blog.jobbole.com/89214/ 本文由 伯乐在线 - Wing 翻译,黄利民 校稿 ...

随机推荐

  1. 2018百度之星B轮 degree

    degree Accepts: 1581 Submissions: 3494 Time Limit: 2000/1000 MS (Java/Others) Memory Limit: 131072/1 ...

  2. Java的格式化输出

    在java中除了有System.out.println();和System.out.print();之外还有一种格式化的输出,用来限制宽度,保留小数点后的位数,还有对齐方式. 代码: package ...

  3. Spring Cloud云架构 - SSO单点登录之OAuth2.0登录流程(2)

    上一篇是站在巨人的肩膀上去研究OAuth2.0,也是为了快速帮助大家认识OAuth2.0,闲话少说,我根据框架中OAuth2.0的使用总结,画了一个简单的流程图(根据用户名+密码实现OAuth2.0的 ...

  4. 初识linux命令

    1. type: 查看是外部命令/内部命令 外部命令 有存放地址信息 内部命令 is a shell builtin 2.file 查看文件的编码方式 file /sbin/ifconfig 编译执行 ...

  5. legend3---lavarel中使用qq邮箱发送邮件

    legend3---lavarel中使用qq邮箱发送邮件 一.总结 一句话总结: 第一步:配置邮箱做服务器,比如qq邮箱,网易163邮箱 第二步:配置lavarel的配置文件 第三部:写邮件发送代码就 ...

  6. C++中cout输出字符串和字符串型指针地址值的方法以及C语言中的printf用法比较

    #include <iostream> using namespace std; #include <stdio.h> int main() { char *pstr = &q ...

  7. leetcode-mid-dynamic programming-322. Coin Change - NO

    mycode 我开始错误的思路:先用大钱除总钱数来保证 fewest number of coins,当最后剩下的amount小于最小币值的货币时,就说明return -1,但是这样想是有问题的!!! ...

  8. ORACLE sqlprompt设置

    SYS@orcl>defineDEFINE _DATE           = "17-JUN-19" (CHAR)DEFINE _CONNECT_IDENTIFIER = ...

  9. ThreadLocal 源码分析

    线程局部变量 ThreadLocal 用于实现线程隔离和类间变量共享. 创建实例 /** * 当前 ThreadLocal 实例的哈希值 */ private final int threadLoca ...

  10. 几家大的券商的PB系统以及算法交易概况大致是怎样的?

    PB的定位是托管-清算-交易.目前的PB系统方面的竞争点主要放在了交易环节(毕竟托管和清算没有多大的差异).目前的pb交易环节的技术提供有恒生.讯投.金证.同花顺等,以满足私募及高净值个人多样化交易和 ...