测试文件:https://static2.ichunqiu.com/icq/resources/fileupload//CTF/JCTF2014/re200

参考文章:https://blog.csdn.net/chenlycly/article/details/53378196

1.程序分析

检测时发现不是PE文件,但是打开16进制却发现了MZ标识,因此我们能够判断文件中存在错误。

1.1 第一处错误

通过观察,发现指向PE文件头的地址为E9,但是实际的地址却是E8。

1.2 第二处错误

将地址修改正确之后,在010Editor打开文件,导入EXE模板

可以看到,正确的PE文件标识应该是0x00004550,但是文件中是0x00FF4550,修改FF为00

将修改后的文件保存为EXE文件

2.IDA打开

定位到main函数

 __int64 __cdecl main_0()

 {

   int v0; // eax

   __int64 v1; // rax

   int v2; // eax

   int v3; // ST08_4

   int v4; // eax

   int v5; // eax

   int v6; // eax

   int v7; // eax

   int v8; // eax

   int v9; // eax

   int v11; // [esp-10h] [ebp-170h]

   int v12; // [esp-Ch] [ebp-16Ch]

   char *v13; // [esp-8h] [ebp-168h]

   int v14; // [esp-4h] [ebp-164h]

   int *v15; // [esp+Ch] [ebp-154h]

   int k; // [esp+D4h] [ebp-8Ch]

   int j; // [esp+E0h] [ebp-80h]

   int i; // [esp+ECh] [ebp-74h]

   char v19; // [esp+FBh] [ebp-65h]

   int v20; // [esp+104h] [ebp-5Ch]

   int Dst; // [esp+108h] [ebp-58h]

   int v22; // [esp+10Ch] [ebp-54h]

   int v23; // [esp+110h] [ebp-50h]

   int v24; // [esp+114h] [ebp-4Ch]

   int v25; // [esp+118h] [ebp-48h]

   char Str1; // [esp+14Ch] [ebp-14h]

   int v27; // [esp+14Dh] [ebp-13h]

   int v28; // [esp+151h] [ebp-Fh]

   char v29; // [esp+155h] [ebp-Bh]

   v0 = sub_411154(std::cout, "欢迎来到数字游戏 请输入9个数字");

   std::basic_ostream<char,std::char_traits<char>>::operator<<(v0, std::endl);

   Str1 = ;

   v27 = ;

   v28 = ;

   v29 = ;

   v20 = ;

   j_memset(&Dst, , 0x3Cu);

   for ( i = ; i < ; ++i )

     std::basic_istream<char,std::char_traits<char>>::operator>>(std::cin, &v20 + i);// v20中输入9个数字

   if ( v22 * Dst * v20 /  !=  )            // 需要满足条件1

     goto LABEL_31;

   if ( (Dst ^ v20) != v22 -  )                 // 需要满足条件2

     goto LABEL_31;

   HIDWORD(v1) = (v22 + Dst + v20) % ;        // v1的计算表达式,反向推倒,需要满足条件3

   if ( HIDWORD(v1) !=  )                      // v1 = 34

     goto LABEL_31;

   if ( v23 ==  )                              // v23=80

   {

     for ( j = ; j < ; ++j )

     {

       HIDWORD(v1) = (j + ) % ;

       for ( *(&Str1 + j) = *((_BYTE *)&v20 +  * HIDWORD(v1)) + *(&v20 + j % ); ; *(&Str1 + j) /=  )

       {

         while ( *(&Str1 + j) <  )

         {

           HIDWORD(v1) = j;

           *(&Str1 + j) *= ;

         }

         if ( *(&Str1 + j) <=  )

           break;

         v1 = *(&Str1 + j);

       }

     }

     if ( v24 ==  && v25 ==  )               // v24=94,v25=98

     {

       for ( k = ; k < ; ++k )

       {

         for ( *(&Str1 + k) = *(&Str1 + (k + ) % ) + *(&Str1 + k % ); ; *(&Str1 + k) /=  )

         {

           while ( *(&Str1 + k) <  )

             *(&Str1 + k) *= ;

           if ( *(&Str1 + k) <=  )

             break;

         }

       }

       if ( !j_strcmp(&Str1, "*&8P^bP^b") )

       {

         v2 = sub_411154(std::cout, "success!");

         std::basic_ostream<char,std::char_traits<char>>::operator<<(v2, std::endl);

         v14 = std::endl;                        // 换行

         v13 = "abc}";

         v12 = v22;

         v11 = Dst;

         v3 = v20;

         v15 = &v11;

         v4 = sub_411154(std::cout, "jlflag{");

         v5 = std::basic_ostream<char,std::char_traits<char>>::operator<<(v4, v3);

         v6 = std::basic_ostream<char,std::char_traits<char>>::operator<<(v5, v11);

         v7 = std::basic_ostream<char,std::char_traits<char>>::operator<<(v6, v12);

         v8 = sub_411154(v7, v13);

         std::basic_ostream<char,std::char_traits<char>>::operator<<(v8, v14);// 以上输出的组合为v4 v3 v11 v12 v13 v14

         sub_4112D0(std::cin, &v19);

         goto LABEL_32;

       }

 LABEL_31:

       v9 = sub_411154(std::cout, "please try again!");

       std::basic_ostream<char,std::char_traits<char>>::operator<<(v9, std::endl);

       goto LABEL_32;

     }

   }

 LABEL_32:

   v14 = HIDWORD(v1);

   v13 = ;

   return *(_QWORD *)&v13;

 }

2.1 代码分析

通过第90~94行代码,我们知道正确的flag为组合[v4 v3 v11 v12 v13 v14],其中v4="jlflag{",v13="abc}",v14=std::endl

因此我们只需要求出v3,v11,v12即可,通过第85~87行代码,我们知道v12 = v22;v11 = Dst;v3 = v20;

我们能够通过这三个变量满足的三个表示,求出三个数的值。

3.脚本获取

for v22 in range(100):

    for dst in range(100):

        for v20 in range(100):

            if v22*dst*v20//11 == 106 and (v22 + dst + v20) % 100 == 34:

                if (dst^v20) == v22 - 4:

                    if (v22 + dst + v20) % 100 == 34:

                        print("jlflag{%d%d%dabc}"%(v22, dst, v20), end='\n')

jlflag{61315abc}
jlflag{61513abc}
jlflag{13615abc}
jlflag{13156abc}
jlflag{15613abc}
jlflag{15136abc}

将这6组得到的flag一组一组试,就能得到正确flag。(记得去掉jl

4.get flag!

flag{15613abc}

JCTF 2014 小菜两碟的更多相关文章

  1. JCTF 2014 小菜一碟

    测试文件:https://static2.ichunqiu.com/icq/resources/fileupload//CTF/JCTF2014/re100 1.准备 获得信息 ZIP文件 Java文 ...

  2. JCTF 2014(Reverse)

    小菜一碟: 点击下载附件 下载的附件没有后缀,用c32打开看看 是apk文件,用Smali2JavaUI打开 程序把输入框的字符串反转,然后进行MD5加密,最后进行base64编码,与NzU2ZDJm ...

  3. ▲教你如何轻易的做linux计划任务▲——小菜一碟

    一次性计划任务的安排: at :安排作业在某一时刻执行一次(一般都是用它) batch:安排作业在系统负载不重时执行一次 第一步: #service atd start  开启一次性计划任务   at ...

  4. JCTF 2014(Misc)

    小试身手: 点击下载附件 res/raw/hehe,打开 得到flag

  5. java制作二维码的两种方式

    原博:http://www.importnew.com/15028.html Zebra Crossing(ZXing)是一个很棒的,几乎可以在所有平台(Android.JavaSE.iPhone.R ...

  6. SQL Server 2014与TFS 2013的错误(TF53001:管理员已取消数据库操作)

    服务器环境: - TFS 2013 with Update 2 - SQL Server 2014(两个节点数据库服务器配置了AlwaysOn高可用性) - Windows Server 2012 R ...

  7. 转载:iOS开发之让你的应用“动”起来

    在iOS中随处都可以看到绚丽的动画效果,实现这些动画的过程并不复杂,今天将带大家一窥iOS动画全貌.在这里你可以看到iOS中如何使用图层精简非交互式绘图,如何通过核心动画创建基础动画.关键帧动画.动画 ...

  8. iOS开发系列--让你的应用“动”起来

    --iOS核心动画 概览 在iOS中随处都可以看到绚丽的动画效果,实现这些动画的过程并不复杂,今天将带大家一窥iOS动画全貌.在这里你可以看到iOS中如何使用图层精简非交互式绘图,如何通过核心动画创建 ...

  9. [翻译]用 Puppet 搭建易管理的服务器基础架构(4)

    我通过伯乐在线翻译了一个Puppet简明教程,一共分为四部分,这是第四部分. 原文地址:http://blog.jobbole.com/89214/ 本文由 伯乐在线 - Wing 翻译,黄利民 校稿 ...

随机推荐

  1. 关于SSD和YOLO对小目标的思考

    所谓的小目标,要看是绝对小目标(像素),和相对小目标(相对原图的长宽来看的).大目标小目标只跟receptive field(感受野)有关,cnn本身可以检测任何尺度的物体.ssd对小目标检测不太适用 ...

  2. 详解cocos2dx 3.0的release版本在android平台的签名过程

    当您的游戏准备发布前,需要编译成为release版本,命令中需要增加 -m release,编译命令如下: cocos compile -p android -m release 在编译结束后,生成x ...

  3. [CSP-S模拟测试]:彩球问题(记忆化搜索)

    题目传送门(内部题91) 输入格式 第一行一个正整数$N$,表示颜色种类数. 第二行$N$个正整数$k[i],k[i]$表示第$i$种颜色的数量$(1\leqslant k[i]\leqslant 3 ...

  4. [LeetCode]-009-Palindrome_Number

    Determine whether an integer is a palindrome. Do this without extra space. Some hints: Could negativ ...

  5. springMVC的常用注解有哪些?

    1.@Controller @Controller 用于标记在一个类上,使用它标记的类就是一个SpringMVC Controller 对象.分发处理器将会扫描使用了该注解的类的方法,并检测该方法是否 ...

  6. 第四周总结&实验报告二

    第四周总结&实验报告二 课程总结 这周我们学习了string类,以及很多string类的很多操作方法,同时string也是一个对象,在用到它时我们首字母需要大写,这周我们还加深了对函数构造的理 ...

  7. SQL Server标量函数改写内联表值函数优化案例

    问题SQL: SELECT TOP 1001 ha.HuntApplicationID , ha.PartyNumber , mht.Name AS MasterHuntTypeName , htly ...

  8. 记一次全局分区索引update调优

    原始SQL: CREATE OR REPLACE PROCEDURE sp_upd_suppressed_emails(  A_LIMIT_BULK IN PLS_INTEGER DEFAULT 20 ...

  9. VC程序禁用提示框

    程序需要24小时不中断 如果错误提示了的话 runtime error 监控程序就不能重启 下面是网上找的 方便以后用到 http://blog.csdn.net/yuzhiyuxia/article ...

  10. MySql 使用递归函数时遇到的级联删除问题

    以下两段SQL的写法看似相同,结果效果却是不同的 写法A: DELETE OM_ORGANIZATION, OM_POSITION FROM OM_ORGANIZATION LEFT JOIN OM_ ...