BUUCTF--刮开有奖
准备
获取信息
- 32位文件
IDA打开
进入主函数WinMain
int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd)
{
DialogBoxParamA(hInstance, (LPCSTR)0x67, , DialogFunc, );
return ;
}
找到关键的函数DialogFunc,并反编译为C代码
BOOL __userpurge DialogFunc@<eax>(int a1@<edi>, int a2@<esi>, HWND hDlg, UINT a4, WPARAM a5, LPARAM a6)
{
const char *v6; // esi
const char *v7; // edi
int v9; // [esp+4h] [ebp-20030h]
int v10; // [esp+8h] [ebp-2002Ch]
int v11; // [esp+Ch] [ebp-20028h]
int v12; // [esp+10h] [ebp-20024h]
int v13; // [esp+14h] [ebp-20020h]
int v14; // [esp+18h] [ebp-2001Ch]
int v15; // [esp+1Ch] [ebp-20018h]
int v16; // [esp+20h] [ebp-20014h]
int v17; // [esp+24h] [ebp-20010h]
int v18; // [esp+28h] [ebp-2000Ch]
int v19; // [esp+2Ch] [ebp-20008h]
CHAR String; // [esp+30h] [ebp-20004h]
char v21; // [esp+31h] [ebp-20003h]
char v22; // [esp+32h] [ebp-20002h]
char v23; // [esp+33h] [ebp-20001h]
char v24; // [esp+34h] [ebp-20000h]
char v25; // [esp+10030h] [ebp-10004h]
char v26; // [esp+10031h] [ebp-10003h]
char v27; // [esp+10032h] [ebp-10002h]
int v28; // [esp+20028h] [ebp-Ch]
int v29; // [esp+2002Ch] [ebp-8h] __alloca_probe();
if ( a4 == )
return ;
v29 = a2;
v28 = a1;
if ( a4 != )
return ;
if ( (_WORD)a5 == )
{
memset(&String, , 0xFFFFu);
GetDlgItemTextA(hDlg, , &String, 0xFFFF);
if ( strlen(&String) == )
{
v9 = ;
v10 = ;
v11 = ;
v12 = ;
v13 = ;
v14 = ;
v15 = ;
v16 = ;
v17 = ;
v18 = ;
v19 = ;
sub_4010F0(&v9, , );
memset(&v25, , 0xFFFFu);
v6 = (const char *)sub_401000(&v25, strlen(&v25));
memset(&v25, , 0xFFFFu);
v26 = v23;
v25 = v22;
v27 = v24;
v7 = (const char *)sub_401000(&v25, strlen(&v25));
if ( String == v9 +
&& v21 == v13
&& * v22 - == * v11
&& v23 / == * (v16 / )
&& !strcmp(v6, "ak1w")
&& !strcmp(v7, "V1Ax") )
{
MessageBoxA(hDlg, "U g3t 1T!", "@_@", );
}
}
return ;
}
if ( (_WORD)a5 != && (_WORD)a5 != )
return ;
EndDialog(hDlg, (unsigned __int16)a5);
return ;
}
代码分析
字符串解析
通过第37行代码GetDlgItemTextA,我们知道了String是我们输入的flag。
通过第38行代码我们知道flag的长度应该是8
第51行函数sub_4010F0在对v9~v19进行某种操作,进入sub_4010F0函数,将函数转换为C语言代码,再将v9~v19代入
#include <iostream>
#include <stdlib.h>
#include <stdio.h> using namespace std; int __cdecl sub_4010F0(char *a1, int a2, int a3)
{
int result; // eax
int i; // esi
int v5; // ecx
int v6; // edx result = a3;
for (i = a2; i <= a3; a2 = i)
{
v5 = i;
v6 = a1[i];
if (a2 < result && i < result)
{
do
{
if (v6 >a1[result])
{
if (i >= result)
break;
++i;
a1[v5] = a1[result];
if (i >= result)
break;
while (a1[i] <= v6)
{
if (++i >= result)
goto LABEL_13;
}
if (i >= result)
break;
v5 = i;
a1[result] = a1[i];
}
--result;
} while (i < result);
}
LABEL_13:
a1[result] = v6;
sub_4010F0(a1, a2, i - );
result = a3;
++i;
}
return result;
} char str[] = { ,,,,,,,,,, }; int main()
{
cout << str << endl; sub_4010F0(str, , ); for (int i = ; i < ; ++i) {
cout << str[i];
}
return ;
}
输出
字符串加密
分析第52行代码~58行代码。我们转到汇编代码处
.text:004012B0 push 0FFFFh ; size_t
.text:004012B5 lea edx, [ebp+var_10004]
.text:004012BB push ; int
.text:004012BD push edx ; void *
.text:004012BE call _memset
.text:004012C3 mov al, [ebp+var_1FFFF]
.text:004012C9 mov dl, [ebp+var_1FFFD]
.text:004012CF mov cl, [ebp+var_1FFFE]
.text:004012D5 mov [ebp+var_10004], al
.text:004012DB lea eax, [ebp+var_10004]
.text:004012E1 mov [ebp+var_10002], dl
.text:004012E7 add esp, 18h
.text:004012EA mov [ebp+var_10003], cl
.text:004012F0 lea edx, [eax+]
.text:004012F3
.text:004012F3 loc_4012F3: ; CODE XREF: DialogFunc+158↓j
.text:004012F3 mov cl, [eax]
.text:004012F5 inc eax
.text:004012F6 test cl, cl
.text:004012F8 jnz short loc_4012F3
.text:004012FA sub eax, edx
.text:004012FC push eax
.text:004012FD lea eax, [ebp+var_10004]
.text: push eax
.text: call sub_401000
.text: push 0FFFFh ; size_t
.text:0040130E lea ecx, [ebp+var_10004]
.text: push ; int
.text: push ecx ; void *
.text: mov esi, eax
.text: call _memset
.text:0040131E mov al, [ebp+var_20001]
.text:00401324 mov dl, [ebp+var_20002]
.text:0040132A mov cl, [ebp+var_20000]
.text: mov [ebp+var_10003], al
.text: lea eax, [ebp+var_10004]
.text:0040133C mov [ebp+var_10004], dl
.text: add esp, 14h
.text: mov [ebp+var_10002], cl
.text:0040134B lea edx, [eax+]
.text:0040134E mov edi, edi
看加粗加红处(下面是对应字符串的信息)
- String db ?
- var_20003 db ?
- var_20002 db ?
- var_20001 db ?
- var_20000 db ?
-0001FFFF var_1FFFF db ?
-0001FFFE var_1FFFE db ?
-0001FFFD var_1FFFD db ?
我们可以知道,v6使用sub_4010F0函数后的字符串的6,7,8位,调用sub_401000函数,v7使用sub_4010F0函数后的字符串的3,4,5位,调用sub_401000函数。
加密方式
进入sub_401000
_BYTE *__cdecl sub_401000(int a1, int a2)
{
int v2; // eax
int v3; // esi
size_t v4; // ebx
_BYTE *v5; // eax
_BYTE *v6; // edi
int v7; // eax
_BYTE *v8; // ebx
int v9; // edi
signed int v10; // edx
int v11; // edi
signed int v12; // eax
signed int v13; // esi
_BYTE *result; // eax
_BYTE *v15; // [esp+Ch] [ebp-10h]
_BYTE *v16; // [esp+10h] [ebp-Ch]
int v17; // [esp+14h] [ebp-8h]
int v18; // [esp+18h] [ebp-4h] v2 = a2 / ;
v3 = ;
if ( a2 % > )
++v2;
v4 = * v2 + ;
v5 = malloc(v4);
v6 = v5;
v15 = v5;
if ( !v5 )
exit();
memset(v5, , v4);
v7 = a2;
v8 = v6;
v16 = v6;
if ( a2 > )
{
while ( )
{
v9 = ;
v10 = ;
v18 = ;
do
{
if ( v3 >= v7 )
break;
++v10;
v9 = *(unsigned __int8 *)(v3++ + a1) | (v9 << );
}
while ( v10 < );
v11 = v9 << * ( - v10);
v12 = ;
v17 = v3;
v13 = ;
do
{
if ( v10 >= v12 )
{
*((_BYTE *)&v18 + v12) = (v11 >> v13) & 0x3F;
v8 = v16;
}
else
{
*((_BYTE *)&v18 + v12) = ;
}
*v8++ = byte_407830[*((char *)&v18 + v12)];
v13 -= ;
++v12;
v16 = v8;
}
while ( v13 > - );
v3 = v17;
if ( v17 >= a2 )
break;
v7 = a2;
}
v6 = v15;
}
result = v6;
*v8 = ;
return result;
}
进入第65行byte_407830
.rdata: ; char byte_407830[]
.rdata: byte_407830 db 41h ; DATA XREF: sub_401000+C0↑r
.rdata: aBcdefghijklmno db 'BCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=',
我们可以猜测这个函数应该是base64加密。
flag分析
if ( String == v9 + // sub_4010F0函数后的第一位等于51+34=85-->'U'
&& v21 == v13 // 第2位,等于v13,即sub_4010F0函数返回值的第5位值-->'J'
&& * v22 - == * v11
&& v23 / == * (v16 / )
&& !strcmp(v6, "ak1w") // 第6,7,8行代码base64之后,需要等于"ak1w"
&& !strcmp( // 第3,4,5行代码,加密之后等于V1Ax
v7,
"V1Ax") )
{
MessageBoxA(hDlg, "U g3t 1T!", "@_@", );
}
将v6,v7解密之后得到WP1jMp,再结合第1,2位得到flag
get flag!
flag{UJWP1jMp}
BUUCTF--刮开有奖的更多相关文章
- BUUCTF 刮开有奖 WriteUp
题目链接 https://buuoj.cn/challenges#%E5%88%AE%E5%BC%80%E6%9C%89%E5%A5%96 题解 用IDA打开,按F5反编译,双击进入DialogFun ...
- [BUUCTF]REVERSE——刮开有奖
刮开有奖 附件 步骤: 例行检查,无壳,32位程序 32位ida载入,shift+f12检索程序里的字符串,看到了一个base64加密的特征字符串,猜想这题用到了base64加密 从main函数开始看 ...
- BUUOJ reverse 刮开有奖
刮开有奖 这是一个赌博程序,快去赚钱吧!!!!!!!!!!!!!!!!!!!!!!!!!!!(在编辑框中的输入值,即为flag,提交即可) 注意:得到的 flag 请包上 flag{} 提交 拖到id ...
- [BUUOJ]刮开有奖reverse
刮开有奖 这是一个赌博程序,快去赚钱吧!!!!!!!!!!!!!!!!!!!!!!!!!!!(在编辑框中的输入值,即为flag,提交即可) 注意:得到的 flag 请包上 flag{} 提交 1.查壳 ...
- buu 刮开有奖
一.查壳, 二.拖入ida,分析 直接搜字符串完全没头绪,在看了大佬的wp才找到了,关键函数. 明显那个String就是我们要求的flag,要开始分析程序. 字符串长度为8,同时这个函数对字符串进行了 ...
- 服务端性能测试工具校验v1.1
服务端性能测试工具校验v1.1 更新说明: 1.精简CRT运行库支持. 2.添加响应模拟测试,校验压力测试工具的响应时间统计准确性. 3.大并发请求请降低延迟时间 WEIMJSAM原创,转载请注明出处 ...
- 服务端性能测试工具校验v1.0
性能测试工具对服务端进行并发测试时,如果工具本身问题或异常就会造成真实并发与实际并发有差距,要测试10000/S并发的性能结果实际到达服务端的并发达不到95%,这样的测试无效. 所以给大家共享,我做的 ...
- Visual.Studio.2013.IDE+visual.studio.15.preview5 编译器
硬盘版Visual.Studio.2013.IDE + visual.studio.15.preview5 编译器 使用前注意以下事项: 1.右键-管理员权限安装,VS15补丁.exe,补丁是VS15 ...
- 测试工具之Charles视频教程(更新中。。。)
应群里小伙伴学习需求,录制新版 Charles V4 系列教程,后续内容抽空更新,测试工具系列带你上王者...(ノ°ο°)ノ前方高能预警 链接:http://pan.baidu.com/s/1c16P ...
随机推荐
- unittest单元测试框架总结(转)
unittest单元测试框架不仅可以适用于单元测试,还可以适用WEB自动化测试用例的开发与执行,该测试框架可组织执行测试用例,并且提供了丰富的断言方法,判断测试用例是否通过,最终生成测试结果.今天笔者 ...
- 记录卸载5.7版本MySQL并安装5.6版本MySQL
新版本有些问题很烦,也没时间去找解决办法,只好用回5.6,首先卸载6.7的MySQL: sudo apt-get autoremove --purge mysql-server-* apt remov ...
- HTML5 Canvas(实战:绘制饼图2 Tooltip)
继上一篇HTML5 Canvas(实战:绘制饼图)之后,笔者研究了一下如何给饼图加鼠标停留时显示的提示框. Plot对象 在开始Coding之前,笔者能够想到的最easy的方式,就是给饼图的每一个区域 ...
- kafka docker-composer.yml
使用Docker快速搭建Kafka开发环境 表现力 关注 0.5 2018.05.04 03:00* 字数 740 阅读 25240评论 1喜欢 11 Docker在很多时候都可以帮助我们快速搭建想 ...
- GPS通讯 数据包解析
全球时区的划分: 每个时区跨15°经度.以0°经线为界向东向西各划出7.5°经度,作为0时区.即0时区的经度范围是7.5°W——7.5°E.从7.5°E与7.5°W分别向东.向西每15°经度划分为一个 ...
- Apache HttpClient之fluent API的使用
该方法为Apache HttpClient 4.5以上的版本支持,在官网有明确的说明. 对比以前的方式,其优点是代码更简洁,同时为线程安全的.仅举一个最简单的post栗子 JAR包信息: <de ...
- rk3328编译Linux固件
一.编译 Linux 固件 这一章将介绍编译 ROC-RK3328-CC Linux 固件的整个流程. 1.1 准备工作 Linux 固件在如下的环境中编译: Ubuntu 16.04 amd64 安 ...
- ckeditor富文本编辑器的使用和图片上传,复制粘贴图片上传
自动导入Word图片,或者粘贴Word内容时自动上传所有的图片,并且最终保留Word样式,这应该是Web编辑器里面最基本的一个需求功能了.一般情况下我们将Word内容粘贴到Web编辑器(富文本编辑器) ...
- 【HDOJ6686】Rikka with Travels(树形DP)
题意:给定一棵n个点,边权为1的树,求有多少个有序数对(l1,l2)使得存在两条互不相交的路径,长度分别为l1和l2 n<=1e5 思路: #include<bits/stdc++.h&g ...
- [hadoop](1) MapReduce:ChainMapper
前言 本章主要讲述的是对于hadoop生态系统中,MapReduce写的ChainMapper的学习.MapReduce是hadoop集群数据处理的默认框架.而对于数据集中所有的数据必然有一些不友好的 ...