逆向攻防世界CTF系列11-maze

64位无壳

__int64 __fastcall main(__int64 a1, char **a2, char **a3){
  const char *v3; // rsi
  signed __int64 v4; // rbx
  signed int v5; // eax
  char v6; // bp
  char v7; // al
  const char *v8; // rdi
  __int64 v10; // [rsp+0h] [rbp-28h]

  v10 = 0LL;
  puts("Input flag:");
  scanf("%s", &s1, 0LL);
  if (strlen(&s1) != 24 || (v3 = "nctf{", strncmp(&s1, "nctf{", 5uLL)) || *(&byte_6010BF + 24) != 125){
    LABEL_22:
    puts("Wrong flag!");
    exit(-1);
  }
  v4 = 5LL;
  if ( strlen(&s1) - 1 > 5 ) {
    while ( 1 ){
      v5 = *(&s1 + v4);
      v6 = 0;
      if ( v5 > 78 ){
        v5 = (unsigned __int8)v5;
        if ( (unsigned __int8)v5 == 79 ){
          v7 = sub_400650((char *)&v10 + 4, v3);
          goto LABEL_14;
        }
        if ( v5 == 111 ){
          v7 = sub_400660((char *)&v10 + 4, v3);
          goto LABEL_14;
        }
      }
      else{
        v5 = (unsigned __int8)v5;
        if ( (unsigned __int8)v5 == 46 ){
          v7 = sub_400670(&v10, v3);
          goto LABEL_14;
        }
        if ( v5 == 48 ){
          v7 = sub_400680(&v10, v3);
          LABEL_14:
          v6 = v7;
          goto LABEL_15;
        }
      }
LABEL_15:
      v3 = (const char *)HIDWORD(v10);
      if ( !(unsigned __int8)sub_400690(asc_601060, HIDWORD(v10), (unsigned int)v10) )
        goto LABEL_22;
      if ( ++v4 >= strlen(&s1) - 1 )
      {
        if ( v6 )
          break;
LABEL_20:
        v8 = "Wrong flag!";
        goto LABEL_21;
      }
    }
  }
  if ( asc_601060[8 * (signed int)v10 + SHIDWORD(v10)] != 35 )
    goto LABEL_20;
  v8 = "Congratulations!";
LABEL_21:
  puts(v8);
  return 0LL;
}

开头必须是nctf{，总长24，第25位最后一位是不是”}” 125=’}’

右键char，发现四个字符

这里(_DWORD *)是对v6进行强制类型转化,，然后在提领指针,WORD占2个字节，DWORD占4个字节。

shift+f12找到看看，发现

再看之前那张图，当为’O’时，点进函数看看，

在16位的CPU中，一个字刚好为两个字节，而32位CPU中，一个字是四个字节。若以字为单位，向上还有双字（两个字），四字

解题1

好吧，上面分析的很乱，这里有个坑点就是，看了wp才发现，v10其实是两个变量，我一直做不出来的原因就是不太懂伪代码中的那四个函数，怎么得出的上下左右，明明都是v10，第二就是dword(v10)跟普通的int(v10)有什么区别，第三就是太相信伪代码了，反编译的结果也有可能具有误导性。

这里我ida版本是7.0，我切换8.3的伪代码如下：

这里很清晰的有v9和v10之分

可以得知a3也就是v9是行，asc_601060是迷宫，v10是列，返回去

sub_400670：向上.

sub_400680：向下0

O:向左

o:向右

可以从上面得知一行是8个数据

  ******
*   *  *
*** * **
**  * **
*  *#  *
** *** *
**     *
********

到达＃就通关了

根据前面我们可以得到flag：nctf{o0oo00O000oooo..OO}

解法2

有时我们一下子不能发现伪代码的坑点，因此我们要学会尝试分析汇编语言，这里提供第二种理解方式

即使只有一个变量v10我们仍能分析出，每行拥有8个数据

得到迷宫：

  ******
*   *  *
*** * **
**  * **
*  *#  *
** *** *
**     *
********

结果又发现了一个新知识，每次反编译的结果好像是不同的

发现和之前的结果不同。

HIWORD是High Word的缩写,作用是取得某个4字节变量(即32位的值)在内存中处于高位的两个字节,即一个word长的数据
LOWORD是Low Word的缩写,作用是取得某个4字节变量(即32位的值)在内存中处于低位的两个字节,即一个word长的数据

发现了HIWORD这个细节，是高字

r14是sub_80和70

r15是sub_60和50

r14是低位，与上对照，R14是行，80和70是行，0，.是操作行的

Oo是操作列的

可以得到结果flag

文章作者: Matriy

文章链接: http://matriy330.github.io/1504b54c/

逆向攻防世界

赞助

wechat
alipay

相关推荐

2024-11-09

逆向攻防世界CTF系列1-Hello，CTF

逆向CTF系列1-Hello，CTF下载文件首先查壳是32位的。上面的图看到了没有。说明这个软件是没有加壳的。是用Microsoft Visual C++ 6.0软件编写的。如果查到了是aspack的。那就说明是加了aspack的壳。您可以用专门脱aspack脱壳机来脱壳。很多高手都是用OllyDBG V1.10 手工来脱壳的。可以先运行一下源程序，输入123，发现输出wrong 可能是要我们输出success才行。在ida中再看看，果断F5。 1234567891011121314151617181920212223242526272829303132333435363738int __cdecl main(int argc, const char **argv, const char **envp) { int i; // ebx char v4; // al int result; // eax int v6; // [esp+0h] [ebp-70h] int v7; // [esp+0h] [ebp-70h] char...

2025-01-21

逆向攻防世界CTF系列10-csaw2013reversing2

逆向攻防世界CTF系列10-csaw2013reversing232位无壳提示：听说运行就能拿到Flag，不过菜鸡运行的结果不知道为什么是乱码运行果然出乱码… 解法1：静态分析大概是要MessageBoxA输出结果flag，但是我们输出的是乱码，可能是if语句没有执行，此外，if 语句中还有个exit函数我们没输出flag的原因是因为sub_401000没有执行，我们想办法让他执行左侧的MessageBoxA:一个没有被调用的弹框函数修改点1：红框1处jzn改为jmp就是无条件跳转，修改点2：jmp short loc_4010EF改为 jmp short loc_4010B9，避免让他执行exit函数。修改点3：int 3(__debugbreak();) 改为 nop __debugbreak () 是一个内置函数，用于在程序运行时生成一个软件断点，从而暂停程序执行并等待调试器连接。一旦你的进程执行到int 3指令时，操作系统就将它暂停。在Linux上，这会给该进程发送一个SIGTRAP信号。 NOP（No...

2025-01-27

逆向攻防世界CTF系列12-666

逆向攻防世界CTF系列12-666 123456789101112131415161718int __fastcall main(int argc, const char **argv, const char **envp){ char s[240]; // [rsp+0h] [rbp-1E0h] BYREF char v5[240]; // [rsp+F0h] [rbp-F0h] BYREF memset(s, 0, 0x1EuLL); printf("Please Input Key: "); __isoc99_scanf("%s", v5); encode(v5, s); if ( strlen(v5) == key ) { if ( !strcmp(s, enflag) ) puts("You are Right"); else puts("flag{This_1s_f4cker_flag}"); ...

2025-01-29

逆向攻防世界CTF系列13-Reversing-x64Elf-100

逆向攻防世界CTF系列13-Reversing-x64Elf-100无壳64位 1234567891011121314151617181920__int64 __fastcall main(int a1, char **a2, char **a3){ char s[264]; // [rsp+0h] [rbp-110h] BYREF unsigned __int64 v5; // [rsp+108h] [rbp-8h] v5 = __readfsqword(0x28u); printf("Enter the password: "); if ( !fgets(s, 255, stdin) ) return 0LL; if ( (unsigned int)sub_4006FD(s) ) { puts("Incorrect password!"); return 1LL; } else { puts("Nice!"); return...

2025-01-31

逆向攻防世界CTF系列14-easyRE1-100

逆向攻防世界CTF系列14-easyRE1-100给了两个文件，一个32位，一个64位先看看32位再看64 试了一下，假的最后还是没做出来看了题解… flag{db2f62a36a018bce28e46d976e3f9864} 吃一堑长一智….

2025-02-02

逆向攻防世界CTF系列15-Shuffle-100

逆向攻防世界CTF系列15-Shuffle-10032位无壳，没意思，直接提交 SECCON{Welcome to the SECCON 2014 CTF!}