查壳
64位,进IDA,老套路进主函数
unsigned __int64 get_flag(){ unsigned int v0; // eax int i; // [rsp+4h] [rbp-3Ch] int j; // [rsp+8h] [rbp-38h] __int64 s; // [rsp+10h] [rbp-30h] BYREF char v5; // [rsp+18h] [rbp-28h] unsigned __int64 v6; // [rsp+38h] [rbp-8h] v6 = __readfsqword(0x28u); v0 = time(0LL); srand(v0); for ( i = 0; i <= 4; ++i ) { switch ( rand() % 200 ) { case 1: puts("OK, it's flag:"); memset(&s, 0, 0x28uLL); strcat((char *)&s, f1); strcat((char *)&s, &f2); printf("%s", (const char *)&s); break; case 2: printf("Solar not like you"); break; case 3: printf("Solar want a girlfriend"); break; case 4: s = 0x7F666F6067756369LL; v5 = 0; strcat(&f2, (const char *)&s); break; case 5: for ( j = 0; j <= 7; ++j ) { if ( j % 2 == 1 ) *(&f2 + j) -= 2; else --*(&f2 + j); } break; default: puts("emmm,you can't find flag 23333"); break; } } return __readfsqword(0x28u) ^ v6;}一个swithch函数,case1就是正确的输出,(这题还是有点意思的,个人感觉),我们还能看到case4和case5有加密。2和3则是退出,那么我们要考虑是否直接case1就好了,(但凡尝试了都会知道)所以我们要考虑一下4和5的加密。
在case1中会涉及到f1和f2,那么我们要去找这两个怎么来的,f2在case4,f1则是在函数里没见到过相关的算法,那么我们进内存区看 --> f1:GXY{do_not_
再看f2,由s链接而成,那么我们先看看f2是否已经有字符了,还是它只是空的。
有个20h,是个啥,可以自己去看看。
所以直接将s作为f2的内容就行了,但是这里注意,小端存储。
f2 = ‘icugof’(为什么不是‘icugofF7x\’呢,我们可以去看看它的数据段(内存)这里就不带了,自己去看看吧)
接下来是对f2的加密,也就是说,我们上边得到的f2是已经经过加密的,我们要去解密得到原来的f2,将f1和f2连接起来就是flag了
来吧,脚本或者你能看出来也行。
int main(){ string f2 = "icug`of"; for (int i = 0; i < f2.size(); i++) { if(i & 1)f2[i] -= 2; else f2[i]--; } cout << f2 <<endl; return 0;}得到f2原型:hate_me
f1和f2连起来 --> flag{do_not_hate_me}收工
喜欢
(0)
