比赛&刷题|攻防世界 RE hackme WP 比赛&刷题|WP

本题为 XCTF 3rd-GCTF-2017 的 RE，该题目有一些小坑，特此记录
拿到题目后反编译如下：
这是通过字符串查找找到的主方法main：

__int64 sub_400F8E() { char v1[136]; // [rsp+10h] [rbp-B0h] int v2; // [rsp+98h] [rbp-28h] char v3; // [rsp+9Fh] [rbp-21h] int v4; // [rsp+A0h] [rbp-20h] unsigned __int8 v5; // [rsp+A6h] [rbp-1Ah] char v6; // [rsp+A7h] [rbp-19h] int v7; // [rsp+A8h] [rbp-18h] int v8; // [rsp+ACh] [rbp-14h] int v9; // [rsp+B0h] [rbp-10h] int v10; // [rsp+B4h] [rbp-Ch] _BOOL4 v11; // [rsp+B8h] [rbp-8h] int i; // [rsp+BCh] [rbp-4h]sub_407470((unsigned __int64)"Give me the password: "); sub_4075A0((unsigned __int64)"%s"); for ( i = 0; v1[i]; ++i ) ; v11 = i == 22; v10 = 10; do { v7 = (signed int)sub_406D90("%s", v1) % 22; v9 = 0; v6 = byte_6B4270[v7]; v5 = v1[v7]; v4 = v7 + 1; v8 = 0; while ( v8 < v4 ) { ++v8; v9 = 1828812941 * v9 + 12345; } v3 = v9 ^ v5; if ( v6 != ((unsigned __int8)v9 ^ v5) ) v11 = 0; --v10; } while ( v10 ); if ( v11 ) v2 = sub_407470((unsigned __int64)"Congras\n"); else v2 = sub_407470((unsigned __int64)"Oh no!\n"); return 0LL; }

其中：sub_407470为类似于printf的函数
sub_406D90为随机数生成函数，且seed为固定值
重点是要理解这个函数的逻辑是啥。。虽然这个判断只取了有输入字符串的10个字符，但是实际上需要输入的字符串是22位（也就是实际上flag有22个char）。。
之后程序会从这里面随机选择一个数字i，然后从byte_6B4270和输入的字符串中分别取出第i个字符v6和v5，将v5的内容和一个生成的大数进行异或运算与v6比较。
整体逻辑如上，而且我们发现，这个i具体是多少其实是不需要的，因为这个i是随机生成的用于检验得到的flag的（理解这点后题目就变得十分简单了），所以我们需要做的时按程序正向逻辑进行爆破或者逆向生成这flag即可。
需要注意的是，虽然很多时候这种类似 unsigned __int8 的信息会被我们忽略，但是在本题中它是非常重要的，它标表示这个数被转型为8个bit长（也就是只有一个字节，刚好是我们ascii表的范围），故脚本中我们需要与上一个0xff
综上，我们最终的脚本如下：

cyphered = [0x5F,0xF2,0x5E,0x8B,0x4E,0x0E,0xA3,0xAA,0xC7,0x93,0x81,0x3D,0x5F,0x74,0xA3,0x09, 0x91,0x2B,0x49,0x28,0x93,0x67]flag = ''for i in range(22): v6 = i + 1 v10 = 0 v11 = 0 while v10 < v6: v10 = v10 + 1 v11 = 1828812941 * v11 + 12345 print("%x"%(cyphered[i]^v11)) flag += chr((cyphered[i]^v11)&0xff) #注意这个0xff print (flag)

【比赛&刷题|攻防世界 RE hackme WP】总结：
本题中需要注意的有两点，其一就是对程序逻辑的理解，flag有22位。。另一个就是0xff，理解这几点后做题会顺利很多。