CTFshow Reverse 逆向4 学习记录

题目


分析过程

是一个无壳,64位的文件

丢到IDA里面,找到main函数

复制代码
 1 int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
 2 {
 3   __int64 v3; // rdx
 4   char *v4; // [rsp+20h] [rbp-18h]
 5 
 6   qword_140004618 = (__int64)malloc(16ui64);    // "ui64"表示无符号的64位整数
 7   qword_140004620 = qword_140004618;
 8   *(_QWORD *)(qword_140004618 + 8) = 0i64;      // *(_QWORD *) 作为一个整体,通常用于将一个地址(或其他整数)转换为一个指向64位无符号整数的指针,并获取该地址上的值。
 9                                                 // i64表示64位带符号整数
10   sub_140001020("请输入正确的数字:\n");
11   sub_140001080("%lld");                        // %lld是对应 long long
12   sub_1400010E0(v4, v3);
13 }

代码还是很好理解的,我们继续看看sub_1400010E0函数

复制代码
 1 void __fastcall __noreturn sub_1400010E0(char *input, __int64 a2)
 2 {
 3   int v2; // er9
 4   __int64 input_int64; // r8
 5   char *v4; // r10
 6   char v5; // al
 7   __int64 v6; // rbx
 8   char v7; // cl
 9   char v8; // [rsp+1Fh] [rbp-3F9h]
10   char v9; // [rsp+20h] [rbp-3F8h] BYREF
11 
12   v2 = 0;
13   input_int64 = (__int64)input;
14   if ( input )
15   {
16     v4 = &v9;                                   // v4存放v9字符串的地址,是一个指针
17     do
18     {
19       ++v4;                                     // 将指针往后移动
20       ++v2;                                     // 记录循环次数
21       v5 = a4890572163qwe[input_int64 + -26 * (input_int64 / 26)];// )(*&^%489$!057@#><:2163qwe
22       input_int64 /= 26i64;
23       *(v4 - 1) = v5;                           // 因为之前+1了,-1又移动回去,就是存放在原来的地址
24     }
25     while ( input_int64 );
26   }
27   v6 = v2;
28   while ( v6 )
29   {
30     v7 = *(&v8 + v6--);
31     sub_1400011E0(v7 ^ 7);
32   }
33   sub_140001220();
34 }
35 /* Orphan comments:
36 )(*&^%489$!057@#><:2163qwe
37 */

提取出最难理解的一部分

复制代码
v5 = a4890572163qwe[input_int64 + -26 * (input_int64 / 26)];
input_int64 /= 26i64;

)(*&^%489$!057@#><:2163qwe------刚好26个字符

括号里面举例子更好去理解

  • 假设input_int64是8:
  • 8+ -16*(8/26)=8+ -26*0=8
  • 8/26=0------结束循环
  • 假设input_int64=28:
  • 28+ -26*(28/26)=28+ -26*1=2
  • 28/26=1
  • 1+ -26*(1/26)=1+ -26*0=1
  • 1/16=0------结束循环

你可以看作这是一个26位的循环,我们要找到input_int64在循环中对应的位置,也就是数组的索引

复制代码
v7 = *(&v8 + v6--);

这里突然出现一个v8,还是取v8的地址,我们看看栈

发现v8就在v9上面,这行代码就是取出v9中的数赋值给v7,为后面的异或操作做准备

接着看看sub_1400011E0函数

复制代码
 1 _QWORD *__fastcall sub_1400011E0(char a1)
 2 {
 3   _QWORD *result; // rax
 4   __int64 v3; // rdx
 5 
 6   result = malloc(16ui64);
 7   v3 = qword_140004618;
 8   qword_140004618 = (__int64)result;
 9   *(_QWORD *)(v3 + 8) = result;                 // 将result存储到v3 + 8地址处,也就是qword_140004618 + 8地址处
10   *(_BYTE *)v3 = a1;                            // 将a1的值存储到v3地址处,也就是qword_140004618地址处
11   result[1] = 0i64;                             // 将result的第二个_QWORD大小的元素设置为0
12   return result;
13 }

这个函数的作用是动态分配了16字节的内存空间

接着看看sub_140001220函数

可以输出成功的局部声明在while循环里面,v7判断关键

一开始我遗漏了条件,不知道qword_140004620里面放的是什么 (我有预感是异或操作结果,但是我们需要找到证据)

在main函数中:qword_140004620 = qword_140004618;

在sub_1400011E0函数中:*(_BYTE *)v3 = a1;

a1就是经过异或操作的结果,v3地址就是qword_140004618地址

所以qword_140004620里面放的就是异或操作的结果

两个if就是判断异或结果与字符串的比较结果是否相同

判断结果将影响v4与v7的值,而从打印结果

这个循环直到(v2 < 14)条件不成立结束


逆向脚本

从最后一个sub_140001220函数往前推,将 /..v4p$$!>Y59- 与7异或,得到sub_1400010E0函数中的v7,也就是v9字符串,最重要的是可以得出其在 )(*&^%489$!057@#><:2163qwe 中对应的索引值

思路大概就是这样,写脚本吧

复制代码
 1 str1 = ')(*&^%489$!057@#><:2163qwe'
 2 str2 = '/..v4p$$!>Y59-'
 3 v7 = ''
 4 a = []
 5 
 6 # 对 str2 中的每个字符进行异或运算,并将结果存储在 v7 中
 7 for i in range(len(str2)):
 8     v7 += chr(ord(str2[i]) ^ 7)
 9 
10 # 对于 v7 中的每个字符,找到其在 table 中的索引并存储在列表 a 中
11 for j in v7:
12     a.append(str1.index(j))
13 
14 flag = 0
15 # 将 a 中的索引转换为 26 进制数字,并存储在 flag 中
16 for z in range(len(a)):
17     flag *= 26
18     flag += a[z]
19 
20 print(flag)

flag

复制代码
flag{2484524302484524302}