题目
分析过程
是一个无壳,64位的文件
丢到IDA里面,找到main函数
1 int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
2 {
3 __int64 v3; // rdx
4 char *v4; // [rsp+20h] [rbp-18h]
5
6 qword_140004618 = (__int64)malloc(16ui64); // "ui64"表示无符号的64位整数
7 qword_140004620 = qword_140004618;
8 *(_QWORD *)(qword_140004618 + 8) = 0i64; // *(_QWORD *) 作为一个整体,通常用于将一个地址(或其他整数)转换为一个指向64位无符号整数的指针,并获取该地址上的值。
9 // i64表示64位带符号整数
10 sub_140001020("请输入正确的数字:\n");
11 sub_140001080("%lld"); // %lld是对应 long long
12 sub_1400010E0(v4, v3);
13 }代码还是很好理解的,我们继续看看sub_1400010E0函数
1 void __fastcall __noreturn sub_1400010E0(char *input, __int64 a2)
2 {
3 int v2; // er9
4 __int64 input_int64; // r8
5 char *v4; // r10
6 char v5; // al
7 __int64 v6; // rbx
8 char v7; // cl
9 char v8; // [rsp+1Fh] [rbp-3F9h]
10 char v9; // [rsp+20h] [rbp-3F8h] BYREF
11
12 v2 = 0;
13 input_int64 = (__int64)input;
14 if ( input )
15 {
16 v4 = &v9; // v4存放v9字符串的地址,是一个指针
17 do
18 {
19 ++v4; // 将指针往后移动
20 ++v2; // 记录循环次数
21 v5 = a4890572163qwe[input_int64 + -26 * (input_int64 / 26)];// )(*&^%489$!057@#><:2163qwe
22 input_int64 /= 26i64;
23 *(v4 - 1) = v5; // 因为之前+1了,-1又移动回去,就是存放在原来的地址
24 }
25 while ( input_int64 );
26 }
27 v6 = v2;
28 while ( v6 )
29 {
30 v7 = *(&v8 + v6--);
31 sub_1400011E0(v7 ^ 7);
32 }
33 sub_140001220();
34 }
35 /* Orphan comments:
36 )(*&^%489$!057@#><:2163qwe
37 */提取出最难理解的一部分
v5 = a4890572163qwe[input_int64 + -26 * (input_int64 / 26)];
input_int64 /= 26i64;)(*&^%489$!057@#><:2163qwe------刚好26个字符
括号里面举例子更好去理解
- 假设input_int64是8:
- 8+ -16*(8/26)=8+ -26*0=8
- 8/26=0------结束循环
- 假设input_int64=28:
- 28+ -26*(28/26)=28+ -26*1=2
- 28/26=1
- 1+ -26*(1/26)=1+ -26*0=1
- 1/16=0------结束循环
你可以看作这是一个26位的循环,我们要找到input_int64在循环中对应的位置,也就是数组的索引
v7 = *(&v8 + v6--);这里突然出现一个v8,还是取v8的地址,我们看看栈
发现v8就在v9上面,这行代码就是取出v9中的数赋值给v7,为后面的异或操作做准备
接着看看sub_1400011E0函数
1 _QWORD *__fastcall sub_1400011E0(char a1)
2 {
3 _QWORD *result; // rax
4 __int64 v3; // rdx
5
6 result = malloc(16ui64);
7 v3 = qword_140004618;
8 qword_140004618 = (__int64)result;
9 *(_QWORD *)(v3 + 8) = result; // 将result存储到v3 + 8地址处,也就是qword_140004618 + 8地址处
10 *(_BYTE *)v3 = a1; // 将a1的值存储到v3地址处,也就是qword_140004618地址处
11 result[1] = 0i64; // 将result的第二个_QWORD大小的元素设置为0
12 return result;
13 }这个函数的作用是动态分配了16字节的内存空间
接着看看sub_140001220函数
可以输出成功的局部声明在while循环里面,v7判断关键
一开始我遗漏了条件,不知道qword_140004620里面放的是什么 (我有预感是异或操作结果,但是我们需要找到证据)
在main函数中:qword_140004620 = qword_140004618;
在sub_1400011E0函数中:*(_BYTE *)v3 = a1;
a1就是经过异或操作的结果,v3地址就是qword_140004618地址
所以qword_140004620里面放的就是异或操作的结果
两个if就是判断异或结果与字符串的比较结果是否相同
判断结果将影响v4与v7的值,而从打印结果
这个循环直到(v2 < 14)条件不成立结束
逆向脚本
从最后一个sub_140001220函数往前推,将 /..v4p$$!>Y59- 与7异或,得到sub_1400010E0函数中的v7,也就是v9字符串,最重要的是可以得出其在 )(*&^%489$!057@#><:2163qwe 中对应的索引值
思路大概就是这样,写脚本吧
1 str1 = ')(*&^%489$!057@#><:2163qwe'
2 str2 = '/..v4p$$!>Y59-'
3 v7 = ''
4 a = []
5
6 # 对 str2 中的每个字符进行异或运算,并将结果存储在 v7 中
7 for i in range(len(str2)):
8 v7 += chr(ord(str2[i]) ^ 7)
9
10 # 对于 v7 中的每个字符,找到其在 table 中的索引并存储在列表 a 中
11 for j in v7:
12 a.append(str1.index(j))
13
14 flag = 0
15 # 将 a 中的索引转换为 26 进制数字,并存储在 flag 中
16 for z in range(len(a)):
17 flag *= 26
18 flag += a[z]
19
20 print(flag)flag
flag{2484524302484524302}