算法分析:2019_UNCTF一道逆向题目

Panel
146 阅读2分钟

本文已参与「新人创作礼」活动, 一起开启掘金创作之路

一.下载程序得到查壳得到一个64位的elf文件

image.png

二.直接拖进IDA进行静态分析****

一拖进IDA便看到了main函数中一些关键字符“You are Right”、“flag{.....}”

image.png

int __cdecl main(int argc, const char **argv, const char **envp)

{

  char s[240]; // [rsp+0h] [rbp-1E0h] BYREF

  char v5[240]; // [rsp+F0h] [rbp-F0h] BYREF

 

  memset(s, 0, 0x1EuLL);

  printf("Please Input Key: ");

  __isoc99_scanf("%s", v5);

  encode(v5, s);

  if ( strlen(v5) == key )

  {

    if ( !strcmp(s, enflag) )

      puts("You are Right");

    else

      puts("flag{This_1s_f4cker_flag}");

  }

  return 0;

}

但是仔细查看逻辑便可得到整个程序的具体逻辑:

①让用户输入一个字符串,放入v5字符数组中
②将v5的首地址与s的首地址作为encode函数的两个参数
③对比v5的长度是否等于key,如果等于则继续判断s指向的字符串是否等于enflag变量,如果s指向的字符串是等于enflag变量则提示“You are Right”,否则提示“flag{.....}”

到这里其实我们可以推测出这个“flag{.....}”并不是正确的flag值,而只是一个作者设计的诱饵

三.对症下药

通过第二步骤的分析,现在我们知道等待我们解决的就只有encode函数和key、enflag变量的值

①首先跟入encode函数,查看逻辑

image.png

int __fastcall encode(const char *a1, __int64 a2)

{

  char v3[104]; // [rsp+10h] [rbp-70h]

  int v4; // [rsp+78h] [rbp-8h]

  int i; // [rsp+7Ch] [rbp-4h]

 

  i = 0;

  v4 = 0;

  if ( strlen(a1) != key )

    return puts("Your Length is Wrong");

  for ( i = 0; i < key; i += 3 )

  {

    v3[i + 64] = key ^ (a1[i] + 6);

    v3[i + 33] = (a1[i + 1] - 6) ^ key;

    v3[i + 2] = a1[i + 2] ^ 6 ^ key;

    *(_BYTE *)(a2 + i) = v3[i + 64];

    *(_BYTE *)(a2 + i + 1LL) = v3[i + 33];

    *(_BYTE *)(a2 + i + 2LL) = v3[i + 2];

  }

  return a2;

}
encode的形参a1、a2的对应实参是main函数中的v5(用户输入字符串首地址)、s(定义的空字符串首地址)
encode代码中的if ( strlen(a1) != key )可以直接得知a1(v5)指向的字符串长度要等于key,既然遇到了,那我们就先把key找出来,双击key

image.png

此时可以得到key=0x12h=18,也就是说我们输入的字符串正确长度要是18,否则就是错误的,if分析完继续往下走
for ( i = 0; i < key; i += 3 )

  {

    v3[i + 64] = key ^ (a1[i] + 6);

    v3[i + 33] = (a1[i + 1] - 6) ^ key;

    v3[i + 2] = a1[i + 2] ^ 6 ^ key;

    *(_BYTE *)(a2 + i) = v3[i + 64];

    *(_BYTE *)(a2 + i + 1LL) = v3[i + 33];

    *(_BYTE *)(a2 + i + 2LL) = v3[i + 2];

  }
阅读这个for结构可以知道最后被更改的值只有a2(main函数中的s数组),所以我们这个时候我们就要回到调用者函数main函数中查看a2在encode中更改后又发生了什么?
if ( strlen(v5) == key )

  {

    if ( !strcmp(s, enflag) )

      puts("You are Right");

    else

      puts("flag{This_1s_f4cker_flag}");

  }
好,s(encode中的a2)数组在encode中操作完了以后用来和enflag对比,如果对比相同则提示"You are Right",那说明s数组就是最后的flag变换值,它必须要等于enflag才证明我们输入的字符串是正确的,双击查看enflag是多少,如图enflag = "izwhroz""w"v.K".Ni"(还没有转义),那此时我们就可以通过刚才encode的逻辑反推出v5(我们输入的字符串)是多少了,回到encode

image.png

for ( i = 0; i < key; i += 3 )

  {

    v3[i + 64] = key ^ (a1[i] + 6);

    v3[i + 33] = (a1[i + 1] - 6) ^ key;

    v3[i + 2] = a1[i + 2] ^ 6 ^ key;

    *(_BYTE *)(a2 + i) = v3[i + 64];

    *(_BYTE *)(a2 + i + 1LL) = v3[i + 33];

    *(_BYTE *)(a2 + i + 2LL) = v3[i + 2];

  }
注意,通过刚才的分析,a2(main函数中的s)就是"izwhroz""w"v.K".Ni"(还没有转义),a1(main函数中的v5,我们输入的字符串),那我们的最终目的就是要求出a1指向的字符串,所以我们就朝着能解出a1的方向走
阅读代码:要求a1则求v3,要求v3则只用用我们已知的a2来反解,所以可以得到如下解密脚本
#include <stdio.h>

#include <Windows.h>

 

int main()

{        

        char input[18];

        int v3[104] = { 0 };

        char enflag[] = "izwhroz\"\"w\"v.K\".Ni";

        int key = 18;

    for (int i = 0; i < key; i += 3)

    {

                v3[i + 2] = *(BYTE*)(enflag + i + 2);

                v3[i + 33] = *(BYTE*)(enflag + i + 1);

                v3[i + 64] = *(BYTE*)(enflag + i);

                input[i + 2] = v3[i + 2] ^ key ^ 6;

                input[i + 1] = (v3[i + 33] ^ key) + 6;

                input[i] = (v3[i + 64] ^ key) - 6;

 

    }

        for (size_t i = 0; i < 18; i++)

        {

                printf("%c", input[i]);

        }

        return 0;

 

}

四.得到结果

image.png

avatar
文章
阅读
粉丝