下载下来的是个elf文件,因为懒得上Linux,直接往IDA里扔,

切到字符串的那个窗口,发现Congratulation!,应该是程序成功执行的表示,

双击,按‘x’,回车跟入

找到主函数:

 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3)

 2 {

 3   signed int i; // [rsp+8h] [rbp-68h]

 4   signed int j; // [rsp+Ch] [rbp-64h]

 5   __int64 v6; // [rsp+10h] [rbp-60h]

 6   __int64 v7; // [rsp+18h] [rbp-58h]

 7   __int64 v8; // [rsp+20h] [rbp-50h]

 8   __int64 v9; // [rsp+28h] [rbp-48h]

 9   __int64 v10; // [rsp+30h] [rbp-40h]

10   __int64 v11; // [rsp+40h] [rbp-30h]

11   __int64 v12; // [rsp+48h] [rbp-28h]

12   __int64 v13; // [rsp+50h] [rbp-20h]

13   __int64 v14; // [rsp+58h] [rbp-18h]

14   __int64 v15; // [rsp+60h] [rbp-10h]

15   unsigned __int64 v16; // [rsp+68h] [rbp-8h]

16

17   v16 = __readfsqword(0x28u);

18   puts("Let us play a game?");

19   puts("you have six chances to input");

20   puts("Come on!");

21   v6 = 0LL;

22   v7 = 0LL;

23   v8 = 0LL;

24   v9 = 0LL;

25   v10 = 0LL;

26   for ( i = 0; i <= 5; ++i ) //以&v6为首地址,获取并写入6个32位的WORD型数据

27   {

28     printf("%s", "input: ", (unsigned int)i);

29     __isoc99_scanf("%d", (char *)&v6 + 4 * i);

30   }

31   v11 = 0LL;

32   v12 = 0LL;

33   v13 = 0LL;

34   v14 = 0LL;

35   v15 = 0LL;

36   for ( j = 0; j <= 4; j += 2 ) //以&v11为首地址,将之前获取的数据经sub_400686处理之后写入

37   {

38     dword_601078 = *((_DWORD *)&v6 + j);  //每次取相邻的两个

39     dword_60107C = *((_DWORD *)&v6 + j + 1);

40     sub_400686((unsigned int *)&dword_601078, &unk_601060); //将其中更地位的数据的地址传入

41     *((_DWORD *)&v11 + j) = dword_601078; //将处理之后的值写回原地址

42     *((_DWORD *)&v11 + j + 1) = dword_60107C;

43   }

44   if ( (unsigned int)sub_400770(&v11) != 1 )  //检查函数,判断你的输入是否正确

45   {

46     puts("NO NO NO~ ");

47     exit(0);

48   }

49   puts("Congratulation!\n");

50   puts("You seccess half\n");

51   puts("Do not forget to change input to hex and combine~\n");

52   puts("ByeBye");

53   return 0LL;

54 }

函数很简单,执行的流程也可以说是一目了然。

我们先看sub_4006770:

总共6个值,已经给出来了3个,剩下三个组了一个很友善的三元一次方程组,贼良心。

结果已经有了,下面就是根据sub_400686逆推正确的输入:

这个算法有点把子意思,反正我是看的去有些晕。但这不重要,也不需要去做什么深入分析,强行逆转就好。

加法变减法,代码的执行顺序完全倒转,至于异或了的再来一次

核心部分也就是那个for循环处理之后也就是这样:

1 v5 = 0x458BCD42*64;

2   for ( i = 0; i <= 63; ++i )

3   {

4      v4 -= (v3 + v5 + 20) ^ ((v3 << 6) + a2[2]) ^ ((v3 >> 9) + a2[3]) ^ 0x10;

5

6     v3 -= (v4 + v5 + 11) ^ ((v4 << 6) + *a2) ^ ((v4 >> 9) + a2[1]) ^ 0x20;

7

8     v5 -= 0x458BCD42;

9   }

最终的脚本:

 1  unsigned int i = 0, j = 0, sum = 0;

 2     unsigned int a[6] = { 0xDF48EF7E ,0x20CAACF4,0,0,0,0x84F30420 };

 3     unsigned int temp[2] = { 0,0 }, date[4] = { 2,2,3,4 };

 4     char* p = (char*)&a;

 5     a[2] = 0x84A236FF / 2 + 0xFA6CB703 / 2 + 0x42D731A8 / 2 + 1;

 6     a[3] = a[2] - 0x84A236FF;

 7     a[4] = a[2] - 0x42D731A8;

 8     for (i = 0; i < 6; i++) printf("a[%d] = 0x%x \n", i, a[i]);

 9     for (i = 0; i < 5; i += 2) {

10         temp[0] = a[i]; temp[1] = a[i + 1];

11         sum = 0x458BCD42 * 64;

12

13         for (j = 0; j < 64; j++) {

14             temp[1] -= (temp[0] + sum + 20) ^ ((temp[0] << 6) + date[2]) ^ ((temp[0] >> 9) + date[3]) ^ 0x10;

15             temp[0] -= (temp[1] + sum + 11) ^ ((temp[1] << 6) + date[0]) ^ ((temp[1] >> 9) + date[1]) ^ 0x20;

16             sum -= 0x458BCD42;

17         }

18         a[i] = temp[0];

19         a[i + 1] = temp[1];

20     }

21     putchar(10);

22     for (i = 0; i < 24; i += 4) printf("%c%c%c", p[i + 2], p[i + 1], p[i]);

23

24     // putchar(10);

25     //for (i = 0; i < 24; i++) printf("%c", p[i]);

26   //最开始我是按逐字符输出的虽然看起来他应该是个flag,但顺序不对:“alf r{g i_e g_s aer }!t ”

27     //putchar(10);

28     //for (i = 0; i < 24; i += 4) printf("%c%c%c%c", p[i + 3], p[i + 2], p[i + 1], p[i]); //调换大小端之后,发现好要去掉空格:“ fla g{r e_i s_g rea t!}”

29

最后:

get flag: flag{re_is_great!}

BUU reverse xxor的更多相关文章

  1. [BUUCTF]REVERSE——[GWCTF 2019]xxor

    [GWCTF 2019]xxor 附件 步骤: 无壳,64位ida载入 程序很简单,首先让我们输入一个字符串,然后进行中间部分的操作,最后需要满足44行的if判断,看一下sub_400770函数 得到 ...

  2. LeetCode 7. Reverse Integer

    Reverse digits of an integer. Example1: x = 123, return 321 Example2: x = -123, return -321 Have you ...

  3. js sort() reverse()

    数组中存在的两个方法:sort()和reverse() 直接用sort(),如下: ,,,,,,,,,,,]; console.log(array.sort());ps:[0, 1, 2, 2, 29 ...

  4. [LeetCode] Reverse Vowels of a String 翻转字符串中的元音字母

    Write a function that takes a string as input and reverse only the vowels of a string. Example 1:Giv ...

  5. [LeetCode] Reverse String 翻转字符串

    Write a function that takes a string as input and returns the string reversed. Example: Given s = &q ...

  6. [LeetCode] Reverse Linked List 倒置链表

    Reverse a singly linked list. click to show more hints. Hint: A linked list can be reversed either i ...

  7. [LeetCode] Reverse Bits 翻转位

    Reverse bits of a given 32 bits unsigned integer. For example, given input 43261596 (represented in ...

  8. [LeetCode] Reverse Words in a String II 翻转字符串中的单词之二

    Given an input string, reverse the string word by word. A word is defined as a sequence of non-space ...

  9. [LeetCode] Reverse Words in a String 翻转字符串中的单词

    Given an input string, reverse the string word by word. For example, Given s = "the sky is blue ...

随机推荐

  1. NumPy笔记-ndarray

    ndarray,N维数组对象(矩阵) 所有元素必须是相同类型 ndim属性,维度个数 shape属性,各维度大小 dtype属性,数据类型 创建ndarray np.array(collection) ...

  2. 使用PowerShell连接Ubuntu

    Ubuntu安装PowerShell Ubuntu安装PowerShell帮助文档 # Download the Microsoft repository GPG keys wget -q https ...

  3. js实现树级递归,通过js生成tree树形菜单(递归算法)

    方法封装: /** * 数据转换为树形(递归),示例:toTreeByRecursion(source, 'id', 'parentId', null, 'children') * @param {A ...

  4. ES6常用总结(一)

    let,const let声明变量,const声明常量,两者均为块级作用域 let,const在块级作用域内不允许重复声明 const声明的基本数据类型不可以修改,引用数据类型可以修改.具体看我的另一 ...

  5. 初学WebGL引擎-BabylonJS:第0篇-起因

    学习WebGL的BabylonJS是在一次偶然的情况下进行的,主要为了满足个人对全栈开发的欲望. 言归正传,下面开始简单说说相关过程 WebGL是什么?WebGL是基于html的客户端页面技术,基于h ...

  6. google protocol buffer——protobuf的问题及改进一

    这一系列文章主要是对protocol buffer这种编码格式的使用方式.特点.使用技巧进行说明,并在原生protobuf的基础上进行扩展和优化,使得它能更好地为我们服务. 在上一篇文章中,我们完整了 ...

  7. 如何手动合并ts视频文件

    手动合并ts视频文件一不需要编程,二不需要下载什么特殊软件,用一些最普通的软件即可. 工具: 1.Chrome浏览器 2.迅雷 3.CMD命令行工具 步骤 一.打开迅雷,先确保没有别的在下载. 二.播 ...

  8. IOException的子类

    ChangedCharSetException, CharacterCodingException, CharConversionException, ClosedChannelException, ...

  9. 接口自动化---简单的数据驱动框架ATP(基于excel)

    数据驱动测试:根据数据进行测试.将用例写入excel文件,用代码读取文件中的数据,从而实现自动化测试. 自动化框架实现步骤: 1.获取用例 2.调用接口 3.校验结果 4.发送测试报告 5.异常处理 ...

  10. python调用接口——requests模块

    前提:安装pip install requests 导入import requests 1.get请求   result=requests.get(url,d).json()  或  .text 2. ...