CatFly【难度:1】

题目界面

下载附件,发现是dll文件,放到linux中运行一下,运行界面如图所示:

从上图中可以看到两处字符串,上面的字符串不断滚动,下方字符串在次数上不断累加,猜测上方字符串与flag相关。

静态调试

  • 打开IDA,找到main函数

    方便分析,此处只粘贴关键部分代码(源代码的后半部分)

      time(&timer);
    
  v13 = 1;
    
  v24 = 0LL;
    
  v23 = 0;
    
  v22 = 0;
    
  v12 = off_FA88;
    
  while ( v13 )
    
  {
    
    if ( dword_E104 )
    
      printf("\x1B[H");
    
    else
    
      printf("\x1B[u");
    
    for ( k = dword_E1EC; k < dword_E1F0; ++k )
    
    {
    
      for ( m = dword_E1F4; m < dword_E1F8; ++m )
    
      {
    
        if ( k <= 23 || k > 42 || m >= 0 )
    
        {
    
          if ( m >= 0 && (unsigned int)k <= 0x3F && m <= 63 )
    
          {

            v19 = off_FA20[v24][k][m];
    
            off_FA88 = sub_6314((unsigned int)v24, k, m, (__int64)v12);
    
          }
    
          else
    
          {
    
            v19 = 44;
    
          }
    
        }
    
        else
    
        {
    
          v18 = (2 - m) % 16 / 8;
    
          if ( ((v24 >> 1) & 1) != 0 )
    
            v18 = 1 - v18;
    
          s[128] = (__int64)",,>>&&&+++###==;;;,,";
    
          v19 = asc_BFE3[v18 - 23 + k];
    
          if ( !v19 )
    
            v19 = 44;
    
        }
    
        if ( v25 )
    
        {
    
          printf("%s", *((const char **)&unk_FCC0 + v19));
    
        }
    
        else if ( v19 == v22 || !*((_QWORD *)&unk_FCC0 + v19) )
    
        {
    
          printf("%s", off_FA88);
    
        }
    
        else
    
        {
    
          v22 = v19;
    
          printf("%s%s", *((const char **)&unk_FCC0 + v19), off_FA88);
    
        }
    
      }
    
      sub_65E2(1LL);
    
    }
    
    if ( dword_E100 )
    
    {
    
      time(&time1);
    
      v11 = difftime(time1, timer);
    
      v10 = sub_63FF((unsigned int)(int)v11);
    
      for ( n = (dword_E1FC - 29 - v10) / 2; n > 0; --n )
    
        putchar(32);
    
      dword_E1E8 += printf("\x1B[1;37mYou have nyaned for %d times!\x1B[J\x1B[0m", (unsigned int)++dword_108E0);
    
    }
    
    v22 = 0;
    
    ++v23;
    
    if ( dword_104C4 && v23 == dword_104C4 )
    
      sub_6471();
    
    if ( !off_FA20[++v24] )
    
      v24 = 0LL;
    
    usleep(1000 * v27);
    
  }
    
  return 0LL;

    因为flag可能与屏幕上滚动的字符串有关,所以此处需要格外关注printf函数。从上述关键代码中,可以看到off_FA88最可能与flag有关,因为其他的printf函数打印的基本是一个确定的值。

  • 查看目标的交叉引用路径

    确定了off_FA88后,开始查找与其相关的函数。

    • 第一处是469行中的对off_FA88的赋值操作

      off_FA88的值是sub_6314()函数的返回值。

    • 接下来进入sub_6314()函数

      函数伪代码如下图所示:

      其功能为:当a2!=18,a3≤4||a3>54时off_FA88不变(v12的值就是off_FA88),所以此处相当于是k=18(一次)且m∈(4,53)时会执行sub_6314函数,即循环执行50次。该函数的返回值是byte_104C8的地址,byte_104C8的值与dword_E120[a3-5],dword_E120[a3-5]的值又与sub_62B5()函数的返回值有关。这里还有个sub_62E3作为逻辑判断的条件。将此处逻辑进行还原,还原代码如下:

      for (int i = 0; i < 50; i++) {
      
     dword_E120[i] ^= sub_62B5();
      
 }

    • 查看sub_62B5()函数

      函数伪代码如下图所示:

      可以看到该函数的返回值与dword_E1E8相关,查看dword_E1E8的交叉引用,可以看到只在main函数中有一次自增操作:

    • 总结整个流程

  • 还原关键汇编代码

    此处使用大佬wp给的代码进行分析,基本都给了解析:

    #include<stdio.h>
    
#include<string.h>
    
//在ida里面点开dword_E1E8会发现初始值为0x1106
    
int dword_E1E8 = 0x1106;
    
//同理,ida里也能看到dword_E120的初始值
    
int dword_E120[50] = { 0x27fb, 0x27a4, 0x464e, 0x0e36, 0x7b70, 0x5e7a, 0x1a4a, 0x45c1, 0x2bdf, 0x23bd, 0x3a15, 0x5b83, 0x1e15, 0x5367, 0x50b8, 0x20ca, 0x41f5, 0x57d1, 0x7750, 0x2adf, 0x11f8, 0x09bb, 0x5724, 0x7374, 0x3ce6, 0x646e, 0x010c, 0x6e10, 0x64f4, 0x3263, 0x3137, 0x00b8, 0x229c, 0x7bcd, 0x73bd, 0x480c, 0x14db, 0x68b9, 0x5c8a, 0x1b61, 0x6c59, 0x5707, 0x09e6, 0x1fb9, 0x2ad3, 0x76d4, 0x3113, 0x7c7e, 0x11e0, 0x6c70 };
    
//原封不动抄下来就好了
    
int sub_62B5()
    
{
    
    dword_E1E8 = 1103515245 * dword_E1E8 + 12345;
    
    return (dword_E1E8 >> 10) & 0x7FFF;
    
}
    
//这块是拿来算输出数字n需要多少个字符的。
    
//因为main函数中的dword_E1E8需要接收printf函数的返回值
    
//而printf函数的返回值是打印的字符长度
    
int llog(int n) {
    
    int a = 0;
    
    while (n /= 10)a++;
    
    return a;
    
}
    
//这个函数我没有特别放出来,反正这里也是照抄的
    
int sub_62E3(char a1)
    
{
    
    int result; // rax

    if ((a1 & 0x7Fu) <= 0x7E)
    
        result = (a1 & 0x7Fu) > 0x20;
    
    else
    
        result = 0LL;
    
    return result;
    
}

int main() {
    
    //count代表那个不停自增的dword_108E0
    
    int count = 0;
    
    while (1) {
    
        for (int i = 0; i < 50; i++) {
    
            dword_E120[i] ^= sub_62B5();
    
        }
    
        count++;
    
        //计算printf的返回值,更改dword_E1E8,每10倍增加一个位数
    
        dword_E1E8 += 42 + llog(count);
    
        if (count % 1000000 == 0) {
    
            printf("Count:%d\n", count);
    
        }
    
        //flag代表off_FA88
    
        unsigned char flag[51] = { 0 };
    
        for (int i = 0; i < 50; i++) {
    
            //根据出题人所说,出题时循环次数为705980581,但是线性同余随机数算法出现了循环导致在100427942就出现了flag,若只考虑数组的最低字节,能在100001958得到flag
    
            // Loop: 100427942
    
            // if((dword_E120[i] & 0xff00)){
    
            //     break;
    
            // }
    
            // Loop: 100001958
    
            if (!sub_62E3(dword_E120[i])) {
    
                break;
    
            }
    
            flag[i] = dword_E120[i] & 0xff;
    
        }
    
        if (memcmp("CatCTF", flag, 6) == 0) {
    
            puts(flag);
    
            printf("Count:%d\n", count);
    
            break;
    
        }
    
    }
    
}

  • 运行代码,得到flag

CatFly【汇编代码还原】的更多相关文章

  1. PC逆向之代码还原技术,第五讲汇编中乘法的代码还原

    目录 PC逆向之代码还原技术,第五讲汇编中乘法的代码还原 一丶简介乘法指令 1.乘法指令 2.代码还原注意问题 二丶乘法的汇编代码产生的格式 1.高级代码观看 2.乘法的汇编代码还原. 三丶乘法总结 ...

  2. PC逆向之代码还原技术,第六讲汇编中除法代码还原以及原理第二讲,被除数是正数 除数非2的幂

    目录 一丶简介 二丶代码还原讲解 1.被除数无符号 除数非2的幂 2.被除数无符号 除数为特例7 三丶代码还原总结 一丶简介 上一篇博客说的除2的幂. 如果被除数是有符号的,那么会进行调整,并使用位操 ...

  3. PC逆向之代码还原技术,第四讲汇编中减法的代码还原

    目录 PC逆向之代码还原技术,第四讲汇编中减法的代码还原 一丶汇编简介 二丶高级代码对应汇编观看. 1.代码还原解析: 三丶根据高级代码IDA反汇编的完整代码 四丶知识总结 PC逆向之代码还原技术,第 ...

  4. PC逆向之代码还原技术,第三讲汇编中加法的代码还原

    目录 PC逆向之代码还原技术,第三讲汇编中加法的代码还原 一丶汇编简介 二丶高级代码对应汇编观看. 1.代码还原解析: 总结 PC逆向之代码还原技术,第三讲汇编中加法的代码还原 一丶汇编简介 在讲解加 ...

  5. linux内核分析作业:以一简单C程序为例,分析汇编代码理解计算机如何工作

    一.实验 使用gcc –S –o main.s main.c -m32 命令编译成汇编代码,如下代码中的数字请自行修改以防与他人雷同 int g(int x) { return x + 3; } in ...

  6. GCC 嵌入汇编代码

    The format of basic inline assembly is very much straight forward. Its basic form is 基本汇编嵌入格式如下: asm ...

  7. PC逆向之代码还原技术,第一讲基本数据类型在内存中的表现形式.浮点,指针寻址公式

    目录 代码还原技术 一丶简介代码还原 二丶代码还原中的数据类型表现形式 1.整数类型 2.无符号整数 3.有符号整数 4.浮点数数据类型 5.浮点编码 4.Double类型解析. 三丶浮点汇编 1.浮 ...

  8. RPC远程过程调用学习之路(一):用最原始代码还原PRC框架

    RPC: Remote Procedure Call 远程过程调用,即业务的具体实现不是在自己系统中,需要从其他系统中进行调用实现,所以在系统间进行数据交互时经常使用. rpc的实现方式有很多,可以通 ...

  9. linux内核分析作业4:使用库函数API和C代码中嵌入汇编代码两种方式使用同一个系统调用

    系统调用:库函数封装了系统调用,通过库函数和系统调用打交道 用户态:低级别执行状态,代码的掌控范围会受到限制. 内核态:高执行级别,代码可移植性特权指令,访问任意物理地址 为什么划分级别:如果全部特权 ...

  10. 简单C程序生成的汇编代码分析

    首先给出完整的C代码: int g(int x) { ; } int f(int x) { return g(x); } int main(void) { )+; } 使用命令:gcc –S –o h ...

随机推荐

  1. jdk17下netty导致堆内存疯涨原因排查

    背景: 介绍 天网风控灵玑系统是基于内存计算实现的高吞吐低延迟在线计算服务,提供滑动或滚动窗口内的count.distinctCout.max.min.avg.sum.std及区间分布类的在线统计计算 ...

  2. 全景VR KRPano项目打包成安卓APP快速简易教程

    有时候,我们可能不想把我们制作的全景VR项目发布到网站上,而是想把它作为一个手机应用来使用或者分享.这样,我们就可以更好地保护我们的作品,也可以更方便地展示给客户或者朋友.本文将介绍一种简单的方法,让 ...

  3. BZ全景编辑器(KRPano全景可视化编辑器, 无需编写代码, 图形化制作全景漫游)

    软件简介 BZ全景编辑器是一款KRPano全景可视化编辑工具,下载安装即可使用,无需拥有任何KRPano代码基础,便可以制作生成精美的全景漫游作品. BZ全景编辑器群:882083973 最新版软件下 ...

  4. 试试用Markdown来设计表单

    相信很多后端开发.对于前端知识是比较零碎的,所以很多时候写表单这样的工作,一般就是复制黏贴,然后改改字段.对于HTML格式,一直觉得比较杂乱,不够简洁. 最近TJ发现了一个有趣的小工具:Create ...

  5. 解决Promise的多并发问题

    提起控制并发,大家应该不陌生,我们可以先来看看多并发,再去聊聊为什么要去控制它 多并发一般是指多个异步操作同时进行,而运行的环境中资源是有限的,短时间内过多的并发,会对所运行的环境造成很大的压力,比如 ...

  6. Note -「SOS DP」高维前缀和

    本文差不多算是翻译了一遍 CF blog?id=45223 就是抄了一遍,看不懂可以去原文. 当然我的翻译并不是完全遵从原文的. Part. 1 Introduction 平时我们怎么求高维前缀和?容 ...

  7. oracle clob字段信息读取,不限字符长度

    在项目中,经常需要在plsql中查询clob的内容,提供以下两种方法: 第一种,oracle常规函数,限制文本在4000以内 select dbms_lob.substr(sql_text) from ...

  8. Flask框架——flask介绍

    文章目录 1 什么是flask? 2 为什么要有flask? 3 学前准备:虚拟环境 3.1 虚拟环境是什么? 3.2 如何使用虚拟环境? 3.2.1 搭建虚拟环境 3.2.1 在虚拟环境中安装我们的 ...

  9. C转C++ 个人总结

    # C转C++ 个人总结 1.使用C++的好处 2.using namespace std 3.cin和cout #include<iostream> //必备的头文件 using nam ...

  10. 【createWrapper】根据条件类创建查询wrapper

    前几天写一个有几十个字段的查询wrapper,写得我心烦意乱.然后就琢磨了一下能不能只传一个条件类对像就能创建对应的wrapper.去看了下mybatis-plus的文档没看到合适的api,有一个创建 ...