[V&N2020 公开赛]strangeCpp

附加

步骤

  1. 查壳,无壳,64位程序
  2. 64位ida载入,没有main函数,根据程序里的字符串,去查看函数
__int64 __fastcall sub_140013AA0(__int64 a1, __int64 a2, __int64 *a3)

{

  char *v3; // rdi

  signed __int64 i; // rcx

  __int64 v5; // rax

  __int64 v6; // rax

  __int64 v7; // rax

  __int64 v8; // rax

  char v10; // [rsp+0h] [rbp-20h]

  struct _SYSTEM_INFO SystemInfo; // [rsp+28h] [rbp+8h]

  __int64 *j; // [rsp+78h] [rbp+58h]

  __int64 v13; // [rsp+98h] [rbp+78h]

  __int64 *v14; // [rsp+1A0h] [rbp+180h]

  v14 = a3;

  v3 = &v10;

  for ( i = 94i64; i; --i )

  {

    *(_DWORD *)v3 = 3435973836;

    v3 += 4;

  }

  sub_1400110AA((__int64)&unk_140027033);

  GetSystemInfo(&SystemInfo);

  putchar(byte_140021004);                      // w

  putchar(byte_140021005);                      // e

  putchar(byte_140021006);                      // l

  putchar(byte_140021007);                      // c

  putchar(byte_140021019);                      // o

  putchar(byte_14002101A);                      // m

  putchar(byte_140021005);                      // e

  putchar(10);

  puts("Let me have a look at your computer...");

  for ( j = v14; *j; ++j )

  {

    v13 = *j;

    sub_140011226((__int64)"%s\n", v13);   // 循环输出变量

  }

  std::basic_ostream<char,std::char_traits<char>>::operator<<(std::cout, sub_140011127);

  dword_140021190 = SystemInfo.dwNumberOfProcessors;  // CPU数量

  sub_140011226((__int64)"now system cpu num is %d\n", SystemInfo.dwNumberOfProcessors);

  if ( dword_140021190 < 8 )

  {

    puts("Are you in VM?");

    _exit(0);

  }

  if ( GetUserNameA(Str1, &pcbBuffer) )   // 获取用户名

  {

    v5 = sub_140011172(std::cout, "this is useful");

    std::basic_ostream<char,std::char_traits<char>>::operator<<(v5, sub_140011127);

  }

  v6 = std::basic_ostream<char,std::char_traits<char>>::operator<<(std::cout, sub_140011127);

  v7 = sub_140011172(v6, "ok,I am checking...");

  std::basic_ostream<char,std::char_traits<char>>::operator<<(v7, sub_140011127);

  if ( !j_strcmp(Str1, "cxx") )

  {

    v8 = sub_140011172(std::cout, "flag{where_is_my_true_flag?}");

    std::basic_ostream<char,std::char_traits<char>>::operator<<(v8, sub_140011127);

    _exit(0);

  }

  system("pause");

  sub_1400113E3(&v10, &unk_14001DE50);

  return 0i64;

}

以为flag{where_is_my_true_flag?}是答案,还是太天真了

  1. 找了半天没找到关键点,想要动调但是报错,不清楚这是为什么。都没搞清楚这个程序要干嘛
  2. 在查看了其他师傅的wp之后,发现了这题的关键点
    我们之前那个welcome的字符那边定义了一个数组
  3. 找到交叉引用它的地方

    当满足21行的if条件的情况时,25行会根据异或算法,输出一个字符串,猜测是flag
  4. result的值由sub_140011384函数得到,看一下sub_140011384函数

    根据20~23行的算法,加上上一张图里的dword_140021190 <= 14549743,可以穷举暴力破解出result里的值
result=0

for v8 in range(14549743):

    v7 = (((v8 << 8) ^ (v8 >> 12))*291)&0xFFFFFFFF

    if (v7 == 607052314):

        result = v8

        break

print(result)

v7的类型是unsigned int–0~0xFFFFFFFF,输出的值需要截断,python默认没把数据截断
算出了result的值,看一下这个putchar语句输出的值

result=0

for v8 in range(14549743):

    v7 = (((v8 << 8) ^ (v8 >> 12))*291)&0xFFFFFFFF # 原文是unsigned int--0~0xFFFFFFFF,输出的值需要截断

    if (v7 == 607052314):

        result = v8

        break

print(result)

a=[0x26, 0x2C, 0x21, 0x27, 0x3B, 0x0D, 0x04, 0x75, 0x68, 0x34,

  0x28, 0x25, 0x0E, 0x35, 0x2D, 0x69, 0x3D, 0x6F, 0x6D, 0x00]

for j in range(17):

    print(chr((v8^a[j])&0xff),end="")


终于看到了曙光,讲123456拿去md5加密一下

flag{e10adc3949ba59abbe56e057f20f883e}

[BUUCTF]REVERSE——[V&N2020 公开赛]strangeCpp的更多相关文章

  1. [BUUCTF]REVERSE——[V&N2020 公开赛]CSRe

    [V&N2020 公开赛]CSRe 附件 步骤: 例行检查,无壳儿,但是有NET混淆,使用de4dot工具进行处理 之后用dnSpy打开,从入口点开始看程序 找到有关flag的信息 flag由 ...

  2. [BUUCTF]PWN——[V&N2020 公开赛]easyTHeap

    [V&N2020 公开赛]easyTHeap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,常见的堆的菜单 64位ida载入,main函数 最多只能申请7个ch ...

  3. [BUUCTF]PWN——[V&N2020 公开赛]simpleHeap

    [V&N2020 公开赛]simpleHeap 附件 步骤: 例行检查,64位,保护全开 根据题目可知是一道堆,直接用64位ida打开 我修改了这些函数的名称,这样方便看程序 add,我们可以 ...

  4. [BUUCTF]PWN——[V&N2020 公开赛]babybabypwn

    [V&N2020 公开赛]babybabypwn 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看程序的大概情况 64位ida载入,看一下main函数 sub_1202()函 ...

  5. [BUUCTF]PWN——[V&N2020 公开赛]warmup

    [V&N2020 公开赛]warmup 附件 步骤: 例行检查,64位程序,除了canary,其他保护都开 本地运行一下,看看大概的情况 64位ida载入,从main函数开始看程序 看到程序将 ...

  6. buu [V&N2020 公开赛]strangeCpp

    拖入ida,静态调试一下,本来想动调的,发现一直缺dll.没办法,只能头铁,静态 找到主函数,然后并没有发现什么,找了半天,没结果,后面也是看了大佬wp,才找到解决方式,感觉这种只能通过动调来找到关键 ...

  7. 【pwn】V&N2020 公开赛 simpleHeap

    [pwn]V&N2020 公开赛 simpleHeap 1.静态分析 首先libc版本是ubuntu16的2.23版本,可以去buu的资源处下载 然后checksec一下,保护全开 拖入IDA ...

  8. 刷题记录:[V&N2020 公开赛]TimeTravel

    题目复现链接:https://buuoj.cn/challenges 参考链接:2020 年 V&N 内部考核赛 WriteUp V&N公开赛2020 writeup httpoxy ...

  9. [V&N2020 公开赛] Web misc部分题解

    0x00 前言 写了一天题目,学到了好多东西, 简单记录一下 0x01 Web HappyCTFd 直接使用网上公开的cve打: 解题思路:先注册一个admin空格账号,注意这里的靶机无法访问外网,邮 ...

随机推荐

  1. 微信公众号生成海报(uniapp)

    前言 这几天接到一个需求,要在公众号内生成分享海报.之前有做过H5和小程序的,心想直接复制过来就行了.没想到踩了不少的坑,搞了好几天终于搞好了,特此分享一下,希望能对大家有所帮助. 效果图 代码实现 ...

  2. [luogu1526]智破连环阵

    (以下在描述复杂度时,认为$n$和$m$相同,因此一律使用$n$) 称第$i$个炸弹能匹配非空区间$[l,r]$,当且仅当$l$到$r$内所有武器都在$i$攻击范围内,且$r=m$或第$r+1$个武器 ...

  3. 多声部处理细节之crossstaff音符处理

    下面给出这几个案例的代码 ,可直接粘贴编译. \version "2.20.0" \language "english" \paper { #(set-pape ...

  4. C/C++ Qt TreeWidget 嵌套节点操作技巧

    在上一篇博文<C/C++ Qt TreeWidget 单层树形组件应用>中给大家演示了如何使用TreeWidget组件创建单层树形结构,并给这个树形组件增加了右键菜单功能,接下来将继续延申 ...

  5. 8.1 k8s使用PV/PVC做数据持久化运行redis服务,数据保存至NFS

    1.制作redis docker镜像 1.1 准备alpine基础镜像 # 下载 docker pull alpine:3.13 # 更改tag docker tag alpine:3.13 192. ...

  6. Java设计模式之(十二)——观察者模式

    1.什么是观察者模式? Define a one-to-many dependency between objects so that when one object changes state, a ...

  7. Codeforces 878D - Magic Breeding(bitset,思维题)

    题面传送门 很容易发现一件事情,那就是数组的每一位都是独立的,但由于这题数组长度 \(n\) 很大,我们不能每次修改都枚举每一位更新其对答案的贡献,这样复杂度必炸无疑.但是这题有个显然的突破口,那就是 ...

  8. 洛谷 P4749 - [CERC2017]Kitchen Knobs(差分转换+dp,思维题)

    题面传送门 一道挺有意思的思维题. 首先有一个 obvious 的结论,就是对于每个炉子,要么转到哪里都符合条件,要么存在唯一的最大值.对于转到哪儿都符合条件的炉子我们 duck 不必考虑它,故我们只 ...

  9. Docker初试

    1. docker是啥? 自行Google或百度去... https://yeasy.gitbooks.io/docker_practice/introduction/what.html 重要概念: ...

  10. Python添加模块路径

    1.用函数临时添加 1 import sys #导入sys模块 2 3 4 sys.path.append(r'/tmp/test') #要用绝对路径 5 print(sys.path) #查看模块路 ...