[V&N2020 公开赛]strangeCpp

附加

步骤

  1. 查壳,无壳,64位程序
  2. 64位ida载入,没有main函数,根据程序里的字符串,去查看函数
__int64 __fastcall sub_140013AA0(__int64 a1, __int64 a2, __int64 *a3)

{

  char *v3; // rdi

  signed __int64 i; // rcx

  __int64 v5; // rax

  __int64 v6; // rax

  __int64 v7; // rax

  __int64 v8; // rax

  char v10; // [rsp+0h] [rbp-20h]

  struct _SYSTEM_INFO SystemInfo; // [rsp+28h] [rbp+8h]

  __int64 *j; // [rsp+78h] [rbp+58h]

  __int64 v13; // [rsp+98h] [rbp+78h]

  __int64 *v14; // [rsp+1A0h] [rbp+180h]

  v14 = a3;

  v3 = &v10;

  for ( i = 94i64; i; --i )

  {

    *(_DWORD *)v3 = 3435973836;

    v3 += 4;

  }

  sub_1400110AA((__int64)&unk_140027033);

  GetSystemInfo(&SystemInfo);

  putchar(byte_140021004);                      // w

  putchar(byte_140021005);                      // e

  putchar(byte_140021006);                      // l

  putchar(byte_140021007);                      // c

  putchar(byte_140021019);                      // o

  putchar(byte_14002101A);                      // m

  putchar(byte_140021005);                      // e

  putchar(10);

  puts("Let me have a look at your computer...");

  for ( j = v14; *j; ++j )

  {

    v13 = *j;

    sub_140011226((__int64)"%s\n", v13);   // 循环输出变量

  }

  std::basic_ostream<char,std::char_traits<char>>::operator<<(std::cout, sub_140011127);

  dword_140021190 = SystemInfo.dwNumberOfProcessors;  // CPU数量

  sub_140011226((__int64)"now system cpu num is %d\n", SystemInfo.dwNumberOfProcessors);

  if ( dword_140021190 < 8 )

  {

    puts("Are you in VM?");

    _exit(0);

  }

  if ( GetUserNameA(Str1, &pcbBuffer) )   // 获取用户名

  {

    v5 = sub_140011172(std::cout, "this is useful");

    std::basic_ostream<char,std::char_traits<char>>::operator<<(v5, sub_140011127);

  }

  v6 = std::basic_ostream<char,std::char_traits<char>>::operator<<(std::cout, sub_140011127);

  v7 = sub_140011172(v6, "ok,I am checking...");

  std::basic_ostream<char,std::char_traits<char>>::operator<<(v7, sub_140011127);

  if ( !j_strcmp(Str1, "cxx") )

  {

    v8 = sub_140011172(std::cout, "flag{where_is_my_true_flag?}");

    std::basic_ostream<char,std::char_traits<char>>::operator<<(v8, sub_140011127);

    _exit(0);

  }

  system("pause");

  sub_1400113E3(&v10, &unk_14001DE50);

  return 0i64;

}

以为flag{where_is_my_true_flag?}是答案,还是太天真了

  1. 找了半天没找到关键点,想要动调但是报错,不清楚这是为什么。都没搞清楚这个程序要干嘛
  2. 在查看了其他师傅的wp之后,发现了这题的关键点
    我们之前那个welcome的字符那边定义了一个数组
  3. 找到交叉引用它的地方

    当满足21行的if条件的情况时,25行会根据异或算法,输出一个字符串,猜测是flag
  4. result的值由sub_140011384函数得到,看一下sub_140011384函数

    根据20~23行的算法,加上上一张图里的dword_140021190 <= 14549743,可以穷举暴力破解出result里的值
result=0

for v8 in range(14549743):

    v7 = (((v8 << 8) ^ (v8 >> 12))*291)&0xFFFFFFFF

    if (v7 == 607052314):

        result = v8

        break

print(result)

v7的类型是unsigned int–0~0xFFFFFFFF,输出的值需要截断,python默认没把数据截断
算出了result的值,看一下这个putchar语句输出的值

result=0

for v8 in range(14549743):

    v7 = (((v8 << 8) ^ (v8 >> 12))*291)&0xFFFFFFFF # 原文是unsigned int--0~0xFFFFFFFF,输出的值需要截断

    if (v7 == 607052314):

        result = v8

        break

print(result)

a=[0x26, 0x2C, 0x21, 0x27, 0x3B, 0x0D, 0x04, 0x75, 0x68, 0x34,

  0x28, 0x25, 0x0E, 0x35, 0x2D, 0x69, 0x3D, 0x6F, 0x6D, 0x00]

for j in range(17):

    print(chr((v8^a[j])&0xff),end="")


终于看到了曙光,讲123456拿去md5加密一下

flag{e10adc3949ba59abbe56e057f20f883e}

[BUUCTF]REVERSE——[V&N2020 公开赛]strangeCpp的更多相关文章

  1. [BUUCTF]REVERSE——[V&N2020 公开赛]CSRe

    [V&N2020 公开赛]CSRe 附件 步骤: 例行检查,无壳儿,但是有NET混淆,使用de4dot工具进行处理 之后用dnSpy打开,从入口点开始看程序 找到有关flag的信息 flag由 ...

  2. [BUUCTF]PWN——[V&N2020 公开赛]easyTHeap

    [V&N2020 公开赛]easyTHeap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,常见的堆的菜单 64位ida载入,main函数 最多只能申请7个ch ...

  3. [BUUCTF]PWN——[V&N2020 公开赛]simpleHeap

    [V&N2020 公开赛]simpleHeap 附件 步骤: 例行检查,64位,保护全开 根据题目可知是一道堆,直接用64位ida打开 我修改了这些函数的名称,这样方便看程序 add,我们可以 ...

  4. [BUUCTF]PWN——[V&N2020 公开赛]babybabypwn

    [V&N2020 公开赛]babybabypwn 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看程序的大概情况 64位ida载入,看一下main函数 sub_1202()函 ...

  5. [BUUCTF]PWN——[V&N2020 公开赛]warmup

    [V&N2020 公开赛]warmup 附件 步骤: 例行检查,64位程序,除了canary,其他保护都开 本地运行一下,看看大概的情况 64位ida载入,从main函数开始看程序 看到程序将 ...

  6. buu [V&N2020 公开赛]strangeCpp

    拖入ida,静态调试一下,本来想动调的,发现一直缺dll.没办法,只能头铁,静态 找到主函数,然后并没有发现什么,找了半天,没结果,后面也是看了大佬wp,才找到解决方式,感觉这种只能通过动调来找到关键 ...

  7. 【pwn】V&N2020 公开赛 simpleHeap

    [pwn]V&N2020 公开赛 simpleHeap 1.静态分析 首先libc版本是ubuntu16的2.23版本,可以去buu的资源处下载 然后checksec一下,保护全开 拖入IDA ...

  8. 刷题记录:[V&N2020 公开赛]TimeTravel

    题目复现链接:https://buuoj.cn/challenges 参考链接:2020 年 V&N 内部考核赛 WriteUp V&N公开赛2020 writeup httpoxy ...

  9. [V&N2020 公开赛] Web misc部分题解

    0x00 前言 写了一天题目,学到了好多东西, 简单记录一下 0x01 Web HappyCTFd 直接使用网上公开的cve打: 解题思路:先注册一个admin空格账号,注意这里的靶机无法访问外网,邮 ...

随机推荐

  1. [luogu6466]分散层叠算法

    做法1 对于每一个询问,直接暴力在每一个序列中二分查询 时间复杂度为$o(nk)-o(k\log n)$ 做法2 将所有序列合并后排序,并对每一个元素预处理出每个序列中第一个大于等于其的元素(位置), ...

  2. [bzoj4652]循环之美

    对于一个分数x/y(x和y互素),在k进制下为纯循环当且仅当y和k互素证明:任意一个分数都可以写成0.abbbbbbbb的形式(不妨假设a尽量短),设a的位数为l1,b的位数为l2,那么原分数即$\f ...

  3. 设计模式学习-使用go实现访问者模式

    访问者模式 定义 优点 缺点 适用范围 代码实现 什么是 Double Dispatch 参考 访问者模式 定义 访问者模式(Visitor):表示一个作用于某对象结构中的各元素的操作.它使你可以在不 ...

  4. git使用大全

    创建四个分支: 查看分支:git branch查看仓库里面所有的分支 git branch -a刷新分支 git remote update origin --prune创建分支:git branch ...

  5. 一款真正可以拿的出手的本土嵌入式RTOS-SylixOS

    由 winniewei 提交于 周四, 12/20/2018 作者:张国斌 在参加工信部人才交流中心和南京浦口区开发区管委会联合举办的第三届集成电路产业紧缺人才创新发展高级研修班暨产业促进交流会期间, ...

  6. C语言中的字节对齐

    下面这个篇博客讲解很好 http://blog.csdn.net/meegomeego/article/details/9393783 总的来看分三类: 1. 不加 #pragma pack(n)伪指 ...

  7. account, accomplish, accumulate

    account account从词源和count(数数)有关,和computer也有点关系.calculate则和'stone used in counting'有关.先看两个汉语的例子:1. 回头再 ...

  8. Spark(十六)【SparkStreaming基本使用】

    目录 一. SparkStreaming简介 1. 相关术语 2. SparkStreaming概念 3. SparkStreaming架构 4. 背压机制 二. Dstream入门 1. WordC ...

  9. 用usb线配置直流电机驱动器不能配置成功

    原因可能是因为usb线的问题 换了三条usb线. 这三条都是通的,用万用表测试都是通的,但是进行电机配置的时候不行. 猜测原因可能是三条usb线的芯材质不同导致压降不同,使得通信故障.

  10. db9串口接头的定义

    这个接头都是以公头为准,所有接头还是以公头去记. RS-232端(DB9公头/针型)引脚定义 2: RXD 3:TXD 5:GND 1/4/6:内部相链接 7/8   :内部相链接 1.RS-232端 ...