测试文件下载:https://adworld.xctf.org.cn/media/task/attachments/fa4c78d25eea4081864918803996e615

1.准备

获得信息

  1. 64位文件

2.IDA打开

选择main函数,反编译为C代码。

 __int64 __fastcall main(__int64 a1, char **a2, char **a3)

 {

   const char *v3; // rsi

   signed __int64 v4; // rbx

   signed int v5; // eax

   char v6; // bp

   char v7; // al

   const char *v8; // rdi

   __int64 v10; // [rsp+0h] [rbp-28h]

   v10 = 0LL;

   puts("Input flag:");

   scanf("%s", &s1, 0LL);

   if ( strlen(&s1) !=  || (v3 = "nctf{", strncmp(&s1, "nctf{", 5uLL)) || *(&byte_6010BF + ) !=  )

   {

 LABEL_22:

     puts("Wrong flag!");

     exit(-);

   }

   v4 = 5LL;

   if ( strlen(&s1) -  >  )

   {

     while (  )

     {

       v5 = *(&s1 + v4);

       v6 = ;

       if ( v5 >  )

       {

         v5 = (unsigned __int8)v5;

         if ( (unsigned __int8)v5 ==  )

         {

           v7 = sub_400650((char *)&v10 + , v3);

           goto LABEL_14;

         }

         if ( v5 ==  )

         {

           v7 = sub_400660((char *)&v10 + , v3);

           goto LABEL_14;

         }

       }

       else

       {

         v5 = (unsigned __int8)v5;

         if ( (unsigned __int8)v5 ==  )

         {

           v7 = sub_400670(&v10, v3);

           goto LABEL_14;

         }

         if ( v5 ==  )

         {

           v7 = sub_400680(&v10, v3);

 LABEL_14:

           v6 = v7;

           goto LABEL_15;

         }

       }

 LABEL_15:

       v3 = (const char *)HIDWORD(v10);

       if ( !(unsigned __int8)sub_400690(asc_601060, HIDWORD(v10), (unsigned int)v10) )

         goto LABEL_22;

       if ( ++v4 >= strlen(&s1) -  )

       {

         if ( v6 )

           break;

 LABEL_20:

         v8 = "Wrong flag!";

         goto LABEL_21;

       }

     }

   }

   if ( asc_601060[ * (signed int)v10 + SHIDWORD(v10)] !=  )

     goto LABEL_20;

   v8 = "Congratulations!";

 LABEL_21:

   puts(v8);

   return 0LL;

 }

打开字符串的视图,我们可以看到

.data: asc_601060      db '  *******   *  **** * ****  * ***  *#  *** *** ***     *********',

2.1 代码分析

 __int64 __fastcall main(__int64 a1, char **a2, char **a3)

 {

   signed __int64 v4; // rbx

   signed int v5; // eax

   char v6; // bp

   char v7; // al

   const char *v8; // rdi

   __int64 v10; // [rsp+0h] [rbp-28h]

   v10 = 0LL;

   puts("Input flag:");

   scanf("%s", &s1, 0LL);

   if ( strlen(&s1) !=  || strncmp(&s1, "nctf{", 5uLL) || *(&byte_6010BF + ) !=  )    //len(s1) = 24, s1开头为'nctf',

   {

 LABEL_22:

     puts("Wrong flag!");

     exit(-);

   }

 v4 = 5LL;                                                                        //flag总长24,已知5个长度,v4表示输入的表示方向的字符数。

   if ( strlen(&s1) -  >  )

   {

     while (  )

     {

       v5 = *(&s1 + v4);                                                            //v5 = s1[5]

       v6 = ;

       if ( v5 > 'N' )//v5 > 'N'

       {

         v5 = (unsigned __int8)v5;

         if ( (unsigned __int8)v5 == 'O' )                                                //1. 当v5 == 'O'的情况,表示左移

         {

           v7 = sub_400650((char *)&v10 + , v3);                                        //v10--,表示位置的列数-1,v7判断是否越界(越界返回:FALSE, 未越界返回:TRUE)

           goto LABEL_14;

         }

         if ( v5 == 'o' )                                                                //2. 当v5 == 'o‘的情况,表示右移

         {

           v7 = sub_400660((char *)&v10 + , v3);                                        //v10++,表示位置的列数+1,

           goto LABEL_14;

         }

       }

       else//v5 < 'N'

       {

         v5 = (unsigned __int8)v5;

         if ( (unsigned __int8)v5 == '.')                                                //3. v5 == '.'的情况, 表示上移

         {

           v7 = sub_400670(&v10, v3);                                                //v10--,表示位置的行数-1,

           goto LABEL_14;

         }

         if ( v5 == '' )                                                                //4. v5=='0'的情况,表示下移

         {

           v7 = sub_400680(&v10, v3);                                                //v10++, 表示位置的行数+1

 LABEL_14:

           v6 = v7;                                                                    //赋值给v6,下面判断走迷宫时,是否越界

           goto LABEL_15;

         }

       }

 LABEL_15:

       if ( !(unsigned __int8)sub_400690((__int64)asc_601060, SHIDWORD(v10), v10) )//判断该位置的字符是' ', '#'或者'*'中的哪种,如果是'*'则,返回再次寻路

         goto LABEL_22;

       if ( ++v4 >= strlen(&s1) -  )                                                    //因为最后以'}'结尾,所以strlen(s1) - 1。我们需要找到中间18个字符

       {

         if ( v6 )//判断是否越界(未越界退出循环)

           break;

 LABEL_20:

         v8 = "Wrong flag!";

         goto LABEL_21;

       }

     }

   }

   if ( asc_601060[ * (signed int)v10 + SHIDWORD(v10)] !=  )//判断是否到达'#'处,没有到达,继续返回循环,进行移动

     goto LABEL_20;

   v8 = "Congratulations!";

 LABEL_21:

   puts(v8);

   return 0LL;

 }

通过代码分析,能够判断出那一串字符实际上就是一个迷宫,通过'.', '0', 'O', 'o'来控制移动,V10实际上就是一个二维数组,一维表示X轴,二维表示Y轴。

2.2 方向判断

在汇编代码中

.text:00000000004006B7                 mov     dword ptr [rsp+28h+var_28+],

.text:00000000004006BF                 mov     dword ptr [rsp+28h+var_28],

我们能够知道,v9高位表示x轴,v9低位表示y轴,

通过函数

__int64 __fastcall sub_400690(__int64 a1, int a2, int a3)

{

  __int64 result; // rax

  result = *(unsigned __int8 *)(a1 + a2 + 8LL * a3);//a1是迷宫,a2是列,a3是行。通过行列计算迷宫对应位置的字符

  LOBYTE(result) = (_DWORD)result ==  || (_DWORD)result == ;//如果是' '或者'#‘返回TRUE,是'*’返回FALSE

  return result;

}

sub_400690函数中是a2+a3*8,即a3表示行,a2表示列。返回到调用函数处,即v10高位表示列,低位表示行。那么就可以判断出'O','o'表示左右,'.','0'表示上下

2.3 迷宫表示

通过a2+a3*8我们也能了解到这个迷宫有8行,总共64个字符,也就是8x8的迷宫,表示出来就是。

******

***

******

*****

**#*

******

***

********

2.4 解迷宫

起点(1,1),只能走0,要走到‘#’,找到路径右下右右下下左下下下右右右右上上左左

写出脚本

str = "右下右右下下左下下下右右右右上上左左"

str = str.replace('上', '.')

str = str.replace('下', '')

str = str.replace('左', 'O')

str = str.replace('右', 'o')

str = 'nctf{' + str + '}'

print(str)

3.get flag!

nctf{oo0oo00O000oooo..OO}

攻防世界--maze的更多相关文章

  1. 逆向-攻防世界-maze

    题目提示是走迷宫. IDA载入程序分析. 输入字符长度必须是24,开头必须是nctf{,结尾必须是}.在125处按R就可以变成字符. sub_400650和sub_400660是关键函数,分析sub_ ...

  2. 攻防世界 maze NJUPT CTF 2017

    迷宫题 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 signed __int64 mid_i; // rbx 4 ...

  3. CTF--web 攻防世界web题 robots backup

    攻防世界web题 robots https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=506 ...

  4. CTF--web 攻防世界web题 get_post

    攻防世界web题 get_post https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5 ...

  5. 攻防世界 web进阶练习 NewsCenter

    攻防世界 web进阶练习 NewsCenter   题目是NewsCenter,没有提示信息.打开题目,有一处搜索框,搜索新闻.考虑xss或sql注入,随便输入一个abc,没有任何搜索结果,页面也没有 ...

  6. 【攻防世界】高手进阶 pwn200 WP

    题目链接 PWN200 题目和JarvisOJ level4很像 检查保护 利用checksec --file pwn200可以看到开启了NX防护 静态反编译结构 Main函数反编译结果如下 int ...

  7. XCTF攻防世界Web之WriteUp

    XCTF攻防世界Web之WriteUp 0x00 准备 [内容] 在xctf官网注册账号,即可食用. [目录] 目录 0x01 view-source2 0x02 get post3 0x03 rob ...

  8. 攻防世界 | CAT

    来自攻防世界官方WP | darkless师傅版本 题目描述 抓住那只猫 思路 打开页面,有个输入框输入域名,输入baidu.com进行测试 发现无任何回显,输入127.0.0.1进行测试. 发现已经 ...

  9. 攻防世界 robots题

    来自攻防世界 robots [原理] robots.txt是搜索引擎中访问网站的时候要查看的第一个文件.当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在, ...

随机推荐

  1. Android Studio使用阿里云Aliyun Maven仓库

    如下所示,在build.gradle中添加Aliyun Maven仓库 // Top-level build file where you can add configuration options ...

  2. bzoj5118 Fib数列2 二次剩余+矩阵快速幂

    题目传送门 https://lydsy.com/JudgeOnline/problem.php?id=5118 题解 这个题一看就是不可做的样子. 求斐波那契数列的第 \(n\) 项,\(n \leq ...

  3. 破坏双亲委托机制的一些情况---Tomcat和JDBC,破坏后的安全问题

    采用双亲委托机制的原因 类加载器就是将字节码搬进jvm方法区的组件.我们知道,JVM识别加载进来的类是通过类加载器+类全名完成的,也就是说同一个类由不同类加载器加载进去的话就会被视为不同的类.jdk提 ...

  4. Feign调用远程服务报错:Caused by: java.lang.IllegalStateException: Method getMemberInfo not annotated with HTTP method type (ex. GET, POST)

    org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'ord ...

  5. MainRun

    package Testlink; import java.io.IOException; public class MainRun { public static void main(String[ ...

  6. php substr()函数 语法

    php substr()函数 语法 作用:截取字符串 语法:substr(string,start,length)大理石平台 参数: 参数 描述 string 必需.规定要返回其中一部分的字符串. s ...

  7. 【説明する】STL

    作为C++标准不可缺少的一部分,STL应该是渗透在C++程序的角角落落里的. STL不是实验室里的宠儿,也不是程序员桌上的摆设,她的激动人心并非昙花一现. 所以今天要整理的东西就是STL!(orz 杨 ...

  8. [JSOI2004]平衡点 / 吊打XXX 题解

    预备概念: 金属退火:将金属缓慢加热到一定温度,保持足够时间,然后以适宜速度冷却 温度:一个逐渐减小的参数,表示接受次优解的概率 模拟退火是一种解决复杂问题的算法,相当于贪心,但以一个逐渐减小的该率接 ...

  9. Cluster基础(三):配置HAProxy负载平衡集群、Keepalived高可用服务器、Keepalived+LVS服务器

    一.配置HAProxy负载平衡集群 目标: 准备三台Linux服务器,两台做Web服务器,一台安装HAProxy,实现如下功能: 客户端访问HAProxy,HAProxy分发请求到后端Real Ser ...

  10. JavaScript学习第一篇

    在学习之前让我们了解了解JavaScript的由来 Javascript是一种web技术,最初起名叫LiveScript,它是Netscape开发出来一种脚本语言,其目的是为了扩展基本的Html的功能 ...