【南京邮电】maze 迷宫解法

0x0 初步分析

题目中给出的执行文件是64位ELF可执行文件,可在64 位 Ubuntu下运行。这是一道简单的迷宫类型题目,通过静态分析即可获得flag。

在main函数中,能发现一段字符串

  *******   *  **** * ****  * ***  *#  *** *** ***     *********

为了方便阅读:

  • 空格替换为'.'
  • 二维重排列(8x8)
..******

*...*..*

***.*.**

**..*.**

*..*#..*

**.***.*

**.....*

********

通过该地图,可以预判:

  • '#' 为目标坐标
  • 左上角为(0,0)
  • '*' 为边界,空格(点)为通路
  • 手动画出通往目标的线

这道题目的意思很清晰,假设有一个小人站在初始坐标上,我们要控制小人走到‘#’所在的坐标。

需要通过逆向分析得出:

  • 小人的初始坐标
  • 指令的对应关系(上下左右)

0x1 逆向分析

以下分析结果基于IDA的伪代码 、IDA流程图、IDA反汇编结果等。

标准输入

scanf("%s", &s1, 0LL);

格式验证

 if ( strlen(&s1) != 24 || (v3 = "nctf{", strncmp(&s1, "nctf{", 5uLL)) || *(&byte_6010BF + 24) != '}' )

 {

   .......

 }

输入应该以nctf{ 开头,以}结尾。

读取小人移动指令

 char v5 = 0

 int v4 = 5; // 从nctf{后面的第一个字节开始读取

  if ( strlen(&s1) - 1 > 5 ) // s1 是scanf 输入的数据。

  {

    while ( 1 )

    {

      v5 = *(&s1 + v4);

      ............

确认x、y轴变量

main函数中调用的一处验证函数。

__int64 __fastcall sub_400690(__int64 a1, int a2, int a3)

{

  __int64 result; // rax

  result = *(unsigned __int8 *)(a1 + a2 + 8LL * a3);

  LOBYTE(result) = (_DWORD)result == ' ' || (_DWORD)result == '#';

  return result;

}
  • a3 * 8 => a3参数对应y轴
  • a2 对应x轴
  • 通路为空格或#

a3 通过edx传递

a2 通过esi传递

main函数中验证行动合理性的代码

mov     esi, dword ptr [rsp+28h+var_28+4] ;x

mov     edx, dword ptr [rsp+28h+var_28] ;y

mov     edi, offset asc_601060 ; "  *******   *  **** * ****  * ***  *#  "...

call    sub_400690 # 这个函数检查(x,y)是否合法,是不是通路

可以推断main函数中var_28 是y轴,var_28+4 是x轴。

main函数的头部可以找到初始化代码:

mov     dword ptr [rsp+28h+var_28+4], 0

mov     dword ptr [rsp+28h+var_28], 0

可以推断小人的初始坐标为(0,0)

四个方向的指令

为方便阅读,笔者已经对代码合并处理。

		__int64 v10; // [rsp+0h] [rbp-28h]

		if ( (unsigned __int8)v5 == 'O' )

        {

          v7 = sub_400650((char *)&v10 + 4, v3);

          goto LABEL_14;

        }

        bool __fastcall sub_400650(_DWORD *a1)

        { // 减法操作

          int v1; // eax

          v1 = (*a1)--;

          return v1 > 0;

        }

v10 这个变量其实就是[rsp+28h+var_28],

v10的地址 + 4 就是x轴变量地址。

如果伪代码不清晰可以看反汇编。

所以得出指令‘O’:

O => x-=1

其它三条指令类似处理。

		if ( v5 == 'o' )

        {

          v7 = sub_400660((char *)&v10 + 4, v3);

          goto LABEL_14;

        }

        bool __fastcall sub_400660(int *a1)

        {

          int v1; // eax

          v1 = *a1 + 1;

          *a1 = v1;

          return v1 < 8;

        }

得出如下结论:

o => x+=1


		if ( (unsigned __int8)v5 == '.' )

        {

          v7 = sub_400670(&v10, v3);

          goto LABEL_14;

        }

sub_400670 前文已经分析过,为减法操作。

得出:

. => y-=1

最后一个操作:

        if ( v5 == '0' )

        {

          v7 = sub_400680(&v10, v3);

LABEL_14:

          v6 = v7;

          goto LABEL_15;

        }

得出:

0 => y+=1

综合所有操作

O => x-=1 左移

. => y-=1 上移

o => x+=1 右移

0 => y+=1 下移

结果

nctf{o0oo00O000oooo..OO}

【南京邮电】maze 迷宫解法的更多相关文章

  1. [LeetCode] The Maze 迷宫

    There is a ball in a maze with empty spaces and walls. The ball can go through empty spaces by rolli ...

  2. [LeetCode] 490. The Maze 迷宫

    There is a ball in a maze with empty spaces and walls. The ball can go through empty spaces by rolli ...

  3. Maze迷宫问题(求最优解)

    迷宫地形我们可以通过读文件的形式,通过已知入口逐个遍历坐标寻找通路. 文件如图: 每个坐标的位置用结构体来记录: struct Pos //位置坐标 { int _row; int _col; }; ...

  4. 南京邮电大学CTF隐写术部分Writeup

    女神 听说这是女神的私房照,里面藏着flag哦 http://115.28.150.176/misc1.jpg 这个链接居然打不开,摔!万念俱灰!主办方可否给力点! P.S.为了方便日后学习,暂时列下 ...

  5. 南京邮电大学java程序设计作业在线编程第四次作业

    王利国的的 "Java语言程序设计第4次作业(2018)" 详细 主页 我的作业列表 作业结果详细 总分:100 选择题得分:40  1.下列方法定义中,正确的是() A.doub ...

  6. 南京邮电大学java第一次实验报告

    实 验 报 告 ( 2017 / 2018学年 第2学期) 课程名称 JAVA语言程序设计 实验名称 Java集成开发环境的安装与使用. Java变量.表达式与控制结构 实验时间 2018 年 4 月 ...

  7. 南京邮电大学java程序设计作业在线编程第三次作业

    王利国的"Java语言程序设计第3次作业(2018)"详细 作业结果详细 总分:100 选择题得分:60  1. 设有如下定义语句: String s1="My cat& ...

  8. 南京邮电大学java第二次实验报告

    实 验 报 告 ( 2017 / 2018学年 第2学期) 课程名称 JAVA语言程序设计 实验名称 Java集成开发环境的安装与使用. Java变量.表达式与控制结构 实验时间 2018 年 4 月 ...

  9. 南京邮电大学java程序设计作业在线编程第二次作业

    王利国的"Java语言程序设计第2次作业(2018)"详细 作业结果详细 总分:100 选择题得分:60  1. 表达式9==8&&3<7的运算结果是( ) ...

随机推荐

  1. 将自己的代码托管到github上

    这几天一直在做一个爬虫的小demo,代码基本写的差不多了,想着如何把他放在一个地方,如是乎注册了一个github账号,开始了自己的git之旅. 首先是下载git,这个我就不多说啦!到处都有推荐看看廖雪 ...

  2. 【编程技巧】alert vs Ext.Msg.alert

    alert会阻塞程序的运行. Ext.Msg.alert是异步的,它的调用并不会停止浏览器中代码的执行.

  3. android项目红色感叹号

    Project --> Clean 清理一下,一般要注意的,如果是你的项目文件有错误,特别是xml文件,清理后那个R资源文件会不见的,那就需要你把错误修正后自动生成的.

  4. 一次__libc_message的排查

     信号是6,abort调用的.总体而言,当你malloc的指针为A,但是你free的指针不是A,则容易出这个错,当然假设你free的刚好是别人malloc的,则还是正常. 还有一种是你free的地址在 ...

  5. 2017-06-28(passwd 主要组与附属组 gpasswd newgrp groups)

    passwd passwd -l 用户名  (锁定用户) passwd -u 用户名 (解锁用户) passwd -d 用户名  (清楚用户密码) 主要组与附属组 一个用户可以同时属于多个组,其中一个 ...

  6. 远程服务调用(RMI)

    模块概念的引入,是本框架的一大优势,而跨JVM的远程服务调用则是另一个最有价值的功能. <本地服务调用>一文中我们讲解了跨模块间的服务调用可以是这样的: ServiceHelper.inv ...

  7. C#高性能大容量SOCKET并发(八):通讯协议

    协议种类 开发Socket程序有两种协议类型,一种是用文本描述的,类似HTTP协议,定义字符集,好处是兼容性和调试方便,缺点是解析文本会损耗一些性能:一种是用Code加结构体,定义字节顺序,好处是性能 ...

  8. HH的项链

    传送门 题目描述 HH 有一串由各种漂亮的贝壳组成的项链.HH 相信不同的贝壳会带来好运,所以每次散步完后,他都会随意取出一段贝壳,思考它们所表达的含义.HH 不断地收集新的贝壳,因此,他的项链变得越 ...

  9. 前端之基础css

    一.anchor伪类,用于阅读文章. a:link(没有接触过的链接),用于链接常规状态 (末访问的链接)a:hover(鼠标放在链接上的状态) 用于产生视觉效果(已访问的链接)a:visited(访 ...

  10. R语言-单一变量分析

    R语言简介: R语言是一门专用于统计分析的语言,有大量的内置函数和第三方库来制作基于数据的表格 准备工作 安装R语言 https://cran.rstudio.com/bin/windows/base ...