第一题:virus

是一个win32 的题,没给加壳。

主函数:

int __cdecl main(int argc, const char **argv, const char **envp)

{

  int v3; // eax

  int v5; // [esp+14h] [ebp-4Ch]

  int v6; // [esp+3Ch] [ebp-24h]

  int v7; // [esp+40h] [ebp-20h]

  int v8; // [esp+44h] [ebp-1Ch]

  int v9; // [esp+48h] [ebp-18h]

  int v10; // [esp+4Ch] [ebp-14h]

  size_t v11; // [esp+50h] [ebp-10h]

  int v12; // [esp+54h] [ebp-Ch]

  int i; // [esp+58h] [ebp-8h]

  int v14; // [esp+5Ch] [ebp-4h]

  __main();

  puts("There is a long way to defeat it.");

  scanf("%s", flag);

  v12 = strlen(flag);                           // 获取有效长度

  v6 = 0;

  v7 = 0;

  v8 = 0;

  v9 = 0;                                       // v6 v7 v8 v9 4个分别保存 "-" 在flag中的序号

                                                //

  v10 = 0;

  v14 = 0;

  v11 = 0;

  for ( i = 0; i < v12; ++i )

  {

    if ( flag[i] == '-' )

    {

      v3 = v14++;

      *(&v6 + v3) = i;

    }

    if ( !v14 )

    {

      *(&v5 + i) = flag[i] - '0';

      if ( *(&v5 + i) > 9 || *(&v5 + i) < 0 )   // 第一个前 "-" 只能是数字 0 - 9

        return 0;                               // 在 *(&v5 + i)中写入之后参与4个迷宫的顺序

    }

  }

  if ( v14 != 4 )                               // 输入的flag中有4个 “-”

    return 0;

  v10 = v12;

  for ( i = 1; i <= v14; ++i )

  {

    v11 = *(&v6 + i) - *(&v6 + i - 1) - 1;      // 将flag的2、3、4、5部分的字符数,即对应迷宫的出走步数依次写入v11

    if ( step[i] != v11 )                       // step[4]: {0x13 , 0x19 , 0x1A , 0x1C} 用step中限定的步数参与迷宫

      return 0;

    strncpy(&road[200 * i], &flag[*(&v6 + i - 1) + 1], v11);// 将输入的flag的第2、3、4、5部分(对应迷宫的出走路径)去掉 "-"之后拷入road

  }

  for ( i = 0; i <= 3; ++i )

  {

    if ( check_flag((int)&global_map + 0xC8 * *(&v5 + i), *(&v5 + i), &road[200 * (i + 1)]) )

    {

      puts("How about try again?");

      return 0;

    }

    if ( i == 3 )

      printf("Great! We will defeat it!!! your flag is flag{%s}", flag);

  }

  return 0;

}

main函数的条理还是很清晰的

接收一串形如  "  XXXX—XXXX—XXXX—XXXX—XXXX  "的字符串

检查flag中的  "  -  "的数量(必须是4个)和位置,

将第一部分的字符按位减去0x30要求不大于9且不小于0并保存在*(&v5 + i),所以第一部分应该是纯数字。

将flag的第 2、3、4、5部分经过位数检查之后 &road[200 * i]

再往后就是通过函数check_flag 校验flag


我们检查check_flag的参数后发现 global_map记录的是4个迷宫:

整理后如下:

迷宫及起始地址:                 路径及所需步数:    

0x403108:

||||||||||||||| 0 0 0 0 0  >>>  dddddddddsssssaaaaaaaaawww -- 0x1A

||||||||||||||| 0 0 0 0 0

||||||||||||||| 0 0 0 0 0

||s.........||| 0 0 0 0 0

|||||||||||.||| 0 0 0 0 0

||d||||||||.||| 0 0 0 0 0

||.||||||||.||| 0 0 0 0 0

||.||||||||.||| 0 0 0 0 0

||..........||| 0 0 0 0 0

||||||||||||||| 0 0 0 0 0 

0x4031D0:

||||||||||||||||||| 0   >>>   sdsdsdsdsdsdsddwdwdwdwdwdwdw -- 0x1C

||s|||||||||||||d|| 0

||..|||||||||||..|| 0

|||..|||||||||..||| 0

||||..|||||||..|||| 0

|||||..|||||..||||| 0

||||||..|||..|||||| 0

|||||||..|..||||||| 0

||||||||...|||||||| 0

||||||||||||||||||| 0 

0x403298:

||||||||||||||| 0 0 0 0 0  >>>  aaaaaaaaasssssssddddddddd -- 0x19

||.........s||| 0 0 0 0 0

||.|||||||||||| 0 0 0 0 0

||.|||||||||||| 0 0 0 0 0

||.|||||||||||| 0 0 0 0 0

||.|||||||||||| 0 0 0 0 0

||.|||||||||||| 0 0 0 0 0

||.|||||||||||| 0 0 0 0 0

||.........d||| 0 0 0 0 0

||||||||||||||| 0 0 0 0 0 

0x403360:

||||||||||||||| 0 0 0 0 0    >>>  wwwwwdddddddddsssss  -- 0x13

||||||||||||||| 0 0 0 0 0

||||||||||||||| 0 0 0 0 0

|||..........|| 0 0 0 0 0

|||.||||||||.|| 0 0 0 0 0

|||.||||||||.|| 0 0 0 0 0

|||.||||||||.|| 0 0 0 0 0

|||.||||||||.|| 0 0 0 0 0

|||s||||||||d|| 0 0 0 0 0

||||||||||||||| 0 0 0 0 0

可以发现每个迷宫之间的偏移都是 0XC8 ,&global_map 到0X403108的偏移也是0XC8

每个迷宫所需的步数都可以在main函数中的step数组里找到 ,故而这四个迷宫的顺序应该是 4312 ,即flag的第一部分是4312

上面提到过,flag的2、3、4、5部分对应各个迷宫的走法,所以 ,将 4312 和 各个迷宫的走法按顺序拼接之后就是真正的flag。

FLAG :flag{4312-wwwwwdddddddddsssss-aaaaaaaaasssssssddddddddd-dddddddddsssssaaaaaaaaawww-sdsdsdsdsdsdsddwdwdwdwdwdwdw}

 第二题:fu!k_py

解压开来是一个 .pyc 文件,第一步自然是对它进行反编译

说实话,Python不太好的我看到这套娃式的代码时人都不好了。

但为了能多搞点分,还是硬着头皮看了下去。

我能识别的信息并不多

这里有个 input ,flag应该是从这里输入的,包含 "  flag{}  "且总长度必须为 87 个字符。

然后是这个:

应该是有个有关 9 x 9 数组的信息

很容易让人往数独方面想

而且后面还有一堆的什么  check(xx) != 45,而 1 + 2 + 3  + 4 + 5 + 6 + 7 + 8 + 9 = 45

之后我找了个数独的解密网站按位填入 :

然后将整个数独中的数整理下来,并套上flag{} 提交,最终通过了。

FLAG: flag{145327698839654127672918543496185372218473956753296481367542819984761235521839764}

2020 巅峰极客 WP_ Re的更多相关文章

  1. 2019巅峰极客CTF-web1(LOL英雄联盟)

    今晚有空 以后随缘写博客了 好好沉淀 web1当天做出的队伍很少 其实不难    折腾到最后就差一步  可惜    0x01 读取文件 截图没留了 只留了代码部分. 有个页面  有上传和下载功能 起初 ...

  2. 巅峰极客第二场CTF部分writeup

    word-MISC 微信回答问题+word字体里. sqli-WEB 注册个admin空格即可,长字符截断. 晚上把后续的写出来.现在睡觉

  3. 巅峰极客CTF writeup[上]

    经验教训 1.CTF不比实战,最好不要死磕.死磕就输了.我就是死磕在缓存文件死的.真的惭愧: 2.对于flag的位置不要太局限于web目录下,如果是命令执行直接上find / -name flag*: ...

  4. 2019balsn两道web和2019巅峰极客一道web记录

    遇到3道有点意思的web,记录一下~ web1 题目地址:http://warmup.balsnctf.com/ 源码如下所示: <?php if (($secret = base64_deco ...

  5. 2018 巅峰极客CTF misc writeup

    flows 拿到一个pcap包,用wireshark打开,发现是USB协议,尝试在kali下使用tshark提取,提取失败,发现异常.回到wireshark分析数据.在其中一个数据包中发现了tip 把 ...

  6. 三叶草极客大挑战2020 部分题目Writeup

    三叶草极客大挑战2020 部分题目Writeup Web Welcome 打开后状态码405,555555,然后看了一下报头存在请求错误,换成POST请求后,查看到源码 <?php error_ ...

  7. 2020极客大挑战Web题

    前言 wp是以前写的,整理一下发上来. 不是很全. 2020 极客大挑战 WEB 1.sha1碰撞 题目 图片: 思路 题目说,换一种请求方式.于是换成post.得到一给含有代码的图片 图片: 分析该 ...

  8. 2016第七季极客大挑战Writeup

    第一次接触CTF,只会做杂项和一点点Web题--因为时间比较仓促,写的比较简略.以后再写下工具使用什么的. 纯新手,啥都不会.处于瑟瑟发抖的状态. 一.MISC 1.签到题 直接填入题目所给的SYC{ ...

  9. [web建站] 极客WEB大前端专家级开发工程师培训视频教程

    极客WEB大前端专家级开发工程师培训视频教程  教程下载地址: http://www.fu83.cn/thread-355-1-1.html 课程目录:1.走进前端工程师的世界HTML51.HTML5 ...

随机推荐

  1. Java数据结构——循环队列

    普通顺序队列存在的问题在普通顺序队列中,入队的操作就是先将尾指针rear右移一个单位,然后将元素值赋值给rear单位.出队时,则是头指针front后移一个单位.像这样进行了一定数量的入队和出队操作后, ...

  2. 使用ClickHouse表函数将MySQL数据导入到ClickHouse

    #clickhouse-client :create database dw; :use dw; --导入数据: CREATE TABLE Orders ENGINE = MergeTree ORDE ...

  3. python实现对列表的增删查修操作

    #定义一个空列表 list_demo=[] #1,向列表中插入元素 def append_demo(): #第一种使用append,可以在列表末尾添加一个函数 for i in range(2): l ...

  4. 学习seo技术要不断地扩大思维和思路

    http://www.wocaoseo.com/thread-148-1-1.html        目前学习seo技术的人员是越来越多了,通过查看seo这个词的指数,就能发现一些状况,从最初的每天3 ...

  5. 使用【QQ五笔的码表】转成【百度手机自定义码表】

    使用[QQ五笔码表]转成[百度手机自定义码表] QQ五笔码表先转成多多格式. 这里选用极点>>多多. 然后去掉空格. 转成GB.去掉没的字. 百度要的是这种格式. 现再用点讯工具转成 de ...

  6. windows版redis报错:本地计算机上的Redis服务启动后停止

    解决 1.如果需要临时启动Redis 使用命令:redis-server.exe   redis.windows.conf   --maxheap 200m 说明:200m是指定最大堆内存是200m, ...

  7. LoadRunner回放脚本遇到的问题(遇到就补上)

    问题一:Error-26612:HTTP Status-code=500(Internal Server Error) 解决过程:google找到了关于这个错误有多种解决的方法,但是都不是我要的,最重 ...

  8. 【转】Android 5.0 : Parsing Data for android-21 failed unsupported major.minor version 51.0

    http://code2care.org/pages/parsing-data-for-android-21-failed-unsupported-major.minor-version-51.0/ ...

  9. 《神经网络的梯度推导与代码验证》之CNN前向和反向传播过程的代码验证

    在<神经网络的梯度推导与代码验证>之CNN的前向传播和反向梯度推导 中,我们学习了CNN的前向传播和反向梯度求导,但知识仍停留在纸面.本篇章将基于深度学习框架tensorflow验证我们所 ...

  10. 【平台开发】— 4.mysql建库建表

    本想着把前端脚手架run起来了,然后就可以借着登录来捋一下前后端交互的过程.但是后端导入JPA的时候就发现了,还没有数据库. 既然是本着学习的目的,那咱也不想只在后端写死返回的数据,要做就做全套. 一 ...