7.24 两道二进制题目练习的总结

原創 阿C0 2020-06-03 15:11

1.兴趣是最好的老师
首先我们把根据PE文件的格式知道这个文件本身有错误,所以不能在IDA中打开,我们先把它在010Editor.exe中修改一下,我们把PE头改为50 45 00 00,然后就把它拉入IDA中,然后打开,找到有程序的开始进行分析。

__int64 main_0()
{
  int v0; // edx
  __int64 v1; // ST00_8
  int v3; // [esp+0h] [ebp-1A0h]
  const char **v4; // [esp+4h] [ebp-19Ch]
  const char **v5; // [esp+8h] [ebp-198h]
  int v6; // [esp+Ch] [ebp-194h]
  int i; // [esp+D4h] [ebp-CCh]
  int v8; // [esp+E0h] [ebp-C0h]
  int v9; // [esp+ECh] [ebp-B4h]
  int v10; // [esp+F0h] [ebp-B0h]
  int v11; // [esp+F4h] [ebp-ACh]
  int v12; // [esp+F8h] [ebp-A8h]
  int v13; // [esp+FCh] [ebp-A4h]
  int v14; // [esp+100h] [ebp-A0h]
  int v15; // [esp+104h] [ebp-9Ch]
  int v16; // [esp+108h] [ebp-98h]
  int v17; // [esp+10Ch] [ebp-94h]
  int v18; // [esp+110h] [ebp-90h]
  int v19; // [esp+114h] [ebp-8Ch]
  int v20; // [esp+118h] [ebp-88h]
  int v21; // [esp+11Ch] [ebp-84h]
  int v22; // [esp+120h] [ebp-80h]
  int v23; // [esp+124h] [ebp-7Ch]
  int v24; // [esp+128h] [ebp-78h]
  int v25; // [esp+12Ch] [ebp-74h]
  int v26; // [esp+130h] [ebp-70h]
  int v27; // [esp+134h] [ebp-6Ch]
  int v28; // [esp+138h] [ebp-68h]
  int v29; // [esp+13Ch] [ebp-64h]
  int v30; // [esp+140h] [ebp-60h]
  char v31; // [esp+14Fh] [ebp-51h]
  char v32[17]; // [esp+178h] [ebp-28h]
  char v33; // [esp+189h] [ebp-17h]
  char v34; // [esp+18Ah] [ebp-16h]
  char v35; // [esp+18Bh] [ebp-15h]
  char v36; // [esp+18Ch] [ebp-14h]
  char v37; // [esp+18Dh] [ebp-13h]

  v31 = 0;
  v9 = 1;
  v10 = 4;
  v11 = 14;
  v12 = 10;
  v13 = 5;
  v14 = 36;
  v15 = 23;
  v16 = 42;
  v17 = 13;
  v18 = 19;
  v19 = 28;
  v20 = 13;
  v21 = 27;
  v22 = 39;
  v23 = 48;
  v24 = 41;
  v25 = 42;
  v26 = 26;
  v27 = 20;
  v28 = 59;
  v29 = 4;
  v30 = 0;
  printf("please enter flag:");
  while ( 1 )
  {
    v6 = getch();
    v32[v31] = v6;
    if ( !(_BYTE)v6 || v32[v31] == 13 )
      break;
    if ( v32[v31] == 8 )
    {
      printf("\b\b");
      --v31;
    }
    else
    {
      printf("%c", v32[v31++]);
    }
  }
  v8 = 0;
  for ( i = 0; i < 17; ++i )
  {
    if ( v32[i] != byte_415768[*(&v9 + i)] )
      v8 = 1;
  }
  if ( v33 != 49 || v34 != 48 || v35 != 50 || v36 != 52 || v37 != 125 )
    v8 = 1;
  v32[v31] = 0;
  printf("\r\n");
  if ( v8 )
  {
    printf("wrong\n");
    main(v3, v4, v5);
  }
  else
  {
    printf("success\n");
  }
  system("pause");
  HIDWORD(v1) = v0;
  LODWORD(v1) = 0;
  return v1;
}

分析函数可以得知,只有当变量V8=0时,flag才是正确的,所以我们需要满足v8=0成立的条件,所以通过如下对于各变量的地址值,通过对各变量地址值作为所给字符串形成的字符数组的数组下标分别按计算的顺序取出,即可得到答案。

 for ( i = 0; i < 17; ++i )
  {
    if ( v32[i] != byte_415768[*(&v9 + i)] )
      v8 = 1;
  }
  if ( v33 != 49 || v34 != 48 || v35 != 50 || v36 != 52 || v37 != 125 )
    v8 = 1;

这个循环判断了长度为17的数组v32中的每个字符是否与数组byte_415768[]中的对应字符是否相等。在IDA PRO中双击byte_415768[],会跳到其定义处,
这里写图片描述最后跟的是个0,一般用于表示字符串结束(与c代码中一致)
!!!!!!
语句byte_415768[(&v9+ i)]中&v9表示取变量v9的地址,然后假设游标量i,再用运算符找对应地址的值,i从0变到17,那么byte_41576[]中的序号依次为v9,v10,v11,….v25,共计17个变量的值,而byte_415768[1]=’K’,byte_415768[4]=’E,byte_415768[14]=‘Y’,byte_415768[10]={……
最终可以得到KEY{e2s6ry3r5s8f6这17个字符,这是答案的上半部分,然后观察代码中if ( v33 != 49 || v34 != 48 || v35 != 50 || v36 != 52 || v37 != 125 )
v8 = 1
下半部分由v8的第二部分赋值代码来获得,这里面有多个变量的或非判断,即v33,v34,v35,v36不等于49,48,50,52,125时,v3就为1。从终端录入的一般是用ascii码存放,所以查 49,48,50,52,125对应的ASCII码为’1’,’0’,’2’,’4’,’}’,显然是字符串“1024}”。
用Python编写脚本为:

a='sKfxEeft}f{gyrYgthtyhifsjei53UUrrr_t2cdsef66246087138\0087138'
b=[1,4,14,10,5,36,23,42,13,19,28,13,27,39,48,41,42,26,20,59,4,0]
for i in range(17):
    print(a[b[i]],end='')
print('1024}'

结果为:KEY{e2s6ry3r5s8f61024}
2.ctf2,please input your key
使用IDA打开这个题后,找到程序的代码如下:

nt __cdecl main()
{
  char s; // [esp+10h] [ebp-110h]

  printf("Input flag:");
  sub_80485A0(&s, 0x100u);
  if ( (unsigned __int8)sub_8048630(&s) )
    puts("Flag is right.");
  else
    puts("Flag is wrong.");
  return 0;
}

由上得知,如果我们满足unsigned __int8)sub_8048630(&s)这个条件,我们就会得到正确的flag,我们点开sub_8048630,得到下列代码

int __cdecl sub_8048630(char *s)
{
  size_t v1; // eax
  int v3; // edx

  if ( s )
  {
    v1 = strlen(s);#strlen()函数作用为获取字符串的长度
    if ( v1 )
    {
      if ( v1 == 29 )
      {
        v3 = 0;
        while ( s[v3] == byte_8049AE0[(unsigned __int8)((unsigned __int8)byte_8049B15[v3] / 3u - 2)] )
        {
          if ( ++v3 == 29 )
            return 1;
        }
      }
    }
  }
  return 0;
}

分析上述代码可得,我们输入的v1的长度要等于29,这时v3初始值为0,程序可以向下运行,当v3=29的时候,我们就会得到我们想要的flag,接着我们要分析一下

while ( s[v3] == byte_8049AE0[(unsigned __int8)((unsigned __int8)byte_8049B15[v3] / 3u - 2)] )

这段代码的含义,我们找到s[v3]要等于后面的,程序才可以继续向下面执行,首先,我们点开byte_8049B15这个
这里写图片描述
看到了这一列16进制的数,然后我们选定这个区域按快捷键shift+E得到这些16进制数,
{
0x48, 0x5D, 0x8D, 0x24, 0x84, 0x27, 0x99, 0x9F, 0x54, 0x18,
0x1E, 0x69, 0x7E, 0x33, 0x15, 0x72, 0x8D, 0x33, 0x24, 0x63,
0x21, 0x54, 0x0C, 0x78, 0x78, 0x78, 0x78, 0x78, 0x1B
}
接着我们打开byte_8049AE0这个
这里写图片描述
得到了一串字符串’lk2j9Gh}AgfY4ds-a6QW1#k5ER_T[cvLbV7nOm3ZeX{CMt8SZo]U’
s[v3] == byte_8049AE0[(unsigned __int8)((unsigned __int8)byte_8049B15[v3] / 3u - 2)] 表示s[i]等于将那些16进制除以3再减去2,然后取整型,然后再对应字符串取相应位置的字符,
编写python脚本如下所示:

a=[0x48, 0x5D, 0x8D, 0x24, 0x84, 0x27, 0x99, 0x9F, 0x54, 0x18, 
  0x1E, 0x69, 0x7E, 0x33, 0x15, 0x72, 0x8D, 0x33, 0x24, 0x63, 
  0x21, 0x54, 0x0C, 0x78, 0x78, 0x78, 0x78, 0x78, 0x1B]
b=[]
for i in range(len(a)):
    b.append(int(a[i]/3-2))
s='lk2j9Gh}AgfY4ds-a6QW1#k5ER_T[cvLbV7nOm3ZeX{CMt8SZo]U'
flag=''
for j in range(len(b)):
    flag+=s[b[j]]
print(flag)

得到的结果为:kctf{YoU_hAVe-GOt-fLg_233333}
. append() 方法向列表的尾部添加一个新的元素,只接受一个参数。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

linux pwn练习0x01

文章目錄doubly_dangerousWarmUp關於確定溢出點的一種方法:gdb-peda關於利用ret調用shellcode函數調用方式的基本介紹pwn1just_do_it 題目 doubly_dangerous 內

yusakul 2020-07-07 13:34:36

XCTF进阶区Crypto之flag_in_your_hand write up

下載下來查看html源碼和js源碼: <html> <head> <title>Flag in your Hand</title> <style type="text/css"> body { padding-

KogRow 2020-07-07 15:59:18

linux pwn练习0x02

文章目錄tyro_shellcode tyro_shellcode OpenCTF : tyro_shellcode Baby’s first shellcode problem. Server: 172.31.1.43:161

yusakul 2020-07-07 13:34:36

docker搭建pwn环境

文章目錄拉取ubuntu鏡像運行容器安裝環境修改apt源修改pip源安裝pwntools安裝pwndbg安裝ROPgadget、libc-database、one_gadget安裝tmux與主機拷貝文件保存容器爲新鏡像示例補充添加

yusakul 2020-07-07 13:34:36

SCTF2020

Snake 在輸入的地方有一次off by one的機會通過構造堆塊重疊然後做2次double free改寫got拿到shell exp: from pwn import * p=remote('39.107.244.116',9

doudoudedi 2020-07-06 14:30:05

进算计二进制位运算

二進制位運算

RiceToLife 2020-07-08 05:10:14

FPGA学习笔记---二进制码、独热码、格雷码分析对比

       在Verilog學習中常用的編碼方式有二進制編碼(Binary)、格雷碼(Gray-code)編碼、獨熱碼(One-hot)編碼,對於新手來說,搞不清楚編碼爲什麼要分這麼多格式?統一用一種格式不好嗎?那麼現在就來看看這三種編

qq_511386807 2020-07-07 11:27:29

PHP中的加密方式

MD5加密 string md5 ( string $str [, bool $raw_output = false ] ) 參數 str – 原始字符串。 raw_output – 如果可選的 raw_output 被設置爲

lwc863481702 2020-07-07 10:11:06

Codeforces C. Johnny and Another Rating Drop (二进制 / 贪心)(Round #647 Div.2)

傳送門 題意: 找到0 ~ n 的兩兩相鄰數的二進制數的差異位數總和。 思路: 不難看出其實二進制數的每一位都有一定規律的。 二進制第一位的貢獻度爲 n / (2 ^ 0) 二進制第二位的貢獻度爲 n / (2 ^ 1) 二進

S atur 2020-07-07 08:11:12

Codeforces B. Subsequence Hate (二进制 / 思维) (Round #646 Div.2)

傳送門 題意: 求出最小刪除字符數,以使二進制串s不含有"101"和"010"這樣的子串。 思路: 可以看出,字符串不能出現’0’,'1’交替出現的情況。即只有"1111……",“0000……”,"1111……0000"和"

S atur 2020-07-07 08:11:10

Codeforces E. Maximum Subsequence Value (二进制 / 思维) (Round #648 Div.2)

傳送門 題意: 在給定的序列中選擇一個子序列,若子序列裏有k個數,當至少有max(1,k-2)個數在二進制第i位上爲1的時候,對答案就有2 ^ i貢獻,試問最大的答案是多少。 思路: 若選定了k個數,那麼假設有 >= k -

S atur 2020-07-07 08:11:10

Codeforces D. AND, OR and square sum (二进制 / 位运算) (Global Round 8)

傳送門 題意: 現有一個數組a,選兩個不同下標的數一個賦值爲二者的 ’ & ‘值,另一個賦值爲二者的’ | '值。最後計算所以ai ^ 2的和ans,求ans的最大值。 思路: 1的個數不會變:例如3 和 5,011 & 10

S atur 2020-07-07 08:11:07

Codeforces F. Binary String Reconstruction (二进制串 / 构造) (Round #640 Div.4)

傳送門 題意: 對於一個二進制串,取其每個相鄰的兩個字符的子串並規定和統計其類型的數量。 n0表示子串中’1’爲0個的子串數量 n1表示子串中’1’爲1個的子串數量 n2表示子串中’1’爲2個的子串數量 現給出n0,n1和n2,

S atur 2020-07-07 08:11:07

图片与二进制互转

       /// <summary>         /// Image轉二進制         /// </summary>         /// <param name="img">圖片</param>         /// 

LYQ_K 2020-07-06 17:11:37

x86汇编语言笔记(全)(长文警告)

x86彙編語言 最近系統的學了下彙編語言,下面是學習筆記,用的書是清華大學出版社出版的彙編語言第三版,作者王爽(最經典的那版)。 文章目錄x86彙編語言基礎知識**彙編語言指令組成****CPU與外部器件交互需要****總線***

breezeO_o 2020-07-06 15:35:52