算法分析:2019_UNCTF一道逆向题目
一.下载程序得到查壳得到一个64位的elf文件
二.直接拖进IDA进行静态分析
一拖进IDA便看到了main函数中一些关键字符“You are Right”、“flag{.....}”
int __cdecl main(int argc, const char **argv, const char **envp)
{
char s[240]; // [rsp+0h] [rbp-1E0h] BYREF
char v5[240]; // [rsp+F0h] [rbp-F0h] BYREF
memset(s, 0, 0x1EuLL);
printf("Please Input Key: ");
__isoc99_scanf("%s", v5);
encode(v5, s);
if ( strlen(v5) == key )
{
if ( !strcmp(s, enflag) )
puts("You are Right");
else
puts("flag{This_1s_f4cker_flag}");
}
return 0;
}
但是仔细查看逻辑便可得到整个程序的具体逻辑:
①让用户输入一个字符串,放入v5字符数组中
②将v5的首地址与s的首地址作为encode函数的两个参数
③对比v5的长度是否等于key,如果等于则继续判断s指向的字符串是否等于enflag变量,如果s指向的字符串是等于enflag变量则提示“You are Right”,否则提示“flag{.....}”
到这里其实我们可以推测出这个“flag{.....}”并不是正确的flag值,而只是一个作者设计的诱饵
三.对症下药
通过第二步骤的分析,现在我们知道等待我们解决的就只有encode函数和key、enflag变量的值
①首先跟入encode函数,查看逻辑
int __fastcall encode(const char *a1, __int64 a2)
{
char v3[104]; // [rsp+10h] [rbp-70h]
int v4; // [rsp+78h] [rbp-8h]
int i; // [rsp+7Ch] [rbp-4h]
i = 0;
v4 = 0;
if ( strlen(a1) != key )
return puts("Your Length is Wrong");
for ( i = 0; i < key; i += 3 )
{
v3[i + 64] = key ^ (a1[i] + 6);
v3[i + 33] = (a1[i + 1] - 6) ^ key;
v3[i + 2] = a1[i + 2] ^ 6 ^ key;
*(_BYTE *)(a2 + i) = v3[i + 64];
*(_BYTE *)(a2 + i + 1LL) = v3[i + 33];
*(_BYTE *)(a2 + i + 2LL) = v3[i + 2];
}
return a2;
}
encode的形参a1、a2的对应实参是main函数中的v5(用户输入字符串首地址)、s(定义的空字符串首地址)
encode代码中的if ( strlen(a1) != key )可以直接得知a1(v5)指向的字符串长度要等于key,既然遇到了,那我们就先把key找出来,双击key
此时可以得到key=0x12h=18,也就是说我们输入的字符串正确长度要是18,否则就是错误的,if分析完继续往下走
for ( i = 0; i < key; i += 3 )
{
v3[i + 64] = key ^ (a1[i] + 6);
v3[i + 33] = (a1[i + 1] - 6) ^ key;
v3[i + 2] = a1[i + 2] ^ 6 ^ key;
*(_BYTE *)(a2 + i) = v3[i + 64];
*(_BYTE *)(a2 + i + 1LL) = v3[i + 33];
*(_BYTE *)(a2 + i + 2LL) = v3[i + 2];
}
阅读这个for结构可以知道最后被更改的值只有a2(main函数中的s数组),所以我们这个时候我们就要回到调用者函数main函数中查看a2在encode中更改后又发生了什么?
if ( strlen(v5) == key )
{
if ( !strcmp(s, enflag) )
puts("You are Right");
else
puts("flag{This_1s_f4cker_flag}");
}
好,s(encode中的a2)数组在encode中操作完了以后用来和enflag对比,如果对比相同则提示"You are Right",那说明s数组就是最后的flag变换值,它必须要等于enflag才证明我们输入的字符串是正确的,双击查看enflag是多少,如图enflag = "izwhroz""w"v.K".Ni"(还没有转义),那此时我们就可以通过刚才encode的逻辑反推出v5(我们输入的字符串)是多少了,回到encode
for ( i = 0; i < key; i += 3 )
{
v3[i + 64] = key ^ (a1[i] + 6);
v3[i + 33] = (a1[i + 1] - 6) ^ key;
v3[i + 2] = a1[i + 2] ^ 6 ^ key;
*(_BYTE *)(a2 + i) = v3[i + 64];
*(_BYTE *)(a2 + i + 1LL) = v3[i + 33];
*(_BYTE *)(a2 + i + 2LL) = v3[i + 2];
}注意,通过刚才的分析,a2(main函数中的s)就是"izwhroz""w"v.K".Ni"(还没有转义),a1(main函数中的v5,我们输入的字符串),那我们的最终目的就是要求出a1指向的字符串,所以我们就朝着能解出a1的方向走
阅读代码:要求a1则求v3,要求v3则只用用我们已知的a2来反解,所以可以得到如下解密脚本
#include
#include
int main()
{
char input[18];
int v3[104] = { 0 };
char enflag[] = "izwhroz\"\"w\"v.K\".Ni";
int key = 18;
for (int i = 0; i < key; i += 3)
{
v3[i + 2] = *(BYTE*)(enflag + i + 2);
v3[i + 33] = *(BYTE*)(enflag + i + 1);
v3[i + 64] = *(BYTE*)(enflag + i);
input[i + 2] = v3[i + 2] ^ key ^ 6;
input[i + 1] = (v3[i + 33] ^ key) + 6;
input[i] = (v3[i + 64] ^ key) - 6;
}
for (size_t i = 0; i < 18; i++)
{
printf("%c", input[i]);
}
return 0;
}
四.得到结果
