攻防世界 reverse 的logmein writeup
程序员文章站
2024-03-11 23:12:01
...
main函数的反汇编如上图。
拿到ida静态分析了一下,通读后main的反汇编后的代码,大体了解了flag应该是通过(char)(*((_BYTE *)&v7 + i % v6) ^ v8[i])
来确定的。
然后就是一些小细节了
1.input_string的长度
if ( v3 < strlen(v8) ) //strlen(input_string)>=strlen(v8)
quit();
if ( i >= strlen(v8) )//strlen(input_string)<=strlen(v8)
quit();
所以得出strlen(input_string)==strlen(v8)
然后我们看一下如何确定输入
2.&v7
input_string[i] != (char)(*((_BYTE *)&v7 + i % v6) ^ v8[i])
v7是long long int类型,占8byte=64bit,故int64来定义v7。
我们一层层刨析这段代码:
(_BYTE*)&v7;//就是强制v7转化为char类型数据,使得&v7是一个字符串的首地址,如果不好理解,可以用另一种表达方式来表示相同的意思:
char *target=(char *)&v7;//即用一个char类型指针指向转化为char类型后的v7的首地址
那么v7地址保存的数据是什么呢?那就需要了解数据在内存中是以字节为单位存储然后在intelx86的兼容机下以小端序保存数据。
用一张图来解释上面的那句话:
注:long long int v7=28537194573619560转化为16进制后为:0x65626D61726168;
然后(target+i)=(&v7+i),相当于用指针索引数据,地址按字节编址,在c中指针加1指的是增加一个存储一个单元,对于数组而言,这意味着加1后的地址是下一个元素的地址,而不是下一个字节的地址。(可以好好体味c primer plus中关于指针和数组的分析)
所以(char*)v7=“harambe”;
((_BYTE *)&v7 + i % v6)//意思就是(char *)v7[i%v6]
然后了解后直接写一个c程序来得到最终正确的输入:
/*第一个程序*/
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
int main()
{
long long int v7=0x65626D61726168;
char a[]=":\"AL_RT^L*.?+6/46";
char input_string[20];
for(int i=0;i<strlen(a);i++)
{
input_string[i]=(char)(*((char *)&v7 + i%7)^a[i]);
printf("%c",input_string[i]);
}
printf("\n\n%d",sizeof(long long int));
return 0;
}
也可以用指针来指向v7来索引数据:
#include <stdio.h>
#include <string.h>
int main()
{
char v8[]=":\"AL_RT^L*.?+6/46";//strlen(v8)==strlen(input_string)
long long int v7=0x65626D61726168;
int i;
/*将long long int转化为字符类型*/
char *target=(char *)&v7;
char final_string[20];
for(i=0;i<strlen(v8);i++)
{
final_string[i]=target[i%7]^v8[i];
printf("%c",final_string[i]);
}
return 0;
}
最终的结果都是RC3-2016-XORISGUD
这个题用到了指针和数组的联系,小端序字节存储的问题,不明白的可以再体会一下。希望大家共同进步吧!