无壳,放入IDA自动跳到main函数

__int64 __fastcall main(int a1, char **a2, char **a3)
{if ( a1 > 1 ){if ( !strcmp(a2[1], "zer0pts{********CENSORED********}") )puts("Correct!");elseputs("Wrong!");}else{printf("Usage: %s <FLAG>\n", *a2);}return 0LL;
}

条件明确,要求我们输入的字符串和如下字符串相同

zer0pts{********CENSORED********}

提交flag发现错误,显然没有那么容易;观察函数列表:

从sub_610到sub_795的一系列函数笔记碍眼,不妨一个个看一下,能够发现sub_6EA有着明显的逻辑:

__int64 __fastcall sub_6EA(__int64 a1, __int64 a2)
{int i; // [rsp+18h] [rbp-8h]int v4; // [rsp+18h] [rbp-8h]int j; // [rsp+1Ch] [rbp-4h]for ( i = 0; *(_BYTE *)(i + a1); ++i );v4 = (i >> 3) + 1;for ( j = 0; j < v4; ++j )*(_QWORD *)(8 * j + a1) -= qword_201060[j];return qword_201090(a1, a2);
}

但当我试图用IDA查看该函数的交叉引用,会发现提示:

Couldn't find any xrefs!

那这个函数岂不是没有被用到吗?不被执行还需要分析吗?

可以从init函数中找到答案:

void __fastcall init(unsigned int a1, __int64 a2, __int64 a3)
{signed __int64 v4; // rbp__int64 i; // rbxv4 = &off_200DF0 - &funcs_889;init_proc();if ( v4 ){for ( i = 0LL; i != v4; ++i )((void (__fastcall *)(_QWORD, __int64, __int64))*(&funcs_889 + i))(a1, a2, a3);}
}

for循环中调用了一系列的函数,而函数地址从funcs_889开始,跟入便能够发现如下内容:

.init_array:0000000000200DE0 funcs_889       dq offset sub_6E0       ; DATA XREF: LOAD:00000000000000F8↑o
.init_array:0000000000200DE0                                         ; LOAD:0000000000000210↑o ...
.init_array:0000000000200DE8                 dq offset sub_795

分别调用了sub_6E0和sub_795两个函数;上一个倒不值得关注,进入下面的那个看看:

// write access to const memory has been detected, the output may be wrong!
int (**sub_795())(const char *s1, const char *s2)
{int (**result)(const char *, const char *); // raxresult = &strcmp;qword_201090 = (__int64 (__fastcall *)(_QWORD, _QWORD))&strcmp;off_201028 = sub_6EA;return result;
}

可见,off_201028被置为sub_6EA函数地址了

可以看到,off_2010288实际上是strcmp函数的地址,但现在它被替换成了sub_6EA

因此我们执行strcmp函数时实际上是执行sub_6EA函数

__int64 __fastcall sub_6EA(__int64 a1, __int64 a2)
{int i; // [rsp+18h] [rbp-8h]int v4; // [rsp+18h] [rbp-8h]int j; // [rsp+1Ch] [rbp-4h]for ( i = 0; *(_BYTE *)(i + a1); ++i );v4 = (i >> 3) + 1;for ( j = 0; j < v4; ++j )*(_QWORD *)(8 * j + a1) -= qword_201060[j];return qword_201090(a1, a2);
}

逻辑:将字符串每8个比特位减去一个数字

.data:0000000000201060 qword_201060    dq 0, 410A4335494A0942h, 0B0EF2F50BE619F0h, 4F0A3A064A35282Bh

那么解密脚本姑且是能够写出来了

int main()
{char p[] = "zer0pts{********CENSORED********}";uint64 k[4] = { 0, 0x410A4335494A0942, 0x0B0EF2F50BE619F0, 0x4F0A3A064A35282B };for (int i = 0; i < 4; i++){*(uint64*)&(p[i*8]) += k[i];}cout << p;
}

但是,我还是好奇这样一个字符串是如何实现大数加减法的,于是单步跟了进去

以 0x410A4335494A0942 为例,其二进制表达为:

100 0001 0000 1010 0100 0011 0011 0101 0100 1001 0100 1010 0000 1001 0100 0010

因为Intel是小端序的,所以从后面往前读

0100 0010-------> 66(十进制)

而我们的flag变换字符为:

'*' (42)-------->'I' (108)

相差正好为66;因此结果也变得显然了:

字符串大数相加的实现为:将大数做成多个字节,将每个字节与对应的字符串字符相加(指相同字节位对齐相加,多者溢出)

[Zer0pts2020]easy strcmp 分析与加法相关推荐

  1. re -12 buuctf [Zer0pts2020]easy strcmp

    [Zer0pts2020]easy strcmp 前话:这题要用到ida64位远程调试先记录一下配置方法,因为本人使用的是ida7.6版本差异可能导致问题. application与input fil ...

  2. [buuctf][Zer0pts2020]easy strcmp

    [Zer0pts2020]easy strcmp 思路 脚本 思路 第一步还是先查壳 放在linux中运行一下,发现竟然没有任何输入的位置. 放入ida64中查看,因为这个是一个64位的可执行文件,有 ...

  3. [Zer0pts2020]easy strcmp细节探究

    这道题大多数的wp不知道这个程序是怎么跑的. 这道题是由一个知名的日本战队zer0pts出的,还是挺新颖,挺有意思的 总体感知 首先来看看ida里的情景 这就是main函数的所有了,很简单,感觉啥也没 ...

  4. [Zer0pts2020]easy strcmp

    是elf格式的64位程序,无壳 int64指的是64位有符号整型 fastcall是一种函数调用规定 按理来说main函数的写法上是只能有2个参数的,不知道为什么这里有3个 初看main函数的逻辑是输 ...

  5. Zer0pts2020 easy strcmp

    打开文件,直接在main函数里找到比较的地方,但是发现flag不是这个. 猜测strcmp函数有问题,或者输入经过了处理,于是开始动调,把断点下载a1 > 1的位置,发现strcmp函数不是那个 ...

  6. buuctf————[Zer0pts2020]easy strcmp

    1.查壳. 无壳.64位 . 2.IDA反编译. 找到主函数只是一个简单的比较. 只需要找到对a2做的变换.(函数不多). 找到是sub_6EA函数. 分析函数: 把输入的flag8个一组(三组)与q ...

  7. BUUCTF--[Zer0pts2020]easy strcmp

    测试文件:https://wwa.lanzous.com/i54G4drrp1i 代码分析 打开IDA看了下main函数 这里就是将a2[1]与zer0pts{********CENSORED**** ...

  8. buu-[Zer0pts2020]easy strcmp

    64位 查看字符串 查看main函数 __int64 __fastcall main(signed int a1, char **a2, char **a3) {if ( a1 > 1 ){if ...

  9. REVERSE-PRACTICE-BUUCTF-13

    REVERSE-PRACTICE-BUUCTF-13 firmware [ACTF新生赛2020]Oruga [Zer0pts2020]easy strcmp [GXYCTF2019]simple C ...

最新文章

  1. (读书笔记).NET大局观-.NET语言(1)
  2. 基于python的scrapy爬虫抓取京东商品信息
  3. React ES6组件里绑定this的三种方式
  4. 四象限运行模式_信息流广告推广怎么选择正确的出价模式?
  5. 如何在Python中建立和训练K最近邻和K-Means集群ML模型
  6. paip.输入法编程---智能动态上屏码儿长调整--.txt
  7. photoshop破解
  8. 通达新版OA,服务“企业”别忘了“人”
  9. IDEA 下载、安装、配置和案例
  10. 二分类最优阈值确定_结合mRMR选择和IFCM聚类的遥感影像分类算法
  11. mysql dump hbase_导入mysqldump表结构
  12. android 视频剪辑工具,视频剪辑工具手机版
  13. 从’物质决定意识’说起
  14. Java简单类、变量详解(概念和分类、声明、命名、初始化)
  15. CAD Voronoi 生成插件 V2
  16. 面阵相机靶面详解and镜头选择andFA镜头视野计算
  17. python matplotlib 论文画图代码总结
  18. python 从大到小循环_跟老齐学Python之关于循环的小伎俩
  19. 教你用 Python 快速获取行业板块股,辅助价值投资!
  20. coj_1224: ACM小组的古怪象棋

热门文章

  1. STM32标准库及的Keil软件包下载
  2. 局域网计算机网卡启动,远程启动局域网内电脑
  3. 远程启动IDEA时报错Startup Error: Unable to detect graphics environment
  4. Ubuntu18.04下的截图快捷方式
  5. Qlikview---变量
  6. Python中 'unicodeescape' codec can't decode bytes in position XXX: trun错误解决方案
  7. C语言实现飞机售票系统
  8. Bootstrap 图片及缩略图
  9. MSM8916 海信M9模块学习记录一:编译及烧录android5.1源码
  10. 微软消息队列-MSMQ