攻防世界--re1-100

测试文件：https://adworld.xctf.org.cn/media/task/attachments/dc14f9a05f2846249336a84aecaf18a2.zip

 

1.准备

获取信息

• 64位文件

 

2.IDA打开

前面大部分都是“无用代码”，这里贴上我们需要的代码

    while ( 1 )
    {
      memset(flag, 0, 0xC8uLL);
      numRead = read(pParentWrite[0], flag, 0xC8uLL);
      if ( numRead == -1 )
        break;
      if ( numRead )
      {
        if ( childCheckDebugResult() )
        {
          responseFalse();
        }
        else if ( flag[0] == '{' )              // flag[0]为'{'
        {
          if ( strlen(flag) == 42 )             // len(flag)=42
          {
            if ( !strncmp(&flag[1], "53fc275d81", 10uLL) )// flag[1]~flag[10]为"53fc275d81"
            {
              if ( flag[strlen(flag) - 1] == '}' )// flag[41]='}'
              {
                if ( !strncmp(&flag[31], "4938ae4efd", 10uLL) )// flag[31]~flag[40]为'4938ae4efd'
                {
                  if ( !confuseKey(flag, 42) )  // 改变原本flag中字符串的顺序
                  {
                    responseFalse();
                  }
                  else if ( !strncmp(flag, "{daf29f59034938ae4efd53fc275d81053ed5be8c}", 42uLL) )// '{}'中间有40个字符，10个为一组，则现在顺序为3,4,1,2
                  {
                    responseTrue();
                  }
                  else
                  {
                    responseFalse();
                  }
                }
                else
                {
                  responseFalse();
                }
              }
              else
              {
                responseFalse();
              }
            }
            else
            {
              responseFalse();
            }
          }
          else
          {
            responseFalse();
          }
        }
        else
        {
          responseFalse();
        }
      }
    }
    exit(1);
  }
  exit(1);
}

 

bool __cdecl confuseKey(char *szKey, int iKeyLength)
{
  char szPart1[15]; // [rsp+10h] [rbp-50h]
  char szPart2[15]; // [rsp+20h] [rbp-40h]
  char szPart3[15]; // [rsp+30h] [rbp-30h]
  char szPart4[15]; // [rsp+40h] [rbp-20h]
  unsigned __int64 v7; // [rsp+58h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  *(_QWORD *)szPart1 = 0LL;
  *(_DWORD *)&szPart1[8] = 0;
  *(_WORD *)&szPart1[12] = 0;
  szPart1[14] = 0;
  *(_QWORD *)szPart2 = 0LL;
  *(_DWORD *)&szPart2[8] = 0;
  *(_WORD *)&szPart2[12] = 0;
  szPart2[14] = 0;
  *(_QWORD *)szPart3 = 0LL;
  *(_DWORD *)&szPart3[8] = 0;
  *(_WORD *)&szPart3[12] = 0;
  szPart3[14] = 0;
  *(_QWORD *)szPart4 = 0LL;
  *(_DWORD *)&szPart4[8] = 0;
  *(_WORD *)&szPart4[12] = 0;
  szPart4[14] = 0;
  if ( iKeyLength != 42 )
    return 0;
  if ( !szKey )
    return 0;
  if ( strlen(szKey) != 42 )
    return 0;
  if ( *szKey != 123 )
    return 0;
  strncpy(szPart1, szKey + 1, 0xAuLL);
  strncpy(szPart2, szKey + 11, 0xAuLL);
  strncpy(szPart3, szKey + 21, 0xAuLL);
  strncpy(szPart4, szKey + 31, 0xAuLL);
  memset(szKey, 0, iKeyLength);
  *szKey = 123;
  strcat(szKey, szPart3);
  strcat(szKey, szPart4);
  strcat(szKey, szPart1);
  strcat(szKey, szPart2);
  szKey[41] = 125;
  return 1;
}

 

3.代码分析

第一段代码我们能够获取到flag[0]，flag[1]~flag[10]，flag[31]~flag[40]，flag[41]，以及调换顺序之后的flag

第二段代码实际上是在对原来的flag字符串的位置进行调换，"{}"中间有40个字符，10个为一组，现在的顺序就是3,4,2,1。

因此，我们通过调换顺序之后的flag，能够获取到原来的flag。这道题最坑的就是真正的flag没有"{}"

 

4.get flag！

53fc275d81053ed5be8cdaf29f59034938ae4efd