re学习(33)攻防世界-secret-galaxy-300(脑洞题)

下载压缩包:

下载链接:https://adworld.xctf.org.cn/challenges/list

参考文章:攻防世界逆向高手题之secret-galaxy-300_沐一 · 林的博客-CSDN博客

发现这只是三个同一类型文件的三个不同版本而已,一个windows32位exe,另外两个分别是32位和64位的ELF的linux可执行文件,就分析32位的ELF文件吧。
扔入IDA32中查看伪代码,有main函数看main函数:

打开IDA,发现填充和输出函数,没有输入函数,寻找输入函数

re学习(33)攻防世界-secret-galaxy-300(脑洞题)_第1张图片

两个函数,一个填充fill_starbase,一个打印print_starbase,打印的函数跟踪进去没啥,打印一些横幅和其它信息,其中v2跟踪不了,看了一下是作为参数传入的:

re学习(33)攻防世界-secret-galaxy-300(脑洞题)_第2张图片

这里a1跟踪不了,因为是在外部的&starbase传入的,所以前面fill_starbase猜想是填充该数组的,双击跟踪:

re学习(33)攻防世界-secret-galaxy-300(脑洞题)_第3张图片

看到一个数组&galaxy_name,还是取地址。后面是对它的一些运算,双击跟踪数组:

re学习(33)攻防世界-secret-galaxy-300(脑洞题)_第4张图片

看到这里有点不明觉厉,因为至始至终没有flag字眼,想起我还没运行过程序,就去运行一下 

运行elf文件后,出现的字符串

re学习(33)攻防世界-secret-galaxy-300(脑洞题)_第5张图片

思路:题目是secret-galaxy-300,中文引导型暗示——隐藏的星系,运行结果显示了5个星系,而我前面跟踪的数组有6个星系,少了DARK SECRET GALAXY,那么这个就是关键点!

跟踪DARK SECRET GALAXY的调用,发现一个函数,代码分析如下:

// 调用DARK SECRET GALAXY的函数
int __libc_csu_gala()
{
  int result; // eax

  sc[0] = off_409014;                           // off_409014处是DARK SECRET GALAXY字符串的地址
  sc[3] = &byte_40DAC0;                         // 一开始双击跟踪啥也没有,后面是对它的赋值操作
  sc[1] = 31337;
  sc[2] = 1;
  byte_40DAC0 = off_409004[0][8];               // off_409004处是Andromeda字符串的地址
  byte_40DAC1 = off_409010[0][7];               // off_409010处是Triangulum字符串的地址
  byte_40DAC2 = off_409008[0][4];               // off_409008是Messier字符串的地址
  byte_40DAC3 = off_409004[0][6];
  byte_40DAC4 = off_409004[0][1];
  byte_40DAC5 = off_409008[0][2];
  byte_40DAC6 = 95;
  byte_40DAC7 = off_409004[0][8];
  byte_40DAC8 = off_409004[0][3];
  byte_40DAC9 = off_40900C[0][5];               // off_40900C是Sombrero的地址
  byte_40DACA = 95;
  byte_40DACB = off_409004[0][8];
  byte_40DACC = off_409004[0][3];
  byte_40DACD = off_409004[0][4];
  byte_40DACE = off_409010[0][6];
  byte_40DACF = off_409010[0][4];
  byte_40DAD0 = off_409004[0][2];
  byte_40DAD1 = 95;
  byte_40DAD2 = off_409010[0][6];
  result = *((unsigned __int8 *)off_409008[0] + 3);
  byte_40DAD3 = off_409008[0][3];
  byte_40DAD4 = 0;
  return result;                                // 这里犯下第三个错误,返回result,可是result是off_8049B80[3],就是Messier的第三个字符s,我醉了,难怪不显示前面一直在用  aAliensAreAroun,结果这里返回别的东西去了。
}

分析完后可以知道 aAliensAreAroun数组大概就是我们要招的flag了。

第一种方法:
手动调试,就这样不同的字符串一个个截取对应的位拼接即可。

code:

off_409004='Andromeda'
off_409010='Triangulum'
off_409008='Messier'
off_40900C='Sombrero'
flag=''
flag+=off_409004[8]              
flag += off_409010[7]             
flag+= off_409008[4]             
flag+= off_409004[6]
flag+= off_409004[1]
flag+= off_409008[2]
flag+='_'
flag+= off_409004[8]
flag+= off_409004[3]
flag+= off_40900C[5]           
flag+='_'
flag+= off_409004[8]
flag+= off_409004[3]
flag+= off_409004[4]
flag+= off_409010[6]
flag+= off_409010[4]
flag+= off_409004[2]
flag+='_'
flag+= off_409010[6]
flag+= off_409008[3]
print(flag)
#结果:aliens_are_around_us

第二种方法:
IDA远程动态调试,下断点在return处,运行:(PS:运行且调试过IDA了,所以这里的数组名字和我一开始看到的不一样,IDA应该是自己又修改过了)

re学习(33)攻防世界-secret-galaxy-300(脑洞题)_第6张图片

re学习(33)攻防世界-secret-galaxy-300(脑洞题)_第7张图片

re学习(33)攻防世界-secret-galaxy-300(脑洞题)_第8张图片

总结:这是一个脑洞题,需要推理,根据运行结果找到隐藏的字符串,再根据隐藏的字符串找到关键代码,然后计算出flag

你可能感兴趣的:(#,每天一个CTF,学习)