BUUCTF Reverse/Youngter-drive

BUUCTF Reverse/Youngter-drive

查壳发现UPX壳，且为·32位程序

用脱壳工具脱壳

用IDA32位打开

跟进查看，又是一道字符串比较的题目

发现这个函数对输入的字符串进行了比较

int sub_411880()
{
  int i; // [esp+D0h] [ebp-8h]

  for ( i = 0; i < 29; ++i )
  {
    if ( *(&Source + i) != off_418004[i] )
      exit(0);
  }
  return printf("\nflag{%s}\n\n", Destination);
}

返回主函数查看，发现这个函数对输入的字符串进行了变换

写出脚本

#include 
#include 
#include 
int main()
{

   char flag[] = "TOiZiZtOrYaToUwPnToBsOaOapsyS";
   char t[] = "QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm";

   for(int i = 0 ; i < 29; i ++)
   {
       for(int j = 0 ; j < strlen(t); j++)
       {
            if(t[j] == flag[i] )
             {

                        if(j < 26)
                        {
                            printf("%c",j + 96);
                        }
                        else
                        {
                            printf("%c",j + 38);
                        }


                      break;
            }


       }
   }
   return 0;

}

运行，发现flag不正确

返回发现原来有两个线程

一个线程对字符串进行变换，同时将数组下标减1，另一个线程仅将数组下标减1，不做任何变换.

这两个线程是交替进行的，相当于每进行一次操作，数组下标就减去2，而这个是从下标为29开始的，相当于只对奇数位进行变换，偶数位不变

改动一下脚本

#include 
#include 
#include 
int main()
{
   
   char flag[] = "TOiZiZtOrYaToUwPnToBsOaOapsyS";
   char t[] = "QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm";

   for(int i = 0 ; i < 29; i ++)
   {
       for(int j = 0 ; j < strlen(t); j++)
       {
            if(t[j] == flag[i] )
             {
                  if( i % 2 != 0)
                    {
                        if(j < 26)
                        {
                            printf("%c",j + 96);
                        }
                        else
                        {
                            printf("%c",j + 38);
                        }

                    }
                    else
                    {
                        printf("%c",flag[i]);
                    }
                      break;
            }


       }
   }
   return 0;

}

运行得到结果

但是这是从下标为29开始的，说明flag有30位，而输出的结果只有29位，看了大佬的wp知道最后一位为E

flag : flag{ThisisthreadofwindowshahaIsESE}