查壳
64位,进IDA,老套路进主函数
unsigned __int64 get_flag()
{
unsigned int v0; // eax
int i; // [rsp+4h] [rbp-3Ch]
int j; // [rsp+8h] [rbp-38h]
__int64 s; // [rsp+10h] [rbp-30h] BYREF
char v5; // [rsp+18h] [rbp-28h]
unsigned __int64 v6; // [rsp+38h] [rbp-8h]
v6 = __readfsqword(0x28u);
v0 = time(0LL);
srand(v0);
for ( i = 0; i <= 4; ++i )
{
switch ( rand() % 200 )
{
case 1:
puts("OK, it's flag:");
memset(&s, 0, 0x28uLL);
strcat((char *)&s, f1);
strcat((char *)&s, &f2);
printf("%s", (const char *)&s);
break;
case 2:
printf("Solar not like you");
break;
case 3:
printf("Solar want a girlfriend");
break;
case 4:
s = 0x7F666F6067756369LL;
v5 = 0;
strcat(&f2, (const char *)&s);
break;
case 5:
for ( j = 0; j <= 7; ++j )
{
if ( j % 2 == 1 )
*(&f2 + j) -= 2;
else
--*(&f2 + j);
}
break;
default:
puts("emmm,you can't find flag 23333");
break;
}
}
return __readfsqword(0x28u) ^ v6;
}
一个swithch函数,case1就是正确的输出,(这题还是有点意思的,个人感觉),我们还能看到case4和case5有加密。2和3则是退出,那么我们要考虑是否直接case1就好了,(但凡尝试了都会知道)所以我们要考虑一下4和5的加密。
在case1中会涉及到f1和f2,那么我们要去找这两个怎么来的,f2在case4,f1则是在函数里没见到过相关的算法,那么我们进内存区看 --> f1:GXY{do_not_
再看f2,由s链接而成,那么我们先看看f2是否已经有字符了,还是它只是空的。
有个20h,是个啥,可以自己去看看。
所以直接将s作为f2的内容就行了,但是这里注意,小端存储。
f2 = ‘icugof’(为什么不是‘icugofF7x\’呢,我们可以去看看它的数据段(内存)这里就不带了,自己去看看吧)
接下来是对f2的加密,也就是说,我们上边得到的f2是已经经过加密的,我们要去解密得到原来的f2,将f1和f2连接起来就是flag了
来吧,脚本或者你能看出来也行。
int main(){
string f2 = "icug`of";
for (int i = 0; i < f2.size(); i++) {
if(i & 1)f2[i] -= 2;
else f2[i]--;
}
cout << f2 <<endl;
return 0;
}
得到f2原型:hate_me
f1和f2连起来 --> flag{do_not_hate_me}收工